谈谈信息安全入门这事，2023了应该学着入行吗

 "信息安全如何入门"这个问题我觉得需要拆成3个部分来回答：信息安全包括什么？什么算入门？你要如何学习？

信息安全包括什么

我个人觉得我是回答不完全这个问题的，只能尽我所能来回答。

首先我们来看看知乎上，关于"信息安全如何入门"的相关问题都有哪些？

1. 黑客如何学起？
2. 如何学习网络安全
3. 谁能给个网络安全的学习路线
4. 挣钱duob

因为篇幅原因，大家可以自己去搜索查看(看完请会心一笑)，然后我们再来看看经常在QQ被问的问题：

1. 师傅，我想学挖洞，可以带带我嘛？其实在面对这类型问题的时候，我很想说一句：“我带你”，可是真相是我自己都胖的飞不起来，如何带你。
2. 表哥，我想改教务系统的成绩 or 我想把xxx网站黑下来？你们知道这是犯法的嘛？没事多去看看网络安全法好么？
3. 老同学，帮我盗个QQ好么？盗不下来啊！你不是搞信息安全的嘛？我是啊！那你还盗不下来？我………………

当然了还有最过分的就是：你帮我修个电脑吧，我电脑卡的不行，一定是中毒了。看了一下，大姐不带这么玩的，10年前的电脑我们换一下好吗？

回到正题，信息安全是一个范围极广的学科，本质上当代的信息安全问题大多是由于信息化时代衍生出来的，着重体现在计算机领域。我们先来看几个案例：

关于看书我这里有一些建议：首先是查看整本书的章节目录，通过章节目录获取大概信息，找到自己感兴趣的或者所急需的章节进行深入阅读(这种方式适用于前后章节关联性不强，或对部分章节已经熟知的情况)。

实践：纸上得来终觉浅

• 例1：你想成为一个"黑客"，真的不需要你一定会计算机领域的知识。比如：速度与激情5中，盖尔加朵获取黑老大的指纹，如果你貌美如花，你也可以的。
• 再举几个例子：2014年12306用户数据泄露事件、2014年苹果艳照门事件、2017年京东数据泄露事件等等。

• 学习信息安全最好的工具是搜索引擎。

  看书：万丈高楼平地起

• 第一类书(基础书籍)：计算机操作系统(至少你要熟悉Linux)、计算机网络、编程语言(选择你喜欢的)。推荐：“ 计算机与网络安全系列书籍”
• 第二类书(专业书籍)：选择你的方向，根据方向来找书。
• 第三类书(技术博文)：当你有了专业方向，需要在专业方向上深入的时候，你就不光要看书了，还需要结合一些技术博客、官网文档甚至一些论文中去学习。

当你实践足够多的时候你就会发现自己的技能在飞速提升。实践请谨记《网络安全法》。

如何实践：

• 搭建各种漏洞学习项目(DVWA、OWASP系列、PentesterLab、vulhub)；
• 搭建各种CMS环境进行安全测试和代码审计；
• 搭建内网环境进行模拟渗透过程(诸葛建伟老师的Metasploit魔鬼训练营附带了渗透靶场)；
• SRC与众测平台：可以去挖掘SRC与众测平台，可能需要一定的基础，但是多看看网上的文章会得到一些思路。我这里放几篇(挖掘SRC或在众测平台挖掘漏洞请遵循《网络安全法》)

总结：提炼过程与结果

不论是看书，还是实践，你都需要总结，看书的总结会帮助你提炼书本中的知识点；实践的总结会帮助你在以后的路上可以不断去回顾与少踩坑。

总结最好的两个方式是：

• 画思维导图：思维导图更适合梳理自己的思路点。
• 写总结文档：比较完整的记录，可以是思维导图的延伸、是记录你渗透或推动项目的整个过程、也可以是你自己的一些感悟等。文档也可以用来后续的分享。

 认知自我真实水平

在你写分享之前，一定要做好心理准备：因为当关注度达到一定程度时，大家对于你的分享可能出现褒贬不一的时候，我也遇到过。一定要记住：写文章是给别人喷的，没人喷说明写的不够好，所以被喷了又如何呢？从中提取别人喷你的关键点，验证是否自己没有做好，来提升自己。如果是那种纯粹的喷子，狗咬你，你要咬狗吗？

把你的思路分享出来，不论是博客、公众号还是其他的形式。这不光是对你技术上的提升，也是对你自身的综合提升，同时还能帮你认清自我掌握的程度。

渗透技术学习

• 首先是工具使用学习，以及渗透技术的知识点，这些大多来源于博客文章、书籍。
• 其次就是环境搭建，请大家牢记未经授权对系统进行扫描、测试、攻击都是违法行为。如果你想要学习，自己搭建一个虚拟机环境吧，不要怕麻烦，你在搭建整个环境的过程中，你也能得到技能上的提升。
• 然后就是进行渗透测试，忘记你搭建过程中的那些东西，模拟黑客进行攻击。攻击的时候一定不要局限自己的思路(做渗透很多时候思路就是要猥琐多变)。
• 最后就是写文章：一是记录这次你的环境搭建过程，二是记录这次你的渗透过程，你使用了哪些技术进行渗透、是否渗透成功、如果成功了你使用的是什么方法，没有成功需要反思为什么？

甲方安全防护

• 明白目标：明白你到底要保护的是什么？是数据、业务系统、主机还是其他。
• 进行调研：了解你所需要使用的技术、工具、系统、策略等。
• 模拟测试：对你了解到的技术等进行模拟，如果公司有测试环境给你折腾可以在边缘业务的局部中进行测试，如果没有还是可以自己弄个环境。
• 测试报告：本次测试使用的手段、达到的效果、是否可以优化、存在的风险等问题都是需要考虑的。
• 生产推动：如果你的测试报告在各方评估之下允许在生产推动，那么此时你就可以开始推广了，记住推广策略：“农村包围城市、星星之火可以燎原”。

最后结一下尾：信息安全自最近10年来越发被重视，很多高校也开展了相关的专业、课程。不论你是科班出身、还是非科班转行。记住一个点：学而不思则罔，思而不学则殆。

1. 不要怕困难，学习是一个快乐的过程，如果不快乐也不能把学习变成快乐，放弃吧安全不适合你。
2. 不要怕麻烦，坚持不断学习，克服一个困难总会有下一个困难等着你的

 网络安全学习资源免费分享，保证100%免费！！！

需要的话可以点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

👉网安（黑客）全套学习视频👈
我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（黑客红蓝对抗）所有方向的学习路线👈
对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉黑客必备开发工具👈
工欲善其事必先利其器。学习黑客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（黑客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】 

 如果你有需要可以点击👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享