解决方案-安全高级工程师-手把手教白客笔记

解决方案-安全高级工程师-手把手教白客笔记

中国民生银行总行信息科技部承担全行科技系统建设、运行维护、信息安全、信息科技风险管理等职能。近年来面对银行业转型的浪潮，围绕“科技金融银行”的发展战略，以“科技效能转化为服务效能”为目标，聚焦重点领域和业务场景，助力全行数字化转型升级。

信息安全职位及任职要求

（一）高级安全研发工程师

工作职责：

1、负责民生银行全集团信息安全技术领域的服务支撑平台架构设计和建设，负责关键技术应用攻关、复杂模块功能研发。

2、根据信息安全需求和最新技术趋势，负责开展前瞻性的技术研究，指导技术团队开展创新预研，推进安全技术与开发运维框架融合。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历，具有5年及以上多领域大型应用架构设计和开发经验，精通数据结构、开发语言和算法理论，熟悉操作系统和计算机网络，特别优秀者可适当放宽。

2、精通软件工程和大规模软件开发方法，熟悉，熟悉高性能、高并发系统设计，熟悉主流软件架构和云原生应用研发。

3、了解最新的软件技术趋势，能够对新技术引进及应用提出可行性建议，具有快速定位和分析问题的能力，具有洞察技术风险和设计解决方案的能力。

4、有丰富的项目管理和技术管理经验，有独立承担重大项目研发经验，能指导技术团队高效完成研发任务。

5、对信息安全领域研发有浓厚兴趣，具有高度责任心和抗压能力，具有较强的团队合作意识，有良好的协调沟通能力。

（二）高级安全架构师

工作职责：

1、负责制定民生银行全集团信息安全管理制度和流程，明确安全策略、规范、基线和评估要求，组织开展合规安全检查，推动信息安全管理措施的落地执行。

2、负责民生银行全集团信息安全基础设施及各安全技术领域的服务平台规划与建设，提供信息安全解决方案和安全服务支撑能力。

3、组织开展全集团网络安全攻防应急演练，持续推进实战化攻防对抗能力提升，完善信息安全事件的响应、分析与处置效率。

4、负责跟踪业界网络安全威胁态势，组织开展前沿技术调研和创新预研，推进安全技术创新应用孵化及试点。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历，具有信息安全领域5年及以上相关工作经验，精通信息安全相关法律法规、标准、技术规范，具有安全某领域全面、深入的理论知识和实践经验，特别优秀者可适当放宽。

2、熟悉主流网络安全产品及技术的使用，具有丰富的信息安全项目实施、攻防实战、信息安全事件处置及等经验，能指导技术团队高效完成研发任务，能够推动相关安全领域整体水平提升。

3、具有高度责任心和抗压能力，具有较强的团队合作意识，有良好的协调沟通能力。

4、具有较强的创新意识，对信息安全技术应用发展方向有一定的思考，能够提出可行性建议和解决方案，能够推动安全要求的落地。

5、具有网络及信息安全相关认证者优先（如CISP、CISA、CISSP等）。

（三）安全研发工程师

工作职责：

1、负责民生银行全集团信息安全技术领域的服务支撑平台建设。

2、负责民生银行全集团PC端、智能移动终端、物联网终端、边缘设备、服务器等多类型设备、多操作系统环境中的安全产品和组件研发。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历，具有扎实的计算机基础，对数据结构、算法、操作系统、计算机网络有深入了解。

2、熟悉常见技术框架，具有扎实的JAVA技术基础，或具有扎实的C,,技术基础，或熟悉基于、、iOS、鸿蒙等终端应用研发技术。

3、具有银行或互联网公司应用平台研发经验，或具有安全领域产品研发经验，熟悉微服务框架，熟悉服务端应用开发。

4、有良好的编码习惯，逻辑性强，善于沟通，善于学习。有自驱力和专研精神，具有快速和较强的问题解决能力。

5、对信息安全领域研发有浓厚兴趣，具有高度责任心和抗压能力，具有较强的责任心和团队合作意识，有良好的协调沟通能力。

（四）信息安全制度合规工程师

工作职责：

1、负责参与全集团信息安全管理制度体系建设，依据和等级保护要求，制定全集团信息安全管理制度和流程，明确安全策略、规范、基线和评估要求。

2、负责全行信息安全合规性安全检查，包括等级保护测评、信息安全风险评估、网络安全审查、监管机构信息安全自查等，推动信息安全管理措施的落地执行。

3、负责对接公安部、银保监会、人民银行等监管机构，配合开展信息安全检查和对接工作，对国家法律法规和监管规范进行解读、贯标，并配合落实相关部门的的合规性要求。

4、参与我行数据安全防护体系的规划与建设，依据金融数据安全生命周期的规范要求，推进数据安全领域的平台建设和管理工作。

5、负责组织开展全行信息安全的宣传培训工作，提升全员信息安全防护水平和安全意识。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历，具有信息安全领域3年及以上相关工作经验，具有等级保护测评、信息安全风险评估等合规性检查工作经历。

