- 目錄
崗位職責(zé)是什么
安全顧問(wèn)是一個(gè)專業(yè)角色,負(fù)責(zé)保護(hù)企業(yè)、組織或個(gè)人免受潛在的安全威脅和風(fēng)險(xiǎn)。他們通過(guò)評(píng)估安全狀況、制定預(yù)防措施和應(yīng)急計(jì)劃,確保業(yè)務(wù)的連續(xù)性和穩(wěn)定性。
崗位職責(zé)要求
1. 深入理解相關(guān)法規(guī)和標(biāo)準(zhǔn),如iso 27001、nist cybersecurity framework等。
2. 具備出色的分析和問(wèn)題解決能力,能夠識(shí)別潛在安全漏洞。
3. 熟悉各種安全工具和技術(shù),如防火墻、入侵檢測(cè)系統(tǒng)和數(shù)據(jù)加密。
4. 良好的溝通技巧,能有效傳達(dá)安全策略和最佳實(shí)踐。
5. 具備項(xiàng)目管理能力,能協(xié)調(diào)資源以實(shí)施安全改進(jìn)措施。
6. 持續(xù)關(guān)注安全行業(yè)動(dòng)態(tài),以便及時(shí)應(yīng)對(duì)新出現(xiàn)的威脅。
崗位職責(zé)描述
安全顧問(wèn)的角色涵蓋了多方面的責(zé)任,包括但不限于:
1. 風(fēng)險(xiǎn)評(píng)估:定期進(jìn)行安全審計(jì),識(shí)別潛在威脅,并評(píng)估其對(duì)企業(yè)的影響。
2. 策略制定:設(shè)計(jì)和實(shí)施全面的安全政策,確保符合行業(yè)最佳實(shí)踐和法規(guī)要求。
3. 培訓(xùn)與教育:向員工提供安全意識(shí)培訓(xùn),提高他們的防范意識(shí)。
4. 應(yīng)急響應(yīng):建立和維護(hù)應(yīng)急響應(yīng)計(jì)劃,以迅速應(yīng)對(duì)安全事件。
5. 合作與協(xié)調(diào):與it團(tuán)隊(duì)、管理層和其他部門(mén)緊密合作,確保安全措施的執(zhí)行。
6. 技術(shù)監(jiān)督:監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的安全性能,確保防護(hù)措施的有效性。
7. 合規(guī)性審查:確保企業(yè)的信息安全實(shí)踐與行業(yè)標(biāo)準(zhǔn)和法律法規(guī)保持一致。
有哪些內(nèi)容
1. 安全審計(jì):定期進(jìn)行網(wǎng)絡(luò)安全、物理安全和人員安全的全面審計(jì)。
2. 政策文檔化:編寫(xiě)和更新安全政策、程序和指南,確保清晰易懂。
3. 安全培訓(xùn):設(shè)計(jì)和實(shí)施員工安全培訓(xùn)計(jì)劃,涵蓋密碼管理、社交工程防范等。
4. 漏洞管理:跟蹤、評(píng)估和優(yōu)先處理發(fā)現(xiàn)的安全漏洞。
5. 安全咨詢:為管理層提供關(guān)于安全決策的建議,確保戰(zhàn)略層面的安全考慮。
6. 合作與溝通:與外部供應(yīng)商、合作伙伴協(xié)調(diào),確保供應(yīng)鏈的安全性。
7. 持續(xù)改進(jìn):定期審查安全措施的效果,提出改進(jìn)建議,以適應(yīng)不斷變化的風(fēng)險(xiǎn)環(huán)境。
作為安全顧問(wèn),需要在保障組織安全時(shí),兼顧效率和業(yè)務(wù)需求,以實(shí)現(xiàn)安全與業(yè)務(wù)目標(biāo)的平衡。在實(shí)際工作中,安全顧問(wèn)應(yīng)始終保持警惕,以應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)。
安全顧問(wèn)崗位職責(zé)范文
第1篇 高級(jí)安全顧問(wèn)崗位職責(zé)
高級(jí)安全咨詢顧問(wèn) 深圳市易聆科信息技術(shù)股份有限公司 深圳市易聆科信息技術(shù)股份有限公司,易聆科,易聆科 崗位職責(zé):
1.應(yīng)對(duì)客戶需求,向用戶提供信息安全咨詢等服務(wù),包括售前階段與客戶交流、編寫(xiě)咨詢方案、提供咨詢實(shí)施工作、交付咨詢項(xiàng)目;
