安恒“网安三剑客”：大模型时代下的网络安全实战指南_长期从事网络安全工作,具有丰富的项目实战经验

🤟 基于入门网络安全/黑客打造的：👉黑客&网络安全入门&进阶学习资源包

文章目录

📑引言
一、应对措施
- 1.1 《内网渗透技术》
- 1.2 《渗透测试技术》
- 1.3 《Web应用安全》
二、大咖推荐
三、联名著作
🌤️ 尾言

📑引言

大模型风潮已掀起，各大巨头争相入局，从ChatGPT到Sora，全球的AI应用“卷出了花”。然而，网络安全人员在享受AI技术带来的便捷之余，也不得不面对一系列新兴的安全挑战，无法忽视。
对于大模型时代的数字安全问题，安恒信息的专家曾进行过如下的分析与总结：

首先是隐私泄露问题，AI大模型需要海量的数据来训练，这意味着个人敏感信息有可能在不知不觉中被吸收进模型之中，一旦这些信息泄露，后果不堪设想。比如你的购物习惯、位置信息，甚至面部识别数据可能都会落入不法分子之手。
其次是数据滥用问题，即使数据没有直接泄露，但如果AI模型被用于不当目的，比如个性化广告过度推送，假新闻的生成和传播，甚至利用AI换脸技术实施诈骗，这都会造成用户的困扰和社会问题。
然后是系统漏洞问题，AI大模型的复杂性意味着可能存在技术漏洞，黑客可以利用这些漏洞进行攻击，篡改模型输出或者窃取训练数据。
面对这些挑战，我们需要：
- 首先加强数据匿名化处理，确保训练数据中不包含可以直接追溯到个人的敏感信息；
- 其次建立严格的数据使用和访问控制机制，防止数据滥用；
- 最后对AI系统进行定期的安全审计和漏洞检测，及时修补安全漏洞。
只有通过合理的预防措施和监管政策，我们才能确保AI技术的健康发展，保护每个人的数字安全。

一、应对措施

为了应对安全技术的迅猛发展和日益严重的网络安全威胁，安恒信息与异步社区强强联手，精心打造了**‘网安三剑客’系列图书**，旨在为广大网络安全爱好者和从业人员提供一套实用、全面的学习指南。

“网安三剑客”《内网渗透技术》《渗透测试技术》《Web应用安全》
深入浅出，适合初学者的网安实战宝典
“网安三剑客”套系图书包含《内网渗透技术》《渗透测试技术》《Web应用安全》三本书。

1.1 《内网渗透技术》

本书是一本关于内网渗透技术的实用图书，旨在帮助读者深入了解内网渗透的核心概念和方法，以发现和防范网络漏洞和风险。
本书共6章，首先介绍了常见的工具使用和环境搭建，然后详细讲解了各种常见的内网渗透场景和技巧，包括信息收集、权限提升、代理穿透、横向移动等。本书以任务的形式呈现，易于理解和操作。通过阅读本书，读者能够全面了解内网渗透技术的原理和应用，提高网络安全水平。

《内网渗透技术》京东链接：https://item.jd.com/14120197.html

1.2 《渗透测试技术》

本书是一本关于渗透测试技术的实用图书，旨在帮助读者深入了解渗透测试的核心概念和方法，以便有效地发现和防范网络漏洞和风险。
本书分为七篇，共21章，从渗透测试环境搭建入手，介绍信息收集、典型Web应用漏洞利用、中间件漏洞利用、漏洞扫描、操作系统渗透、数据库渗透等。本书以任务的形式呈现，易于理解和操作。通过阅读本书，读者能够全面了解渗透测试技术的原理和应用，提高网络安全水平。

《渗透测试技术》京东链接：https://item.jd.com/14547734.html

1.3 《Web应用安全》

本书是一本关于 Web 应用安全的实用图书，旨在帮助读者深入了解 Web 应用安全的核心概念和方法，以便有效地发现和防范 Web 应用漏洞和风险。
本书分为四篇，共 22 章，先介绍 Web 安全环境的搭建，再详细讲解各种 Web 安全工具，包括轻量级代码编辑器、浏览器代理插件、Burp Suite 工具和木马连接工具，接着剖析多种 Web 应用安全漏洞及其常见的漏洞利用方式，最后基于两个真实的 Web 应用安全漏洞挖掘实战项目，帮助读者巩固对 Web 应用安全漏洞的理解，并拓展读者的 Web 应用安全测试的思路。本书以任务的形式呈现，易于理解和操作。通过阅读本书，读者能够全面了解 Web 应用安全，提升网络安全技能。

