資訊保安初窺（二）資訊保安能力體系

二、如何鍛鍊這些能力？

上篇文章說到，我對資訊保安行業的前途非常樂觀，但這種樂觀建立在不那麼美好的事實之上。

當然，最讓今天的我感到懷念的，也許是當年隨便認識乙個網友就能天南地北侃大山的氛圍。那個時候，對網線另一端的陌生人有一種莫名的信任。

而今天的網路，只不過是熟人社交的延申。

現在回想起來，05 年左右可能正是開放、自由、共享的網際網路**時代的尾聲。

隨著越來越多的流量湧入，網際網路的價值大大提高，成分也逐漸變得複雜，資訊黑產的利益**也越來越大。黑與白，矛與盾之間的較量不斷公升級，從而促進了資訊保安行業的成型與不斷發展。

吳翰清說，安全是一門樸素的學問，也是一門平衡的藝術。

說它樸素，是因為安全問題有著共通的本質與原理，從基本的原理出發，抓住本質，就能無往而不利。

說它是平衡的藝術，是因為資訊保安人員的眼光要更加廣闊，看到技術之外的方方面面。既要遵循原則，又要能夠創造性地、權變地應對、解決問題，要根據萬千條件、要求整合出更好的解決方案。

我認為，要想成長為乙個合格的資訊保安從業人員，需要在以下三個方面下功夫。

在軟體開發的過程中，我們有許多可以參考的規範，比如語言或框架的官方文件、公司的開發手冊等。

資訊保安也有資訊保安的規範，不同於開發的是，這些規範有的成為行業、國家標準，有的甚至上公升到了法律層面。

也就是說，資訊保安從業人員有明確的底線，也有相對成熟的認識與統一的共識。你對這些底線、認識、共識不清不楚，就容易走不該走的彎路，甚至犯不該犯的錯誤。

而且這些法律、標準凝聚了諸多優秀從業者的智慧型，可以說是學習資訊保安最有價值的參考資料。

當然，當你沒遇到問題的時候，枯燥也是足夠枯燥的。

這一點其實是最不用強調的。我們搞技術的最喜歡的就是實打實的東西，劈里啪啦一頓命令秀翻小夥伴的感覺不要太爽。

從技術層面講，搞攻擊的大概有兩種人，一種是喜歡挖漏洞，寫漏洞利用程式（exploit）、寫工具，以證明自己能力為樂的人；一種是所謂「指令碼小子（script kids）」，也就是用別人的**或工具開展攻擊，一心一意搞破壞的人。

