top of page

林柏仁

1071611
實習報告

壹 、工作內容

​一、工作環境介紹

圖(一)
圖(二)
圖(三)
圖(四)
圖(五)

​三、實習期間完成進度

圖(六)
圖(七)

  我任職的公司是,數聯資安股份有限公司。在2/22剛報到時,公司地址坐落於台北市內湖區瑞光路218號,在五月時,遠傳將旗下財產重整,我們公司隨著遠傳的辦公室一起搬遷到了現在的內湖區港墘路220號。公司在搬遷前後只相距了大概3分鐘的腳程,同樣位於內湖科學園區,附近科技產業林立,百花齊放,眾多的公司行號齊聚在一起,成就了一個獨特且繁榮的生活圈,美食眾多,尤其是手搖杯,像是要刻意抓緊上班族的胃,幾乎所有的連鎖店都看的到,並且有著各式各樣的下午茶優惠,似乎是完美的契合了上班族的下午茶生態。

​  接著說說公司的環境,我所在的部門為「資安服務處一部」,位於現在辦公室的6樓,由於是新整理的辦公室,我們辦公室內的生活機能還算是齊全,但是辦公桌從原先的一人一角落,變成現在的開放式辦公室,是有些不習慣,有種被人看光光的感覺。

這是舊的辦公室,可以看到每個人的座位很開,一人一個角落
1.jpg
這是新的辦公室,座位很貼近,而且有固定座位的人不多,幸運的是我和另一位系上的實習生有固定座位
2_edited.jpg

​二、工作詳述

就如我上面所述,我所在的部門是「資安服務處一部」,我們部門的業務主要分為三項:

  1. 主機弱點掃描評估服務

  2. 社交工程演練

  3. 資安健診

「主機弱點掃描評估服務」主要使用自動化工具及各項網路知識,掃描客戶網路環境中的各項設備和主機,自動化軟體會送出特製的封包,藉由查看封包回傳的結果來辨識出已知的種種弱點,包含作業系統未更新、修補程式沒有安裝、網路設定出錯等等,再由我們工程師和實習生分析後,產出對應的弱點報告。主要我們會單獨或是和正職工程師前往愈掃描的客戶的網路終端所在地,在客戶的指定網段中獲取一個IP,此IP必須有權限對所有的設備進行訪問。連線確認完後,直接進行掃描,並將掃描結果帶回公司,依照客戶的需求產出一份客製化報告,也會看客戶需求以及簽約的內容,決定弱點修補建議的提供。

下圖為弱點掃描自動化工具
下圖為交付給客戶的簡報

「社交工程演練服務」為,利用釣魚信件演練的方式,加強企業員工對於釣魚信件的資安意識。我們會利用人性的弱點,依照最新時事去產製令人「想點開」的郵件內容,再將其發送至客戶的指定電子郵件地址,收件人並不會知道這是釣魚信件,若是收件人做了點閱郵件、下載附件或是打開圖片的等等動作,我們發送端會將任何的動作做紀錄,並將點擊的結果產製報告,交給客戶。

釣魚信件範例如下
我們會在該郵件中寫入特定程式語法,將指定變數=點開與否,便可以在收件人點擊郵件時,去計算使用者的行為及動作。

「資安健診」此項服務是利用工程師的專業知識,檢視客戶網路設備的種種設定是否符合基準,或是網路流量是否有指向任何惡意網站。這項服務底下包含了七大項子服務,分別是網路架構檢視、有線網路惡意活動檢視(封包監聽與分析,以及網路設備log分析)、目錄伺服器的安全設定檢視、防火牆的黑白名單設定檢視以及使用者和伺服器主機的安全檢視。這七項子服務的工時很長且複雜,需要一定的專業能力,堪稱是部門最高階的服務。

​三、實習期間完成進度

在實習至今大約十一個月的期間,做得最多的就是VA(弱點掃描服務),其中包含了和工程師一同前往客戶所在地,現場執行弱點掃描,並將掃描結果帶回來產製報告。或者是正職工程師將掃描結果帶回來,若是客制化需求較多,他們會將掃描結果以及客製化需求教給我們,讓我們來做報告產製。現在的我已經可以獨立作業系統弱點掃描,海巡署的建置案、國票證券、高檢署、國家災害防護科技中心、三民書局等等都是我負責的客戶。從專案經理的手上接到案子,到現場服務,最後報告產製都由我執行;國票證券由於是證券商,只能等假日證交所收盤時做掃描(因掃描需要的封包流量較大,怕會影響客戶的使用)的關係,我將弱點掃描的機器設定好排程,讓他時間一到自動做掃描,而我就在掃描完成後的上班日,前往國票證券與承辦人聯絡,做掃描完成後的標的確認以及機器回收,在加上後續的報告產製。
   除了上述的案子以外,我也有接手正職的掃描結果後幫忙寫客製化報告,其中我遇到印象最深刻的案子是「財政部財政資訊中心」,該單位不僅標的極多,對於客製化的要求也很多,初次掃描和複掃的結果要做對比表格,要細分每台主機的功能,還要依照財資中心下面單位的等級大小做加權排序,那份報告我總共做了一個星期才完成,晚上也都在加班,著實令人疲累。
   總的來說,這陣子的磨練已經讓我足以扛下一些案子,能夠獨立作業也讓部門能夠更好的分配工作,成為一位真正有產值的工程師。 
   今年年中時,政府公布了新的「110年共同供應契約資通安全服務品項採購規範」,其中新包含了資料庫的健診服務,部門的主任工程師將這個服務在MSSQL上的執行方法交給我研究,一共30項的檢測內容全權交由我訂定。原本在學校對MSSQL就有一定程度的了解,這次的研究讓我在料庫的安全上更加了解,更加熟悉這個語言,讓我的「武器庫」多了一項武器

