现在的信息安全,大体上分裂成两个方面。
一个是标准派,熟读各种标准,BSXXOO,ISObalabala,说起来天下无敌。如果你想搞这种高端大气的庙堂之上东西,那么可以看 BS7799、ISO27001、NIST800-53、CISSP 等等以及这里许多答案里面写的东西,然后进审计公司、内审部门。只是从此与技术无缘,也被某些技术人员所看不起。悲剧的是,国内的安全标准也是这些人制定的,包括政府现在正在编写的云计算的安全标准——其实应该找我的:)。一个不能指导实践的理论和标准,只能是呵呵了。BTW,某些大学的研究机构与此类似,3-5 台虚拟机,然后天天搞在虚拟层做 IPS,就说是在做云安全。前些时候有学校来和我们合作做课题,结果那些题目我们公司这边都看不太懂。
与标准派对应的是实践派,医生啊、电视机厂的啊、铁路工人啊、乱七八糟专业的啊、无业游民啊等等所组成。现在是各大甲方企业安全部门、乙方安全公司、创业公司的骨干。轻视标准,注重实战,用事实说话,talk is cheap,show me the exp。TK 教主也曾经曰过“计算机的好处就是 1 就是 1,0 就是 0,万物皆可 print”。这一派属于山野草民,持剑纵横江湖的游侠。WEB 方面毫无疑问是 @大风 和余弦的两本书,逆向破解有看雪,溢出有 xcon 的本渗透技术。至于系统网络方面,我本来想写一本,但是后来觉得没意思就太监了,不喜欢去总结我所知道的常识。其实把 Linux 系统的各常用安全机制,网络的 ARP、IP、TCP、SSL、HTTP、DNS、FTP、SMTP、POP3 等一些协议搞搞清楚,网上随便看看资料也就行了。编程方面,python、ruby、perl、go 至少会一种,搞 WEB 的要会 JS,搞破解、溢出的要会 C 和 ASM。至于工具的使用,喜欢哪个就用哪个,原理搞清楚了都不是问题。
然后微博上,把我们以及我们关注的人都关注了,看看大家在讨论什么,各公司在吵什么,趋势就把握住了。趋势很重要,实践派里面也各种吵架,曾经搞溢出的看不起搞 WEB 的,但是后来 WEB 安全风风火火,溢出逐渐式微。但是现在随着移动设备的兴起和 APT 的火爆,溢出之类又要成为新的热点。嗯,还有云,这个我一直在搞。
少年们,记住最后一句话,搞安全,猥琐最重要。这就是安全之道。