诸子笔会2023 | 孙琦:我读过的信息安全专业书
自2023年4月起,“诸子笔会2023第一季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以为,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
数字化转型建设的开源安全治理实践
文 | 杨文斌
孙琦
某A+H股上市公司信息安全负责人
负责集团及各业态分子公司的信息安全管理工作,在传统行业、互联网行业有丰富的信息安全工作从业经验。
没想到一群搞安全的伙伴会提出聊聊读书这个有趣的话题,我先说一下我对于读书这件事的个人观点,读书能让我获取源源不断的能量,能让我以较低的成本学习与各路大神进行“精神交流“,不设边界的读书让我受益匪浅。
我是一名专业的信息安全工作者,每天的工作都是在数字世界用各种手段去守护数字资产的安全,确保他们不被非授权以及非预期地访问或流转。不断补充专业知识是我提升专业技能的有效手段,我总结了自己对于专业技能学习的一些心得体会,分享给大家。
在进行专业书籍的阅读前,你首先需要有一个明确的学习计划,它应该包含以下几个方面:
1.确定学习目标,明确你学这个要干什么,知道学完后你能习得什么新技能;
2.制定学习计划,给自己先制定一个月的短期计划,太长的计划容易让你放弃,太短的计划容易让你产生目标达成的错觉;
3.选择学习资源,这是非常讲究的一步,我的建议是关注目标领域的大牛,多听多看,入门就看大牛的著作,能帮你少走不少弯路;
4.安排学习时间,我不太建议把时间设置的太死,更多的还是应该根据个人的真实情况单独制定,原则是利用碎片化时间看看这个是什么,然后利用相对完整的周末思考为什么的问题,我发现这样学习的方法对我还是比较有效的;
5.检查学习进度,每周做一个小结,这样你就有了3次机会去修正你的学习目标,最后一周进行学习总结,是继续深入学习还是去做别的事情。
我的信息安全入门应该是在“红客“出现的那个年代吧,这里我对于”红客“这个词进行一个简单的介绍,它对我们这一代安全人有着巨大的影响。
红客,起源于1999年的五八事件,在美国轰炸中国驻南斯拉夫大使馆后的第二天,中国信息安全从业者苗得雨制作了第一个红客网站——“中国红客之祖国团结阵线”(随后在7月份改名为“中国红客之祖国统一战线”),其词语来源于新加坡《联合早报》的一篇报道形容的“红旗下的黑客”,由此创造出了一个新的黑客分支——“红客”。背离黑客所谓的无政府主义精神,以宣扬爱国主义下的黑客精神为主导,并引用了毛泽东青年时的话语:“国家是我们的国家,人民是我们的人民,我们不喊谁喊?我们不干谁干?“极富感染力。 -以上内容援引自Wiki (https://zh.wikipedia.org/wiki/%E7%BA%A2%E5%AE%A2)。
热血少年在那一刻只有一个想法,就是发挥自身的能量去反抗一切霸权。可现实是残忍的,毕竟专业技术能力和别人差的不是一个量级的。怎么办?开足马力学习。我记得当时没有什么专业的书籍,都是从互联网上去找资料自学,期间遇到了非常多的困难,也踩了不少坑。跟着网上的教程一步步做,结果发现自己变成了“肉鸡“,在那个杀毒软件还需要付费的年代,没有安全意识去做安全这件事情,闷着头开干,最后活生生把自己完整地暴露在互联网上。这时候如果能够有一个适合信息安全从业者的专业书单该是多么幸福的一件事情呀。
书籍的选择不能太多,我整理了一些对自己曾经受用匪浅的专业书籍供大家参考,能够满足读者当下的需要即可,读者可以根据自己的实际需要进行选择。
我仔细挑选了三本个人觉得对于不同层级的安全人员都受用的书。如果你是新手,你肯定会有一种迷失方向的感觉,因为书中的内容太难懂了,对于安全人员而言,你本身需要具备的技术能力实在是太多了,掌握一门编程语言、web学习中的html、css、js和各类数据库都需要你或多或少地了解一些,因此,良好的耐心和毅力就显得非常重要了,有很多入门小白在这一关就放弃了。对于安全老兵来说,这三本书可以成为你的参考资料,特别是第一本《windows internals》,其跟随Windows操作系统的发行版本同步更新,你需要很深地投入才能真正做到“读懂”这本书。
推荐排名第一,《windows internals》。推荐理由是它较全面地把Windows操作系统的整体结构和工作细节都做了讲解,从Windows操作系统的服务分发和调度机制、注册表、安全模型和访问控制、权限和审计等等模块入手逐一做了详细的介绍,特别是对于debug和后期我们会用到的crash dump的分析处理都有较为详细的介绍。目前最新的版本可能是该书的第七版,有条件的推荐从原版书入手,其中文译本也是不错的选择。习得本书精髓者,至少是expert级别的选手,再融会贯通地去入门一些linux的基础知识后便可大展拳脚。
作者:Mark E. Russinovich,David A. Solomon
出版社:Microsoft Press
推荐排名第二,《信息安全原理与实践》。我接触这本书的第一感觉是有点高大上,从密码学入手介绍了包含加密算法和协议、访问控制等概念,对于软件安全也做了比较清晰的说明。用现在的视角看书中内容可能有些老旧,但对于比较系统地入门信息安全领域还是十分不错的。
作者:Mark Stamp(杜瑞颖译)
出版:电子工业出版社
推荐排名第三,《白帽子讲Web安全》。相比《信息安全原理与实践》,这本书是妥妥的奔着解决问题去的,作者本人借助其深厚功力把问题逐步分解在书中的每一章内容,从宏观到具体问题,清晰的整体逻辑结构会让你在读完后有一种全方位的满足。
作者:吴翰清
出版:电子工业出版社
除了上述的专业书籍推荐外,我也会分享一些来自各种不同渠道的安全知识,比如下面的“信息安全从业者书单推荐”,见下图一,它来自于互联网,引用地址为(https://github.com/riusksk/secbook),根据这个list,我可以肯定你是不可能全部看完这些技术资源的,因此想想我推荐的那三本书,读懂它们,然后再逐步地去展开你的知识结构。
(图一)
诸子云曾经页有过一个项目, CSO知识体系及技能树 2021版(见图二),其对于信息安全的整体体系也做了一个指引,对大家也是一个很好的参考。
(图二)
专业书籍的阅读是比较枯燥的,所谓的术业有专攻也正体现在这里,我们要花大量的时间去看新知识,然后通过实践把新知识转化为技能,最后才能实现所谓的融会贯通。这其中会消耗我们大量的精力,正所谓一万小时法则也是这个意思。
我个人建议大家除了对于专业书籍的阅读外,还要增加泛读,所谓的泛读就是随便什么类型的书都要看,你觉得无聊的内容可以走马观花地看,书中吸引你的部分自然而然会让你仔细阅读。核心思想是专业人员必须具备发散思维和理解包容的能力,即多看多读能让你谦虚,在知识学习上谦虚的态度则能让你走得更远,以上便是我的一些读书心得,共勉。
推荐阅读
2023诸子笔会第一季
杨文斌 刘顺 于利新 刘志诚
推荐阅读
2022第二届诸子笔会
推荐阅读
2021首届诸子笔会