2023网络安全入门指南

网络安全入门指南2023目录Contents目录||·•∙·•∙网络安全行业解读|分类·∙岗位·∙求职网络安全学习指南|技能·∙方法·∙资源 听完本堂课，我希望你能够了解网络安全的发展趋势掌握网络安全行业和岗位分类清晰自己的发展方向和学习路径全球网络安全大事件 卷全球 球 卷全球 昂比特币费用才能拿到解密秘钥。（注：即便支付了也没用）近十年来影响范围最大的一次黑客攻击事件，全球共有150多个国家超过30万台电脑被感染，波及政府、学校、医院、航班、金融等行业。面前。此勒索病毒基于于445共享端口，微软漏洞编号为ms17-010。 年月：NSA方程式组织核武器级攻击库遭泄露 即美国安全局，而方程式组织（EquationGroup）据称是旗下一支技术高超的黑客组织；本次泄露事件即影子经纪人（ShadowBrokers）组织武器库，并最终拿到部分泄密武器。影子经纪人最初希望100万比特币公开售卖（接近5亿美元），但最终没有人支付，所以陆续公开到互联网上。（2016年发布部分，2017年4月14号再次发布） NSA方程式组织核武器级黑客武器库遭泄露 席卷全球150个国家的WannaCry病毒仅仅用到武器库中的“永恒之蓝”泄露出来的部分武器库，包括以下攻击工具（部分）：永恒之蓝） EternalChampion（永恒王者）EternalRomance（永恒浪漫） 翡翠纤维） 古怪地鼠）EsikmoRoll（爱斯基摩卷） 文雅学者）EclipsedWind（日食之翼） 尊重审查）以上工具主要基于Windows135、445、3389等端口进行传播和攻击。 NSA武器库安全检测与修复 微软官方武器库修复补丁（MS17-010）：hs://hn.mirosof.om/zh-n/lirry/suriy/S1700360武器库免疫工具： 年月至今：CIA武器库持续被泄露 美国中央情报局7号军火库在维基解密网站上持续被公开 网络武器库泄露 ExpressLane：“快车道”，秘密收集系统数据；CouchPotato：“沙发土豆”，实时远程监控视频流；Dumbo：“小飞象”，可以暂停摄像头的进程并破坏相关视频记录；Imperial：“帝国”，针对运行OSX和不同版本的Linux操作系统的计算机；/Raytheon：为CIA远程开发部门提供技术情报；OutlawCountry：“法外之地”，入侵运行有Linux操作系统的计算机；Elsa：“艾尔莎”，利用WiFi追踪电脑地理位置；Kangaroo：“野蛮袋鼠”，攻击网闸设备和封闭网络；BothanSpy：“博萨间谍”，对SSH凭证进行拦截与渗透;CherryBlossom：“樱花”，攻击无线设备的框架；Pandemic：“流行病”，文件服务器转换为恶意软件感染源；Athena：“雅典娜”，恶意间谍软件，能威胁所有Windows版本；AfterMidnight：“午夜之后”，Winodws平台上的恶意软件框架；Archimedes：“阿基米德”，中间人攻击工具；Scribbles：CIA追踪涉嫌告密者的程序；Angel：“哭泣天使”，将智能电视的麦克风转变为监控工具；Hive：“蜂巢”，多平台入侵植入和管理控制工具；Grasshopper：“蝗虫”，针对Windows高度可配置木马远控植入工具；MarbleFramework处理、防止被归因调查取证）；DarkCIA入侵苹果和iOS设备的技术与工具;HighRise：“摩天大楼”，通过短信窃取智能手机数据的工具；Angelfire：专门用于感染Windows计算机设备的恶意软件框架；Protego：“盔甲护身”，导弹控制系统。 月：棱镜门事件，斯诺登外逃 棱镜门事件，斯诺登外逃 棱镜计划（PRISM）是美国国家安全局从2007”电子监听计划，项目名称为“US-­984XN”。计划的前身是911事件之后“恐怖分子监听计划”，奥巴马任期内一直由美国安全局持续执行。子邮件、社交通信等图片/语音/视频信息。爱德华·斯诺登（前职员外包技术员）于2013年6月在香港6月23号从香港逃往莫斯科，得到俄罗斯庇护。 诺登电影纪录片推荐 《第四公民》注：第87届奥斯卡金像奖