2.承擔(dān)公司信息安全研究任務(wù),針對(duì)信息安全重點(diǎn)領(lǐng)域制定解決方案;
3.應(yīng)對(duì)培訓(xùn)需求提供面向公司內(nèi)部及外部的信息安全培訓(xùn)。
任職要求:
1.大專及以上學(xué)歷,5年以上信息安全行業(yè)工作經(jīng)驗(yàn);
2.具有中大型組織信息安全規(guī)劃、信息安全管理體系、等級(jí)保護(hù)等相關(guān)項(xiàng)目實(shí)施經(jīng)驗(yàn);
3.熟悉信息安全技術(shù)原理及應(yīng)用;
4.熟悉信息安全法律法規(guī)和標(biāo)準(zhǔn)(如網(wǎng)絡(luò)安全法、等級(jí)保護(hù)、信息安全管理體系要求等);
5.具備較好的執(zhí)行能力、溝通能力、文檔撰寫(xiě)能力、團(tuán)隊(duì)協(xié)作能力及快速學(xué)習(xí)能力。
第2篇 信息安全顧問(wèn)崗位職責(zé)
信息安全顧問(wèn) 職位要求
1、前沿安全技術(shù)的跟蹤和深入研究,能靈活運(yùn)用信息安全專業(yè)技術(shù)與信息安全管理體系的相關(guān)方法提供定制化的信息安全解決方案;
2、具備一定知識(shí)廣度,能針對(duì)安全功能、行業(yè)場(chǎng)景、業(yè)務(wù)需求等多種視角輸出總體安全解決方案;
3、跟進(jìn)業(yè)務(wù)發(fā)展,在集團(tuán)安全前沿領(lǐng)域進(jìn)行布局,通過(guò)項(xiàng)目主導(dǎo)進(jìn)行選型、落地和實(shí)施;
4、能夠與業(yè)界戰(zhàn)略同盟、監(jiān)管部門(mén)、信息安全服務(wù)廠商緊密合作,共同打造集團(tuán)信息安全防線;
5、制定云平臺(tái)安全運(yùn)營(yíng)標(biāo)準(zhǔn)和規(guī)范, 規(guī)劃云平臺(tái)系統(tǒng)安全持續(xù)改進(jìn)計(jì)劃,跟蹤安全改進(jìn)工作進(jìn)展情況,督促內(nèi)部整改
6、上級(jí)交辦的其他工作。
任職資格
專業(yè)技能要求:
1、具有非常強(qiáng)的學(xué)習(xí)能力,較好的分析問(wèn)題解決問(wèn)題的能力、歸納總結(jié)和文檔能力,能夠從行業(yè)發(fā)展趨勢(shì)等角度,分析安全需求,準(zhǔn)備技術(shù)交流材料;
2、熟悉常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)、入侵檢測(cè)思路、防御加固方案,熟悉常見(jiàn)的網(wǎng)絡(luò)訪問(wèn)控制手段和方案
3、了解國(guó)內(nèi)外信息安全產(chǎn)品、技術(shù)、政策與標(biāo)準(zhǔn),具有風(fēng)險(xiǎn)評(píng)估、安全策略設(shè)計(jì)、等級(jí)保護(hù)、安全管理體系、安全體系規(guī)劃、安全集成等實(shí)施經(jīng)驗(yàn)和項(xiàng)目管理經(jīng)驗(yàn);
4、熟悉 linu_ 系統(tǒng)攻防,了解常見(jiàn)容器技術(shù)、沙箱技術(shù)原理以及安全攻防、 流行的虛擬化技術(shù)、分布式計(jì)算、中間件、 sdn 等技術(shù)原理、安全風(fēng)險(xiǎn)及加固方案。
5、對(duì)業(yè)界安全標(biāo)準(zhǔn)有一定的了解。
業(yè)務(wù)知識(shí)要求:
1、具有安全行業(yè)、互聯(lián)網(wǎng)行業(yè)或者金融行業(yè)工作經(jīng)歷者優(yōu)先
2、具有世界500強(qiáng)或者國(guó)際知名咨詢公司經(jīng)驗(yàn)者優(yōu)先。
其他 :
1、有較強(qiáng)的溝通能力和組織協(xié)調(diào)能力;
2、表達(dá)能力強(qiáng),善于發(fā)現(xiàn)、分析和解決問(wèn)題;
3、有較強(qiáng)的時(shí)間管理和項(xiàng)目管理經(jīng)驗(yàn);
4、有較好的英文讀、寫(xiě)能力。
5、具備ccsk、cissp等證書(shū)優(yōu)先。
實(shí)際薪資面議 職位要求
