[ 更换 ]
热门城市
北京上海广州深圳成都杭州南京武汉天津西安重庆青岛沈阳长沙大连厦门无锡福州济南宁波昆明苏州郑州长春合肥南昌哈尔滨常州烟台南宁温州石家庄太原珠海南通扬州贵阳东莞徐州大庆佛山威海洛阳淮安呼和浩特镇江潍坊桂林中山临沂咸阳包头嘉兴惠州泉州三亚赣州九江金华泰安榆林许昌新乡舟山慈溪南阳聊城海口东营淄博漳州保定沧州丹东宜兴绍兴唐山湖州揭阳江阴营口衡阳郴州鄂尔多斯泰州义乌汕头宜昌大同鞍山湘潭盐城马鞍山襄樊长治日照常熟安庆吉林乌鲁木齐兰州秦皇岛肇庆西宁介休滨州台州廊坊邢台株洲德阳绵阳双流平顶山龙岩银川芜湖晋江连云港张家港锦州岳阳长沙县济宁邯郸江门齐齐哈尔昆山柳州绍兴县运城齐河衢州太仓张家口湛江眉山常德盘锦枣庄资阳宜宾赤峰余姚清远蚌埠宁德德州宝鸡牡丹江阜阳莆田诸暨黄石吉安延安拉萨海宁通辽黄山长乐安阳增城桐乡上虞辽阳遵义韶关泸州南平滁州温岭南充景德镇抚顺乌海荆门阳江曲靖邵阳宿迁荆州焦作丹阳丽水延吉茂名梅州渭南葫芦岛娄底滕州上饶富阳内江三明淮南孝感溧阳乐山临汾攀枝花阳泉长葛汉中四平六盘水安顺新余晋城自贡三门峡本溪防城港铁岭随州广安广元天水遂宁萍乡西双版纳绥化鹤壁湘西松原阜新酒泉张家界黔西南保山昭通河池来宾玉溪梧州鹰潭钦州云浮佳木斯克拉玛依呼伦贝尔贺州通化朝阳百色毕节贵港丽江安康德宏朔州伊犁文山楚雄嘉峪关凉山雅安西藏四川广东河北山西辽宁黑龙江江苏浙江安徽福建江西山东河南湖北湖南海南贵州云南陕西甘肃青海台湾内蒙古广西宁夏香港澳门
培训资讯网 - 为兴趣爱好者提供专业的职业培训资讯知识

个人成长:学习安全,哪些资源我必须要知道

学习 成长 资源 长学

安全涉及的知识面非常广,更新速度也很快,前辈们很难有足够的时间和精力来言传身教。这个时候就需要我们具备良好的自学能力,通过持续地学习来掌握新的知识,应对新的变化和挑战。

优质的学习资源是自学的重要基础。今天,我就来盘点一下,对我个人的安全学习产生帮助的各类学习资源,以及不同阶段的安全人员应该如何对各类资源进行取舍。

安全入门书籍

安全的核心能力分为两个方向:攻击和防御。俗话说“未知攻焉知防”,所以,学习安全一定是从攻击手段入门,在掌握了一定的攻击基础之后,我们再考虑选择某一个方向深入学习。

所以,我建议刚入门的同学可以先选择几本攻击方向的经典书籍来学习

白帽子讲Web安全》这本书是大部分人的安全入门书籍。它覆盖了绝大部分的安全攻击知识,而且作者把知识点讲解得清晰,即使你没有安全基础也能很好理解。可以说,在学习完这本书之后,你已经具备了安全人员所需要的全部基础知识。

如果说《白帽子讲Web安全》是一本入门教程,那《黑客攻防技术宝典》就是一本攻击手册。虽然同样是讲Web安全攻防内容,但是《黑客攻防技术宝典》对其中涉及的每一个细节和原理(如HTTP协议,浏览器技术等)都进行了详细讲解。你在学习Web安全的过程中遇到的大部分问题,都可以通过翻阅这本书来解决。因此,我建议你通读这本书,并且结合实际工作中遇到的问题随时查阅。