《斯诺登》 年月：震网第一个工控蠕虫病毒 震网（stuxnet）病毒首次于2010年6月被白俄罗斯安全公司VirtusBlokAda发现，是全球第一例被发现针对工业控制系统的网络病毒，据称是美国与以色列用于摧毁伊朗核基础设施铀浓缩离心机而合作研发的；几乎只能是由“国家队”投入大量人力和时间才能做到的。 震网纪录片推荐：《零日网络战》 国外大规模黑客攻击事件层次不穷 数据库遭攻击，近1.43亿个人信息泄露，占美国人口一半；2016.12：雅虎曝史上最大规模信息泄露，10亿用户资料被窃2016.12：俄罗斯央行遭黑客攻击3100万美元不翼而飞2016.09：Dropbox6800万帐号密码遭泄露2014.05：eBay被攻击导致1亿多用户账户信息遭泄露2011.04：索尼PSN7000万个人账号信息被盗⋯⋯国内网络安全大事件年月网络安全领导小组成立 年月：《网络安全法》正式颁发 2017年6月1日，《中华人民共和国网络安全法》正式实施。《网络安全法》总共7章79设施安全保护制度等内容。安全法全文：ttp://..c/201611/07/111986716.tm摘录：第十六条国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。第十七条国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。第二十条国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。 网络安全法》正式颁发 第二十四条网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。 国内网络安全事件回顾 2017.09：中国互联网安全大会/网络安全宣传周2017.06：央视曝光8成智能摄像头存安全隐患2016.12：京东12G用户信息泄露并流通于黑市2015.10：网易163/126邮箱5亿条用户数据泄露2015.04：30个省市社保系统遭入侵，上千万个人信息泄露2014.08：“XX神器”短信病毒致数百万用户隐私泄露2011.12：CSDN600万账号信息泄露2011.06：新浪微博XSS蠕虫病毒大规模用户中招2010.01：百度域名被伊朗黑客劫持，超8个小时无法访问⋯⋯网络安全产业链 安全行业产业链示意图 黑产案例徐玉玉电信诈骗案 黑产案例：通过色情网站诱导支付 一章节总结 界”边界彻底被打破。空间”展开。网络安全产业链包括黑客/网络犯罪/恐怖分子、网络安全军队/企业/政府/企业/民众三方组成，由于“敌在暗处”，攻防两边失衡。所以，掌握网络安全技能不应该仅仅是工程师的专属，更应该是每个互联网公民最基本的自卫方式。等合力铲除。点评：大安全时代已到，零日漏洞、安全工具、安全人才成为国家战略资源。目录Contents目录||·∙·∙网络安全行业解读|分类·•∙岗位·•∙求职网络安全学习指南|技能·∙方法·∙资源人人都在谈”安全”，安全到底指什么？ 网络安全行业分类 网络安全：安全行业的经典领域，也是大部分安全厂商发家致富的领域，主要涉及企业网/政务网/校园网/检测/入侵防御、、防病毒、网闸、抗DDOS等产品和部署。举例：企业网安全设计与部署；省xx局政务网信息安全等级保护改造项目；某厂商防火墙存远程代码执行漏洞，影响全球大规模网络存在威胁。安全：也称为应用安全，围绕网站安全所延伸出来的务器安全、数据库安全等。举例：某用户访问钓鱼网站导致网银账户被窃取；雅虎10亿用户数据被窃取；研究WiFi、、蓝牙、RFID举例：某用户连接钓鱼WiFi网络，导致银行卡被盗刷。移动安全：研究iOS、Android举例：某用户安装某扣费桌面安全：研究Windows、Linux举例：WannaCry勒索病毒致使全球150多个国家受到安全威胁。工控安全：域的安全一旦出现问题，则人们的日常生活将受到直接影响。举例：震网病毒致使伊朗核武器瘫痪；乌克兰遭黑客攻击导致70万用户停电。云安全：基于云计算形态进行开展的安全产品或服务，涉及软件定义安全、虚拟化安全、机器学习安全等领域，涵盖云WAF、云漏扫、云DDOS举例：阿里云提供安骑士、腾讯云提供的云镜/天御 网络安全（某数据中心安全项目） 网络安全（局域网安全攻防案例） 安全（揭秘地下色情诱导网站） 密码破解） 小结：毫无疑问，安全是一个“大坑”。安全岗位到底有哪些？ 网络安全岗位一览 安全服务工程师安全运维工程师渗透测试工程师Web安全攻防工程师等保测评工程师⋯⋯