1、前沿安全技術(shù)的跟蹤和深入研究,能靈活運(yùn)用信息安全專業(yè)技術(shù)與信息安全管理體系的相關(guān)方法提供定制化的信息安全解決方案;
2、具備一定知識(shí)廣度,能針對(duì)安全功能、行業(yè)場(chǎng)景、業(yè)務(wù)需求等多種視角輸出總體安全解決方案;
3、跟進(jìn)業(yè)務(wù)發(fā)展,在集團(tuán)安全前沿領(lǐng)域進(jìn)行布局,通過(guò)項(xiàng)目主導(dǎo)進(jìn)行選型、落地和實(shí)施;
4、能夠與業(yè)界戰(zhàn)略同盟、監(jiān)管部門(mén)、信息安全服務(wù)廠商緊密合作,共同打造集團(tuán)信息安全防線;
5、制定云平臺(tái)安全運(yùn)營(yíng)標(biāo)準(zhǔn)和規(guī)范, 規(guī)劃云平臺(tái)系統(tǒng)安全持續(xù)改進(jìn)計(jì)劃,跟蹤安全改進(jìn)工作進(jìn)展情況,督促內(nèi)部整改
6、上級(jí)交辦的其他工作。
任職資格
專業(yè)技能要求:
1、具有非常強(qiáng)的學(xué)習(xí)能力,較好的分析問(wèn)題解決問(wèn)題的能力、歸納總結(jié)和文檔能力,能夠從行業(yè)發(fā)展趨勢(shì)等角度,分析安全需求,準(zhǔn)備技術(shù)交流材料;
2、熟悉常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)、入侵檢測(cè)思路、防御加固方案,熟悉常見(jiàn)的網(wǎng)絡(luò)訪問(wèn)控制手段和方案
3、了解國(guó)內(nèi)外信息安全產(chǎn)品、技術(shù)、政策與標(biāo)準(zhǔn),具有風(fēng)險(xiǎn)評(píng)估、安全策略設(shè)計(jì)、等級(jí)保護(hù)、安全管理體系、安全體系規(guī)劃、安全集成等實(shí)施經(jīng)驗(yàn)和項(xiàng)目管理經(jīng)驗(yàn);
4、熟悉 linu_ 系統(tǒng)攻防,了解常見(jiàn)容器技術(shù)、沙箱技術(shù)原理以及安全攻防、 流行的虛擬化技術(shù)、分布式計(jì)算、中間件、 sdn 等技術(shù)原理、安全風(fēng)險(xiǎn)及加固方案。
5、對(duì)業(yè)界安全標(biāo)準(zhǔn)有一定的了解。
業(yè)務(wù)知識(shí)要求:
1、具有安全行業(yè)、互聯(lián)網(wǎng)行業(yè)或者金融行業(yè)工作經(jīng)歷者優(yōu)先
2、具有世界500強(qiáng)或者國(guó)際知名咨詢公司經(jīng)驗(yàn)者優(yōu)先。
其他 :
1、有較強(qiáng)的溝通能力和組織協(xié)調(diào)能力;
2、表達(dá)能力強(qiáng),善于發(fā)現(xiàn)、分析和解決問(wèn)題;
3、有較強(qiáng)的時(shí)間管理和項(xiàng)目管理經(jīng)驗(yàn);
4、有較好的英文讀、寫(xiě)能力。
5、具備ccsk、cissp等證書(shū)優(yōu)先。
第3篇 安全顧問(wèn)崗位職責(zé)
安全咨詢顧問(wèn) 杭州迪普科技股份有限公司 杭州迪普科技股份有限公司,杭州迪普,杭州迪普科技有限公司,杭州迪普科技股份有限公司,迪普科技,迪普 崗位職責(zé):
1、向用戶提供專業(yè)安全咨詢服務(wù),承擔(dān)安全咨詢服務(wù)銷售業(yè)績(jī)指標(biāo) ;
2、承擔(dān)安全服務(wù)帶動(dòng)解決方案的銷售業(yè)績(jī)指標(biāo);
3、負(fù)責(zé)安全服務(wù)帶動(dòng)解決方案的落地完成率;
4、負(fù)責(zé)安全服務(wù)與帶動(dòng)項(xiàng)目的空間挖掘;
5、負(fù)責(zé)提升所轄區(qū)域內(nèi)辦事處的安全咨詢服務(wù)能力 ;
6、收集行業(yè)安全動(dòng)態(tài),定期整理行業(yè)典型案例,能參與區(qū)域重大會(huì)議,論壇的安全咨詢服務(wù)講解;
7、負(fù)責(zé)重要客戶關(guān)系的維護(hù)和拓展。
崗位要求:
1、大學(xué)本科及以上學(xué)歷;
2、熟練掌握網(wǎng)絡(luò)、安全主流產(chǎn)品的功能和技術(shù)原理,具有解決方案等文檔編寫(xiě)能力,大型項(xiàng)目管理能力;
