网络安全招聘要点

行业总体分类

运维/技术支持

网络安全

信息安全

1.能力要求：
(1)1-3年以上相关行业工作经验；
(2)熟悉网络安全法、等级保护、ISO27001、GDPR、CCPA等要求；
(3)有做过等级保护、ISO 27001、ISO 27701、ISO 22301认证经验，懂得具体建设方法论；
(4)具有内部IT审计、信息安全审计、风险自评估实践经验；
(5)具有一定的项目管理能力，掌握项目管理方法论；
(6)能够利用英语应对日常办公，具有IS027001/CISA/CISSP/PMP/DPO/CIPP证书者优先考虑；
(7)熟悉信息安全体系架构和主流安全技术及防范手段，熟悉国家安全法规，数据保护等相关法律法规；
(8)熟悉信息系统等级保护，具有CISSP认证优先；
(9)具有很强的分析、识别和解决问题的能力，较强的沟通、协调和理解能力，执行力强。
(10)熟悉网络安全相关的法律法规、国家安全标准编写、信息安全建设技术方案、信息安全等级保护等网络安全法律法规，有CISSP、CCSP、CISP、ISO27701等安全资质优先
(11)熟悉网络安全、数据安全体系规划和建设工作，具备网络安全体系规划、总体安全策略设计、安全合规体系建设等经验者优先
(12)熟悉网络安全、数据安全责任落实、安全评估和审计等安全治理工作，具备网络安全评估、信息安全等级保护评测等经验者优先；
(13)熟悉网络安全相关资质申请，包括各类业界主流的网络和信息安全资质、标准的申请和维护。
(14)熟悉网络安全法、等级保护、ISO27001、GDPR、CCPA等要求；
(15)有做过等级保护、ISO 27001、ISO 27701、ISO 22301认证经验，懂得具体建设方法论；
(16)具有内部IT审计、信息安全审计、风险自评估实践经验；
(17)具有一定的项目管理能力，掌握项目管理方法论；
(18)能够利用英语应对日常办公，具有IS027001/CISA/CISSP/PMP/DPO/CIPP证书者优先考虑。
(19)熟悉信息安全相关体系(计算机等级保护\ISO27001)等知识，持CISSP、CISP、信息安全工程师（软考）认证优先考虑
(20)熟悉信息系统C\S和B\S架构的运行原理和相关基本系统维护，了解系统面临的网络威胁和系统本身漏洞，能通过主流安全设备和技术解决方案，完善公司网络安全防护
(21)熟悉信息安全、数据安全管理体系及行业标准，如ISO27001，ISO27701等。
(22)熟悉数据安全领域的相关个人信息保护相关国内外标准及政策法规；
(23)熟悉数据加密、数据脱敏、密码应用、数据防泄漏等数据保护技术
(24)有CDSP、CISP-DSG、CISSP等信息安全证书者优先

硬件安全

1.有CCNA、CCNP、CCIE、MCSA、MCSE、Linux相关、PMP等证书优先。
2.在网络安全领域，具备扎实的理论基础，能够清楚的阐述网络安全架构以及相关协议工作原理，持有CCIE Sec、CISP、CISSP等网络安全认证者优先；
3.熟练掌握IBM Qradar、Guardium、Resilient SIEM安全架构的设计和实施；
4.熟练掌握PaloAlto、Checkpoint、Cisco EDR安全架构的设计和实施；
5.熟练掌握主流网络安全厂商（PaloAlto、Fortinet、Checkpoint、Cisco）的产品和技术，能够独立完成中大型项目的实施和维护；
6.熟悉ISO27001、等保2.0等信息安全管理标准者优先

系统安全

攻防能力

认证

1.TCSP证书、CISM证书、CISP证书、CISSP证书、CISP-PTE证书、CISP-DSG证书、CISP-A证书、CISD证书、CCSRP证书、CISAW证书、CCRC证书、CCSK证书、CSSLP证书、CISA@证书、CISM @证书、PMP证书、ITIL v4证书、ISO 27001证书、ISO 27001 LA证书。
2.CPTE：网络安全渗透工程师证书（Certified Penetration Testing Engineer）是由工信部颁发，提升我国网络安全从业人员实战动手能力培训课程，是网络安全渗透行业准入资质认证，是企业选择网络安全保障及应用人才的标准。12800元考试费。
3.CISSP，CISM，ISO 27001, OSCP, OSCE, OSWE, CEH, CIPM, CIPP等
4.CISSP / CISM / ISO 27001 / OSCP / OSCE / OSWE / CEH / CIPM / CIPP等
5.CHE招聘好少人要（前程无忧）
6.

