我從2013年帶隊(duì)參加高職的信息安全管理與評(píng)估技能大賽開(kāi)始接觸信息安全，2015年在北京郵電大學(xué)信息安全中心訪學(xué)一年，2016年下半年訪學(xué)結(jié)束回校，開(kāi)始專(zhuān)心帶隊(duì)參加各類(lèi)比賽，2018年開(kāi)始參與CTF比賽，一路走來(lái)，至今也有幾個(gè)年頭了。本文主要針對(duì)有志于學(xué)習(xí)信息安全技術(shù)的同學(xué)，談?wù)勎业囊恍┛捶ê徒ㄗh。
當(dāng)今時(shí)代，信息技術(shù)正在深刻改變著整個(gè)人類(lèi)社會(huì)，在信息技術(shù)中，我認(rèn)為有幾個(gè)最重要的發(fā)展方向：人工智能、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、信息安全。上至國(guó)家層面，這是國(guó)家在大力倡導(dǎo)和推動(dòng)的核心產(chǎn)業(yè)，下至大學(xué)招生，這些都是近幾年最熱門(mén)的綠牌專(zhuān)業(yè)。在麥克斯發(fā)布的針對(duì)2017和2018屆大學(xué)畢業(yè)生的就業(yè)薪資調(diào)查報(bào)告中，信息安全專(zhuān)業(yè)更是連續(xù)2年位居排行榜首位。


這點(diǎn)從我之前幾屆已經(jīng)畢業(yè)的學(xué)生身上也可以得到印證。他們大都在北京工作，月薪也基本都在10K以上。所以學(xué)習(xí)信息安全，就業(yè)前景廣，薪資待遇高，這點(diǎn)是毋庸置疑的。
但其實(shí)我們可以再深入思考一下。為什么信息安全專(zhuān)業(yè)的待遇高呢？這當(dāng)然是因?yàn)檫@方面的人才比較短缺。那為什么人才會(huì)短缺呢？我認(rèn)為最主要的原因，就是信息安全技術(shù)的學(xué)習(xí)難度非常大，涉及的知識(shí)面特別廣，想學(xué)好信息安全真的是不容易。

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),沂南企業(yè)網(wǎng)站建設(shè),沂南品牌網(wǎng)站建設(shè),網(wǎng)站定制,沂南網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷(xiāo),網(wǎng)絡(luò)優(yōu)化,沂南網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專(zhuān)業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

學(xué)習(xí)信息安全的必備能力

作為一名常年帶隊(duì)參加比賽的指導(dǎo)教師，我目前最頭疼的問(wèn)題就是如何選拔出優(yōu)秀隊(duì)員。每年新生入學(xué)我都會(huì)做大量宣傳，也有不少同學(xué)想加入我們的團(tuán)隊(duì)，比如在今年的2019級(jí)新生中就招募了近100名同學(xué)。但兵貴在精而不在多，這些同學(xué)最終大多數(shù)是會(huì)被淘汰的。
對(duì)于這批新加入的同學(xué)，我首先提出了三點(diǎn)要求，也就是要具備三個(gè)方面的能力：
自學(xué)能力
自控能力
代碼編寫(xiě)能力
這三個(gè)能力我就不展開(kāi)說(shuō)明了，總之你可以在內(nèi)心自我審視一下，如果你不具備這三個(gè)能力，那還是別在這方面浪費(fèi)時(shí)間了。
對(duì)于自信這方面沒(méi)問(wèn)題的同學(xué)，接下來(lái)我安排了一個(gè)入門(mén)學(xué)習(xí)路徑，主要是分為三關(guān)：

