2014年快结束了，新工作很轻松，但总感觉是没有主线，技术上没多大进步，梳理一下思路。

　　开始学习了两个月左右缓冲区溢出漏洞利用的技术，附带着复习汇编，学习OllyDbg、Immunity Debugger、IDA等调试器的使用，买了《软件调试》和《格蠹汇编》。漏洞利用技术的学习看完了Corelan的exploit教程，看了2本相关的纸质书《黑客攻防技术宝典-系统实战篇》和《灰帽黑客》，而且看完了恶意软件的隐藏技术《The Rootkit Arsenal》，但那段时间对未来网络安全学习什么依然不清晰。

　　后面慢慢有了一个宏观认识，以前学习的漏洞利用、程序调试技术，只在网络安全占很小一部门，即使精通又有何用。没有完整的知识体系框架，学习再多的东西，也经不起遗忘，所谓勿在浮沙筑高台亦是如此。

　　总结一些学习方向之类的问题，备忘。

　　网络安全学习可以分为几个大的模块：安全基础知识、安全产品、安全测试技术与工具、流程规范、安全解决方案。这是一个逐渐走向高层，由下而上的学习过程。首先理解透彻各种安全技术，应用技术实现哪些产品，产品如何组合使用也即安全解决方案。而安全测试技术和工具包含渗透测试、漏洞扫描、代码审计等行业工具的使用，这其中每一种工具都可能很复杂的实现，比如Fortify做的一些数据流分析工作，不需要精通其实现。网络安全的学习不是为了学习某种高深的技术，而是解决产品中遇到的安全问题，大局观很重要，安全体系结构构建完善了，在哪个点上都可以深入进去，n年后自己才会成长为网络安全专家，而不是某个技术上的专家。

一、安全基础知识

1.认证与控制【认证、访问控制】

2.密码技术【加密算法、完整性校验、数字签名、PKI基础】

3.系统加固【操作系统加固、数据库加固】

4.攻击技术【DoS/DDoS、畸形消息攻击、病毒/蠕虫/木马、xss脚本、sql注入攻击、溢出攻击……】

5.安全协议【https、ssh、sftp、SSL/TLS】

6.威胁与漏洞分析【CVSS】

7.安全标准【……】

二、安全产品

1.认证【AD/LDAP、双因子认证系统】

2.终端安全【准入控制、防病毒……】

3.网络安全【VPN、IPS、IDS、SSL VPN】

4.安全管理【脆弱性扫描及管理系统】

5.应用安全【上网行为管理、邮件安全网关、深度报文检测DPI、web安全网关、防病毒网关、数据防泄漏DLP】

三、测试技术与工具

1.测试技术【渗透测试，数据库安全测试，协议安全测试，漏洞扫描，web安全测试，网络攻击测试，配置审计】

2.代码审计工具【Fortify、Coverity、PCLnt等】

3.主机安全工具【Nessus，NMAP】

4.协议安全工具【xDefend、Wireshark、NSE-xStorm】

5.业务安全工具【……】

四、流程规范

1.设计指南

2.编码规范

3.测试规范【OWASP测试指南】

4.安全流程、法规

五、安全解决方案

终端安全、云安全、数据中心安全、移动办公安全……

　　接下来自己的学习重点是，安全基础知识，安全工具的使用，关注最新的安全事件及相应解决方案。形成自己一套完善、良好的知识体系。基础知识要在某一项上有相当深入的研究，形成自己独特的竞争力，并在研发中使自己保持好的编码能力，程序员之本。

岁末总结