网安技术学习路径的一点探讨
鄙人是一个行业职业院校的普通讲师,讲过多年的计算机基础课程(如何操作office之类的,大牛莫笑……)。大势所趋,行业需求的变革,需要我去重新学习网安技术。因此,我和我的学生一样,我也是一个全新的学习者。
从第一次真正了解什么是sql注入开始到现在也算一年多的时间,我从一个学生的角度,重新体会了一把自学(然而还没有成材)的过程,应该说这是我非常宝贵的体验。在此也与各位圈内大牛探讨下一些感想。
1.网安学习不同于其他课程的特点就是跨界。体现在两点,一是学科间的交叉,计算机基础,网络技术,电子信息,通讯,数学,法律,管理甚至心理学的交叉;二是学科内细分知识繁杂,web渗透,逆向,取证,安全运维等等方向全部精通的大牛似乎极少。
也因为这个原因,我们要问到底知识技术掌握到什么程度的人才是人才,换言之是网安人才培养的目标是什么?初学者往往感觉迷茫和无所适从,包括我也是一样。其实并不是所有的人都适合从事网安技术专业。
2.实践还是实践
网安技术需要极其大量的实践才能内化。理论基础上,实验练习才能加深理解,融会贯通。学习基础理论——实验——深化与扩展理论——实验——引发思考——实验……对一个知识点,通过这样一个迭代的过程在大脑中生根发芽,内化成本能反应。
3.兴趣,悟性,坚持与学习路径的选择
我们膜拜过无数次老鹰,tk,黑哥等等大牛的成材之路。他们皆非网安专业,又是如何到达巅峰的呢?这样的例子还有很多很多。我想答案是从兴趣始,天份与悟性为伴,选择了一条适合自己的学习之路。
说到这里,再探讨下学习过程中的几点感想
1.学习路径的指引:
何为人才?三个层次:专业型人才、复合型人才、领军型人才。本科阶段主要培养的是专业型人才。那么繁杂的领域细分背景下,如何给学习者提供学习路径指引呢?
一是以职业定位为导向,可以参考《美国网络空间安全教育计化(NICE)》,他们把岗位需求和职位需求进行明确定义,制定出网络空间安全队伍培训和职业发展规划,把它作为基础性执行。之后,进一步把它进行了细化,包括七大类专业三十二个专业岗位。这也反映了美国对网络空间安全清晰的认识。
二是以专业技术能力为导向。可以参考知道创宇的研发技能表,涵盖了web领域、嵌入式安全、安全研发入门需要掌握的知识、资源、工具列表。
三是以竞赛为导向。实际上在我看来,还有很好的一个入门途径是参加ctf竞赛,尽管业内也存在竞赛与实战有差距的质疑,但无疑是目前为止最好的激发学习兴趣,引导入门的形式。竞赛为表,赛题为里,需要做的是如何设计更好的竞赛题目以满足实战对人才的需要。
2.实践途径
网安技术学习和实验必须要在合法的框架下进行,未经授权的渗透行为都应避免。简单总结下我了解的也有三点:一是校内实验环境;二是各大在线教学平台;三是校企合作实习创新。
其中校内实验环境往往存在实验内容陈旧,形式单一的问题,课时少,无法满足学习要求。
幸运的是我们所处的互联网时代,在线教育平台的兴盛,学习资源丰富,解决了带宽和计算压力的问题,在线虚拟实验环境的优势越发明显。当然和一般的mooc模式一样,真正把一门课完整学习下来的学习者少之又少。如何把社群运营融合进来,从mooc到的spoc进化,这又是另外一个要探讨的话题了。至于第三点,木有企业要我去实习过,就没法评述了……
3.新生代
新人辈出,90后已经在说自己老了,2000后已经杀入江湖。新生代相较70,80后见多识广,敢说,敢想,敢做,必然是长江后浪推前浪,一代更比一代强。同时也有爱玩,爱现(我年轻时候也一样……),自主独立。抓住他们的兴趣,并加以引导,让他们自己去体会学习的成就感,愉悦感,我想这是安全领域各位前辈大牛和我们每个普通的老师们最应该共同去做的事情。
自己想到的几点不太成熟的看法,诚心探讨,请批评指正!
官方 