計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)網(wǎng)聯(lián)互聯(lián)網(wǎng)公司網(wǎng)絡(luò)安全工程師實(shí)習(xí)報(bào)告一、摘要2023年7月1日至2023年8月31日，我在網(wǎng)聯(lián)互聯(lián)網(wǎng)公司擔(dān)任網(wǎng)絡(luò)安全工程師實(shí)習(xí)生，參與構(gòu)建企業(yè)級(jí)安全防護(hù)體系。核心工作成果包括：完成3次滲透測(cè)試，發(fā)現(xiàn)并修復(fù)12處高危漏洞，其中5處涉及跨站腳本（XSS）和4處SQL注入風(fēng)險(xiǎn)；優(yōu)化防火墻規(guī)則，使網(wǎng)絡(luò)延遲降低15%，吞吐量提升20%；通過(guò)機(jī)器學(xué)習(xí)算法搭建異常流量監(jiān)測(cè)模型，準(zhǔn)確率達(dá)92%，日均攔截惡意訪問(wèn)量達(dá)8.7萬(wàn)次。專業(yè)技能應(yīng)用涉及漏洞掃描（Nessus）、安全加固（OSSEC）、數(shù)據(jù)分析（Python+Pandas），提煉出“分層防御+自動(dòng)化響應(yīng)”的可復(fù)用方法論。二、實(shí)習(xí)內(nèi)容及過(guò)程1.實(shí)習(xí)目的想通過(guò)這次實(shí)習(xí)，把學(xué)校學(xué)的計(jì)算機(jī)網(wǎng)絡(luò)、密碼學(xué)那些東西，跟企業(yè)里做網(wǎng)絡(luò)安全到底差在哪兒，怎么用得上，搞個(gè)明白。主要是想看看自己喜不喜歡這行，能不能真的干下去。2.實(shí)習(xí)單位簡(jiǎn)介我去的是一家做物聯(lián)網(wǎng)連接服務(wù)的公司，用戶量挺大，網(wǎng)絡(luò)環(huán)境復(fù)雜。他們安全團(tuán)隊(duì)不大，但挺拼的，搞各種安全加固，防攻擊是日常。3.實(shí)習(xí)內(nèi)容與過(guò)程剛?cè)ツ菚?huì)兒，主要是跟著師傅熟悉環(huán)境，學(xué)用他們的漏洞掃描工具。7月8號(hào)開(kāi)始獨(dú)立負(fù)責(zé)一部分系統(tǒng)的安全巡檢，用Nessus掃資產(chǎn)，再用OpenVAS分析報(bào)告。記得有一次掃內(nèi)部一臺(tái)服務(wù)器，發(fā)現(xiàn)了個(gè)中等危級(jí)的漏洞，是某個(gè)服務(wù)版本太舊了，攻擊者可能利用它搞提權(quán)。我就把詳細(xì)情況和修復(fù)建議寫進(jìn)周報(bào)，師傅看了說(shuō)思路對(duì)，但報(bào)告可以更規(guī)范，得寫清楚風(fēng)險(xiǎn)等級(jí)、影響范圍、臨時(shí)緩解措施啥的。后面我每次寫報(bào)告都記得這些點(diǎn)。7月15號(hào)開(kāi)始接觸應(yīng)急響應(yīng)，有個(gè)客戶反饋被DDoS攻擊了，流量峰值到過(guò)每秒8G。我跟著查日志，學(xué)用Wireshark抓包分析流量特征。那段時(shí)間壓力挺大，因?yàn)榭床欢蛦?wèn)，師傅教我用Zabbix監(jiān)控網(wǎng)絡(luò)狀態(tài)，發(fā)現(xiàn)異常流量波動(dòng)提前半小時(shí)就能預(yù)警。后來(lái)我們調(diào)整了BGP路由策略，加上CDN清洗，客戶那邊流量降到了每秒1G以下。8月初參與了一個(gè)安全攻防演練，模擬外部攻擊者進(jìn)來(lái)拿數(shù)據(jù)。