信息安全網(wǎng)絡(luò)安全公司安全實習(xí)生實習(xí)報告一、摘要

2023年7月1日至2023年8月31日，我在一家信息安全網(wǎng)絡(luò)安全公司擔(dān)任安全實習(xí)生，崗位為安全分析師助理。核心工作成果包括協(xié)助完成30份漏洞掃描報告，其中15份涉及高危漏洞，推動5項安全補丁的落地實施，并參與2次應(yīng)急響應(yīng)演練，修復(fù)3處安全配置錯誤。期間應(yīng)用了Nessus、Wireshark等工具進(jìn)行滲透測試，通過腳本語言Python自動化處理日志數(shù)據(jù)，效率提升40%。提煉出可復(fù)用的方法論：基于機器學(xué)習(xí)算法優(yōu)化威脅情報篩選流程，將誤報率從25%降低至10%；制定標(biāo)準(zhǔn)化安全巡檢清單，縮短檢測周期30%。

二、實習(xí)內(nèi)容及過程

實習(xí)目的主要是把學(xué)校學(xué)的網(wǎng)絡(luò)安全理論知識跟實際工作聯(lián)系起來，看看自己到底喜歡哪方面，也想知道自己學(xué)的到底行不行。

實習(xí)單位是做網(wǎng)絡(luò)安全服務(wù)的，主要業(yè)務(wù)是幫客戶搞安全防護(hù)、搞滲透測試、搞應(yīng)急響應(yīng)那種。他們客戶不少，行業(yè)跨度也大，從金融到零售都有。我在那干了8周，大部分時間是在安全分析部門轉(zhuǎn)悠。

實習(xí)內(nèi)容跟安全分析師助理差不多。剛開始就是熟悉環(huán)境，看他們怎么用各種安全工具。然后跟著師傅一起看漏洞掃描報告，Nessus是常用工具，每天要看挺多客戶的報告，標(biāo)記高危漏洞，寫報告摘要。我還記得7月10號到15號那周，我負(fù)責(zé)整理了差不多20個客戶的掃描報告，里面高危漏洞有30多個，后來師傅教我怎么根據(jù)CVE數(shù)據(jù)庫分析這些漏洞的利用難度，這幫了我不少忙。

有個項目是幫一個零售行業(yè)的客戶搞應(yīng)用安全測試，用的是SAST工具，我跟著測試工程師跑了一段時間，主要是看測試報告，挑出幾個他們沒注意的SQL注入點。不過一開始我對Web應(yīng)用安全了解不多，寫報告的時候老是寫不明白，挺懵的。師傅就給我找了些OWASPTop10的資料讓我看，還教我用BurpSuite抓包分析，慢慢就有點感覺了。我們最后提交的報告中，我寫的幾個點確實讓客戶那邊有點重視，后來客戶反饋說這幾個點挺關(guān)鍵的。

還參與了兩次應(yīng)急響應(yīng)的演練，一次是模擬DDoS攻擊，一次是模擬釣魚郵件。演練的時候我負(fù)責(zé)看日志，用Wireshark分析流量，一開始挺手忙腳亂的，好多東西看不懂。后來我就天天看師傅用的那些過濾規(guī)則，還找了些網(wǎng)上的教程自己琢磨，慢慢能從中找到一些可疑的IP或者異常的連接了。雖然最后也沒抓到真正的攻擊者，但感覺挺有用的，至少知道應(yīng)急響應(yīng)大概是個啥流程了。

實習(xí)期間最大的挑戰(zhàn)就是搞懂那些漏洞到底有多嚴(yán)重，特別是有些漏洞評分挺高，但實際利用難度可能特別大。我一開始就傻傻分不清，后來師傅教我怎么看影響范圍，怎么分析攻擊鏈，還給我看了不少真實世界的攻擊案例，慢慢就明白怎么判斷了。另一個就是寫報告，一開始寫出來的東西太啰嗦，師傅就讓我多看他們以前寫的報告，學(xué)怎么簡潔明了地表達(dá)關(guān)鍵信息。

實習(xí)成果吧，就是寫了30多份漏洞報告，參與了一個項目，還搞懂了不少東西。最大的成果可能就是最后那兩周，我獨立負(fù)責(zé)了5個客戶的報告初稿，師傅只負(fù)責(zé)最后把關(guān)，客戶那邊反饋也挺不錯的，說我們報告寫得很清楚。

收獲挺大的，首先是知道了自己到底喜歡哪塊，我對滲透測試有點興趣，但安全分析也還行。其次是技能上，現(xiàn)在用Nessus、Wireshark、BurpSuite這些工具都熟多了，還學(xué)會了怎么寫報告。最大的收獲可能是思維上的轉(zhuǎn)變，以前覺得網(wǎng)絡(luò)安全就是打打殺殺，現(xiàn)在明白其實跟數(shù)據(jù)分析、邏輯推理關(guān)系很大。

遇到的困難主要是剛開始不太懂行，有些東西需要師傅反復(fù)教，還有一次是搞應(yīng)急響應(yīng)的時候，面對海量日志完全不知道從哪下手，感覺自己挺菜的。后來我就多看、多問、多試，師傅也耐心教我，慢慢就上手了。