3、熟悉gb20984/gb31509、等保、iso27001等安全標(biāo)準(zhǔn),熟悉風(fēng)險(xiǎn)評(píng)估、安全規(guī)劃、等保測(cè)評(píng)、安全加固、滲透測(cè)試、isms體系咨詢;
4、能獨(dú)立承擔(dān)安全咨詢服務(wù)項(xiàng)目的售前工作,具備2年以上安全咨詢服務(wù)相關(guān)工作經(jīng)驗(yàn);
5、具有良好的溝通、表達(dá)、總結(jié)歸納、文檔撰寫(xiě)、ppt宣講能力;
6、具備cisp/cisa/cisaw/ccie/iso27001/pmp等資質(zhì)證書(shū)者優(yōu)先。
7、有項(xiàng)目帶隊(duì)經(jīng)驗(yàn)者優(yōu)先。
第4篇 應(yīng)用安全顧問(wèn)崗位職責(zé)
安全顧問(wèn)-應(yīng)用安全方向 具體職責(zé):
?在架構(gòu)、設(shè)計(jì)和評(píng)審階段與開(kāi)發(fā)團(tuán)隊(duì)緊密合作。
?向開(kāi)發(fā)團(tuán)隊(duì)提供專業(yè)的安全指導(dǎo)和見(jiàn)解。具體的安全控制領(lǐng)域會(huì)涉及但不限于,安全的數(shù)據(jù)庫(kù)訪問(wèn),驗(yàn)證方式,會(huì)話管理,加密技術(shù),權(quán)限設(shè)計(jì)與訪問(wèn)控制,安全測(cè)試,錯(cuò)誤處理和日志,輸入驗(yàn)證,安全存儲(chǔ)設(shè)計(jì)。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對(duì)所服務(wù)團(tuán)隊(duì)互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,提出安全需求,并評(píng)估安全要求不能達(dá)到時(shí)的風(fēng)險(xiǎn),向項(xiàng)目建議控制措施。;
?與開(kāi)發(fā)團(tuán)隊(duì)共同討論,確定安全功能設(shè)計(jì)方案,提供方案實(shí)現(xiàn)的具體建議,供開(kāi)發(fā)團(tuán)隊(duì)實(shí)現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測(cè)試方法、驗(yàn)證方法,準(zhǔn)備測(cè)試用例、工具,組織或?qū)嵤┌踩珳y(cè)試;
?與開(kāi)發(fā)團(tuán)隊(duì)共同分析測(cè)試中發(fā)現(xiàn)的問(wèn)題,提出建議,督促及時(shí)整改;
?向開(kāi)發(fā)團(tuán)隊(duì)傳授專業(yè)安全知識(shí)和技能;
?歸納總結(jié)開(kāi)發(fā)中遇到的經(jīng)驗(yàn)和教訓(xùn),形成一致的安全標(biāo)準(zhǔn)、安全功能模塊,提高開(kāi)發(fā)安全的保障水平。
?針對(duì)已使用技術(shù)和新技術(shù),創(chuàng)建開(kāi)發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。
?識(shí)別安全開(kāi)發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域,以進(jìn)一步完善安全開(kāi)發(fā)實(shí)踐和紀(jì)律,逐步建立安全的程序庫(kù)供開(kāi)發(fā)人員使用。
?與其他安全顧問(wèn)溝通和協(xié)作,相互支持,一致地優(yōu)化安全實(shí)踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項(xiàng)目、開(kāi)發(fā)團(tuán)隊(duì)緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語(yǔ)、書(shū)面表達(dá)和溝通技能。
開(kāi)發(fā)經(jīng)驗(yàn):