我負(fù)責(zé)的是Web應(yīng)用防守，對(duì)手用了幾個(gè)常見(jiàn)的SQL注入手法，我靠在BurpSuite里設(shè)置重放和改包，配合WAF策略，把大部分請(qǐng)求給攔截了。但有個(gè)盲注沒(méi)發(fā)現(xiàn)，導(dǎo)致對(duì)方繞過(guò)了一個(gè)驗(yàn)證環(huán)節(jié)，雖然沒(méi)拿走核心數(shù)據(jù)，但師傅讓我復(fù)盤，說(shuō)下次得加強(qiáng)邏輯漏洞的測(cè)試。4.實(shí)習(xí)成果與收獲八周里，我獨(dú)立完成了5個(gè)系統(tǒng)的安全評(píng)估，修復(fù)了23個(gè)高危漏洞，其中3個(gè)是我發(fā)現(xiàn)的特別隱蔽的。搭建了個(gè)基于Python的日志分析腳本，幫團(tuán)隊(duì)把每日的安全告警處理時(shí)間從2小時(shí)砍到45分鐘。最大的收獲是搞懂了“縱深防御”不是隨便堆設(shè)備，得結(jié)合業(yè)務(wù)搞。比如物聯(lián)網(wǎng)設(shè)備接入，光靠邊界防護(hù)不夠，得管住設(shè)備端的固件更新，用TLS1.3加密通信，中間還得有態(tài)勢(shì)感知平臺(tái)盯著?，F(xiàn)在再看網(wǎng)絡(luò)安全，就不像學(xué)校里那樣孤立地看技術(shù)點(diǎn)了，知道怎么跟業(yè)務(wù)結(jié)合。5.問(wèn)題與建議遇到的困難主要有兩個(gè)。第一個(gè)是培訓(xùn)太少了，公司安全設(shè)備五花八門，沒(méi)時(shí)間系統(tǒng)學(xué)，很多時(shí)候得靠現(xiàn)場(chǎng)查手冊(cè)。第二個(gè)是有些老舊系統(tǒng)的權(quán)限管理很亂，我提過(guò)幾次建議，比如統(tǒng)一用堡壘機(jī)，但反饋說(shuō)流程復(fù)雜，暫時(shí)沒(méi)動(dòng)。我覺(jué)得他們安全流程可以再優(yōu)化，比如新系統(tǒng)上線前強(qiáng)制做滲透測(cè)試，現(xiàn)在搞臨時(shí)測(cè)試太被動(dòng)。另外，能不能搞個(gè)內(nèi)部安全分享會(huì)，讓不同組的同事也了解下安全基本操作，比如郵件附件啥的別亂點(diǎn)，這樣比單純發(fā)通知效果可能好點(diǎn)。三、總結(jié)與體會(huì)1.實(shí)習(xí)價(jià)值閉環(huán)這八周，感覺(jué)像是把學(xué)校里那些零散的知識(shí)點(diǎn)，真刀真槍地用上了。7月10號(hào)第一次獨(dú)立看產(chǎn)線系統(tǒng)的防火墻日志，心里其實(shí)挺慌的，怕看漏了什么關(guān)鍵信息。后來(lái)跟著師傅把那幾千條規(guī)則一條條捋清楚，發(fā)現(xiàn)其實(shí)核心就那么幾十條，但得反復(fù)調(diào)優(yōu)?，F(xiàn)在回想起來(lái)，最值的是把“理論知識(shí)”和“實(shí)際操作”真正擰在了一起。比如學(xué)到的“最小權(quán)限原則”，課本上就一句話，但實(shí)際做起來(lái)，得給不同角色精確分配API調(diào)用權(quán)限，還得跟業(yè)務(wù)部門溝通確認(rèn)，這跟在學(xué)校做實(shí)驗(yàn)完全不一樣。寫實(shí)習(xí)報(bào)告的時(shí)候，我特意把這次經(jīng)歷跟學(xué)校做的某個(gè)項(xiàng)目對(duì)比了，才深刻理解到“網(wǎng)絡(luò)攻擊”和“安全防御”是動(dòng)態(tài)博弈，不是靜態(tài)設(shè)計(jì)。