近期,网络上频繁讨论着如何成为一名网络信息安全工程师的话题。这或许与近年来网络安全事件频发,对互联网信息安全和舆情监控的重视程度不断提升有关,致使网络信息安全工程师成为炙手可热的职业。
让我们来解析网络安全工程师的角色定义。网络安全工程师主要负责遵循信息安全管理体系和标准,防范攻击,运用各种安全产品和技术进行安全防护,如防火墙、防病毒、IDS、PKI等。他们还负责安全制度建设和安全技术规划、日常维护管理、信息安全检查与审计,以及系统帐号和日志的管理。
想要胜任这一职业,我们必须清楚其所需的专业技能并非一蹴而就。特别值得注意的是,计算机知识与网络安全息息相关。在学校学到的计算机基础知识是进阶到网络安全学习的基石。网络安全工程师是网络安全领域中的一个专业角色,我们必须稳固计算机知识这个基础,这样才能在网络安全的不同分支中自如切换。
我们要摒弃那种急于求成的心态。那些标榜“宝典”、“诀窍”、“XX天从入门到精通”的书籍或教程,往往不能为我们提供扎实的知识。踏踏实实学习每一项理论和技能才是正道。
接下来,我们将分享一下如何由浅入深地掌握网络安全技能。
关于web和程序的基础知识,我们需要了解HTTP、前端和后端的相关内容,特别是PHP这种服务端脚本语言。
网络安全的学习路径与前端和后端有所不同,它更侧重于网络相关技术的学习。网络安全实际上是网络技术与安全技术的结合。
在网络技术方面,建议搜索HCNA、CCNA、HCIA等关键字教程,学习课程大纲应包括以下内容:
第一步,学习防火墙设备的技术。这包括了解防火墙的技术特点、策略配置、工作模式以及安全过滤配置。只需学习一两个厂家的防火墙即可,同时了解一些与IPS相关的内容,并进行实验验证。
第二步,掌握VPN的配置教程。例如,学习华为VPN的配置教程,相关技术支持和官方配置文档都是很好的学习资源。需要理解VPN的加密原理、技术特点和应用场景,并进行配置实验。
第三步,在了解网络安全相关的硬件产品和技术后,花费一周时间学习一个基本的网络渗透教程。
第四步,在进行web渗透学习之前,先学习HTTP协议以及与web相关的内容。这包括前端技术(如HTML、CSS和JavaScript),只需大概了解它们的用法、用途以及代码层面的含义。也可以学习一些基本的后端技术(如PHP和Python),对PHP了解基本配置和web框架相关内容,对Python则需学习其基本语法,但后期需进行深入学习。
第五步,研究数据库系统,特别是my SQL数据库。只需掌握增删改查等基本操作。然后,在自己的电脑上搭建一个web站点并进行基本的测试。
第六步,深入研究web安全相关内容,特别是OWASP top10问题列表。每个问题都要有深入的了解,并亲自进行实验验证。
第七步,学习操作系统安全和代码审计。特别是PHP代码审计(可作为中级难度),主要针对web中的一些常见漏洞。然后进行一些CTF(Capture The Flag)渗透练习,包括CTF4至CTF7靶机的练习以加深记忆。
完成以上网络安全的基础课程学习后
接下来可以使用python开发一些专属自己的安全工具,编写一些POC(proof of concept)。对于更高阶的学习者来说,可以学习汇编语言、C语言、进行逆向工程和二进制漏洞挖掘等进阶技术。