4.jpg

除了工作以外,公司也十分支持我們「提升自己」,一方面是幫助我們,另一方面也是他們在培養自己的人才。在5/5時,台灣資安大會舉辦在南港展覽館,部門主管極力推薦我們實習生去,讓我們去了解競爭對手、市場現況,同時也想讓我們了解一下最新技術,還有大家都在做甚麼。

其他廠商提供的社交工程解決方案
5G網路架構

貳 、學習

​一、技術面收穫

我認為在目前接近十一個月的時間裡,進步最多毫無疑問一定是「網路架構、linux操作」,在來這裡工作以前,我就蠻明確的知道在資安服務的領域中,這兩樣一定是最基本的,所以寒假時我有花一些時間準備,但自己的進度很明顯是不夠的,一來是拖延症,二來是底子真的太差。進入公司以後,有了一位年紀比較大,領域專精在資工的學長,我從他身上學了不少東西,尤其是網路架構,在系上針對網路架構的資源與企業所需的有落差,正職手上案子很多沒空的情況下,那位學長就像行走教科書一般,手把手教我們網路知識,連子網路切割都畫給我們看,很好的補上了我們的基礎,但我想最重要的還是自學。
   除了自學帶來的,由工作逼著自己的成長也是十分重要,像是在客戶端執行弱點掃描時,網路線插上了,也跟承辦拿到IP,但就是ping不到目標IP怎麼辦?這時就是經驗加上網路知識了,像是該主機可能設有網路防火牆之類的,就可以改用其他網路語法以及架構相關的知識來確認標的,nmap、curl、arp等等都是很好用的網路工具,像是這樣的know how都有邏輯脈絡可循,只要記起來並且理解,對自己的工作能力將會有很大的進步。

​二、非技術面收穫

  在非技術面上,我認為我最大的收穫就是「分配時間」。進了公司,一切都沒辦法照著自己的步調走,尤其是手上同時進行兩三個案子,每個案子deadline都很近時,怎麼分配時間就顯得十分重要。這對有著嚴重拖延症的我來說十分痛苦,但也藉著這樣的機會希望能夠好好的修正,也讓我認知到,正確的工作排程可以讓作業更有效率,做事前先思考一下如何同時進行,才能讓自己的效率達到自己所想的。

​  再來,我認為很重要的是「品管」,每次出去的報告即是我們工程師的最後結果,無論前面做得再好,若是報告出現錯誤也沒用。因此除了技術能力以外,顧好每一次報告的品質是十分重要的,最好是能讓報告的水平近乎一致,起碼要對得起第一線的工程師,也要能對客戶交代。

​  還有,就是「溝通」,我自己是將資安服務定位成「資訊服務業」,我們和其他的工程師相比,與客戶接觸的時間多了一些,畢竟我們的服務是要去客戶端執行的。在面對客戶時,專業很重要,但也要能夠溝通,如果客戶問了問題,我們都以很專業的術語讓客戶聽不懂,那對客戶來說勢必不是一個好的體驗;面對客戶時,必須在自信和謙卑中找到一個平衡,自信的來源就是自己的專業知識,謙卑則是品格,能夠在展現自信的同時又不讓人覺得很自滿,那才是一個良好的溝通對象。

​三、自我評估與心得感想

回顧這接近十一個月的時間,若是要給我自己打一個分數,我會給自己「75分」吧!雖說與上次比起來進步了5分,但75分也就代表著還有25分的缺陷。
我認為自己有個很大的問題,也就是「極度拖延症」,做事總是等到deadline的前幾天才開始趕,尤其是deadline還有一段時間的專案,我可能放都會放到忘記,我認為光是這點,我可能已經不及格了,這樣的態度一點都不專業,能力已經不如人了,起碼態度要贏過別人吧!不然在接下來的工作生涯中,要如何與人競爭?再來,還有積極度的問題,我是一個很容易安於現狀的人,常常會認為自己已經足夠努力,安慰自己已經很棒了,總是為自己找台階下,這樣不負責任的態度,我想是很難進步的。這兩種缺點,皆來自於「惰性」,長遠來說,若是我自己不能擊倒「惰性」,我將停滯不前,原地踏步,看著同屆的同學一步一步超越自己。「沒人能替你承受痛苦,也沒人能拿走你的堅強」,我想唯有扛起一切,我才能累積實力,成就堅強的自己!
想到這裡,其實給自己打個不及格的分數我都認為合適,但我仍然給自己打了70分,因為我認為我還是有做好一些事情的,像是認知到自己技術層面的不足,有在準備證照,期許能因為這個目標,讓自己的進步有在軌道上,再來,就是「直面自己的惰性」,孫子兵法有言:「知己知彼,百戰不殆」,唯有知曉自己、知曉自己的敵人(也就是目標),才能走得順遂,才能成功,因此,我才多給了自己一點分數,同時也勉勵自己,努力是會有回報的。
很感謝公司給自己這個機會,也很感謝系上能替我們爭取實習的機會,因此我一直都是抱著感激的心在工作的。每次和經理或是主管等等的上司討論事情,都能從他們話中聽出,他們希望我們實習生是有「潛力」的,值得公司投入資源去協助我們成長,當我感受到這些的時候,我是很開心的,能夠被期待、寄予厚望,只期許自己能夠符合期待,無論是自己的期待或是上司的期待都是,我能做的也只有埋首苦幹,不斷填補自己所缺失的,期許自己能獨當一面,「在工作之前,我生為人」,不斷地督促自己不僅僅是為了工作,同時也是為了提升自己作為人的「品格」。

bottom of page