關於信息安全的學習

0x00.前言

    應鍾老師的邀請，給304實驗室的同學們做了一個關於如何學習信息安全的講座。

　　　正好總結一下關於信息安全方面的學習方法，以后也可以給學弟學妹們參考一下。

0x01.正文

　　（1）信息安全簡介：

　　　　信息安全呢，是目前一個發展勢頭正逐年呈上升趨勢的這么一個專業方向，國家近年來也是越來越重視這個方面，但是每年高校向社會輸出的信息安全人才遠遠小於社會的需求量。這個原因是多方面的，一方面信息安全不好系統地來學習，高校也不好系統地來培養學生，本科開辦這個學科的高校很少，所以很多學校都是一些愛好信息安全的學生組織在一起相互學習，我們學校也就是這樣；另一方面這個方向的學習也是很有難度的，能堅持下來走到底的人不多。很多從事這方面的人都是野路子出來的。

　　　　信息安全其實是一個很大的概念，初步地分的話，可以分為硬件安全和軟件安全：

　　　　　　硬件安全主要涉及硬件的破解、像門禁卡系統、POS機、偽基站等等

　　　　　　目前比較主流的還是軟件安全，軟件安全又分很多種，目前比較明確的分類呢就是滲透和逆向。

　　　　　　　　滲透又分web、代碼審計、內網滲透等

　　　　　　　　逆向有二進制安全、病毒分析、游戲反外掛等

　　　　滲透，通俗地講就是模擬黑客的攻擊，來測試一個系統的安全性，滲透方向一般門檻比較低，相對容易入門，一般以web方向為主，需要了解網頁的運作原理，會一門網頁設計的語言（主流的PHP和JAVA）；

　　　　逆向呢，就是跟二進制有關，相對底層，比如軟件逆向、軟件破解等，逆向入門門檻就稍微要高些，需要匯編和C語言基礎比較好。

　　　　方向很多，涉及的知識面很廣，所以學習信息安全一定要選好一個方向去下功夫。如果不清楚自己究竟適合什么方向，可以都稍微嘗試一下再來做選擇，一定不要想着什么都想學，到最后什么都沒學好。學技術一定要讓自己有一個最擅長的方面。

　　（2）學習方法：

　　　　選好方向后，有了目標就要為之奮斗。那么如何學好信息安全呢？我結合我自己的經歷總結了一些學習方法，我把這些學習方法歸為兩大類，一類是外在的學習技術方面的、一類是自身的學習習慣方面的。

　　　　學習技術方面：

　　　　①首先是多看，多看別人的技術文章、博客等等，從中學習基礎的技術、別人的解決方法和思想。網上有非常非常多的教程和資源，自己也可以去開一個博客，記錄下自己遇到的問題以及自己最后是怎么解決的，記錄一下自己的學習歷程。
　　　　②然后還要多關注最新的安全事件，學習不能閉門造車，多關注那些安全論壇網站，比如FreeBuf、i春秋、吾愛破解等等，了解最新的安全熱點、最新的漏洞，出了什么新漏洞的話，可以都去復現一下。這些網站不僅有最新的安全方面的新聞，也有很多技術大牛的寫的高質量的文章，都是很值得去多看看的。
　　　　③光看還不行，關鍵是要記住，信息安全涉及的知識面比較雜比較廣，所以這就需要記筆記，好記性不如爛筆頭，要養成記筆記的好習慣。筆記不一定非要找個本子手寫，網上也有很多記筆記的軟件，像有道雲筆記、印象筆記等等都很不錯的。記了筆記一定也要經常看、回顧一下學到的知識，光記下來而不去看的話，那記筆記本身也就失去意義了。
　　　　④學習過程中最重要的一點，就是多實踐，對於信息安全的學習，實踐是非常非常重要的，實踐少了一切都是紙上談兵。像比如搭建環境、復現漏洞，一定要親手試一試，把整個流程都自己走一遍，流程中遇到問題也都是一次次寶貴的經驗，走一遍流程之后收獲是非常大的。那除了像搭建環境、復現漏洞這樣實驗性的實踐之外呢，最重要還有要實戰，去找一個真實的網站，去試着挖掘一些漏洞，這就是考驗綜合能力的時候，將學到知識運用於實戰。
　　　　⑤提高代碼能力，代碼能力是很基礎也很重要的能力，要能很輕松地寫出自己想實現的功能來幫助自己解決問題。
　　　　⑥信息安全這方面也是有比賽的。一般比較普遍的是CTF比賽，CTF是Captrue the Flag的縮寫，翻譯過來就是奪旗，這種比賽也就相當於做題一樣，flag就是答案，找到正確flag提交就行了。做CTF題也是一種學習方式，這種學習方式也是挺不錯的，既有趣又能學到知識。平時可以組隊打一些CTF比賽，網上也有不少CTF練習的網站，比如實驗吧、網絡安全實驗室、南郵網絡攻防訓練平台等等。
　　　　⑦看書也是一個不錯的學習途徑，這里給大家推薦一些比較好的入門書籍：
　　　　　　滲透：《白帽子講web安全》、《web安全攻防：滲透測試實戰指南》、《python核心編程》、《Linux命令行與shell腳本編程大全》
　　　　　　逆向：《逆向工程核心原理》、《匯編語言》（王爽著）、《深入理解計算機系統》

　　　　學習習慣方面：

　　　　①首先一定要有充分的興趣，興趣是最好的老師，興趣帶動學習。
　　　　②學會獨立解決問題，能否獨立解決問題是個人學習能力的體現。因為很多情況下，求人不如求自己，自己有能力解決問題才是真本事。這也是成長路上一定要學會的。
　　　　③不懂多問，但是不能一有什么不懂就去到處問，應該先問自己，再問百度，基本上大多數問題百度都能解決，最后如果還是沒消除疑惑就可以去請教一下有經驗之人。
　　　　④堅持，這也是一個典型的話題了，關於這方面的話，其實我覺得說太多道理就太空洞了。總之，學海無涯苦作舟，要有“會當凌絕頂，一覽眾山小”的志向吧，遇到困難一定要堅持下來。

　　（3）注意事項：

　　　　最后呢，再說一些注意事項吧，就是說學習信息安全的過程中一些比較敏感的事。

　　　　首先第一個就是態度一定要端正，學習信息安全是為了安全而不是為了搞破壞，違法的事沾不得，黑產、灰產碰不得。

　　　　然后就是在實戰的過程中，注意一些禁忌是不能碰的，比如涉及到個人信息、數據可的信息等等，如果遇到這些漏洞呢點到為止即可。因為2017年6月1日正式實施《網絡安全法》，規范了很多關於網絡安全的一些行為的法律責任，所以需要注意一下。

0x03.結語

　　書山有路勤為徑，學海無涯苦作舟

　　勉之