岗位职责:
(一)应用系统渗透测试与安全加固
1、主导Web应用、移动应用、主机系统的全生命周期渗透测试,覆盖需求设计、开发测试、上线运行阶段,使用Burp Suite、Metasploit、Nmap等工具完成漏洞挖掘、验证、利用及修复建议输出;
2、能够通过日志、流量、系统痕迹等线索定位安全事件根源,并输出溯源报告与防御方案
(二)数据安全治理(制度落地与合规建设)
1、能够结合业务场景设计数据全生命周期(采集、存储、传输、使用)的安全流程;
2、可牵头数据安全制度从规划到执行,包括制度编写、跨部门宣贯、执行监督与优化迭代;熟悉《数据安全法》《个人信息保护法》等法规要求,协助完善数据安全合规体系。
(三)网络架构安全升级与新技术落地
1、能针对现有网络拓扑(如多区域、多云环境)提出安全优化方案,例如调整安全域划分、强化流量管控与边界防护、设计 “最小权限” 访问规则。
(四)生产环境安全运维与巡检体系搭建
1、负责主机/容器(Linux/Windows/Docker/K8s)安全基线配置、漏洞补丁管理及异常行为监控
2、熟悉主流防火墙的策略配置、优化与自动化生成,能基于业务流量与风险变化动态调整规则;
3、熟练使用 SOC(安全运营中心)平台、安全审计工具开展日志分析,能从海量日志中识别异常访问、攻击行为,并形成巡检报告与优化建议
任职要求:
(一)基础条件:
本科及以上学历,计算机科学、网络安全、信息安全相关专业优先
5 年及以上网络安全领域实战经验,具备甲方大型企业(如金融、互联网、制造业等核心生产型企业) 或 知名乙方安全服务公司工作经历者优先
具备良好的沟通协作能力,能向业务团队清晰解释安全技术要求
能独立产出专业文档,包括技术方案、安全制度、巡检报告、漏洞分析报告等,逻辑清晰、表达精准
对AI渗透测试、云原生安全等前沿技术敏感,具备强责任心与应急响应主动性
(二)项目经验:深度参与过以下至少2类核心项目
应用系统渗透测试 / 红蓝对抗项目;
数据安全治理(制度落地、合规建设)项目;
网络架构安全升级(如 SDN、零信任改造)项目;
生产环境(含主机、容器、复杂网络)安全运维 / 巡检体系搭建项目
渗透测试与应用安全:熟练使用Burp Suite、Metasploit等工具,掌握全维度漏洞挖掘/验证/修复,具备攻击溯源与应急分析能力;
(三)技术能力
主机/容器安全:精通Linux/Windows基线配置、漏洞管理,熟悉Docker/K8s镜像安全、容器逃逸防护;
网络与策略管理:熟悉主流防火墙策略优化、自动化配置,掌握SOC平台日志分析及异常行为识别;
数据安全:了解数据分类分级、脱敏、加密技术,能设计数据全生命周期安全流程,具备合规制度建设经验;
安全产品与体系:掌握IDS/IPS、EDR等工具运维,熟悉等保2.0/ISO27001框架,能规划网络安全解决方案。