转：信息安全应该深入底层原理 掌握安全机理才能事半功倍

From:https://zhuanlan.zhihu.com/p/27210062

 

了解信息安全行业的人都知道，信息安全领域具体工作分为两个方向：web前端安全，底层安全。

由于长久以来的媒介信息，培训机构的宣传，以及行业的特殊性，导致绝大多数人，一想到信息安全就与web安全挂钩。这是不客观的。信息安全工作方向理应包含WEB安全和底层安全。

他们有什么区别呢?通俗地讲，底层安全更注重基础和工作原理。对该行业有着更深入系统的认知。因为他们已经不仅仅局限于信息安全类工作了，而是为工作找途径，为具体的工作岗位制作工具。这个阶段的人，才能称之为“信息安全工程师”。

web 前端安全更注重工具和脚本的使用。不会涉及太深的语言代码，理论基础。这也导致了安全思维的局限性，这部分人在行业内曾被称之为：“脚本小子”。有几年资 历的叫“WEB安全工程师”但更多的这是一种尊称，是该领域的权威人士的象征。懂行的人都知道，web安全是需要有资源圈子的，否则好用的工具，你接触不 到。经验，资历，圈子的不同，就是该领域“小白”与“大神”的区别。当然并不是说这个行业一点技术含量都没有，这有两点需要解释：

1.web安全一部分工作内容是工具的使用，这些工具很多都是底层安全人员写的。一个制作者，一个使用者。这就决定着两者并不在同一层次上。没有技术上的可比性。

2. 并非所有的web安全含金量都低，这是以前的固有认知。现在有一部分脚本使用的工作者，需要掌握多种脚本语言，能根据当前的程序要求，选择合理的处理手 段。这部分人如果没有深厚的语言基础，是达不到这种要求的。毕竟一门语言如果精通，本身就很有技术含量。只是这部分人，如果想在工作上更进一步，肯定会受 制于技术的限制。在我们机构里就经常会遇到这样的情况，做过几年的web前端安全，想深入学习的时候，发现没有C语言，C++，汇编等一系列底层基础，工 作很难有进展的，进而从头学起。

当今形势下，黑客的手段愈发精进多样，“永恒之蓝”的爆发，就已经给了我们响亮的耳光。而应对于此 类事件，靠的是底安全人员，做相关病毒的分析，及补救措施。这个阶段前端安全人员只能束手无策。这也映射到具体的工作上，前端人员能挖掘什么样的漏洞、恶 意程序。都是先由底层人员，提前做好相关漏洞挖掘工作，并根据漏洞做好补丁，才得以完成。

而对于这个行业职业发展方向，信息安全人才要想在安全领域有所建树，就必须要深入底层，对整个知识体系有系统的了解，只接触前端安全，会一叶障目。不管是国家还是企业，对于该领域的人才要求肯定会逐渐向底层靠近。