?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開(kāi)發(fā))企業(yè)級(jí)應(yīng)用的經(jīng)驗(yàn),并在組織中擔(dān)當(dāng)過(guò)it崗位。
?軟件開(kāi)發(fā):這個(gè)崗位不是日常的程序開(kāi)發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開(kāi)發(fā)的經(jīng)驗(yàn),尤其偏重于大型web應(yīng)用開(kāi)發(fā)項(xiàng)目。這需要掌握開(kāi)發(fā)生命周期(sdlc)的知識(shí)和web安全的實(shí)踐(如owasp實(shí)踐集)。
?編程語(yǔ)言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開(kāi)發(fā)語(yǔ)言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, aja_, fle_/silverlight。
?移動(dòng)平臺(tái):熟悉ios和安卓平臺(tái)下的開(kāi)發(fā)。
安全經(jīng)驗(yàn):
?了解通常的應(yīng)用層安全漏洞,能夠可以向開(kāi)發(fā)人員講解漏洞的原理,風(fēng)險(xiǎn)和相應(yīng)的控制。熟悉、實(shí)踐過(guò)主流應(yīng)用安全實(shí)踐集如(owasp),和移動(dòng)安全領(lǐng)域的控制。
?能夠在開(kāi)發(fā)過(guò)程中,評(píng)估安全相關(guān)的技術(shù)和功能性特性,識(shí)別威脅和脆弱的領(lǐng)域。具備參與設(shè)計(jì)階段的經(jīng)驗(yàn)。
?能夠從安全角度評(píng)審企業(yè)級(jí)應(yīng)用的代碼,借助工具的結(jié)果向開(kāi)發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實(shí)踐過(guò)安全相關(guān)的控制領(lǐng)域和措施,如身份驗(yàn)證,權(quán)限,身份管理,數(shù)據(jù)保護(hù),輸入輸出驗(yàn)證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲(chǔ)。
?具備使用動(dòng)態(tài)漏洞評(píng)估和靜態(tài)漏洞評(píng)估工具,甚至滲透測(cè)試或其他安全測(cè)試工具的經(jīng)驗(yàn)。
其他:
?5年以上工作經(jīng)驗(yàn)。
?碩士(大公司多年經(jīng)驗(yàn)本科也可)
具體職責(zé):
?在架構(gòu)、設(shè)計(jì)和評(píng)審階段與開(kāi)發(fā)團(tuán)隊(duì)緊密合作。
?向開(kāi)發(fā)團(tuán)隊(duì)提供專業(yè)的安全指導(dǎo)和見(jiàn)解。具體的安全控制領(lǐng)域會(huì)涉及但不限于,安全的數(shù)據(jù)庫(kù)訪問(wèn),驗(yàn)證方式,會(huì)話管理,加密技術(shù),權(quán)限設(shè)計(jì)與訪問(wèn)控制,安全測(cè)試,錯(cuò)誤處理和日志,輸入驗(yàn)證,安全存儲(chǔ)設(shè)計(jì)。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對(duì)所服務(wù)團(tuán)隊(duì)互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,提出安全需求,并評(píng)估安全要求不能達(dá)到時(shí)的風(fēng)險(xiǎn),向項(xiàng)目建議控制措施。;
?與開(kāi)發(fā)團(tuán)隊(duì)共同討論,確定安全功能設(shè)計(jì)方案,提供方案實(shí)現(xiàn)的具體建議,供開(kāi)發(fā)團(tuán)隊(duì)實(shí)現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測(cè)試方法、驗(yàn)證方法,準(zhǔn)備測(cè)試用例、工具,組織或?qū)嵤┌踩珳y(cè)試;
