職責(zé)
1、進(jìn)行代碼安全檢查，配合研究總院進(jìn)行code review，實(shí)時(shí)跟蹤代碼安全狀態(tài)，負(fù)責(zé)對(duì)使用的第三方類庫(kù)和版本進(jìn)行安全跟蹤，發(fā)現(xiàn)安全問(wèn)題的第一時(shí)間進(jìn)行風(fēng)險(xiǎn)告知，并配合軟件開發(fā)方設(shè)計(jì)整改方案
2、在軟件部署過(guò)程中全程進(jìn)行網(wǎng)絡(luò)安全看護(hù)，如發(fā)現(xiàn)安全隱患，及時(shí)進(jìn)行風(fēng)險(xiǎn)告知，并配合部署團(tuán)隊(duì)進(jìn)行部署方案的整改設(shè)計(jì)；
3、在線仿真平臺(tái)研發(fā)上線后，對(duì)仿真離線軟件、在線軟件、仿真平臺(tái)等的部署環(huán)境進(jìn)行安全基線核查等網(wǎng)絡(luò)安全上線檢查工作。
4.負(fù)責(zé)滲透測(cè)試技術(shù)服務(wù)實(shí)施，對(duì)web端進(jìn)行滲透測(cè)試并編寫滲透測(cè)試報(bào)告；
5.指導(dǎo)安全漏洞修復(fù)，并對(duì)安全漏洞進(jìn)行復(fù)核；
6、網(wǎng)絡(luò)安全事件溯源及處置

要求

"（一）技能要求
1、精通滲透測(cè)試技術(shù)，熟悉常見的漏洞類型、攻擊手法和防御措施，具備豐富的實(shí)際滲透測(cè)試經(jīng)驗(yàn)，能運(yùn)用多樣化的滲透測(cè)試工具和技術(shù)，如 Burp Suite、Nessus、Metasploit 等，對(duì)公司網(wǎng)絡(luò)架構(gòu)、應(yīng)用系統(tǒng)、服務(wù)器等進(jìn)行深度漏洞探測(cè)，包括但不限于 Web 應(yīng)用漏洞、系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞等。
2、具備代碼審計(jì)能力，對(duì)開發(fā)的應(yīng)用程序代碼進(jìn)行全面審查，檢查代碼中是否存在常見的安全漏洞，如 SQL 注入、跨站腳本攻擊（XSS）、文件上傳漏洞、權(quán)限繞過(guò)漏洞等
3、熟練運(yùn)用各類漏洞掃描工具，如 Nessus、OpenVAS、Acunetix 等，能夠?qū)呙杞Y(jié)果進(jìn)行準(zhǔn)確分析和解讀，定期使用漏洞掃描工具，對(duì)公司信息資產(chǎn)進(jìn)行全面掃描，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和安全配置問(wèn)題，依據(jù)安全基線，對(duì)公司各類信息系統(tǒng)進(jìn)行定期核查，確保系統(tǒng)配置符合安全要求，及時(shí)發(fā)現(xiàn)并糾正偏離基線的情況，降低安全風(fēng)險(xiǎn)
4、具備良好的漏洞修復(fù)溝通能力，能夠與不同技術(shù)背景的人員進(jìn)行有效溝通，推動(dòng)漏洞修復(fù)工作順利進(jìn)行。
5、具備較強(qiáng)的學(xué)習(xí)能力和好奇心，能夠緊跟網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)發(fā)展趨勢(shì)，不斷學(xué)習(xí)和掌握新的安全技術(shù)和工具。
6、工作認(rèn)真負(fù)責(zé)，嚴(yán)謹(jǐn)細(xì)致，具備良好的問(wèn)題分析和解決能力，能夠在復(fù)雜的環(huán)境中快速定位和解決安全問(wèn)題。
7、具備良好的團(tuán)隊(duì)協(xié)作精神，能夠與團(tuán)隊(duì)成員密切配合，共同完成安全項(xiàng)目和任務(wù)。
（二）資質(zhì)證書
1、擁有 3 年及以上網(wǎng)絡(luò)安全相關(guān)工作經(jīng)驗(yàn)，其中至少 2 年專注于滲透測(cè)試、代碼審計(jì)等工作領(lǐng)域。
2、持有 CISP（注冊(cè)信息安全專業(yè)人員）、CISP - PTE（注冊(cè)信息安全專業(yè)人員 - 滲透測(cè)試工程師）等相關(guān)權(quán)威證書。"