一、工作职责

1.深入了解集团业务系统的架构、功能及安全需求，制定详细的渗透测试计划。利用各种渗透测试工具和技术，对业务系统进行全面的渗透测试，模拟黑客攻击行为，发现潜在的安全漏洞。对发现的漏洞进行详细的分析和评估，确定漏洞的危害程度和利用难度，提出修复建议。

2.定期对集团业务系统进行漏洞扫描，及时发现并报告新出现的安全漏洞。实施安全配置基线扫描，检查系统配置是否符合安全标准，识别配置不当导致的安全风险。

3.进行弱口令扫描，发现系统中存在的弱密码和默认密码，推动相关人员进行密码更新和强化。检查集团在互联网上的暴露面，包括域名、IP地址、开放端口等，识别潜在的攻击入口。

4.对渗透测试、漏洞扫描等工作中发现的安全风险进行跟踪和记录，确保问题得到及时关注和处理。与业务部门和安全团队紧密合作，推动安全风险的整改工作，确保安全漏洞得到及时修复。定期回顾和分析安全风险整改情况，评估整改效果，提出持续改进的建议。

二、任职要求

1.网络空间安全、信息安全、计算机科学与技术或网络安全相关专业本科及以上学历。

2.3年以上渗透测试或网络安全领域工作经验，具备丰富的渗透测试实战经验和案例。

3.熟悉主流渗透测试工具和技术，如Nmap、Metasploit、Burp Suite等。

4.精通网络协议、操作系统、数据库及Web应用的安全原理及漏洞利用方法。了解常见的安全标准和法规，如OWASP Top 10、CIS Controls等。具备编写渗透测试报告、漏洞修复建议等文档的能力，能够清晰、准确地表达测试结果和建议。

5.持有CISP-PTE、OSCP、CEH等相关渗透测试或信息安全认证者优先。

6.具备良好的沟通能力和团队合作精神，能够与不同部门有效协作，推动安全工作的顺利进行。