网络空间安全人才培养具有多学科交叉、涉及面广等特点,传统的知识体系已经不适应国家战略和行业快速发展的需求。相关专业的课程与知识体系分散,学生在知识结构和实践能力方面存在滞后性。现有的网络空间安全方面的培养方案并不完全适用于网络空间安全本身的发展需求。需要探索基于相关专业知识的网络空间安全人才培养模式、重构课程与知识体系。
一、环境的搭建
1.熟悉基本的虚拟机配置
2.Kali linux,centos,Windows实验虚拟机
3.自己搭建IIS和apache
4.部署php或者asp的网站
5.搭建Nginx反向代理网站
6.了解LAMP和LNMP的概念
二、熟悉渗透相关工具
1.熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan、Msf等相关工具的使用。
2.了解该类工具的用途和使用场景,先用软件名字Googl;
3.下载软件进行安装
4.学习并进行使用,具体教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;
5待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;
6.了解msf的基础知识,对于经典的08_067和12_020进行复现
三、Web安全相关概念
1.熟悉基本概念(SQL注入、上传、XSS、CSRF一话木马等)
2.通过关键字 (SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;
3.阅读仍然是获取知识的重要途径之一。尽管一些书籍可能已经过时,其中的错误也可能被新的研究所纠正,但它们仍然可以为我们提供入门的基础知识,让我们对某一领域有一个大致的了解。
4.看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google学习一些优质的内容 (渗透笔记、渗透过程、入侵过程等);
四、渗透实战操作
1.掌握港透的整个阶段并能够独立渗透小型站点。
2.网上找渗透视频看并思考其中的思路和原理,关键字 《渗透SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等);
3.自己找站点/搭建测试环境进行测试,记住请隐藏好你自己;
4.思考港透主要分为几个阶段,每个阶段需要做那些工作,例如这个:PTES渗透测试执行标准;
5.研究SQL注入的种类、注入原理、手动注入技巧;
6.研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用 (IIS、Nignix、Apache) 等,参照:上传攻击框架;
7.研究XSS形成的原理和种类,具体学习方法可以Google/SecWiki,可以参考:XSS;
8.研究Windows/Linux提权的方法和具体使用,可以参考:提权;
9.可以参考: 开源渗透测试脆弱系统;
五、关注安全圈动态
1.关注安全圈的最新漏洞、安全事件与技术文章。每日的安全技术文章/事件,天天抽时间刷一下;
2.通过feedly/鲜果订阅国内外安全技术博客 (不要仅限于国内,平时多注意积累) ,没有订阅源的可以看一下SecWiki的聚合栏目;
3.养成习惯,每天主动提交安全技术文章链接到SecWiki进行积淀;多关注下最新漏洞列表,推荐几个:exploit-db、CVE中文库、Wooyun等,遇到公开的漏洞都去实践下。
4.关注国内国际上的安全会议的议题或者录像,推荐SecWiki-Conference。
六、熟悉Windows/Kali Linux
1.学习Windows/Kali Linux基本命令、常用工具。
2.熟悉Windows下的常用的cmd命令,
例如: ipconfig,nslookup,tracert,net,tasklist,taskkll等;
3.熟悉Linux下的常用命令,例如: ifconfig,ls,cp,mv,vi,wget,service,sudo等;
4.熟悉Kali Linux系统下的常用工具;
5.熟悉metasploit工具。
因此,需要面向网络安全核心能力,构建多维度评价与持续改进的新机制,保障网络空间安全人才培养质量。
网络空间安全的核心竞争力在于专业人才,只有培养足够优秀的网络专业技术人才,才能保证国家在未来的网络空间战争中获得优势。因此,世界各国纷纷将网络空间人才培养工作提升到国家战略层次,投入巨量财力物力,建设完备的网络空间安全人才培养体系。
网络信息安全工程师所学习的专业主要与计算类相关,在本科阶段,相似的专业包括计算机科学与技术、软件工程、网络工程和信息安全等;在专科阶段,相似的专业有计算机应用技术、计算机网络技术、软件技术信息安全与管理和云计算技术与应用等。想要从事该工作的人,可以参加国家市场监管总局认研中心启动实施“网络信息安全工程师人员能力验证”项目,通过学习获得能力验证证书,这对于从业人员今后的职业发展有很大的帮助。
