文章目录
- 每日一句正能量
- 前言
- 本书概况
- 赠书活动
- 目录
每日一句正能量
成功与失败,幸福与不幸,在各自心里的定义都不会相同。
前言
过去,安全从未如此复杂;
现在,安全从未如此重要;
未来,安全更需如此洞擦。
经过30多年的发展,安全已经深入到信息化的方方面面,形成了一个庞大的产业和复杂的理论、技术和产品体系。
因此,需要站在网络空间的高度看待安全与网络的关系,站在安全产业的高度看待安全厂商与客户的关系,站在企业的高度看待安全体系设计与安全体系建设之间的关系。
这是对安全行业的一次以网络空间为框架,以思考为刀,以安全产品与技术为刃,以企业安全体系建设为牛的深度解构与重构。
本书概况
如果你是投资人,可以在这里看到整个产业发展的驱动力,看到安全技术和厂商的发展趋势,看到未来优秀的安全厂商和技术的特点,以及未来十年的厂商与技术格局。
如果你是客户,你可以在数以十计的安全标准和安全理论、数以百计的安全厂商及数以千计的产品和解决方案之间,找到一种合理的组合逻辑,从而让安全建设变得有理、有据、有序。
如果你是安全从业者,由于平时工作内容的聚焦,可能会对安全的某个点有深入研究,但是对整个安全系统还缺乏完整的理解。比如写反病毒引擎的,可能并没有机会分析病毒;写客户端程序的,可能不了解服务器端技术。在这里,你可以系统地了解安全是什么,安全有什么,安全该怎么做,安全的未来将会如何发展。
如果你是安全爱好者,这里还有大量的安全基础知识与有趣的安全故事来等你发掘。
在这里,安全不再是一堆零配件,而是一个完整的有机体。你可以沿着某种视角,由远及近、由外而内地了解安全,然后更好地驾驭它。
赠书活动
- 🎁本次送书1~5本【取决于阅读量,阅读量越多,送的越多】👈
- ⌛️活动时间:截止到2023-9月 28号
- ✳️参与方式:关注博主+三连(点赞、收藏、评论)
目录
Contents目 录
自序
前言
开篇语
第1章 安全认知的硬核概念1
1.1 安全世界与我们的关系1
1.2 构建信息文明的大师3
1.2.1 维纳的赛博空间3
1.2.2 香农的信息世界4
1.2.3 冯·诺依曼的计算机帝国4
1.2.4 图灵的计算智能5
1.3 网络空间是如何产生的5
1.4 网络空间安全的认知捷径7
第2章 如何快速掌握安全的内核9
2.1 安全本质9
2.1.1 安全本质的分析9
2.1.2 安全行业到底有没有“银弹”13
2.1.3 学术、工程与方法论的区别14
2.2 威胁本质16
2.2.1 威胁本质的分析16
2.2.2 威胁与安全的关系18
2.2.3 威胁的原理20
2.3 掌握两个推论,拥有安全基本洞察力23
2.3.1 威胁推论23
2.3.2 安全推论25
2.4 安全的避坑指南28
2.4.1 保险悖论28
2.4.2 误报悖论29
2.4.3 测试悖论31
2.4.4 云查杀悖论31
2.5 网络空间安全统一框架32
第3章 威胁的演化路径与发展趋势35
3.1 威胁的演化路径35
3.2 病毒的演化37
3.2.1 病毒的起源37
3.2.2 种类的启蒙39
3.2.3 典型的家族44
3.2.4 数量的激增52
3.2.5 命名的标准53
3.2.6 趋势的演变55
3.3 黑客与攻防57
3.3.1 欺骗与入侵的艺术57
3.3.2 红客时代58
3.3.3 黑客时代58
3.3.4 白帽子时代59
3.4 攻击者心理学60
3.4.1 技术炫耀60
3.4.2 经济勒索与恶意竞争61
3.4.3 信仰冲突61
3.5 网络空间的威胁发展逻辑61
3.5.1 技术的升级62
3.5.2 环境的改变63
3.5.3 攻击面的扩张64
3.5.4 网络空间的战争65
第4章 安全行业赛道与底层逻辑66
4.1 安全行业的总体特征66
4.1.1 切割行业的外部视角66
4.1.2 行业的基本特征72
4.1.3 中外市场的差异75
4.2 安全行业的碎片化变量77
4.2.1 威胁黑天鹅77
4.2.2 安全的一战成名80
4.2.3 互联网安全革命83
4.2.4 斯诺登的蝴蝶效应85
4.3 互联网厂商的企业安全困境86
4.3.1 免费安全的信任困境87
4.3.2 能者无所不能的推论困境88
4.3.3 执行者意识困境88
4.3.4 商业模式困境90
4.3.5 商品制造困境92
4.3.6 营销与服务困境93
4.3.7 支撑组织专业困境94
4.3.8 数量优势与模式裂变95
4.4 安全的细分赛道是如何形成的96
4.4.1 安全产业的模式裂变96
4.4.2 基于时间维度的赛道97
4.4.3 网络空间的立体领域99
4.4.4 面向未来的新安全场景100
4.4.5 赛道价值计算102
4.5 安全赛道的独立演化逻辑104
4.5.1 终端安全:历久弥新的赛道105
4.5.2 网关安全:逐步下沉的标品市场107