资质

1.熟悉常见安全漏洞的原理，危害，利用和解决方案，熟练使用各种安全测试工具。
2.熟练掌握一下任意一门语言:Python,JAVA，并可以开发工具。
3.有过web,安卓，iOS等安全渗透经验优先。
4.有过安全平台，安全工具开发落地经验优先。
5.有过安全体系建设经验优先。
6.熟悉Linux、tcp/ip网络协议，较强的独立分析问题和解决问题的能力
7.熟练掌握常见的安全服务技能，例如渗透测试、漏洞验证、风险评估等；
8.熟悉WAF、常见网络攻防、CDN原理优先；
9.有零信任产品服务运营经验优先；
10.有PMP、CISP、CISSP证书优先
11.熟悉Windows、Linux操作系统、中间件、数据库漏洞利用原理
熟悉Nexpose优先
12.掌握渗透测试步骤、方法、流程，熟练使用相关渗透测试工具；
13.掌握至少两个下面列出的技术领域：安全认证和管理、终端安全技术、网络安全技术、云平台安全技术、数据安全技术、安全漏洞挖掘和应急响应；
14.熟悉主流的互联网安全技术和安全产品，如网络安全，主机安全，应用安全，密码技术，以及防火墙等；
15.能够独立完成各种系统（主机、网络，数据库等系统）的日志审计与事件处理，要有应急响应实战经验；
16.熟悉windows/Linux操作系统应用，具备独立开展渗透工作的能力；熟悉基础的渗透技术；
17.熟悉常见的应用层、系统层、网络层漏洞及攻击原理，并能对相应的弱点给出有效的安全解决方案；
18.熟悉主流的安全攻击和防御方法，具备独立分析Web漏洞的能力；
19.掌握安全漏洞发现和利用方法，能够搭建测试环境，具备一定的实战经验
20.精通各种渗透测试方法如端口扫描、sql注入、漏洞扫描、提权、XSS等，有现场评估或CTF比赛经验者优先；
21.熟练掌握python语言，有独立写工具的经验；
22.具备前沿安全问题的跟踪研究和解决方案推广能力，具备较强的文档编写能力；
23.对安全工作有热情，沟通表达能力强，有较强的责任感。
24.3、会至少一种脚本语言，会使用常见的渗透工具如：nmap、BurpSuite；
25.4、了解主流品牌硬件服务器安全调试和配置；
26.5、具有独立分析和故障排查能力，较好的表达、学习能力及团队合作精神，较强的分析、设计和技术文档编写能力；勇于接受学习新技术并转化为公司所需的工作技能；
27.熟悉TCP/IP网络协议、密码学等知识，熟悉主流的网络安全产品，参与过网络安全架构设计和实施者优先；
28.精通XSS、SQL注入、越权等渗透技术，掌握Python、Shell中至少一门开发语言；
29.熟悉ISO27001、ITIL，有信息安全管理体系建设经验，持有CISP、CISA、ISO27001审核员等资质认证者优先；
30.熟悉信息安全理论，熟悉漏扫及渗透测试的步骤、方法、流程，能熟练使用Nessus、 Burp suite、wireshark、Sqlmap等工具；
31.了解Windows、Linux等环境下的管理工具、服务和安全防护，熟悉各类信息安全软硬件的风险点，能够进行安全加固方案的制订及实施，并有丰富的实践经验；
32.掌握Python、Java、PHP等一种或以上常见编程语言，掌握主流数据库配置和管理；
33.了解OWSAP TOP10等常见漏洞的攻击原理，并能够根据实际漏洞情况提供修复方案；
34. 精通web各种攻击渗透技术，如SQL注入，XSS等；
35.精通主流基础应用(nginx/tomcat/php/mysql)等的0day漏洞研究方法；
36.精通业界主流渗透攻击框架/渗透工具/渗透技术；
37.精通Linux系统的攻击技术（注入、溢出、提权、劫持调用等）；
38.精通Linux系统的安全框架、安全机制和安全原理。
39.熟悉攻击溯源方法，有木马、病毒、后门等方面分析技能；
40.熟悉常见渗透测试和扫描工具，如Nmap/Nessus/Burpsuite/AWVS/Metasploit等安全测试工具；
41.熟悉主流系统、网络、Web漏洞、Android/iOS APP的攻击原理、检测绕过、安全防护方案，能独立完成需求框架评审以及安全渗透测试工作；
42.具有实际应用安全落地经验，包括SDL安全流程建设，安全培训，威胁建模，威胁分析，代码审计，渗透测试，应用加固等。
43.熟悉PHP/Python/Java/ASP.NET等编程语言中至少一种，能借助安全工具独立完成源码审计工作；
44.具备良好的沟通能力，文档撰写能力，具有较强的推动能力，富有团队协作精神，能承担较大压力。
45.有CISSP、CISA、CPSP-PTE等证书优先考虑
46. 了解常见Web漏洞原理及修复方法，如SQL注入、文件上传、XSS、CSRF等；
47. 了解常见编程语言，至少能使用Python Ruby Perl Java中其中一种语言编写渗透测试工具/脚本；
48. 熟悉多种常用安全测试工具，如AppScan、Nessus、BurpSuite等；
49. 关注新的web应用、系统的漏洞、并能深入了解漏洞原理；
50. 有大型互联网安全企业或金融企业的相关工作经验优先考虑；
51.有安全管理方面的基本知识者优先考虑，如等级保护、ISO27001等；
52.持有信息安全相关证书优先考虑，如CISP、CISSP等；
53.具有较强的责任感，具备能独立开展工作的能力；
54.具有较强的分析问题和解决问题的能力，具有良好的团队合作精神。
55.熟悉当前主流网络安全设备设施工作原理，如态势感知、IPS/IDS、WAF、防病毒网关、防火墙等；
56.熟练掌握漏洞原理、危害及利用方式，对修复方案有较深的理解，有独立分析或漏洞挖掘经验；
57.了解常见的WEB安全漏洞原理及攻击特征，熟悉OWASP Top 10，能够独立完成系统渗透测试及加固、整改、回验工作；
58.熟练掌握网络协议、熟练使用抓包分析工具，能够独立开展网络安全事件分析、追踪和溯源等研判工作；
59.具备攻防能力，熟练使用攻防工具，并具备失陷研判能力，对攻击成功与否的研判能力。
60.熟悉渗透测试步骤、方法、流程、熟练渗透测试工具，可独立完成渗透测试工作；
61.熟悉防火墙、VPN、漏洞扫描、IDS、IPS、安全审计等安全产品；
62.主动性强，具有良好的沟通、协调和组织能力和文档编写能力，逻辑性强，具有较强的责任感、具备能够独立的开展工作的能力；
63.具有ctf、awd比赛经验者优先考虑。
64.持有CISP-PTE、CISSP、CISP等相关证书者优先；
65.信息安全、信息管理与信息系统、计算机、软件工程、等相关专业本科学历及以上；
66.持有CISSP、CISA 、CISM、CIPM、CIPP或其他信息安全、隐私保护相关证书将被优先考虑；持有行业渗透测试认证，例如CPTE、CPTC、GPEN 和CEH将被优先考虑；
67.熟悉WEB安全渗透和漏洞挖掘，熟悉漏洞的内在原理、检测方式、利用手段以及解决办法；
68.熟练使用metasploit、Cobalt Strike、empire 等内网渗透、权限维持攻击
69.具有良好的漏洞挖掘能力，具备新奇的漏洞利用思路
有大型攻防经验或挖掘过大型厂商高危漏洞经历优先。

