阿里云主导《Serverless 计算安全指南》国际标准正式立项！

日前，在韩国召开的国际电信联盟电信标准分局 ITU-T SG17 全会上， 由阿里云主导的《Serverless
计算安全指南》国际标准正式立项成功。

![图片](https://img-
blog.csdnimg.cn/img_convert/3e52674185a1e59b27e86d91d1d9687f.png)图 1 项目信息

在现今数字化时代，Serverless
计算正逐渐成为云计算的一个新的发展方向，其灵活、高效、成本优化的特点受到了广大开发者的喜爱。与此同时，安全问题也逐渐凸显，Serverless
计算环境下的资源管理、数据隔离、访问控制等新的安全问题亟待解决。

《Serverless 计算安全指南》旨在 为 Serverless
计算提供系统的安全策略、框架和最佳实践，指导企业和开发者更加安全、高效地部署和运行服务，有效防范潜在安全风险。

ITU-T（国际电信联盟电信标准化部门）是国际电信联盟管理下专门制定电信标准的分支机构。它从一个最初制定国际电报交换标准的机构，一直发展到如今的融合 ICT
环境，为全球标准化行业提供了世界上的最佳设施，并仍作为世界上仅有的真正全球性的 ICT
标准机构屹立至今。这些国际标准是全球信息通信技术（ICT）基础设施的定义要素。

国际 ICT
标准可以避免针对首选技术的昂贵市场争斗。对于新兴市场中的公司而言，标准可以为进入新市场提供公平的竞争环境。标准是对发展中国家建设其基础设施、鼓励经济发展的根本性帮助，而且在规模经济产生后，各方均可因标准带来的费用降低受益：制造商，运营商和消费者。ITU-T
成员单位以国家为主体，新兴技术的标准制定往往由欧美等发达国家主导，其他国家代表团参会目的多以学习、吸收为主。

本次， 阿里云牵头立项的国际上首个围绕 Serverless 计算的安全标准， 基于阿里云 函数计算 FC，体现了阿里云函数计算 FC 相关云产品在
Serverless
计算技术创新演进过程中在安全、合规领域的技术先进性，以及将客户安全作为首要目标的业务准则。在标准立项的过程中，尽管面临各国监管合规的差异、文化的差异以及对于新技术认知的挑战，但是阿里云专家积极与各国代表沟通，多次深入讨论和现场具有说服力的答辩，终以出色的技术硬实力和对
Serverless 计算业务场景深刻理解的软实力获得了各国专家的一致认可。

阿里云作为国内首家推出 Serverless 计算服务的企业，一直处于这一领域的技术前沿， 核心产品函数计算蝉联入选 Forrester FaaS
全球领导者 。 此外，阿里云也制定了核心产品全面 Serverless 化的整体战略，为市场提供了全面、稳定的 Serverless 产品服务。

未来，阿里云将继续深耕 Serverless 计算领域，与全球众多企业和开发者共同构建安全、健康的技术生态，共同推进 Serverless 计算的发展。

项目信息： https://www.itu.int/ITU-T/workprog/wp_item.aspx?isn=19108

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！