4.5.3 应用安全:万能跃迁赛道108
4.5.4 移动安全:阶段性天花板遭遇战109
4.5.5 云计算安全:安全市场的荒漠化113
4.5.6 物联网安全:逐渐有序化的无序市场115
4.5.7 安全服务:以人为本的配套市场117
4.5.8 数据安全:安全与制度的博弈118
4.5.9 业务安全:业务驱动的产品悖论121
4.5.10 身份安全:数字化身份的安全故事122
4.5.11 零信任安全:最复杂的解决方案体系123
4.5.12 态势感知:从全方位感知到全局态势124
4.5.13 区块链安全与AI安全:看不到未来的新大陆125
4.5.14 赛道的商业价值主观评价体系126
4.6 安全行业高增速的底层逻辑128
4.6.1 安全的刚需是安全感128
4.6.2 安全的第一推动力129
4.6.3 行业的系统驱动力129
4.6.4 企业安全市场的三个时代132
4.6.5 市场增速的底层逻辑134
4.7 营销模式与安全生态的关系135
4.7.1 当谈论渠道时,其实我们是在谈论什么135
4.7.2 营销模式137
4.7.3 行业分割逻辑139
4.7.4 产业链图谱141
4.7.5 安全生态悖论143
4.8 网络空间框架下安全行业的演化趋势143
4.8.1 产业统一结构143
4.8.2 安全行业的赢家通吃144
4.8.3 安全演化论144
第5章 安全企业内窥151
5.1 内行人眼中的安全圈子152
5.1.1 知识英雄与安全峰会152
5.1.2 安全组织156
5.1.3 人才培养忧思录161
5.1.4 安全从业者指南164
5.2 安全企业的几个问题171
5.2.1 问题一:为什么要了解安全企业171
5.2.2 问题二:什么决定企业生存171
5.2.3 问题三:什么决定企业增长172
5.2.4 问题四:什么决定企业能够成为“爆品”172
5.3 如何理解技术基因172
5.3.1 技术范式173
5.3.2 技术领域173
5.3.3 技术演化174
5.4 好的企业必须要有商品制造系统177
5.4.1 商品制造系统177
5.4.2 商品生产体系178
5.4.3 商品营销体系182
5.4.4 商品运行体系187
5.4.5 产品形态的优劣势188
5.5 一张图看清安全企业的价值188
5.5.1 企业统一发展模型188
5.5.2 企业增长思考190
5.5.3 企业价值评价196
5.5.4 先进企业模式198
第6章 甲方企业安全体系规划指南202
6.1 企业安全建设困境203
6.1.1 建设的困境203
6.1.2 思想的误区204
6.1.3 合规的困惑206
6.2 甲乙博弈的现状211
6.3 安全方法论一览218
6.3.1 方法论架构218
6.3.2 EA方法论219
6.3.3 威胁方法论220
6.3.4 安全方法论225
6.3.5 方法论思考231
6.4 甲方企业安全建设的思考新模式232
6.4.1 甲方的强势与弱势232
6.4.2 安全技术迭代模型232
6.4.3 套路中的套路234
6.4.4 安全的复杂系统论237
6.4.5 安全建设元思考238
6.4.6 安全建设思考的三个视角241
6.5 企业安全建设方法论242
6.5.1 企业安全建设的行业范式242
6.5.2 也谈内生安全243
6.5.3 网络空间安全企业架构245
6.5.4 企业安全架构设计方法246
6.5.5 从EA、RA到SA的最新范式249
6.6 网络空间企业威胁统一分析方法250
6.6.1 威胁统一分析矩阵250
6.6.2 安全统一能力矩阵251
第7章 企业安全体系建设指南253
7.1 现有安全体系建设逻辑与幸存者偏差253
7.1.1 传统安全体系建设的标准逻辑254
7.1.2 企业安全体系建设的最佳实践254
7.1.3 新一代网络安全框架的厂商实践255
7.1.4 安全体系建设的幸存者偏差256
7.2 你需要一个好的解决方案257
7.2.1 你需要一个理由257
7.2.2 你需要一个解决方案框架258
7.2.3 解决方案解决的不仅仅是问题259
7.3 如何确立自己的解决方案框架260
7.4 如何找到安全建设的触发点260
7.5 网络空间企业安全建设统一架构261
7.5.1 安全建设统一原则261
7.5.2 安全建设统一架构262
附录264
附录A 安全类大会网址264
附录B 一些关键网址264
参考文献265
后记272
转载自:https://blog.csdn.net/u014727709/article/details/132883685
欢迎start,欢迎评论,欢迎指正
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
