为什么要学

我们之前招聘攻防演练兼职，从以往合作经历来看，不少人可能并不清楚攻防演练工作的实际情况，仅仅把它当作一个能快速赚钱的兼职机会，每天挣点外快就好。这就导致在工作过程中，有些人会出现玩忽职守的现象，比如无聊地玩手机、与他人闲聊，因为觉得工作枯燥、难熬，感觉对自身毫无提升，只是为了赚钱而做这份兼职，或许大家也可能存在这样的心态。另外，在日常的学校学习或社会经历中，大家可能学了很多东西，但收获却颇为有限。关键在于没有掌握有效的学习方法，虽然都在学习，可学习效率和成果却有很大差异。学同样的时长，有的人学到的知识却寥寥无几。大家有没有思考过，自己与他人的差距究竟在哪？接下来，给大家分享一下我做牛马安全服务工程师的学习方法。

预热思考题

给大家两个思考题，大家可以提前思考一下：

第一个题目：

你学一个安全产品，需要了解哪些信息？

第二个题目：

专业和业余的人区别是怎么样的？我们怎样成为一个专业的人？

建立认知：背后的逻辑

我们先看几个问题：

【问题一】可以介绍下WAF吗？

【问题二】蜜罐怎么部署？

【问题三】攻防演练的规则是怎么样的？

【问题四】企业安全建设怎么做？

这里可以停三分钟，大家思考一下，你是怎么回答的？

---------------------------------------------------------

建立框架：我们如何学习

【问题一】可以介绍下WAF吗？

很多人可能只知道WAF是应用防火墙，基于规则进行拦截，但这只是一个简单的理解。实际上，学习一个网络安全产品，还应该去了解，包括它是什么、工作模式、部署架构和具体功能等。

以 WAF（Web 应用防火墙）为例

• 基础学习

定义：WAF 是应用防火墙的一种，主要做应用层的防护。

工作模式：分为透明代理、反向代理、插件模式三种。

主要功能：记录 HTTP 日志，通过审计报警对网络安全进行防御、拦截，还可利用虚拟补丁防止未修复漏洞被攻击。

• 深入学习（进阶）

了解不同时期WAF 的发展特点，如国外比较出名的Imperva，国内有基于语义规则的产品等。并对比不同产品的优缺点和市场占有率等。

【问题二】蜜罐你了解吗？蜜罐一般怎么用？

专业的人不仅要知道蜜罐可以溯源攻击者、进行反制，还要了解蜜罐简单的发展历程。

• 19年之前，蜜罐多部署在内网，伪装成端口服务来发现高精准攻击。
• 19年因攻防演练规则变化，溯源反制分值高，蜜罐多部署于外网，如伪装成 VPN 来反制攻击者。
• 20年，企业更注重自身防御，蜜罐分值改变，其使用方式也随之调整。

专业人士能根据蜜罐的历史演变，预测未来趋势，并给出合理的使用建议。

【问题三】攻防演练的规则怎么样的？

专业的人要能清楚地说明攻防演练规则的重点，如集权类系统和有重大数据的系统是攻击重点，并对比不同年份的规则，分析攻击方式和侧重点，以及未来的趋势。

【问题四】企业安全建设怎么做？

（一）救火阶段

对于从零开始构建安全体系的企业（多为制造业或传统行业），常面临病毒告警、安全事件频发甚至勒索攻击等问题。技术层面可先部署 WAF 等应用防火墙阻挡边界攻击；管理层面需建立系统上线规范、开展基线检查和制定事件响应机制，以快速应对紧急安全状况，实现短期救火目标。

（二）体系完善阶段

度过救火阶段后，企业进入体系完善期。管理上可参考 ISO27001 标准，该标准为企业安全建设体系提供了多种管理制度的标准和最佳实践参考，企业可依自身环境适配搭建管理体系。技术方面，在已有 WAF 基础上，部署主机安全、全流量、零信任等产品，并对接到态势感知平台，实现一体化运营监控，全方位完善企业安全架构。

（三）新技术应用与完善阶段

企业安全体系基本框架搭建完成后，需关注新的技术风险，如容器安全、工控安全等领域。思考如何在现有体系中融入新技术管理体系，包括相关产品选择与应用，持续推动企业安全体系进化与拓展，适应不断变化的安全环境与业务需求。

作为一名安全服务工程师，了解企业安全体系建设的不同阶段，可以更好地为客户提供建议。比如当客户询问安全建设方案时，可以根据客户所处的阶段，提出相应的产品和策略建议，包括各个产品的优缺点、使用技巧和其他客户的最佳实践等。

以上企业安全建设阶段划分没有参考标准。

积累行业实践经验

日常关注行业内大会分享，收集不同行业（如金融行业、互联网企业、央国企、制造业等）的网络安全 PPT，了解各行业最佳实践。当客户咨询时，能准确判断其所处阶段，并给出合理建议，包括该阶段可能需要的安全产品、设备以及产品的优缺点等。

学习方法与背后规律

学习网络安全产品可以采用类似 “你是谁、你从哪里来、你要到哪里去” 的框架，了解产品的原理、部署、功能、价值、历史发展和未来趋势等。这种学习方法类似于历史学中的演化思维，了解来龙去脉可以让我们对问题的理解更清晰、透彻，更好的解决客户问题。

专业与业余的区别

工作态度

专业人士始终以工作为重，不会因个人情绪或其他外界因素影响工作质量。在监控值守等任务中，专注为客户创造价值，将客户利益放在首位，而非敷衍或摸鱼。

流程规范

专业素养体现在严格遵守流程和行业规范。在渗透测试或其他网络安全工作中，若未提前报备 IP 或在业务高峰期进行影响业务的操作，可能引发客户对非法攻击的误解或造成业务中断等严重后果。专业人员应每一步操作遵循既定流程和规范，确保工作的稳定性、可追溯性与合法性。

追求卓越

专业人员会花时间寻找更好的解决方案，不满足于现状。例如使用 WAF 时，不局限于传统的基于IP封禁方式，而是探索如识别浏览器指纹等更先进有效的防护手段。通过不断迭代优化工作方法，积累独特技术优势，避免同质化，提升自身竞争力与专业价值。

知识体系

专业人士拥有完整的领域知识或成体系的知识体系，而业余人员仅掌握零散知识点。如对于 WAF，专业人员能全面阐述其原理、部署、功能、市场比较、历史发展与未来趋势等多方面内容，对整个安全体系从企业不同发展阶段应对策略到各类产品综合运用都有清晰认知，并在与客户沟通或自我学习中遵循系统逻辑，构建全面深入的知识网络。

动态进步

具备专业素养的人注重动态进步，时刻反思现有知识与技能是否足够，积极关注新兴技术（如零信任、物联网安全、供应链管理等）与理念，不断更新知识体系，以适应快速变化的网络安全行业环境，确保在专业领域始终保持前沿性与适应性，避免因行业变革而被淘汰。

总结

总之，网络安全学习尤其是防守方学习，需构建全面深入知识体系，秉持专业工作态度与学习方法，不断追求进步与创新，才能在该领域脱颖而出，实现个人价值与职业发展的双重提升。