代码审计工程师威胁分析工程师无线安全工程师安全研发工程师移动安全工程师云计算安全工程师⋯⋯ 以研发系、工程系、销售系进行分类 研发系：安全研发、安全攻防研究、逆向分析、云计算研究、机器安全工程系：安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、Web渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师销售系：安全销售工程师、安全售前工程师、技术解决方案工程师作为初学者，一般先从这几个岗位下手=> 安全工程师（安全产品售后） 职位描述负责网络安全项目中的技术方案编写负责客户的安全应急和售后驻场职位要求具备扎实的计算机与网络原理熟悉各类网络与安全设备（路由、交换、防火墙、VPN、漏洞扫描）对网络数据包具备分析实践能力，熟练使用数据包分析工具；熟悉常见网络通信协议（TCP/IP、交换路由协议、VPN协议等）熟悉防火墙原理，能够熟练配置防火墙策略；熟悉主流网络与安全厂商产品（思科/华为/华三/飞塔/Juniper等较好的文档撰写能力、语言表达和与沟通能力。 安全服务工程师 职位描述查、代码审计、应急响应等；对公司安全产品的后端支持；关注行业态势和热点。职位要求掌握一门及以上编程语言；熟悉常见安全攻防技术；有较强学习能力，能快速学习新的技术；熟悉风险评估、应急响应、渗透测试、安全加固等安全服务；具有良好的语言表达能力、文档组织能力。 全运维工程师 职位描述服务器与网络基础设备的安全加固；安全事件排查与分析，配合定期编写安全分析报告，专注业内安全事件；跟踪最新漏洞信息，进行业务产品的安全检查；负责信息安全策略/流程的制定,安全培训/宣传及推广；负责Web漏洞和系统漏洞修复工作推进，跟踪解决情况，问题收集。职位要求熟悉TCP/IP协议，路由交换、常用的应用层协议；熟悉Linux/Windows下系统和软件的安全配置与加固；熟悉常见的安全产品及原理，例如IDS/IPS、防火墙、漏洞扫描等；熟悉Web安全技术，包括OWASPTOP10安全风险；掌握C/PHP/Python/Shell等一或多种语言；较好的文档撰写能力、语言表达和与沟通能力。 渗透测试工程师安全工程师 职位描述对公司各类系统进行安全加固；对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）；对公司安全事件进行响应，清理后门，根据日志分析攻击途径；安全技术研究，包括安全防范技术，黑客技术等；跟踪最新漏洞信息，进行业务产品的安全检查。职位要求熟悉Web渗透测试方法和攻防技术，包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等OWASPTOP10安全漏洞与防御；熟悉Linux、Windows不同平台的渗透测试，对网络安全、系统安全、应用安全有深入的理解和自己的认识；熟悉国内外主流安全工具，包括KaliLinux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等；至少掌握一门编程语言C/JS/Python/PHP/Java/JS等；对Web安全整体有深刻理解，有一定的代码审计和漏洞分析和挖掘能力； 安全岗位总结 安全行业和岗位众多，初学者较多通过安全服务/安全运维、安全渗透/Web安全等岗位进入行业；安全岗位也有很多技能是重叠的，好好掌握以下几种技术（设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言）中的2到3个，便可以较好的胜任工作需求。联网公司的，有从互联网公司跳到安全初创企业的⋯⋯哪些公司在招聘安全岗位？ 互联网公司招募安全工程师 网络安全公司招募安全工程师 国企金融招募安全工程师 安全岗相关招聘链接 腾讯：/index.php阿里：/zhaopin/index.htm百度：https://www./jobs/2568043.html知乎：hs//wwwgouo/jos/hsouosonoson1小米：hs//wwwgouo/jos/hsouosonoson4360：/2017/360/启明：https://www./gongsi/j9231.html深信服：https://www./gongsi/182070.html#company_navs中国移动：/6xpgWL还有什么方法可以找安全岗位？根据安全岗位，到各大招聘网站搜索 搜索“网络安全工程师” 搜索“安全工程师” 搜索“渗透测试工程师” 搜索安全工程师” 越来越多的企业设立SRC，SRC需要安全人才 SRC（SecurityResponseCenter，安全响应中心） 网络安全薪酬情况 年部分应届毕业生安全薪酬（广深地区） 入职公司职位薪酬360企业安全安全工程师8~12w/年绿盟科技安全工程师10~12w/年绿盟科技安全渗透工程师12~14w/年中国移动安全运维/渗透测试工程师15~16w/年天融信安全工程师8~10w/年深信服安全工程师14w/年深信服安全攻防工程师19w/年 全薪酬情况解读（应届大学生为例） 按照薪酬年薪从高到低，可以分为档、B档、C档：15w~18w B档：12w~15wC档：8w~12w不同安全岗位薪酬排序是这样的：安全研发>渗透测试/Web安全>安全售后近年来各类安全岗薪酬持续在增长⋯⋯ 二章节总结 安全行业可以细分为网络安全、Web安全、无线安全、云安全、工控安全、桌面安全、移动安全等方向。