计算机科学与技术网络安全实习报告

计算机科学与技术网络安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家知名网络安全公司担任网络安全实习生。在为期8周的实习中，我主要参与公司内部网络安全系统的漏洞扫描与修复工作，完成了10个部门的系统安全评估，累计修复高危漏洞23个，中危漏洞47个，并协助团队编写了3份安全加固操作手册。期间，我熟练应用Nmap、Wireshark、Metasploit等工具进行渗透测试，通过KaliLinux环境搭建实验环境，模拟钓鱼攻击测试员工安全意识，测试覆盖率达95%，发现的安全问题中80%源于配置疏漏。工作成果支撑了公司季度安全报告的数据基础，并提炼出“分层防御动态监控闭环管理”的安全优化方法论，可直接应用于同类企业的安全体系建设。

二、实习内容及过程

1.实习目的

去，那会儿实习目的挺简单的，就是想看看自己学的那些网络安全知识在真实环境里怎么用，顺便摸摸行业水有多深。具体说，就是想了解漏洞挖掘、风险评估这些活儿到底怎么落地，还有就是想练练手，把学校里学的那些理论玩意儿转化成实际操作能力。

2.实习单位简介

实习那家公司，规模不大不小，就那种典型的互联网公司，业务线多，系统复杂。安全部门也就十来个人，但活儿挺杂，什么都得管。他们用的技术栈挺全，从传统堡垒机到云安全，啥都有点，这也让我见识了挺多东西。

3.实习内容与过程

刚进去那会儿，主要是跟着师傅看他们怎么搞漏洞扫描。师傅给我安排了第一个任务，就是对公司内部10个部门的Web系统做个安全体检。我每天早上起来，就打开Nmap扫端口，然后用BurpSuite抓包，看看有没有什么明显的问题。记得有一次，我发现一个部门的API接口直接暴露了数据库密码，当时就觉得这环境太糙了。后来师傅教我，这种低级错误其实挺常见的，关键是怎么快速定位和修复。

第二周开始接触渗透测试。我负责用Metasploit模拟攻击一套测试环境，目标就是验证系统防御能力。测试环境用的是KaliLinux搭的，里面有Windows和Linux服务器，各种版本都有。期间遇到个麻烦，就是某个Linux系统的提权一直不行，试了好多办法都没用。后来师傅让我查了系统日志，发现是SELinux的问题，调整了下策略就好了。这事儿让我意识到，有时候攻击不光是技术活儿，还得懂点系统底层的东西。

实习中期，参与了一个安全加固项目，主要是帮他们优化防火墙策略。那段时间，每天对着防火墙规则表改来改去，有时候一个规则就能卡半天。团队里有个哥们儿跟我说，搞安全的人得有耐心，而且得会跟各种设备打交道，交换机、路由器、WAF，啥都得熟。后来我把公司防火墙的规则导出来，用Python写了个脚本，自动检查冲突和冗余的规则，师傅看了还挺认可。

4.实习成果与收获

8周时间，我总共完成了10个部门的系统安全评估，发现高危漏洞23个，中危47个，这些数据后来都写进了公司的季度安全报告。我还帮团队整理了3份安全加固操作手册，主要是针对常见的配置问题，比如密码策略、访问控制这些。最让我有成就感的是，通过模拟钓鱼攻击，测试了全公司95%的员工，发现80%的人连基本的钓鱼邮件都分辨不出，这直接推动了公司安全意识培训的改革。

这次实习最大的收获，就是学会了怎么把理论知识跟实际工作结合。以前在学校，搞实验环境那叫一个自由，现在得考虑成本、效率，还得跟其他部门协调。比如有一次，想在一个测试环境里搞个DNS投毒，结果影响到了其他团队的实验，最后只能调整方案。这让我明白，安全工作不光是技术问题，还得懂点组织架构和流程。

5.问题与建议

实习期间，也发现了一些问题。首先是管理上，有时候任务分配不太清晰，我得自己找活儿干，有时候会跟其他同事的工作重叠。其次是培训机制，公司安全团队虽然人不多，但技术栈挺分散，新人上手慢。我建议，可以搞个内部知识库，把常见问题和解决方案都整理好，这样新来的能快速上手。另外，岗位匹配度上，我感觉我学的有些东西用得上，但有些公司内部的工具和流程我还不太熟，建议可以多搞点入职培训，特别是那些企业特有的技术。

三、总结与体会

1.实习价值闭环

这8周，感觉像是把书桌上的理论知识搬到了实际场景里反复打磨。从最初面对真实网络环境时的手足无措，到后来能独立完成漏洞扫描和风险评估报告，每一步都挺具体的。记得7月15号左右，我负责的Web安全评估报告提交后，团队领导特意找我谈话，说报告中几个高危漏洞的描述很到位，这让我觉得之前的努力值了。实习最大的价值，就是让我明白安全工作不是孤立的，它得跟业务、跟管理紧密结合。比如我整理的那几份安全加固手册，现在同事在处理类似问题时还会参考，这种被需要的感觉挺棒的。

2.职业规划联结

实习之前，我对职业规划挺模糊的，觉得做安全就行，具体做什么都行。现在不一样了，通过实际工作，我发现自己对渗透测试和应急响应更感兴趣。特别是那次模拟钓鱼攻击，看到数据的时候，突然意识到安全意识培训的重要性，这让我萌生了往安全运营方向发展的想法。接下来打算深挖下漏洞挖掘的技术，顺便看看CISSP这类证书含金量怎么样，争取明年上半年考个P。学校里学的那些加密算法、操作系统原理，现在才真正体会到有多重要，以后得把基础打得更牢。

3.行业趋势展望

实习期间，明显感觉到行业对云安全和零信任的兴趣越来越浓。我们公司也在逐步上云，但过程中遇到了不少兼容性问题，比如某些传统防火墙策略在云环境下直接失效。有次陪师傅去现场，看到他们用ECS实例搭个测试环境，结果因为网络ACL设置不当，导致实验数据丢了半天，最后只能重做。这让我意识到，新技术不代表万能，怎么把新技术跟现有体系融合好，才是真问题。以后看行业报告，会特别关注这类落地案例，感觉这对个人发展挺重要的。

4.心态转变与未来行动

以前做实验，失败了就重开，现在可不行。7月20号左右，我尝试对一台服务器做提权测试，结果触发了告警，差点被运维拉去喝茶。虽然最后解释清楚了，但那天晚上想想，安全工作直接跟业务连续性挂钩，一点马虎不得。这种责任感是学校里学不到的。未来想多参与些实战项目，比如找个靶场多练练CTF，或者尝试写点自动化脚本提高效率。感觉现在安全领域，能动手解决问题的能力越来越吃香，得赶紧跟上节奏。

四、致谢

1.

感谢实习期间给予指导的导师，在遇到技术难题时总能耐心讲解，让我对网络安全有了更深的理解。

2.

感