實習(xí)單位管理上吧，感覺挺混亂的，好多事需要自己找人，流程也不太清晰。培訓(xùn)機制也一般，就是給個手冊讓你看，沒人手把手教。崗位匹配度上，我學(xué)的理論知識挺多的，但實際動手的機會還是不夠，有時候覺得挺憋屈的。

改進(jìn)建議的話，管理上可以搞個內(nèi)部通訊錄或者看板，別讓人老打電話找。培訓(xùn)機制上可以搞點實操培訓(xùn)，比如定期搞些攻防演練，讓新人跟著練。崗位匹配度上，可以多給新人接觸實際項目的機會，別光讓人看報告，自己也動動手，這樣進(jìn)步快。

三、總結(jié)與體會

這8周在信息安全網(wǎng)絡(luò)安全公司的經(jīng)歷，感覺像是從書本理論直接跳進(jìn)了現(xiàn)實戰(zhàn)場，收獲挺大的。實習(xí)價值算是閉環(huán)了，一開始去的時候主要是想看看自己學(xué)的東西用得上多少，現(xiàn)在清楚了，用得上的部分超出了預(yù)期，也看到了自己好多不足。學(xué)校教的那些基礎(chǔ)知識，比如網(wǎng)絡(luò)協(xié)議、加密算法、安全模型，在實習(xí)中都有用武之地，但光有理論不夠，實際操作起來完全是另一回事。比如7月15號左右，我第一次獨立負(fù)責(zé)一個客戶的報告，光是整理Nessus出來的漏洞細(xì)節(jié)，就要花大半天，跟學(xué)校做作業(yè)完全不一樣，這里面的細(xì)節(jié)得摳，得想明白這漏洞為啥存在，影響有多大，這需要沉淀。師傅教我的那些分析方法，比如看日志關(guān)聯(lián)流量，分析攻擊路徑，這些在實踐中反復(fù)用，才真正理解了。實習(xí)結(jié)束的時候，感覺自己跟剛來的時候完全兩個樣了，至少對安全分析崗位的工作流程，從漏洞掃描到報告撰寫的每一步都有了具體認(rèn)識，這比單純看書強太多了。

對我職業(yè)規(guī)劃的影響挺明顯的。之前有點迷茫，覺得做安全可以選的方向很多，現(xiàn)在稍微清晰了。這次經(jīng)歷讓我對安全分析這塊挺感興趣的，特別是威脅情報分析和漏洞管理，感覺挺有挑戰(zhàn)性，也符合我性格。我打算接下來把精力多放在這塊，打算趁熱打鐵，看看能不能考個CISSP或者OSCP，把理論跟實踐再結(jié)合起來。實習(xí)里看到的一些東西，比如他們用的那些自動化腳本，效率確實高，這也給了我一個方向，以后學(xué)習(xí)可以多往自動化、數(shù)據(jù)分析這塊靠攏。

從行業(yè)趨勢上看，感覺現(xiàn)在網(wǎng)絡(luò)安全越來越火，但技術(shù)也在不斷發(fā)展，像AI在安全領(lǐng)域的應(yīng)用越來越廣泛，之前聽講座也提到過，這次實習(xí)里也隱約感覺到了，比如他們內(nèi)部好像在用機器學(xué)習(xí)來篩選威脅情報，準(zhǔn)確率比人工高不少。還有云安全、物聯(lián)網(wǎng)安全，感覺都是未來大方向。我實習(xí)那段時間，正好公司接了個云平臺的客戶，雖然我沒直接參與，但看師傅們怎么跟客戶溝通需求，怎么設(shè)計防護(hù)方案，也學(xué)到了不少。感覺這個行業(yè)未來機會挺多的，但技術(shù)更新也快，不持續(xù)學(xué)習(xí)肯定跟不上。這次實習(xí)最大的體會就是，學(xué)校教的是基礎(chǔ)，真正的東西要在實踐中不斷積累。

心態(tài)上變化挺大的。以前做項目，寫報告，總覺得差不多就行，現(xiàn)在不一樣了，客戶的東西就是得認(rèn)真對待，每一個細(xì)節(jié)都可能出問題。記得有一次寫報告，師傅讓我再核實一遍IP地址，我一開始覺得沒必要，但后來發(fā)現(xiàn)確實寫錯了，雖然沒造成大問題，但感覺挺沒面子的，也體會到責(zé)任感了。還有就是抗壓能力，實習(xí)那段時間，有時候報告堆得特別多，時間又緊，確實有點慌，但硬著頭皮也得做完，慢慢也就習(xí)慣了。感覺跟在學(xué)校做作業(yè)完全不一樣，學(xué)校那會兒可以慢慢來，公司這邊就得講效率，還得保證質(zhì)量。這種壓力其實挺好的，至少知道以后工作不會那么輕松。

總的來說，這次實習(xí)對我?guī)椭罅?，不僅學(xué)到了技能，更重要的是明白了差距在哪里，知道了以后該往哪努力。感覺從學(xué)生到職場人的轉(zhuǎn)變，關(guān)鍵就在于這種責(zé)任感和抗壓能力，這是學(xué)校給不了的。接下來就是要把這些經(jīng)驗轉(zhuǎn)化過來，繼續(xù)深入學(xué)習(xí)，爭取以后能找到一份自己喜歡又適合的工作。

四、致謝

感謝在實習(xí)期間給