技术小白该如何学习网络安全

最后更新：2022.03.05

首先我们说说什么是网络安全？

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

想学网络安全首先得学习了解网络，学网络的最终目的是为了选择就业方向看清网络拓扑图，对客户机房安全规划形成纵深防御体系，如果只是单纯想提升技术，可以主要学习网络协议，如网络层、链路层、传输层和部分应用层协议。

合格的渗透测试工程师入门条件是什么？

学习网络至少要先知道http/https抓包后能读懂是什么意思，然后就可以开始入手web安全。为什么要先学习web安全呢？随着网络科技的发展与多样性，人人都能接触到网络，这也造成的网络环境的安全隐患出现。过去的计算机端口都暴露在外，很多应用在公网上没有保护措施，黑客很容易就能直接进行扫描攻击。而现在对整个内网系统有威胁的外部因素大概只能接触到web了，web是必须对外开放的。黑客一般先通过入侵web从而对内网其他系统进行后渗透。

学习web安全除了需要清楚HTTP和HTTPS协议外，还需要了解web应用是如何搭建的。只有清楚它的结构才能更好地掌握它每一处薄弱点，所以网站开发相关知识体系也需要了解。学Python至少能看懂部分代码，掌握核心语法；web前端和web后端也需要学习。因为web是由前端你所看到的页面和后端数据储存组成。

进入web安全领域需要掌握哪些？

掌握OWASP TOP10等常见web漏洞原理与利用方式。例如SQL注入、文件上传、Webshell木马编写、命令执行、XSS跨站脚本攻击、CSRF跨站伪造请求等。

web渗透懂了之后就可以开始进行后渗透，就是持续控制进行内网横向渗透，web渗透可能不是你学习的最终目的，这时候就需要掌握相关系统层面漏洞，如ms17-010永恒之蓝等各种微软ms漏洞。如果想要进一步提升自己，kali Linux是一个很好的学习平台，例如它的metasploit平台能学习很多直接攻击手段，也有许多攻击工具。当然Kali Linux也是Linux，所以掌握Linux操作系统命令也是不可或缺的环节。Linux命令除了对这个有用，在工作中遇到客户服务器操作也能用到。或许可以说是中大型企业主流操作系统，不管是红帽、Ubuntu还是centos都相差无几。当然操作系统除了掌握Linux命令外，掌握dos的基本命令也有好处。

学会以上的并不代表你就是网络安全专家，从网络安全从业岗位来说，这仅仅只是算渗透测试工程师，虽然可以算作安全服务，当安全服务还有其他很多业务，例如护网、红蓝对抗、风险评估、等保测评和攻防演练等。除了安全服务部门，还有研发部，与网络通信领域一样，互联网安全产业中安全设备等硬件产品占了一般市场经济。网络安全防护并不全靠人工，所以研发部和互联网开发一样，主要进行网络安全产品软硬件开发，这就是安全领域内的程序员。

产品开发出来还需要销售，在安全行业有个岗位不仅很特殊而且还很重要，并不需要技术多厉害，但需要有大局观，要对客户整个网络安全构架有清楚认知，哪有有不足和需要改进的地方，如何改、需要什么样设备等都需要仔细考虑然后整理方案出来。这种人在安全领域叫售前工程师，一般对网络知识有很深的了解同时，对各类安全知识、安全标准、安全规则、相关法律法规都需要有足够了解。还需要具备跟客户沟通、写文案的能力。

除了售后，如果客户在安装好产品却不会用该怎么办？或是客户需要每天都有人来运维安全产品该怎么办？安全运维工程随之诞生，安全运维工程师又叫驻场工程师，一般是乙方以安全服务形式租给甲方。但这里的安全运维工程师和随便什么互联网公司都会招聘的安全运维工程师不一样，这个需要掌握一部分渗透知识和安全设备相关知识，除了做好每日工作、出具相关报告，有安全问题也需要及时配合解决，参与应急响应等。还有代码审计岗位，安全研究岗位，逆向相关等等。

从应用场景这个维度来分析，你所学习的安全也仅仅是普通的web安全跟系统安全，实际上生活中还有许多场景和所学知识不挂钩，如工业控制系统。什么是工业控制系统？就是跟生活生产相关的，水、电、化学产品、生活用品，原来都是工厂生产，人工流水线，随着互联网发展，他们也用上了自己的网络体系，使产品的出产更加方便快捷，但在方便快捷的同时也会催生很多安全问题，工控的软硬件系统跟微软操作系统完全不一样，DCS、SCADA、PLC等一系列工控相关系统都需要重新学习，这仅仅只是工控相关。