开发能力

1.至少熟练一种开发语言，能够独立开发安全测试工具；
2.有CVE、CTF奖项、APT研究、物联网安全研究等相关履历哲优先。
3.熟悉shell、python、go等语言，必须要一定的脚本编程能力 ；
4.对安全具有浓厚的兴趣，熟悉主流安全漏洞的原理、危害及自动化检测方
5.可熟练使用一种或多种开发语言（如PHP/Java/Python/Lua等）和主流Web框架进行开发工作
6.理解各类安全产品的原理、系统架构及实现方式
7.具备WAF、漏洞扫描、入侵检测、DDOS检测与防护、日志安全分析、代码安全审计平台等一种或多种开发经验者优先
8.熟悉elk、kafka、storm、spark等大数据处理框架，有相关开发经验者优先
9.经常在公益SRC平台提交漏洞者优先
10.熟悉Linux系统，熟悉shell脚本，至少掌握一门shell外的脚本语言，且有1-2年编程经验；
11.熟悉数据库操作以及语法，有sql编程经验；
12.对devops有所了解，有自动化运维开发经验者尤佳。
13.熟悉Linux操作系统，计算机网络，知识体系完整扎实
14.熟悉Docker、K8S容器编排工具
15.熟悉shell、python、go至少一门语言
16.熟悉nginx/java/mysql/kafka等配置和维护
17.有使用阿里云、腾讯云、 AWS等主流云平台的经验优先
18.熟悉各种渗透测试工具并且对其原理有一定了解(不仅限于 Burpsuite、sqlmap、nmap、MSF，cobalt strike)；
19.熟悉主流系统、网络、（Web 或二进制）漏洞攻击原理、检测绕过、安全防护方案；
掌握php、python、java等脚本语言至少一种，能简单编写些小工具临时使用；