熟练使用各种渗透测试工具是安全攻击的必备技能,Metasploit是最为常见的渗透测试工具之一。《Metasploit渗透测试指南》这本书是学习这款工具最经典的书籍之一,书中对如何利用Metasploit发起各类攻击测试,进行了详细介绍。如果你想要快速掌握Metasploit的使用方式,这本书能够帮到你。

学完这几本书,你不一定能发起一次真实的攻击。但当你面对任何一起攻击事件时,一定能知道它的原理是什么。这恰恰就是所有安全人员需要具备的基础能力。

攻击进阶练习

有了一定的攻击基础之后,如果你还想向攻击渗透方向深入钻研,那就不是任何一本书能够解决的了。这个时候实战训练能够帮助你快速成长。下面,我就来分享一些我觉得很实用的攻击渗透平台。

WebGoat是最权威的Web安全组织OWASP提供的一个Web安全练习平台,它几乎涵盖了全部的Web安全漏洞的讲解和练习内容。使用WebGoat有两大好处:首先,它是一个本地的平台。这意味着你可以随时查看网页的源码,甚至进行调试。因此,你可以清晰地了解一次攻击发生时,Web应用内部到底发生了什么;其次,其中的每一个练习内容都有对应的知识讲解。所以,这个平台对你明确攻击方向,进行安全入门训练是十分适合的。

Pwnable.kr是我体验过的免费的攻击渗透平台中最好用的一个。Pwnable.kr中的题目更偏向系统和应用层的攻击渗透(这些都是权限提升过程中的常见手段),适合用来进行攻击渗透的进阶训练。Pwnable.kr的好用之处就在于,它提供了一个可以直接访问的Linux系统环境,省去了你在本地搭建环境的繁琐过程。

但是Pwnable.kr有一个缺点,就是不提供任何解题思路和答案,不过,网上已经有很多人公开了平台上题目的解题思路,你可以用来参考。但是,我还是建议你至少花2-3天的时间去思考和解决一道题目,如果仍然得不到结果,再去参考别人的答案。

如果自我训练已经无法让你获得成就感了,那是时候去参加一些比赛了。目前,国内的XCTF联赛最为知名。你可以独自作战,也可以叫上几个朋友组团参赛。

通常来说,一场CTF比赛会进行48小时以上,如果你精力充沛的话,可以去体验一把挑战极限的快感。而且,比赛方通常会在赛后公开部分题目的解题思路,你也可以拿来作为学习的资源。通过不断参加比赛,你可以磨练自己的攻击技巧和能力。除此之外,如果获得了足够的积分和名次的话,也是证明你个人能力的一个有力证明。

当具备足够的攻击能力之后,你既可以成为安全渗透人员,为企业应用的安全贡献力量,也可以成为一名“白帽子“,专门去挖掘各个公司的安全漏洞,然后提交给对应的SRC,获取各类物质奖励。

① 2000多本网络安全系列电子书

② 网络安全标准题库资料

③ 项目源码

④ 网络安全基础入门、Linux、web安全、攻防视频

⑤ 网络安全学习路线

免费领取私信“安全”

企业防御书籍

如果你选择的是安全防御方向,你会逐步接触到公司的安全防御工作。那么在一开始,你一定要去学习各大公司的安全负责人的经验,看看他们的安全建设思路是怎么样的,以及有哪些“坑”需要注意。阅读他们的书籍,就是向大佬学习的一种最简单、快捷的方式。

有关企业安全的书,我读过比较好的有:赵彦的《互联网企业安全高级指南》、聂君的《企业安全建设指南》、石祖文的《大型互联网企业安全架构》。这些书中有很大部分内容是相似的,从任何一本书中,你都能够了解到企业安全体系建设所需要使用的工具。对我个人来说,书中最精华的部分是作者对安全体系建设的思考、对各类安全工具的理解。