安全岗位众多，初学者较多通过安全服务/安全运维、安全渗透/Web等岗位进入行业。随着安全成为法律强制要求，各行各业都在招募安全工程师，可以到招聘网站或搜索引擎通过关键词来搜索相应的招聘信息。到8~12w、12~15w、15~18w不同档次的入职薪酬。目录Contents目录||·∙·∙网络安全行业解读|分类·∙岗位·∙求职网络安全学习指南|技能·•∙方法·•∙资源这里仅讨论网络安全和Web安全=>零基础如何学习网络安全？网络安全技能要求 网络安全技能要求 1、掌握各类网络协议的原理与实践：TCP/IP、VLAN/Trunk/MSTP/VRRP/802.1x、OSPF/BGP/MPLS、IPsec/SSL2、掌握主流网络和安全工具的使用：、eNSP、SecureCRT、Wireshark、Solarwinds3、掌握主流网络与安全设备的命令调试与故障排查：思科/华为/华三/锐捷/Juniper/飞塔/绿盟/深信服/天融信⋯⋯路由器/交换机、防火墙、IDS/IPS、AC/AD、VPN4、掌握网络安全架构与设计：企业网/政务网/教育网/数据中心网设计与部署⋯⋯网络安全推荐书单 网络安全推荐书单 《学习指南》《Cisco防火墙》《网络安全原理与实践》《华为防火墙技术漫谈》《Cisco网络黑客大曝光》

《Wireshark网络分析实战》攻击与防范深度剖析》《Cisco完全配置指南》《Cisco安全入侵检测系统》《计算机网络实践教程-基于网络模拟器》《互联网企业安全高级指南》网络安全推荐工具 网络安全推荐工具 等技术；CiscoeNSP：华为官方出品的网络/安全模拟器，支持USG防火墙产品；SecureCRT：与Xshell一样，都是最常用的终端登录和命令操作软件；Wireshark：最好用的抓包软件，全球开源网络安全工具top1；Visio：最好用的绘图软件，微软出品，支持各种网络拓扑图、流程图等；Cain：Windows下最强大的局域网攻击与解密工具；Hping3：强大的TCP/IP数据包生成工具，可用于防火墙测试和安全审计。网络安全学习方法 网络安全学习方法 1、先网络后安全很多初学者还没搞定网络看懂网络拓扑，就急着研究防火墙或VPN，其实这样就不清楚整个网络架构是如何安全演进的。正确的流程是：先通过网络协议和拓扑设计的学习，能独立搭建一个企业网/校园网，再引入局域网安全、防火墙、入侵检测、VPN等安全技术，使整个网络慢慢变得安全起来，这样才能看到整个网络安全的全貌。2、勤做实验勤抓包Wireshark包工具，对底层协议进行观察和分析。举例，要研究VPN的安全，除了掌握复杂的命令调试，更应该做的就是把VPN隧道建立过程通过抓包进行数据包分析，这样就能看到更底层的实现，记忆也能更加深刻。3、单点突破横向拓展在我刚接触网络和安全产品的时候也是非常懵逼的，这么多产品怎么学的完？每个安全厂家都有自己的产品线，而不同产品的部署有些基于CLI（命令）有些则基于GUI（图形）。后面发现只要深入掌握某个厂商的命令和图形界面，不是死记命令而是记住命令背后的调试逻辑，这样去研究同类安全产品的时候，就会发现“一通百通”，以后真正遇到新的安全产品，只要查阅相关官方手册则可以较快上手。4、从工程实施到方案设计从安全工程师到安全架构师，从单纯的工程部署升级到更全局的安全架构，这是每个安全工程师的坎，是升级的必经之路。以安全工程师定位的话，只要熟悉安全设备和部署，做好安全响应，搞定安全设备故障就够了；而安全设计/安全架构师则需要熟悉一些安全标准，例如国内的信息安全等级保护制度，这里不仅涉及到跨厂商的安全产品选型，也涉及安全拓扑的设计。零基础如何学习安全？Web安全/渗透测试技能要求 安全渗透测试技能要求 1、安全理论：HTTP协议、OWASPTOP10、PETS、ISO27001⋯2、后端安全：SQL注入、文件上传、Webshell、文件包含、命令执行⋯3、前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造⋯4、渗透测试：KaliLinux、Metasploit、、Nessus、5漏洞扫描、应用防火墙）、IDS/IPS（Web入侵防御）、主机防护⋯----更多（加分项）---7、Windows/Lin