第一關(guān)，Linux

Linux系統(tǒng)現(xiàn)在太重要了，如果不會(huì)使用Linux，那么不僅僅無(wú)法學(xué)習(xí)信息安全，其它諸如人工智能、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等也都無(wú)法學(xué)習(xí)，Linux是在這些專(zhuān)業(yè)領(lǐng)域繼續(xù)學(xué)習(xí)所必須要具備的基礎(chǔ)。但是Linux的學(xué)習(xí)曲線非常陡峭，尤其對(duì)于初學(xué)者很不友好，因?yàn)樵趯W(xué)習(xí)初期必須要記憶大量的命令。所以Linux被我放在入門(mén)第一關(guān)，如果過(guò)不了這關(guān)，那么就及早收手，另尋其它適合自己的學(xué)習(xí)方向。但如果能過(guò)了這關(guān)，即使最終在其它關(guān)卡被卡住了，無(wú)法繼續(xù)學(xué)習(xí)信息安全，但這也給自己增加了一項(xiàng)非常重要的技能，以后要學(xué)習(xí)人工智能等領(lǐng)域也會(huì)比較輕松。
另外話又說(shuō)回來(lái)，Linux其實(shí)也沒(méi)那么難學(xué)，必須要掌握的常規(guī)命令也就50個(gè)左右，在入門(mén)階段，我們不必深入學(xué)習(xí)，只要能掌握一些基礎(chǔ)知識(shí)就好。具體來(lái)講，我準(zhǔn)備了50幾講課程（每講時(shí)長(zhǎng)10幾分鐘），只要學(xué)完這些課程并通過(guò)考核，那么Linux這入門(mén)第一關(guān)就算過(guò)了。這些課程是：
了解并安裝Linux系統(tǒng)（17講）：
https://edu.51cto.com/sd/64978
Linux文件和目錄管理（29講）：
https://edu.51cto.com/sd/8b646
Linux用戶和權(quán)限管理（前15講）：
https://edu.51cto.com/sd/36ff3
在這一關(guān)的最后，我還將結(jié)合Kali和Metasploit來(lái)介紹一些比較基礎(chǔ)的緩沖區(qū)溢出漏洞?？傊?，能否記住并靈活使用Linux的常用命令是這關(guān)的核心。

第二關(guān)，Python

凡是參加過(guò)CTF比賽的同學(xué)都知道，如果不會(huì)Python，那么在比賽中是寸步難行，但如果能夠精通Python，則會(huì)如虎添翼。
Python的精髓當(dāng)然是它那豐富多彩的庫(kù)，但我認(rèn)為，掌握Python的一些核心語(yǔ)法知識(shí)也同樣重要，對(duì)列表、字符串這些對(duì)象的常用處理函數(shù)和方法，以及各種推導(dǎo)式和異常處理等，這些都是Python的獨(dú)門(mén)絕技。優(yōu)雅、簡(jiǎn)單、明確，我在學(xué)習(xí)Python的過(guò)程中，就常常對(duì)它那用短短一行代碼所能實(shí)現(xiàn)的強(qiáng)大功能而拍案叫絕。另外，Python目前實(shí)在是太火熱了，同Linux一樣，掌握了Python，即使最終學(xué)不成安全，那么對(duì)自己學(xué)習(xí)其它領(lǐng)域也同樣會(huì)很有幫助。
網(wǎng)上Python的教程非常多，作為初學(xué)者，一定注意不要選錯(cuò)課程。有的Python課程是針對(duì)人工智能方向，有的是針對(duì)大數(shù)據(jù)方向，雖然都是Python，但學(xué)習(xí)的內(nèi)容差別會(huì)非常大。我們要學(xué)習(xí)的Python，當(dāng)然是針對(duì)信息安全方向。我的思路是結(jié)合信息編碼和古典密碼學(xué)的部分內(nèi)容來(lái)講Python的基礎(chǔ)知識(shí)，具體也是有50幾講課程，其中第一套課程已經(jīng)發(fā)布，第二套課程正在錄制編輯中：
Python基本語(yǔ)法（16講）
https://edu.51cto.com/sd/53aa7