这些书的相似内容很多,读起来也不会花太多时间,所以,我建议你将这些书都读一遍。而且这些书籍都是安全行业内鼎鼎有名的大佬们,基于他们自己的防御体系建设经验总结而成的。虽然你不可能完全照搬里面的安全建设方案,但你可以从中吸取经验教训,博取众家之长,然后设计出适合你们公司的最佳方案。

安全证书

除了书籍和练习平台,我还想和你分享一些比较有价值的安全证书。以我了解到的现状,这些证书对应聘安全工作不会有太大的帮助。但我认为,这些证书最大的意义就在于,它能够推动你对安全知识体系进行补充和整理。因为考证的过程也是你对学过的知识,进行再次学习和思考的过程。

其次,尽管对职业发展可能并没有帮助,但不论是对内行还是外行来说,证书始终是证明你安全能力的一个有力标签。

下面,我就来分享三个我认为最有价值的证书。为了方便你对比,我把这三个证书的基本信息总结了一张表格。在此基础上,我会重点分析一下,这些证书分别给我们的安全职业发展带来的好处。你可以结合自己的情况,来选择是否考取这些证书。

CISP(Certified Information Security Professional ,注册信息安全专业认证)的考试普遍反馈难度不高。不过我认为既然主动去考证了,目标就绝不仅仅只是考试通过,而是以学习和自我提升为主要目的。在内容上,CISP整理的还是很完善的。而且CISP强制培训,在培训过程中,通过讲师的介绍,同样能够学习到不少理论和实践的内容。

在内容上,CISSP(Certification for Information System Security Professional,信息系统安全专业认证)会比CISP更丰富一些,不仅包含一些国际性的政策和框架,还包含诸如物理安全等更偏向运维的内容。另外CISSP不存在题库,它的初衷就是希望你不仅仅只是去背教材,而是能够自主梳理知识,并且深刻理解安全。因此,学习CISSP不仅能拓展你的知识面,还能帮助你进行自我总结和提升。

CISP和CISSP是更偏向公司防御的证书,而OSCP(Offensive Security Certified Professional,安全攻击专业认证)是专门针对攻击渗透的证书,最近也比较热门。如果你在自主训练时觉得缺乏明确的方向,其实可以尝试通过考取OSCP证书来获得指导。另外,CTF比赛竞争还是比较激烈,拿到名次也很难。因此,我认为可以将OSCP作为CTF之外的另一种选择,只要拿到了OSCP证书,同样能够证明你的攻击渗透能力达到了可以实际运用的水平。

安全资讯

最后,我还想推荐3个比较常用的资讯网站,FreeBuf、安全客和安全牛。这些网站每天会更新一些安全新闻和学习资料,你可以通过它们快速查询最新的行业动态。我个人一般是利用休闲时间,来阅读这类网站上的内容。我会先快速地浏览一下标题,找出一些感兴趣的内容进行了解。如果遇到某些特别感兴趣的知识点,想要深入挖掘,我会再搜索其他的相关资料来补充学习。

总结

我觉得无论跟随哪个课程进行学习,都不可能学完所有的安全知识。所以,在学习安全的路上,自学是我们不断精进的主要方式。

我的经验是:书籍能够帮助你入门,并且指导你进行防御建设;实战演练是掌握安全渗透技巧的唯一途径;安全证书一方面能帮助你对整体的安全知识进行全盘梳理,另一方面也是你个人安全能力的一个证明;安全资讯是帮助你掌握安全动态,发现新知识点的一个不错途径。

想要学好安全,没有什么捷径可以走,唯有多练多看。因此,对于安全的学习,我不建议你在前期花过多的时间去做基础知识储备,那容易变成纸上谈兵。我更建议的是,当有了一定安全基础之后,你要找机会尽快投入到实际的演练或者工作中。在实践的过程中,你再对遇到的困难或者知识盲区进行有针对性的学习。另外,在积累实际经验的过程中,周期性的自我总结,以及对知识进行系统梳理,也能很好地推动我们的个人成长。