?與開(kāi)發(fā)團(tuán)隊(duì)共同分析測(cè)試中發(fā)現(xiàn)的問(wèn)題,提出建議,督促及時(shí)整改;
?向開(kāi)發(fā)團(tuán)隊(duì)傳授專業(yè)安全知識(shí)和技能;
?歸納總結(jié)開(kāi)發(fā)中遇到的經(jīng)驗(yàn)和教訓(xùn),形成一致的安全標(biāo)準(zhǔn)、安全功能模塊,提高開(kāi)發(fā)安全的保障水平。
?針對(duì)已使用技術(shù)和新技術(shù),創(chuàng)建開(kāi)發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。
?識(shí)別安全開(kāi)發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域,以進(jìn)一步完善安全開(kāi)發(fā)實(shí)踐和紀(jì)律,逐步建立安全的程序庫(kù)供開(kāi)發(fā)人員使用。
?與其他安全顧問(wèn)溝通和協(xié)作,相互支持,一致地優(yōu)化安全實(shí)踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項(xiàng)目、開(kāi)發(fā)團(tuán)隊(duì)緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語(yǔ)、書(shū)面表達(dá)和溝通技能。
開(kāi)發(fā)經(jīng)驗(yàn):
?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開(kāi)發(fā))企業(yè)級(jí)應(yīng)用的經(jīng)驗(yàn),并在組織中擔(dān)當(dāng)過(guò)it崗位。
?軟件開(kāi)發(fā):這個(gè)崗位不是日常的程序開(kāi)發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開(kāi)發(fā)的經(jīng)驗(yàn),尤其偏重于大型web應(yīng)用開(kāi)發(fā)項(xiàng)目。這需要掌握開(kāi)發(fā)生命周期(sdlc)的知識(shí)和web安全的實(shí)踐(如owasp實(shí)踐集)。
?編程語(yǔ)言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開(kāi)發(fā)語(yǔ)言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, aja_, fle_/silverlight。
?移動(dòng)平臺(tái):熟悉ios和安卓平臺(tái)下的開(kāi)發(fā)。
安全經(jīng)驗(yàn):
?了解通常的應(yīng)用層安全漏洞,能夠可以向開(kāi)發(fā)人員講解漏洞的原理,風(fēng)險(xiǎn)和相應(yīng)的控制。熟悉、實(shí)踐過(guò)主流應(yīng)用安全實(shí)踐集如(owasp),和移動(dòng)安全領(lǐng)域的控制。
?能夠在開(kāi)發(fā)過(guò)程中,評(píng)估安全相關(guān)的技術(shù)和功能性特性,識(shí)別威脅和脆弱的領(lǐng)域。具備參與設(shè)計(jì)階段的經(jīng)驗(yàn)。
?能夠從安全角度評(píng)審企業(yè)級(jí)應(yīng)用的代碼,借助工具的結(jié)果向開(kāi)發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實(shí)踐過(guò)安全相關(guān)的控制領(lǐng)域和措施,如身份驗(yàn)證,權(quán)限,身份管理,數(shù)據(jù)保護(hù),輸入輸出驗(yàn)證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲(chǔ)。
?具備使用動(dòng)態(tài)漏洞評(píng)估和靜態(tài)漏洞評(píng)估工具,甚至滲透測(cè)試或其他安全測(cè)試工具的經(jīng)驗(yàn)。
其他:
?5年以上工作經(jīng)驗(yàn)。
?碩士(大公司多年經(jīng)驗(yàn)本科也可)