第三關(guān)，Web安全

信息安全所涵蓋的領(lǐng)域太多了，如果讓我選一個(gè)最重要的領(lǐng)域，那么目前來(lái)講，毫無(wú)疑問(wèn)是Web安全（當(dāng)然將來(lái)很有可能是二進(jìn)制和逆向）。
在針對(duì)信息安全的招聘崗位中，最多的一類(lèi)就是ShenTou測(cè)試工程師，這就是典型的Web安全方向，這個(gè)崗位的典型任職要求：

當(dāng)然作為入門(mén)階段，我們沒(méi)有必要也不可能掌握這么多內(nèi)容，這一關(guān)我要求只要能掌握基本的SQL注入即可。
首先，要能夠針對(duì)PHP+Mysql進(jìn)行手工注入。
其次，要能夠使用SQLMAP工具進(jìn)行注入。
最后，要能夠從PHP代碼審計(jì)的角度來(lái)對(duì)SQL注入進(jìn)行防御。
這關(guān)主要需要學(xué)習(xí)的課程是：
Web安全入門(mén), https://edu.51cto.com/sd/45eb5
PHP代碼審計(jì)（因?yàn)椴豢煽咕艿脑?，這套課程目前已被下架，回頭我會(huì)調(diào)整內(nèi)容，重新錄制新的課程）。

如果能最終通過(guò)這三關(guān)，那么就可以正式加入我們的安全團(tuán)隊(duì)，同時(shí)你也具備了進(jìn)一步學(xué)習(xí)信息安全的基本素質(zhì)。接下來(lái)再如何學(xué)習(xí)，就可以結(jié)合個(gè)人興趣來(lái)選擇一個(gè)適合自己的主攻方向。
至于學(xué)習(xí)方法，我認(rèn)為主要有兩種：

1. SRC挖洞（實(shí)戰(zhàn)型）

SRC，也就是漏洞響應(yīng)平臺(tái)。這種學(xué)習(xí)方式屬于實(shí)戰(zhàn)型，就是在網(wǎng)上挖掘各個(gè)網(wǎng)站的漏洞，然后寫(xiě)成一篇詳細(xì)的報(bào)告提交給SRC平臺(tái)，這樣既可以提高自己的技術(shù)，同時(shí)還可以獲得不菲的獎(jiǎng)勵(lì)。但我不建議在校大學(xué)生采用這種學(xué)習(xí)方式，因?yàn)閔acker和白帽只在一念之間，如果不小心越過(guò)了法律的紅線，那可就得不償失了。

2.CTF比賽（理論型）

CTF，也就是奪旗賽，這是目前信息安全領(lǐng)域最流行的比賽形式，也是我認(rèn)為最適合大學(xué)生的學(xué)習(xí)方式。這種學(xué)習(xí)方式主要就是做題，但是比賽題目幾乎涉及了計(jì)算機(jī)的所有領(lǐng)域，所以參加CTF比賽可以極大拓寬自己的知識(shí)面。

針對(duì)CTF比賽，目前我已經(jīng)發(fā)布了3套入門(mén)課程：
HTTP協(xié)議，https://edu.51cto.com/sd/0ad83
字符編碼，https://edu.51cto.com/sd/53206
PHP函數(shù)漏洞，https://edu.51cto.com/sd/74a09
當(dāng)然CTF比賽的難度非常大，尤其對(duì)于高職的學(xué)生，想要在一些全國(guó)性的重大比賽中拿到好成績(jī)，概率幾乎為零。但比賽只是促進(jìn)我們學(xué)習(xí)的一種方式，成績(jī)倒在其次。另外，機(jī)會(huì)永遠(yuǎn)都是給有準(zhǔn)備的人，只要自身能力到了，說(shuō)不定什么時(shí)候就可以抓到機(jī)遇。
以上就是個(gè)人的一點(diǎn)淺見(jiàn)，歡迎大家提出不同意見(jiàn)，很樂(lè)意與各位進(jìn)行交流。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞標(biāo)題：信息安全技術(shù)的學(xué)習(xí)路徑和方法-創(chuàng)新互聯(lián)
轉(zhuǎn)載來(lái)于：http://weahome.cn/article/dcpoei.html