2、熟悉信息安全相关法律法规、标准、技术规范，掌握信息安全管理和技术各领域的基础知识。

3、具有网络及信息安全相关认证者优先（如CISP、CISA、CISSP等）。

4、具有较强的责任心和团队合作意识，有良好的协调沟通能力，能够推动安全要求和解决方案的落地。

（五）安全运营工程师

工作职责：

1、负责构建全行纵深防御技术平台，在网络安全、应用安全、数据安全、安全监控与运营等技术领域，提供安全解决方案和服务支撑能力。

2、组织开展全集团网络安全攻防应急演练，持续推进实战化攻防对抗能力提升，完善信息安全事件的响应、分析与处置效率。

3、负责跟踪业界最新安全漏洞、网络安全威胁与技术、安全攻击手法，优化防御技术平台安全策略，完善信息安全事件检测、防护技术手段，提高安全运营能力。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历，具有信息安全领域2年及以上相关工作经验，熟悉信息安全相关法律法规、标准、技术规范，掌握信息安全管理和技术各领域的基础知识。

2、熟悉大型企业网络拓扑架构，熟悉大型企业数据中心网络和安全防御体系，具有多个大型企业网络风险评估或者应急响应项目经验。

3、熟悉网络入侵检测方法和技术，熟悉常用网络或安全产品技术原理，熟悉网络协议分析，能借助工具熟练进行流量安全分析。

4、熟悉常见网络渗透方法和技巧，精通web安全，熟练掌握常见漏洞原理和利用方法，参与CTF大赛并获奖经历者优先。

5、熟悉常见内网渗透方法和技巧、主机取证分析方法和技巧、木马病毒逆向分析技术等，有实际项目经验。

6、熟悉、spark、hive、storm大数据应用技术，有大数据平台建设、机器学习异常分析等相关项目经验者优先。

（六）渗透测试工程师

工作职责：

1、独立完成大型企业的渗透测试任务，发现互联网应用系统漏洞点，绕过安全防护设备进行打点，并在内网继续实施深入渗透。

2、以实战角度开展“APT”高级可持续威胁测试，运用从点到面的深入渗透测试方法、社会工程学测试方法，互联网威胁情报信息利用，网点及物理硬件设备的安全测试。

3、参与红/蓝军对抗，开展攻防演练，对防御体系有效性进行充分验证。

4、研究最新安全攻防手段和技术或能够独立完成应用系统源代码审计工作，能提出对最新威胁的防御和检测措施，有能力编写漏洞利用脚本及渗透测试类工具。

5、参与国内外CTF类网络安全竞赛，可独立对破解类题目进行解析、对攻防模式类题目进行对抗及防护。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历。

2、熟练掌握各类型漏洞原理和预防，了解安全加固、渗透性测试和信息安全事件的应急响应，曾在CVE、CNVD、CNNVD、补天等平台提交过较多漏洞者优先。

3、熟练掌握网络攻防技术，具有实战能力，参与过大型攻防演练活动者优先。

4、熟练掌握常见安全漏洞原理及解决方案，具有安全需求分析、代码审计、渗透测试等实操经验者优先。

5、具有以下技术或经验者优先：

（1）参与国内外大型安全竞赛并取得较好成绩。

（2）具有CISSP、CISP等安全认证资质。

（七）基础安全工程师

工作职责：

1、（终端安全方向）负责全行终端安全管理，包括终端桌面管理、防病毒、终端准入、终端操作系统管理等，负责全行终端安全整体策略及基线的制定和推广工作，负责相关系统的规划建设和运行维护等工作，包括日常巡检、故障诊断与处理、事件联动处置、应急事件响应、数据统计与分析以及日常维护工作。

