身份从业十余年的老鸟,这个问题很容易回答!!
身份从业十余年的老鸟,这个问题很容易回答!
信息安全和网络安全从理论有差异的,但是实际工作岗位和工作应用中并没啥差异。所以题主不需要太过于纠结。题主真正需要关注的应该在安全岗位上需要具备哪一些技能。 #
那接下来我就给题主从:技术划分,岗位划分,学习误区及如何学?。几个大点说一下,希望对你有帮助。 #
一、从技术标准划分,给你科普一下哦网络安全的四个级别:
#
脚本小子(难度系数:?)
#
这个级别是很容易达到的安全工程师级别,其实最初的时候还有一些贬义的成分在,它是指能够使用一些黑客工具和程序,但是对于其编写原理完全不了解的人。 #
网络安全工程师(难度系数:??)
#
能凭借技术在各级行政、企事业单位、网络公司、信息中心、互联网接入单位中从事信息安全服务、运维、管理工作,薪资相对不错。这个水平在网络安全领域是一个比较普遍的。 #
实验室研究员(难度系数:???) #
精通至少一门领域,审计经验出色,脚本、POC、二进制相关都了解。个人认为达到这个程度,已经算是小有成就了吧。
安全大咖级(难度系数:?????) #
精通某一领域知识点并有自己的了解建树。一个人能支撑APT某一职能的所有需求树。这个就是题主询问的在安全领域颇有成就的提现啦。
#
二、从职位上划分
#
信息安全分析师(公司中级职员) #
负责数据保护(数据防泄漏与数据分类)和风险保护,包括安全信息与事件管理(SIEM)、用户行为分析(UEBA)、入侵检测与入侵防御(IDS/IPS)以及渗透测试等内容。还需要完成安全控制措施的管理、安全访问监控、内外部安全审计、安全违规事件分析以及安全工具与方法的推荐、安全意识培训及与第三方供应商关于安全方面的合作。 #
安全工程师(公司中级职员) #
建立和维持公司的IT安全解决方案。需要配置防火墙、测试新的安全解决方案、调查入侵事件并完成其它任务,同时向安全经理汇报。必须掌握漏洞挖掘、渗透测试、虚拟化安全、应用和加密、网络和相关协议方面的技术。
安全架构师(公司高级职员)
#
建立和维护计算机网络安全基础设施,能够针对企业的技术和信息需求制定一份全面的规划,并在此基础上开发和测试安全基础设施,保护企业的系统。
三、学习误区 #
下面说一说我对安全入门误区的看法,因为安全覆盖知识面广,所以新手入门通常会遇到两个误区问题: #
1、以编程基础为方向的自学误区。 #
行为:从编程开始掌握,前端后端、通信协议、什么都学。
#
缺点:花费时间太长、实际向安全过渡后可用到的关键知识并不多。 #
很多安全函数知识甚至名词都不了解 #
2、以黑客技能、兴趣为方向的自学误区:
行为:疯狂搜索安全教程、加入各种小圈子,逢资源就下,逢视频就看,只要是黑客相关的。 #
缺点: 就算在考虑资源质量后的情况下,能学习到的知识点也非常分散,重复性极强。
代码看不懂、讲解听不明白,一知半解的情况时而发生。 #
在花费大量时间明白后,才发现这个视频讲的内容其实和自己看的其他知识点是一样的。
#
题主看起来也是陷入了迷茫,一看推荐一大堆: 什么tcp/ip原理,各种网络协议,/linux操作系统,Linux C ,数据库等。
#
实际上,这很难学成也很容易成为一个开发、运维人员,和安全关联并不大。 #
那么应该怎么学习呢? #
1、学习Web安全相关概念 #
熟悉基本概念,例如:SQL注入、上传、XSS、CSRF等。
了解web功能系统和系统原理。
#
了解Web前后端基础与服务器通信原理。其中前后端包括H5、JS、PHP、SQL,服务器包含、Nginx、等 #
2. 熟悉渗透相关工具
熟悉AWVS、、Burp、、、nmap、等工具的使用,不仅是需要学习工具的用途还要知道使用的场景。 #
相关工具的软件安装建议选择无后门版的,然后可以寻找具体的教程学习并进行使用 #
3、渗透实战操作
#
首先在网上找渗透视频观看并思考其中的思路和原理,查找关键字包括:渗透、SQL注入视频、文件上传入侵、数据库备份、漏洞利用等。
#
其次,寻找授权站点或者尝试自己搭建测试环境进行测试。
#
然后,掌握SQL注入的种类、原理以及手动注入技巧。学习文件上传的原理,例如如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、、)等。学习XSS形成的原理和种类。研究/Linux提权的方法和具体使用。 #
4、关注安全圈动态 #
关注安全圈的最新漏洞、安全事件与技术分享文章。通过学习他人的漏洞挖掘思路和技巧,拓宽自己的挖掘思路,提高自身技术,积累经验。
#
这里也跟大家分享一下训练营中的学习路线,论从零到大牛的学习之路。 #
男生有优势,但是因为女生又有些优势,因为女生少啊,如果题主真的确定转型安全的话安全工程师级别,行动起来要比思考性别优势容易的多。 #
京公网安备 11010802021846号