如果你是一个零基础小白,如何进入信息安全领域,如何在信息安全领域取得发展,下面就来谈谈从事信息安全领域的发展规划。
信息安全是一门高级学科,是需要有一定计算机基础才好转入信息安全领域,如果完全是零计算机基础,最好通过上大学、专科、通过认证等方式来积累基础。
在此期间需要学习的内容包括:
1、网络(TCP/IP/交换/路由/协议等基础知识) 2、系统管理(Windows/Linux/Active Directory等) 3、编程(编程理论/脚本开发/面向对象编程等)
如果获得了这三个方面的基础,理想情况下,可能在某一方面有不错的实力,那么就可以比较容易得进入信息安全领域。
信息安全领域有很多不同种类的证书,比如与渗透红队相关的 OSCP,与安全管理相关的 CISSP 等,在学习考证的过程中,可以提升自身信息安全的能力。
对于从事计算机领域的人才,编程能力是必备的,程序员可能以编程为生,工作就是写程序,而安全从业者,编程不会是工作的主要部分,但是在实现自动化方面,需要能够完成一些自动化的脚本和特定场景的工具开发,如果不具备编程能力,遇到很多特定场景,只能依赖会编程的人才,而不能独自完成。
编程能力可以让我们的职业生涯走的更高,所以从事信息安全行业,一定要具备较强的编程能力,要求不像专职程序员那么高,但是一定要有。
信息安全领域是一个动态变化的领域,随着时代的发展,技术的迭代,信息安全技术也在不断更新,需要不断的输入才能更好的适应信息安全的发展。
国内外有大量的技术社区、博客等原创内容发布平台,需要我们持续关注最新技术动态,国内有像安全客、freebuf 等企业级安全技术发布平台,还有先知、火线社区、奇安信攻防社区等企业级社区,还有很多个人、团队的微信公众号,比如信安之路等,还有很多知识付费的圈子,有条件也可以加入其中订阅。
信息安全技术是需要大量实践才能很好的掌握,只看不动手,可能只会停留在理论阶段,建立自己的安全实验室,可能需要多台设备,比如:
1、可以部署多个 VMware 虚拟机的服务器 2、具有公网 IP 的 VPS(腾讯云、阿里云等)
需要部署的环境包括:
1、AD 域森林 2、AD 域中独立的 DNS 服务、DHCP 服务 3、划分多个网络区域,包括 DMZ 4、搭建 Windows/IIS,Linux/PHP 等网站博客 5、安装一个 Kali Linux 作为攻击机 6、配置一个可以发送电子邮件的服务器 。。。
以上只是举几个例子,在实际的学习实践中,可能会遇到各种各样的环境,需要根据具体需求来建立自己的实验室,完成实验之后,再前往真实环境进行测试。
开源项目的维护是可以为自己在找工作的时候增加筹码,无论你是初学者还是高级工程师,都应该有自己的原创开源项目,不管是重复造轮子还是真正创新的项目,都是可以的。
项目的存在表明你可以真正应用学习到的知识,而不是只是收集知识而已。
挖 SRC 的目的不是为了赚多少钱,毕竟 SRC 的存在是以结果付费,最赚钱的方式还是参加工作,按时间付费。
在挖 SRC 的过程中,可以锻炼我们的实战能力,发现问题的能力,以 SRC 为目标,完成整改渗透测试的流程,无论是否发现问题,对于自己的技术成长都是巨大的。
不过在挖 SRC 之前要好好阅读相关规则,以免与客户发生纠纷,导致一些不必要的麻烦。
无论是挖SRC还是创建开源项目,都是为了在找工作之前获得专业经验,然后在找工作的时候有一定的谈判资本。有实战经验比那些只有理论的人强太多。
技术再强,如果没有人知道,那也不会给自己带来太大的优势,所以要学会推销自己,太过内向和谦逊会对自己的职业生涯产生负作用。
为了让他人知道自己的能力,可以适当多表达,比如创建一个微信公众号或者在线博客,将自己的所学所感总结分享出来,让更多的人知道自己,形成自己的品牌。
有了文章和博客之后,可以借助一些社交平台进行推广,比如微博、微信朋友圈、群等,让更多的人看到自己的作品。
有了自己的品牌之后,会结交很多业内同道,可能会有很多从业多年的高手,我们可以与他们建立联系,经常交流信息安全相关技术和经验,俗话说,三人行必有我师,多交流总是好的。
在自己没有任何品牌之前,当你找一些前辈交流时,不见得会回应你,但是如果你已经有了自己的作品,当前辈看过你的作品或者知道你时,交流起来就不会那么费劲,毕竟大家都喜欢跟熟悉的人交流。
在与人交流时,提出问题需要注意,一定将问题的前因后果全部描述清楚,如果是一个不清不楚的问题,得到回应的概率则大大降低。
很多企业都会提供实习的岗位,当一个初学者初入职场时,会比较迷茫,不知道该选择什么样的岗位,或者会有一些高不成低不就的情况存在。
当你选择比较多的时候,可以优先选择自己喜欢的岗位,如果选择有限,只要是信息安全行业的岗位都可以选择,先干着总比在家坐着强。
通过实习慢慢积累经验,朝着自己的目标慢慢前进即可,切记高不成低不就。
每年国内外都会举行各类信息安全大会,比如国外知名的 blackhat、defcon;国内的 ISC 、网络安全大会;还有很多企业举报的白帽大会等。
起初我们可以去参加听一听前辈的技术演讲,后期我们也可以参与进去,对自己最近的一些研究成果进行总结分享,从而结交更多志同道合的朋友。
在信息安全领域有一定建树之后,目前可能已经是某个企业的安全工程师,但是技术的发展是有瓶颈的,企业做安全也是需要对业余有好的作用,毕竟只有企业赚钱了才能更好的养活安全从业者。
了解业务不仅仅是业务部门要做的,也是我们信息安全从业者需要做的,企业希望以最小的代价发挥最大的价值,所以如果以最小的代价来消除大量风险,是我们必须要考虑和实施的。
做任何事都要有激情才能做好,做信息安全也是如此,只有激情能让我们不断学习成长,做这个事儿是发自内心的喜欢,而不仅仅是一份养家糊口的工作。
每个人的发展是不同的,经过很多年的成长,有的人出来创业成为了老板,有的人在某些大型企业做到了最高职位,有的人选择转行,无论结果如何,大家都在成为大师的路上拼搏。
努力的人结果不会太差,希望我们都是那个努力的人。