2、（系统安全方向）负责全行主机安全和容器安全管理，包括相关系统规划建设和运行维护等工作，负责全行主机安全和容器安全的管理流程建设、平台建设和工具研发、日常检查、安全事件处置，支撑云原生化的安全能力建设。

3、（网络安全方向）负责全行网络安全管理，包括建设网络安全制度规范、执行网络安全检查、研发网络安全管理工具、维护零信任接入平台、虚拟化操作环境及行为管理等系统。

4、（网络服务方向）负责终端网络环境管理，包括总行职场网络环境管理和全行无线网络环境管理，负责总行职场网络和全行无线网络规划、建设、维护，处理各种终端网络服务请求，为用户提供良好的网络服务，提升全行终端网络管理水平。

注：终端安全、系统安全、网络安全和网络服务为基础安全的四个独立方向。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历。

2、（终端安全方向）熟悉主流终端安全产品和技术，包括但不限于终端准入认证、终端防火墙、桌面管理、企业防病毒、资产管理、MDM、终端虚拟化等，具有终端安全方案设计和推动能力。

3、（系统安全方向）熟悉及linux操作系统的维护和管理，了解主流数据库，如、、mysql、等，了解、Tomca、BES、等中间件，了解容器K8S、和相关知识，具有良好的计算机基础，了解软件开发流程，具有java、、js等编程语言的开发经验。

4、（网络安全方向、网络服务方向）熟悉网络技术，具有大型数据中心、园区网的维护管理经验，熟悉路由、交换、无线网络、负载均衡、防火墙、和nginx代理等相关技术。

5、掌握信息安全管理和技术各领域的基础知识，具有良好的计算机基础，熟悉信息安全相关法律法规、标准、技术规范，了解云安全、云原生、零信任等相关知识，具有云平台管理经验、CISSP、CISP、网络专业认证资质者优先。

6、具有较强的责任心和团队合作意识，有良好的协调沟通能力，能够推动安全要求和解决方案的落地。

注：终端安全、系统安全、网络安全和网络服务为基础安全的四个独立方向。

（八）业务安全工程师

工作职责：

1、负责安全大数据平台开发、建设及运营。参与全行业务安全防御体系建设，如制定全行业务安全管理要求、为业务提供全流程安全解决方案等。

2、负责业务安全威胁检测模型的开发及运营，包括业务场景调研及安全风险梳理、风控策略及模型的开发和调优，持续识别业务安全风险等。

3、参与全行安全态势感知数字化运营体系建设，如全行网络安全态势感知量化指标体系开发，参与以下某一或某几个领域（网络安全、系统安全、开发安全、终端安全、主机安全、应用安全、业务安全等）的指标开发、迭代调优、可视化、态势分析等。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历，具有数据分析/业务安全相关领域2年及以上工作经验。

2、熟练掌握、R、spss等数据挖掘工具，能够针对某一主题，独立开展数据挖掘分析工作或熟悉大数据组件hdfs、spark、kafka、strom、redis，具有大数据平台开发经验。

3、工作认真、主动、注重团队合作，善于沟通，对数字及信息安全的敏感度高，使命感强。

4、熟悉信息安全风控及业务风控领域专业知识，有反欺诈或黑产对抗相关经验者优先。

（九）安全开发工程师

工作职责：

1、负责对民生银行应用开展安全需求评审、代码审计、安全测试、开源软件管理、漏洞黑白盒扫描等工作。

2、负责安全漏洞跟踪与分析，依据安全开发管理流程组织开展应用安全评估活动，参与我行SDL体系及相关安全能力建设。

3、参与开源技术安全体系建设，进行开源台账建立、开源漏洞分析、跟踪及整改等。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历。

2、熟悉常见技术框架，熟练一门高级语言（如C、C,,、JAVA等），具有银行或互联网公司应用平台研发经验、或安全领域产品研发经验。

3、了解信息安全事件的应急响应，了解OWASP TOP10漏洞原理和预防。

4、具有撰写安全方案、报告及相关文档的能力。

5、有良好的编码习惯，逻辑性强，工作认真、严谨，善于沟通与团队协作，能主动推进事项发展。

（十）密码技术应用工程师

工作职责：

1、负责民生银行全集团商用密码技术应用。

2、负责研发密码组件、产品及服务，负责身份认证、数据安全等密码技术应用相关平台建设。

3、负责PC端、智能移动终端、物联网终端等多类型端点及多操作系统环境下的密码产品和组件研发。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历。