然而在今天這個環境下，你很難看到第一類人了，網際網路上到處充斥著指令碼小子和指令碼小子組成的組織，而我們一開始除了選擇學習指令碼小子的技能外也別無他法。

但是否為了眼前的利益停下腳步，每個人有每個人的選擇。

相比攻擊，防禦要更費心力一些。畢竟攻擊的目標是攻破一點，而防禦的目標是面面俱到。

防禦涉及的技術能力也是紛繁龐雜，針對網路、作業系統、資料庫、應用有不同的方法手段，嘗試攻擊（滲透測試）也是安全防護的重要一環，甚至可以參與編寫安全防護軟體。

當然不是說搞防禦的比搞攻擊的厲害。因為不懂防禦搞不了攻擊，不懂攻擊搞不了防禦。在具體的人身上，這兩種技能是相輔相成的，只不過最終的偏向決定了成功的難度。

選擇搞防禦是難點，但是搞防禦的人多啊。

不過現在我們老是區分進攻防禦或說紅藍方，其實如果爆發大規模的網路對抗，雙方均以摧毀對方為目標，那單方的攻防兩種能力就都很關鍵，甚至需要根據形勢進行攻防間的轉換。

聽說前一段乙個知名安全大牛被抓了，好像是白天搞安全培訓，晚上搞黑產。其實這個行業裡更人間真實的是，也許賣給你安全服務的公司，就是頭兩天把你服務搞癱的罪魁禍首。

資訊保安不是乙個人、乙個部門、乙個領域的戰鬥，而是乙個整體工程。掌握理論知識與推進資訊保安防護體系落地之間，還有很長的一段路要走。

要有規劃能力。你的很多任務作都需要花費較長時間去落實，甚至可能會影響其它部門的業務。要根據實際的條件確定先做什麼、後做什麼、在什麼時間做、乙個階段的工作完成是否能看到效果。即使最終的框架沒有成型，你的腦海裡始終是有一張藍圖的。

要學會溝通。落實資訊保安工程首先需要一把手的支援，如果沒有就會步履維艱。而這種支援時常需要主動爭取，並且在很多情況下是不夠的。你要通過溝通讓一把手和更多關鍵人物意識到在資訊保安上的投入是有回報的，而不僅僅是支出。

要能夠權衡利弊、靈活應變。你可以遵循模型化的實踐方案，但一定要能夠根據所在組織的特色選擇或調整出更加適合的做法。突出重點、降低成本、解決問題，才是乙個更好的方案。

法律與標準方面，我建議你先做乙個收集，手頭有乙份齊全的資料。最好是能與工作結合，比如新建系統要進行等級保護測評，那看相應的標準就比較有效率。

如果沒有這個條件，就先大致的過一遍，簡單做個筆記。我對這類枯燥知識的學習方法一般是畫思維導圖，也不用多動腦子，就邊看邊按大小標題把目錄或者說大綱敲出來就可以了。別小看這點字，一是加深學習的印象，二是回頭複習非常方便。

攻防技術方面，我的建議是先攻後防。攻擊初期學習的思路相對比較清晰，可以利用的工具也比較統一，而且你一開始就能學到的攻擊手段，往往也是防禦的重點。

至於防禦，無論是線下的培訓還是網上的教程，似乎大都是在講原則、意識，這些很重要，但一開始不好理解。在技術方面就是各種裝置配置，看起來更像是運維方面的知識。

實際上，攻防技術真正的難點在於它需要掌握相關領域各個方面的技術，而且越精越好。作業系統、資料結構、計算機網路、密碼學、人工智慧，還有逐漸發展的社會工程學。

工程實踐方面，只能通過工作實操，但如果你還沒有入行，也不用擔心，一般門票都是靠前兩個方面贏取的。

實際上這方面能力也可以通過其它的場景培養，在我們推動任何一件需要協調的複雜工作落實時都會用到工程思想，而工程思想的核心就在於懂得權衡。

越是經歷的多，越會發現天下的事沒有多少能夠完全順心地辦下去的，一定是有很多不完美的地方。

技術能力強的人往往自命清高，遇到不順遂或看不慣的事情，比如上面一時不認可自己的想法或是做了似乎錯誤的決定，就容易負氣甚至破罐破摔。

但做人做事真正難能可貴的能力，正是在讓步與犧牲中克服眼前的萬難，推進事情朝著好的一面發展。

只有不斷前進，才有希望成功不是？

推薦閱讀：

吳翰清的《白帽子講 web 安全》。

下篇預告：

在「初窺」系列文章結束後，我會專門寫乙個偏向實戰的攻防教程，攻擊的目標主體是我自己寫的 web 應用，感興趣的小夥伴可以自取教程和原始碼。

資訊保安初窺（二）資訊保安能力體系

3資訊保安防護體系

互通訊息提公升安全能力威脅資料共享聯盟即將建立

資訊保安產品體系的介紹

資訊保安初窺（二） 資訊保安能力體系

3資訊保安防護體系

互通訊息提公升安全能力 威脅資料共享聯盟即將建立

資訊保安產品體系的介紹

相關推薦

資訊保安初窺（二）資訊保安能力體系

互通訊息提公升安全能力威脅資料共享聯盟即將建立