相关内容

怎么学?如何干?西藏7市(地)委书记在西藏日报发表文章

启航新征程 开创新局面为全面建设社会主义现代化新拉萨努力奋斗自治区党委常委、拉萨市委书记 普布顿珠党的二十大大笔擘画坚持以中国式现代化全面推进中华民族伟大复兴的宏伟蓝图,区党委十届三次全会全面铺开建设美丽幸福西藏、共圆伟大复兴梦想的壮阔实践···

2023年全区智慧旅游专业人才培训班圆满结业

6月2日,自治区旅游发展厅主办的全区智慧旅游专业人才培训班在拉萨圆满结业。培训共历时三天,累计完成全区旅游行政管理部门工作人员及涉旅企业专业技术人员培训100人。本次培训是区旅发厅深入推进学习贯彻习近平新时代中国特色社会主义思想主题教育重要···

徐汇萨迦共同举办大美西藏首届口腔学习班

随着现代医学的发展,口腔健康越来越受到人们的关注,为提高西藏地区口腔技术水平和服务质量,近日,徐汇区牙病防治所和萨迦县中心医院远程连线共同举办首届口腔学习班开班仪式。徐汇区卫生健康委副主任胡强,上海援藏干部、萨迦县委常务副书记、常务副县长沈···

自觉抵制“一对一”“一对多”等学科类培训!哈尔滨中小学生暑期预警来了

17日,记者从哈尔滨市各区教育局获悉,2023年暑假将至,南岗区、道里区、香坊区教育局向家长发出预警,自觉抵制违规培训,各区义务教育阶段学科类培训机构已经全部注销,暑假期间以任何形式开展的学科类培训均属于违规培训。家长要自觉抵制任何机构或个···

哈尔滨市道里区企投局举办“招商大讲堂”专题培训

黑龙江网讯(记者 王惠婷)10月24日,哈尔滨市道里区企投局组织开展“招商大讲堂”专题培训班,全区各招商专班负责同志及业务骨干参加培训。本次培训从实际需求出发,紧紧围绕当前招商工作中的热点、难点,对“什么是招商引资”“道里区的产业结构和主导···

团黑龙江省委举办全省青年文明号青年岗位能手学习宣传贯彻党的二十大精神培训交流会

中国青年报客户端讯(李海涛)为深入学习贯彻党的二十大精神,充分发挥青年文明号、青年岗位能手示范引领作用,在全省职业青年中掀起学习党的二十大精神热潮,11月22日,团黑龙江省委举办全省青年文明号青年岗位能手学习宣传贯彻党的二十大精神培训交流会···

辽宁葫芦岛举办外贸政策培训会推动外贸保稳增量

辽宁省葫芦岛市外贸政策培训会4月3日举办。 辽宁省贸促会供图中新网葫芦岛4月3日电 (李晛)辽宁省葫芦岛市外贸政策培训会4月3日举办。本次活动由辽宁省贸促会支持、葫芦岛市商务局主办,葫芦岛市贸促会、葫芦岛海关、中国出口信用保险辽宁分公司和辽···

山西运城:严查无证校外培训机构 查封9家警告2家

新华社太原8月5日电(记者王飞航)记者从山西省运城市政府了解到,运城市教育局近日联合市公安局等多家单位,对中心城区无证校外培训机构进行了一次突击检查,共检查了13家校外培训机构,查封9家,警告2家,发放整改通知书4份。今年7月,运城市教育局···

山西开展培训筑牢森林“防火墙”

山西新闻网3月30日讯(记者 卢奕如)今日,记者从山西省应急管理厅获悉,全省举办森林草原防灭火业务培训,邀请专家以视频会议形式,围绕森林扑火指挥实操、森林草原火灾防控经验做法、火灾现场各级各类指挥员具体操作中遇到的问题等内容进行授课。培训内···

校外培训机构治理工作取得进展 山西停办近1300所

资料图:小学生排队等待进入校园。中新社记者 刘文华 摄中新网5月11日电 据教育部网站消息,按照校外培训机构专项治理工作整体安排,教育部、民政部、国家市场监管总局启动了校外培训机构治理专项督查工作。5月9日至10日,督查组率先在北京市开展华···