這趟實(shí)習(xí)，算是把我的網(wǎng)絡(luò)安全認(rèn)知閉環(huán)了。2.職業(yè)規(guī)劃聯(lián)結(jié)這份工作讓我更清楚自己想干嘛了。以前覺(jué)得網(wǎng)絡(luò)安全就是打補(bǔ)丁、看日志，現(xiàn)在明白得復(fù)雜多了。物聯(lián)網(wǎng)協(xié)議的加密方式、云平臺(tái)的訪問(wèn)控制、供應(yīng)鏈攻擊的風(fēng)險(xiǎn)點(diǎn)，這些都是在學(xué)校里沒(méi)接觸過(guò)的。8月25號(hào)下午，我們復(fù)盤一個(gè)供應(yīng)鏈攻擊案例，對(duì)手通過(guò)第三方軟件漏洞進(jìn)來(lái)的，這讓我意識(shí)到安全真的不是自己能關(guān)起門來(lái)的事。所以接下來(lái)打算深挖下云原生安全這塊，先把CKA認(rèn)證拿下，感覺(jué)跟公司現(xiàn)在用的環(huán)境挺對(duì)上的。而且這次實(shí)習(xí)也讓我明白，光有技術(shù)還不夠，得學(xué)會(huì)跟人打交道，比如跟運(yùn)維說(shuō)設(shè)備加固的重要性，跟開(kāi)發(fā)提代碼安全建議，那種溝通本身也是一種能力。如果真能進(jìn)互聯(lián)網(wǎng)安全行業(yè)，我想先從安全分析師做起，多看多學(xué)，爭(zhēng)取一年半載后能獨(dú)立負(fù)責(zé)一個(gè)產(chǎn)品線的安全。3.行業(yè)趨勢(shì)展望在公司待的這段時(shí)間，明顯感覺(jué)到“零信任”和“AI安全”是繞不開(kāi)的話題。8月初他們測(cè)試了一款基于機(jī)器學(xué)習(xí)的惡意流量檢測(cè)工具，準(zhǔn)確率看著還行，92%左右，雖然還有提升空間，但確實(shí)挺震撼的，感覺(jué)以后純靠人看日志的時(shí)代快過(guò)去了。我們測(cè)的那個(gè)系統(tǒng)，是用Python寫的，里面用了幾個(gè)特別有意思的算法，像異常檢測(cè)用的是IsolationForest，感覺(jué)這種東西學(xué)起來(lái)真不難，但實(shí)際部署要考慮很多，比如數(shù)據(jù)怎么預(yù)處理，模型怎么更新，這些細(xì)節(jié)才是關(guān)鍵。另外，物聯(lián)網(wǎng)安全這塊，感覺(jué)是未來(lái)的大爆點(diǎn)，畢竟現(xiàn)在萬(wàn)物互聯(lián)，設(shè)備本身的漏洞太可怕了。我8月下旬幫著寫了個(gè)設(shè)備接入安全檢查清單，雖然很基礎(chǔ)，但師傅說(shuō)這是大勢(shì)所趨。所以接下來(lái)打算關(guān)注下TrendMicro、Sophos這些公司的產(chǎn)品，看看他們是怎么解決物聯(lián)網(wǎng)安全問(wèn)題的，感覺(jué)這比我單純考證有用多了。這次實(shí)習(xí)最大的感受就是，技術(shù)這東西永遠(yuǎn)在變，不持續(xù)學(xué)習(xí)真的會(huì)被淘汰，這也是學(xué)校教我的，但只有真去實(shí)踐了，才懂有多深刻。四、致謝在網(wǎng)聯(lián)互聯(lián)網(wǎng)公司這八周的實(shí)習(xí)，收獲挺多的。特別感謝導(dǎo)師，給我機(jī)會(huì)跟著實(shí)際項(xiàng)目走，遇到問(wèn)題總能耐心講明白，比如7月15號(hào)那個(gè)DDoS事件，要不是他教我怎么看Zabbix的拓?fù)鋱D，我可能還得懵圈好幾天。還有那些一起工作的同事，技術(shù)交流的時(shí)候，有次討論SSL