《Web应用安全》京东链接：https://item.jd.com/14555898.html

二、大咖推荐

本系列图书可以作为网安初学者的入门指南、高等院校相关专业的图书，也可以作为网安从业人员的参考书。
同时，“网安三剑客”也得到了多位产学研界名家的推荐。
这是一本引领读者深入了解“敌方阵地”的好书，教读者掌握内网渗透技术，突破网络防御，获取敏感信息，清除痕迹，从而实现完美的渗透任务。
——宣琦浙江工业大学网络空间安全研究院院长
本书的独特之处在于，它并非枯燥理论的累积，而是一本极具实战指导价值的工具书。书中融入大量真实案例，引导读者从理论走向实践。
——孙英东国家信息技术安全研究中心金融安全部安全测评室主任
本书作者通过实用的案例分析，不仅分享了丰富的渗透测试经验，还强调了策略思维和创新方法在实战应用中的重要性。
——周坤电科网安IoT工控安全负责人
本书适合初学者阅读，可帮助其快速掌握渗透测试的核心技能，进而踏上渗透测试工程师的职业道路。
——曹玉杰挚文集团应用安全负责人
随着数字信息化的不断拓展，Web应用安全的重要性日益凸显。本书将理论与实战相结合，涵盖了Web应用安全的各个方面，是一本非常好的参考书。
——李浩美图公司信息安全负责人
本书在深入剖析常见的Web应用漏洞和攻击技术的基础上，借助丰富的案例和实战环境，逐步引导读者在Web应用安全领域提升专业技能。
——杨麟德国电信国际咨询公司（中国区）咨询经理
可见，“网安三剑客”是一套极具实战指导价值的工具书。书中融入大量真实案例，引导读者从理论走向实践。

三、联名著作

“网安三剑客”由安恒信息联合四川信息职业技术学院与国网福建电力共同出品。本系列图书的作者分别来自这三所单位的一线优秀教师和工程师，可谓产学研届的强强联合：
陈新华
现任四川信息职业技术学院信息安全教研室主任，从事信息安全工作及信息安全专业建设10余年，负责信息安全技术概述、渗透测试技术等课程，参与省级精品课程和国家资源库建设，并持有CISP（注册信息安全专业人员）证书。
冯军军
现任四川信息职业技术学院教师。曾参与省级精品课程和国家资源库建设。擅长渗透测试和Web安全，活跃于多个漏洞报告平台，报告过多个CNVD漏洞。持有CISP-PTE证书，曾获第二届全国工业和信息化技能技术大赛工业互联网安全赛项职工组三等奖。
黄章清
杭州安恒信息技术股份有限公司资深安全培训工程师。长期专注于追踪与研究最新的网络安全威胁、攻击技术以及防御策略，曾在国家、省、市级别的网络安全演习和模拟攻击活动中担任裁判、红队选手及研判分析师。将个人的一线实战技能和经验提炼总结，输出《Web应用安全》《渗透测试技术》《Python安全开发》等课程。
蓝大朝
现任安恒信息网络安全培训工程师，擅长讲授网络攻防技术、应急响应、安全加固等方面的课程。曾参与过多个网络安全项目，具备扎实的理论基础和实践能力。
李力
现任四川信息职业技术学院信息安全专业教师。主要从事信息安全专业教学工作，承担信息安全技术基础、信息安全技术实训、安全攻防技术等多门课程教学，参与省级精品课程和国家资源库建设，并持有CISP（注册信息安全专业人员）证书。
雷珊珊
现任国网福建电科院网络安全技术专责。长期从事网络安全方面的工作，负责风险评估、安全保障等项目。
李肇
现任安恒信息高级培训工程师。长期从事安全服务和安全培训工作，结合一线工作经验进行课程开发，主讲方向为红蓝对抗、渗透测试等。
苗春雨
现任安恒信息首席人才官、高级副总裁，多所知名高校客座教授/硕士企业导师。15年以上网络安全从业经历，目前研究方向主要集中于网络安全防护体系、泛在物联网安全、实战型人才培养。
乔治锡
现任四川信息职业技术学院网通学院院长。具有10余年网络技术及网络安全技术工作经历，主持或参与多项精品在线课程建设。
王伦
杭州安恒信息技术股份有限公司教研部经理。曾获得浙江工匠、浙江青年工匠等荣誉称号，并持有多项国际国内权威认证。长期深耕于网络安全领域的前沿实践，带领团队参与多次国家重大保障活动和网络安全实战演练，并获得优异的成绩。擅长将技术成果高度凝练与转化，曾带领团队开发多门网络安全行业课程与图书，并应用于行业和高校的网络安全人才培养。
吴丽进
国网福建电力网络攻防专业高级专家，全国技术能手。长期从事网络安全渗透、网络安全产品研制、网络安全应急处置工作。
王泽儒
现任四川信息职业技术学院专任教师。长期从事信息安全方面的工作，积累了4年多的黑灰对抗经验。
杨益鸣
现任安恒信息安全培训工程师。多次担任浙江省安全攻防演练裁判，多次参与国家级、省级安全攻防演练，擅长技术包括Web渗透测试、应急响应等。
尹禛
现任四川信息职业技术学院信息安全专业教师。长期从事信息安全产品研发和信息安全专业教学等工作，负责网络攻防对抗、异常事件监测预警等项目，主讲Web安全、计算机取证技术等多门课程。持有国家统一法律职业资格证书（A证）。
郑州
现任国网福建电科院数字技术研究中心主任。长期从事网络安全管理工作，负责网络安全与人工智能前沿技术研究和人才培养。

🌤️ 尾言

网络安全无小事，大模型时代，网络安全的挑战愈发严峻。面对日益复杂的网络威胁，我们必须不断夯实技术基础，提升安全防护能力。而“网安三剑客”系列图书正是学习网络安全技术、提升能力的不二之选。
让我们携手努力，共同打造一个更加安全、繁荣的数字新世界。

网络安全学习路线&学习资源

在这里插入图片描述

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。
在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；
·搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；
·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；
·用Python编写漏洞的exp,然后写一个简单的网络爬虫；
·PHP基本语法学习并书写一个简单的博客系统；
·熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；
·了解Bootstrap的布局或者CSS。

8、超级黑客

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

在这里插入图片描述

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。