山西综改区举办省技术创新中心申报培训

  8月18日,山西综改区科技金融部举办2023年度省技术创新中心申报培训会,来自区内企业、科研院所及有关单位代表160余人参加了培训。  山西省技术创新中心是以产业前沿引领技术和关键共性技术研发为核心的产业技术创新平台,承担着为区域和产业···

山西汾阳医院开展健康教育与控烟知识培训

来源:【吕梁日报-吕梁新闻网】本报讯 (记者 刘少伟) 5月18日,在“世界无烟日”到来之际,山西汾阳医院组织开展健康教育与控烟知识培训。近年来,山西汾阳医院全面落实健康中国战略,根据国家卫健委《关于2011年起全国医疗卫生系统全面禁烟的决···

山西省文物局年度田野考古技术培训班开班

10月10日,山西省文物局在运城闻喜上郭城址、邱家庄墓群举办2023年度田野考古技术培训班开班仪式。该次培训为期三个月,通过理论和实践两部分教学,旨在推进山西考古工作高质量发展,提升考古业务人员专业技术水平。本次培训由山西省考古研究院和山西···

最低每课时9元!全省学科类校外培训课时长和收费标准出台

近日,山西省发改委、省教育厅下发《关于中小学学科类校外培训收费标准及有关事项的通知》,明确全省中小学学科类校外培训收费标准,从12月17日起执行。《通知》对全省线上线下学科类校外培训基准收费标准和浮动幅度制定了科学标准。其中,义务教育阶段线···

山西天镇 阳光职业培训学校培养乡村“新农人”乡村振兴添动能

(记者 贺文生) 山西天镇县阳光职业培训学校紧紧围绕乡村振兴战略,按照“政府引导、农民自愿、立足产业、突出重点”的原则,创新高素质农民技能培训方式方法,采取以“授人以渔”的方式,让人才振兴成为助推农业农村现代化的内生动力,以高素质农民引领现···

山西:建立全过程 全链条 无缝隙安全培训制度

黄河新闻网讯(记者杨江涛)日前,山西省应急管理厅下发了《山西省安全培训管理暂行办法》(以下简称《办法》)。我省将进一步抓好安全生产这个基本盘、基本面,推动全省安全培训工作制度化、规范化、科学化,促进安全培训工作高质量发展。山西省应急管理厅厅···

山西:艺考培训机构纳入全国监管平台管理

央广网太原10月6日消息(记者郎麒) 日前,山西省教育厅、省发改委、省公安厅等部门联合制定《加强面向高中阶段学生艺考培训规范管理工作方案》,针对艺考培训的突出特点和实际情况,全面规范艺考培训行为,将艺考培训机构统一纳入全国校外教育培训监管与···

太平财险阳泉中支开展消防安全教育和有限空间作业培训

为强化员工安全意识,进一步提升员工消防和有限空间突发事件应急处理能力,9月14日,太平财险阳泉中支邀请北京市卫民安消防教育咨询中心山西分中心讲师向全体员工开展了一次消防安全教育和有限空间作业课程培训。按照防消结合、预防为主的原则,本次讲座通···

山西省数字化转型贯标试点工作宣贯培训会在太原举行

  10月20日消息,山西省数字化转型贯标试点工作宣贯培训会在太原举行。省工信厅介绍,作为国家数字化转型贯标试点省份,试点启动后将引导企业加快数字化转型,助力制造业高端化、智能化、绿色化发展。  今年,工信部启动数字化转型贯标试点工作,我省···

山西马兰花创业培训讲师大赛收官 太原市获多个奖项

山西新闻网8月31日讯(记者 冯耿姝)8月29日,山西省第四届马兰花创业培训讲师大赛圆满收官,太原市代表队在比赛中分获多个二、三等奖和优秀奖。本届大赛以“启迪创新思维·激发创业梦想”为主题,全省共有56名教师晋级复赛,其中,太原市有7名选手···