浅谈网络安全

当前很多家庭用户电脑也都接入了互联网。一些网民因不知道网络安全问题的严重性，保密意识不强，或者被植入病毒，或者轻信一些虚假信息，导致实际利益受损。有的网民甚至被骗了还浑然不知。网络安全越来越受到人们的重视，本文将从系统安全、密码安全、个人防火墙和反病毒软件等方面，对网络的安全谈谈自己的看法。

1系统安全

及时升级操作系统补丁：任何操作系统都有漏洞，计算机的操作系统在设计之初，会有一些原来没有预计到会被人利用进行攻击的安全漏洞。同时，随着信息技术的发展，原来技术的落后也会导致.一些漏洞的产生。为了将安全漏洞降低到最少，也为了系统能更加稳定的工作，应及时为电脑打补丁，可以有效堵住计算机信息安全的漏洞。需要注意的是，下载补丁程序前一定要仔细阅读附带的安装说明书，以便做好数据备份等预防工作，以免导致系统无法启动或数据破坏等情况。

最小化安装系统：在系统集成的时候，90%的计算机用户会采用系统的默认安装，而实际上不少系统功能模块不是必需的，要保证系统安全，需遵循最小化原则，能不装的一定不装，一定要装的要尽量少装，以免带来安全隐患。

进行必要的安全设置：操作系统安装完成后，要对系统的安全策略进行必要的设置。例如，用户权限的分配、共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等等，系统默认的配置适合大多数人使用，但其安全性往往是较差的，所以要对系统中和安全有关的项目进行仔细地设置，以使得系统达到较高的安全等级。从安全角度考虑，应将不必要的服务窗口关闭，只向公众提供了他们所需的基本的服务。我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可信赖的用户开放。

2、密码的安全

密码是首席看门官，大部分的攻击都是从截获或猜测密码开始的，一旦黑客成功进入，那么前面的防卫措施几乎就没有作用。因此密码口令的有效管理是非常基本的，也是非常重要的。

在密码的设置安全上，首先绝对杜绝不设口令的账号存在，尤其是超级用户账号。一些人，为了图方便，认为服务服务器只有自己一个人管理使用，常常对系统不设置密码。这样，“入侵者”就能通过网络轻而易举地进入系统。另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为“入侵者”留下后门。比如，对WEB网页的修改权限设置，在WINDOWS NT4.0+IIS 4.0版系统中，就常常将网站的修改权限设定为任何用户都能修改（可能是IIS默认安装造成的），这样，任何一个用户，通过互联网连上站点后，都可以对主页进行修改删除等操作。

其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出字符作为密码。密码的长度也是设置者所要考虑的一个问题。在用LOphtCrack破解时，如果使用“暴力破解”方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时.但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。 另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。

3、使用个人防火墙和反病毒软件

个人防火墙是抵御各类网络攻击最有效的手段之一 ，它能够在一定程度上保护操作系统信息不对外泄漏，也能监控个人电脑正在进行的网络连接，把有害的数据拒绝于门外。

目前互联网上的病毒非常猖獗，达几万种之多，传播途径也相当广泛，有软盘、光盘、E-mail和甚至利用系统漏洞进行主动传播的网络病毒，这就需要在个人计算机上安装防病毒软件来控制病毒的传播。慎重选择好杀毒软件，病毒是个与大型网络形影不离的家伙，几乎每个大型的网络都有它的身影。在单机版的防病毒软件使用中，必须要定期或及时升级防病毒软件和病毒码特征库。建议您下载超级兔子注册表保护器，以便您的机器的注册表被恶意修改后能够轻松修复。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等…

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。

当然你也可以看下面这个视频教程仅展示部分截图：

学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！

想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！

再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里****网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！