网络攻防

1.能力要求
(1)熟识安全攻防技术及漏洞原理；
(2)熟练使用安全测试相关工具；
(3)具备一定代码开发能力，可解决实际问题；
(4)有渗透测试经验者、具备安全技术类相关证书者优先；
(5)大学本科以上学历,计算机信息安全或相关专业。5年以上信息安全岗位工作经验。
(6)熟悉防火墙、IPS、WAF、VPN等技术原理及主流安全设备的配置及使用,掌握网络攻击、系统加固等安全技术;
(7)精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等;
(8)具备结合网络层安全和应用层安全建立多层次安全防御联动,部署安全策略;
(9)具备信息系统安全审计、测评方法论、修复方案制定能力;
(10)熟悉网络安全等级保护测评相关工作;
(11)熟悉信息安全管理工作,具备安全控制、流程控制知识,能做出规范性逻辑思考分析
(12)熟悉常见安全工作软件，防病毒、安全评估工具等安全产品和技术；
6、熟悉常见webshell/rootkit/SQL注入、XSS、CSRF漏洞原理，具备木马的发现、分析能力及操作系统安全加固能力；
7、熟悉常见黑客攻击手法，具备对黑客行为的入侵检测能力，并能够进行简单的溯源；
8、熟悉bash、perl或python编程，具备脚本编程能力；
9、熟悉移动端基本攻防，可对app进行安全测试优先；
10、在安全社区发表过优秀文章或各大src提交漏洞者优先；
11、较强的自主学习能力和英文技术资料阅读理解能力；
12、具备较好的沟通能力，文档整理能力，较强的自我驱动能力，有良好的职业道德，具备团队合作精神和沟通能力，高度的责任心；

信息安全

1.主要职责：
(1)了解信息安全合规要求，推动内部合规性建设、规范化建设工作；
(2)应对外部IT审计、上市前IT审计、主导做好内部信息安全审计；
(3)集团数据安全评估、隐私保护合规性评估及推动整改、数据跨境评估；
(4)ISO 27001、ISO 27701、ISO 22301体系建立，通过认证，持续维护；
(5)重要信息系统等保建设、维持；电商平台合规要求（PCIDSS）建设；
(6)主导做好内部风险自评估、安全评审、业务安全需求评审工作；
(7)组织员工进行信息安全培训、安全宣导，提升全员信息安全意识。
(8)负责安全项目实施和安全体系建设，安全应急响应体系建设与运营；
(9)建设针对各类安全事件的应急响应预案，并定期进行培训和演练；
(10)针对发生的安全事件进行快速响应，确保事件快速有效处置，保护业务平稳运行；
(11)推动各项安全合规制度的落地;
(12)负责公司信息安全系统和安全设备的日常管理和运维；
(13)网络安全策略实施与监控、应用系统上线支持、应急事件处理、优化方案制定及实施；
(14)检查信息安全相关系统及设备运行情况，及时发现相关的报警信息，收集信息安全数据，使用工具分析并提出优化方案，推进改善；
(15)信息安全baseline 维护，定期出具baseline 合规情况，优化baseline策略；
(16)制作信息安全数据报表，协助完成信息安全管理体系报告。

2.能力要求：
(1)1-3年以上相关行业工作经验；
(2)熟悉网络安全法、等级保护、ISO27001、GDPR、CCPA等要求；
(3)有做过等级保护、ISO 27001、ISO 27701、ISO 22301认证经验，懂得具体建设方法论；
(4)具有内部IT审计、信息安全审计、风险自评估实践经验；
(5)具有一定的项目管理能力，掌握项目管理方法论；
(6)能够利用英语应对日常办公，具有IS027001/CISA/CISSP/PMP/DPO/CIPP证书者优先考虑；
(7)熟悉信息安全体系架构和主流安全技术及防范手段，熟悉国家安全法规，数据保护等相关法律法规；
(8)熟悉信息系统等级保护，具有CISSP认证优先；
(9)具有很强的分析、识别和解决问题的能力，较强的沟通、协调和理解能力，执行力强。