文章目录
- 一、自学网络安全学习的误区和陷阱
- 二、学习网络安全的一些前期准备
- 三、自学网络安全学习路线
- 一、身份认证
- 1、身份认证概述
- 2、身份认证常用技术
- 3、常用身份认证机制
- 二、访问控制
- 1、访问控制概述
- 2、访问控制基本要素
- 三、访问控制类型
- 四、访问控制机制
一、自学网络安全学习的误区和陷阱
1.不要试图先成为一名程序员(以编程为基础的学习)再开始学习
我在之前的回答中,我都一再强调不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,而且实际向安全过渡后可用到的关键知识并不多
一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。而且学习编程只是工具不是目的,我们的目标不是成为程序员。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少
2.不要把深度学习作为入门第一课
很多人都是冲着要把网络安全学好学扎实来的,于是就很容易用力过猛,陷入一个误区:就是把所有的内容都要进行深度学习,但是把深度学习作为网络安全第一课不是个好主意。原因如下:
【1】深度学习的黑箱性更加明显,很容易学的囫囵吞枣
【2】深度学习对自身要求高,不适合自学,很容易走进死胡同
3.不要收集过多的资料
网上有很多关于网络安全的学习资料,动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”,一下子购买十几本书,或者收藏几十个视频
网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料,下面我会推荐一些自认为对小白还不错的学习资源,耐心往下看
二、学习网络安全的一些前期准备
1.硬件选择
经常会问我“学习网络安全需要配置很高的电脑吗?”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以,不要打着学习的名义重新购买机器…
2.软件选择
很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统,Linux虽然看着很酷炫,但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习
至于编程语言,首推Python,因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。其他语言还包括C++、Java…
很多朋友会问是不是要学习所有的语言呢?答案是否定的!引用我上面的一句话:学习编程只是工具不是目的,我们的目标不是成为程序员
(这里额外提一句,学习编程虽然不能带你入门,但是却能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识)
3.语言能力
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词,在与其他黑客交流技术或者经验时也会有障碍,所以需要一定量的英文和黑客专业名词(不需要特别精通,但是要能看懂基础的)
比如说:肉鸡、挂马、shell、WebShell等等
三、自学网络安全学习路线
重点内容
身份认证
访问控制
访问控制类型
访问控制机制
身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段,通常是将某个身份与某个主体进行确认并绑定。
一、身份认证
通常身份认证由两类实体组成:
用户:
一类实体是用户,他们要向另一类实体证明自己的身份;
验证者:
另一类实体是验证者,他们要验证用户的身份。
1、身份认证概述
验证一个人的身份主要通过三种方式:
What you know
What you have
Who you are
2、身份认证常用技术
用户名/密码方式
IC卡认证
生物特征认证
USB Key认证
动态口令/动态密码
数字签名
3、常用身份认证机制
RADIUS认证机制
基于DCE/Kerberos的认证机制
基于公共密钥的认证机制
基于挑战/应答的认证机制
二、访问控制
1、访问控制概述
访问控制技术可以限制对计算机关键资源的访问,防止非法用户进入系统和合法用户对系统资源的非法使用。
访问控制的手段包括:
代码
口令
登录控制
资源授权(例如用户配置文件、资源配置文件和控制列表)
授权核查
日志和审计
2、访问控制基本要素
主要目标
机密性要求
完整性要求
可审计性
可用性
三大要素
主体
客体
控制策略
访问控制的实现
认证
控制策略的具体实现
审计
三、访问控制类型
主流访问控制技术有:自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)
自主型访问控制(DAC)
基于个人的策略
基于组的策略
强制型访问控制(MAC)
增加对资源的属性划分
比自主房间控制更加严格的访问控制策略
用户和客体资源都被赋予一定的安全级别
不能有效地抵抗计算机病毒的攻击
基于角色的访问控制(RBAC)
角色继承项目
最小权限原则
职责分离原则
四、访问控制机制
访问控制列表(Access Control List,ACL)
身份
文件属主
用户组
文件属主 及用户组成员对文件的访问权限
能力(Capabilities)机制
读
写
执行
安全标签机制
标签大小限制
如何对主题分配访问权
决定可访问某客体的所有主体
