中国电力科学研究院招渗透测试工程师

2013-12-03 229598人围观 ,发现 39 个不明物体 安全招聘

中国电力科学研究院(简称中国电科院)成立于1951年,是国家电网公司直属科研单位,是中国电力行业多学科、综合性的科研机构。主要从事超/特高压交直流输变电技术、电网规划分析及安全控制技术、输变电工程设计与施工技术、配用电技术以及新能源、新材料、电力电子、信息与通信、能效测评及节能等技术的研究,研究范围涵盖电力科学及其相关领域的各个方面。

渗透测试工程师(中高级)
任职资格:
1、熟悉渗透测试步骤、方法、流程,熟练使用一定量的渗透测试工具;
2、熟悉攻击的各类技术及方法,对各类操作系统、应用平台的弱点有较深入的理解;
3、熟悉常见脚本语言,能够进行WEB渗透测试,恶意代码检测和分析;
4、有一定代码编写能力,至少掌握两种以上常见编程语言;
5、主动性强,具有良好的沟通、协调和组织能力和文档编写能力;逻辑性强;
6、具有较强的责任感、具备能够独立的开展工作的能力。

工作地点:北京

薪资:8K起

联系邮箱: cybsec1@epri.sgcc.com.cn

QQ:二七二九九零一五六

这些评论亮了

  • 河蟹 回复
    估计编外人员,社保都是按照最低基数给上的。福利估计国企会有饭补,降温 暖气 春节 五一 十一等。
    不过我感觉国企全是硕士,研究生,博士。竞争激烈,内部斗争激烈。
    国企8000已经不低了。
    不知道未来10年国内安全发展会怎么样,我在行业这几年,发现甲方不舍得投钱做安全,顶多是应付一些检查。乙方很多都是靠卖产品,安服比如渗透、风险评估。都是附送的。渗透测试做的都鸡巴很一般,很多不好的风气是,乙方不是完全的帮客户提高安全,而是渗透了甲方的服务器,说你服务器多脆弱。然后就完事了。解决方案就是可以买硬件来提高安全。。
    但是尼玛逼的 很多硬件都是oem 一个出问题 死一片 。比如 某OEM vpn 某防火墙。。
    乙方忽悠甲方,甲方忽悠预算,忽悠经费,领导吃个回扣。
    安全当个性趣还可以,当做职业,目前国内没啥太大发展。
    有技术的人,工资要的高,很多甲方 乙方不舍得花钱请,觉得刚毕业的学生做到你的80%就行了。也能忽悠客户,做个渗透 写个报告。
    我尼玛见过一堆乙方做等保,咨询等项目 找大学生,1000块钱一天。有的800 500. 给个checklist 然后就组团去刷等保测评这个副本。。。
    乙方连人都不用招聘了。。多节省成本。
    不想说啥。。做安全没前途。
    想混日子 去国企,没啥压力,工作稳定。
    想赚钱 要不做黑,要不转行卖房、卖衣服。
    )76( 亮了
  • yyyyy33333 回复
    京城才8K 。。。还不如在家卖烤地瓜呢
    )41( 亮了
  • 河蟹 回复
    一群装逼的 你们有几个8K的
    )20( 亮了
  • Sasha 回复
    14楼哥们说的可以说是一个现状了。自己因为一个好哥们的关系,也算是偶然踏进这个圈子,现在在乙方工作时间不算太长,也说说就自己而言的一些所见所感吧。
    基本情况和14楼哥们说的差不多,在乙方存在一个比较大的问题就是深度不够,并且很少有真正站在客户角度出发替客户解决真正的安全层面问题的,很多时候做的都是让客户感觉很安全(甚至有时候连这个都达不到),然后捎带卖产品卖服务。当然这其中包括乙方的问题也包括甲方的问题。
    比如银行证券行业做风评十有八九是为了应付上级检查,如年度等保评审之类的,再不然就是系统或产品上线前的报备。
    流程基本都一样,乙方给甲方出报告,甲方再拿着报告找开发人员修补,而很多时候甲方的开发都是外包的,修补也只是针对那一个问题,基本属于头痛医头脚痛医脚类型的。
    再说说checklist,工作的时候见过无数的同事用checklist都是简单粗暴的对着检查点过一遍,然后整出个报告万事大吉。但那样真的有效或者说真的有意义么。
    比如说漏扫扫到一个弱口令风险,然后往报告上一pia,然后再搞个整改建议:使用8位或者12位健壮度复杂度都合规的密码就可以打完收工了。
    从做法上看确实没什么问题,正常也很合规,但如果仔细想一下,通过弱口令进去会不会发现更多的系统风险,比如控制访问措施实际做的和访谈他们说的真的一样吗?日志审计到底有没有效果?文件权限设置是不是合理?有没有外联一些2B的端口?有没有SB的管理员把配置数据直接备份到桌面(事实上,自己确实遇到过一次)
    个人觉得checklist只是一扇门,而更多更深的安全问题并不是checklist检查项上的一条那么简单,而是
    每一条背后代表的意义,通常会隐藏着更深入更巨大的安全问题。
    当然了,项目经理一般都会美其名曰项目预算有限,义正言辞的把这些问题统统pass掉,然后其他同事再讽刺你句PM不急你急个毛线,然后就没有然后。客户也不会因此跟你大吵一架。甲方通过检查、乙方不被甲方投诉,赚着该赚的钞票,看似是两全其美的情况。但是这样真的好么?我在想,如果有一天真出问题了,那一定是场很惨烈的灾难。
    但其实很多时候也不能怪乙方。安全这个东西,很多时候都有一定的滞后性,有点类似消防队干的事,不出事平时没人搭理你,出了事别人又会怨你救火不利。
    比如一个创业型的小公司,能不能填报肚子都是个问题,更别提什么安全了(有一次hack掉一个送外卖的网站,好心提醒他们,可人家根本不领情)。
    个人觉得只有当公司发展到一定规模,在业务或产品上涉及到资金流动或者是公司的核心业务时,公司才会真正的重视安全,看看多少公司的安全团队都是挂靠在运维部、开发部、某个产品部底下的就知道了。这里的重视不是说不想重视或者不愿重视,而是很多时候想归想,但能不能做到就是另一回事了。
    所以现在身边想换工作的朋友,想搞安全又还想当成事业来做的,我一般都建议他去阿里、360或者一些还在初创阶段的公司。好多公司很大力的搞安全,一般都是他们以前吃过这方面的亏,而不是真正想把安全做好。
    )14( 亮了
  • 总参三部二局局长 回复
    8k 打下手的都招不来。还熟悉两种语言。擦 以为这是买白菜啊
    )9( 亮了
发表评论

已有 39 条评论

取消
Loading...
css.php