一、岗位设置目的：
在公司授权下，主要负责进行渗透测试与评估、研究安全攻防技术、跟踪和分析最新安全漏
洞、参与公司项目实施中涉及的其他安全评估等相关工作，并参与国家级网络安全攻防赛事，
协助队长完成网络安全任务。
二、岗位职责：
KRA1：技术研究(30%)
1、负责进行渗透测试与评估，挖掘安全漏洞并识别安全风险或短板，提出改进建议、排查
指导；
2、研究安全攻防技术，编写和维护用于安全测试的攻击工具、分析工具、自动化工具；
3、跟踪和分析最新安全漏洞、研究最新的攻击技术，协助队长提升团队安全渗透测试能力。
KRA2：攻防比赛与培训（30%）
1、按照集团要求，参与国家级、省级及行业级网络安全攻防比赛；
2、构建网络安全培训体系，培养网络安全人才队伍。
KRA3：重大网络安全事件响应及应急演练(25%)
1、参与重大网络攻击事件响应处置，包括漏洞应急响应、服务器入侵应急响应、威胁情报
响应等；
2、组织日常应急演练；协助队长完成重大网络攻击事件仿真演练；
KRA4：项目安全技术管控及产品研发(15%)
1、参与公司项目实施中涉及的其他安全评估、安全攻防、应急处置、培训演练等安全技术
工作；
2、协助本网络安全室各专业技术标准和程序的编制与执行；
3、承接中心产品研发及经营工作；
4、完成上级交办的其他工作。
三、任职资格
1、学历及专业：本科及以上学历，网络安全、计算机、通信、电子信息、自动化等相关专
业（满足专业技能第5条，在国内外知名网络安全比赛中作为主力队员，获得过前三名的优
秀者可适当放宽条件）。
2、工作经验：4年以上攻防渗透或漏洞挖掘经验，对工作有热情，耐心、责任心强，具备
良好沟通能力和团队意识、团队合作能力、自驱力和抗压能力。
3、职业资格：高级及以上职称或执业资格。
4、计算机能力：精通网络安全漏洞挖掘和渗透测试，熟练掌握2到3种主流编程语言，包
括但不限于：Java、PHP、Python、C/C++、Golang等；熟练使用office办公软件。
5、专业技能：
（1）深入了解各种漏洞原理（不限于WEB）、利用方式以及对防御方式有较深入理解，能
够独立挖掘/分析大中型应用漏洞；
（2）能够编写POC/EXP，熟悉免杀、能够制作免杀程序；能够分析高危漏洞原理进行
POC/EXP，能搭建各类渗透测试的演示环境，具有良好的文档编写能力；
（3）具备一定的开发能力，能独立编写相关安全工具，能将重复的工作自动化；
（4）具备快速学习能力，对前沿技术、应用实践有探索精神；
（5）在知名网站及论坛发表过文章，或在知名安全大赛中取得优秀成绩，如：大型CTF
比赛(DEFCON,XCTF)获奖经历，在逆向、PWN方向成绩突出者优先，或在各类SRC、白
帽子类网站提交过安全漏洞，或具有独立的CVE编号；
（6）参与过红队/蓝队相关技术研究工作，并将研究成果转化为实战攻防对抗成果。
6、专业知识：
（1）熟悉网络安全和信息化领域国家标准、法规及相关规定，以及公司信息化相关程序、
规定；
（2）熟练掌握渗透测试（不限于WEB），对渗透的思路有完整、系统的理解；
（3）掌握网络安全及信息技术相关准则、体系、架构规划方法论；
（4）熟悉ISO20000,ISO27001,ITIL相关理论知识；
（5）掌握网络安全等领域的知识。