2、对数据结构、算法、操作系统、计算机网络有深入了解，具有扎实的JAVA/C/C,,等编程技术基础，有良好的编码习惯，逻辑性强。

3、具有扎实的密码学基础，熟悉SM2/3/4/9等商用密码算法和应用，或熟悉隐私计算相关算法和应用。

4、熟悉金融IC卡、U宝、OTP、数字证书、TEE、FIDO等应用安全技术标准和商用密码应用。

5、具有信息安全领域研发经验或有浓厚兴趣，有自驱力和专研精神，有较强的责任心和团队合作意识，有良好的协调沟通能力，具有抗压能力和问题解决能力。

（十一）身份和访问控制管理工程师

工作职责：

1、负责民生银行全集团身份和访问控制管理体系和支撑平台建设。

2、负责民生银行全集团用户和机构数据管理，负责数字身份管理、用户角色管理、数字身份鉴权、特权账户管理、访问授权管理、访问行为安全审计等核心模块服务及组件的设计与开发。

3、负责制定身份鉴权、访问控制标准和集成规范。

4、负责推进应用系统服务与身份和访问控制管理能力集成，持续优化身份和访问控制管理平台的性能和服务质量。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历。

2、对身份和访问控制管理领域有深入了解，具有扎实的JAVA/C/C,,等编程技术基础，有良好的编码习惯，逻辑性强，具有高并发、高可靠性应用的研发经验者优先。

3、熟悉主流的身份认证与访问控制管理产品原理，了解相关领域行业标准，精通单点登录原理，熟悉AD、LDAP等产品，掌握OAuth、CAS、SAML、等协议，具有CISSP、CISP等安全认证资质者优先。

4、具有身份认证和访问控制领域技术架构设计和平台实施经验，或具有身份云原生研发经验，具有IDaaS、PAM研发实施经验者优先。

5、对信息安全领域研发有浓厚兴趣，具有自驱力和专研精神，有较强的责任心和团队合作意识，有良好的协调沟通能力，具有抗压能力和问题解决能力。

（十二）生物识别算法与应用工程师

工作职责：

1、负责生物识别算法及模型的研发、生物识别技术应用服务平台建设。

2、负责生物识别技术前端模组应用软件研发、集成与推广。

3、根据生物识别最新技术趋势，开展前瞻性的技术研究。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历。

2、具有扎实的计算机基础，对数据结构、算法、操作系统、计算机网络有深入了解，熟悉Linux/Unix操作系统下的C/C,,编程，或熟悉编程，有良好的编码习惯，逻辑性强。

3、熟悉深度学习框架，熟练使用、Caffe、等框架进行模型训练。

4、对人脸识别等生物特征识别相关算法有深入的了解，具有活体检测、攻击检测、属性分析等算法研发经验。

5、具有信息安全领域研发经验或有浓厚兴趣，有自驱力和专研精神，有较强的责任心和团队合作意识，有良好的协调沟通能力，具有抗压能力和问题解决能力。

（十三）移动安全研发工程师

工作职责：

1、负责、、iOS、鸿蒙等操作系统环境下，H5、小程序、SDK、APP等移动端应用安全的研发。

2、负责企业级移动环境、终端可信环境等移动安全终端环境软件及管控平台研发。

3、负责移动端威胁感知、应用加固、移动应用软件供应链安全等相关研究工作，跟进热点漏洞并研究最新的攻防技术，针对新型移动端攻击手法给出系统性解决方案。

任职要求：

1、年龄35周岁及以下，全日制本科及以上学历，职位相关专业领域2年及以上工作经验。

2、具有扎实的JAVA技术基础，或具有扎实的C,,技术基础，或熟悉基于、、iOS、鸿蒙等终端应用研发技术。

3、熟悉移动端安全产品的技术架构，熟悉VMP等加固技术的原理，具有移动端安全产品经验者优先。

4、了解反调试、反Hook手段，掌握Frida等框架的使用及脚本编写，掌握ARM汇编，具有移动加固、逆向分析经验者优先。

5、熟悉企业级移动安全终端环境软件及管控平台研发，具有EMM/MDM项目研发经验者优先。

6、掌握可行执行环境软件研发技能，具有TEE应用研发经验者优先。

7、熟悉互联网应用安全、移动应用安全等相关规范标准和监管要求。

8、具有信息安全领域研发经验或有浓厚兴趣，具有高度责任心和抗压能力，具有较强的团队合作意识，有良好的协调沟通能力。

~

网络安全学习，我们一起交流

~