工作经历

※主要工作
内容 工作内容：
完成公司内日常业务需求，包括但不限于渗透测试项目，安全服务项目，应急响应项目，安全培训，重保值守等。
1. 渗透测试项目：模拟黑客的攻击方法，在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试，从业务、资产、数据、应用和员工等方面进行渗透，对被测系统进行全面安全评估。
2. 安全巡检项目：定期对用户的网络设备、安全设备、重要业务系统、重要终端、WebShell等进行的安全检测，检测完成后提供全面的巡检服务报告，给出存在的安全风险并提供对应的修复建议。
3. 应急响应项目：当客户发生黑客入侵、信息泄漏、恶意程序、网络流量异常等突发性安全事件时，提供远程及现场的处置、止损、恢复和溯源等安全支持，帮助客户快速处理安全事件，降低安全事件对业务的影响，并提供针对性的安全建议和解决方案。
4. 安全培训项目：通过开展全面的安全风险、安全管理体系培训，可以增强员工安全意识，提高企业安全管理水平，降低安全建设工作中由“安全短板”造成的信息安全风险。
5. 重保值守项目：在重大会议、活动或节日期间为客户提供全天候值守在客户指定期间内保障关键信息系统安全。

项目经验：
1. 浙江省公安厅渗透测试项目
项目描述：根据省公安厅要求对政府、移动运营商、企事业单位等共数百个网站信息系统进行安全评估测试。
项目职责：完成渗透测试工作
项目业绩：完成渗透测试工作，发现多个系统存在XSS跨站脚本，SQL注入，短信爆破，CSRF攻击，weblogic反序列化漏洞，Struts框架漏洞等数十个高危漏洞，提出整改建议并附加固方案。

2. 金丽衢移动安全巡检项目
项目描述：定期对金丽衢移动运营商暴露面资产进行安全巡查。
项目职责：完成安全巡检工作
项目业绩：发现多个暴露在公网上的未知资产，定期进行安全评估发现存在javarmi反序列化、xss跨站脚本、weblogic反序列化等高危漏洞，为客户提供加固建议。

3. xx公司应急响应项目
项目描述：xx公司官网被挂赌博链接对其进行排查修复
项目职责：完成应急响应工作
项目业绩：xx公司官网被挂赌博链接，经过对xx公司官网排查，发现官网目录下一个编辑器存在文件上传漏洞，可直接上传木马对网站目录进行操作修改，针对此漏洞为客户提出修复方案，并删除黑客上传的木马病毒以及赌博暗链。

4. 乌镇世界互联网大会期间信息安全保障
项目描述：在世界互联网大会之前对乌镇国际会展中心信息系统进行全面安全测试，以及互联网大会期间重保值守。
项目职责：完成重保值守工作
项目业绩：互联网大会之前针对乌镇景区信息系统与会展中心监控系统进行安全测试发现存在MS17-010，MS12-020等多个高危漏洞，提出整改建议并附加固方案。

※主要工作
内容 工作内容：
1. 完成公司日常指派的业务等级保护，渗透测试，安全服务等。
2. 公司基本网络维护，搭建信息系统。

项目经验：
1. 跟随项目组完成杭州市委组织部、湖州市市场监督管理局、51 信用卡、浙江外国语学院等二十多家公司单位的等级保护测评和安全服务项目。
项目描述：根据国家要求对重要信息系统进行等级保护测评。
项目职责：完成等级保护测评
项目业绩：从物理，网络，主机，应用，数据，管理制度等几个角度对信息系统进行全面的安全性评测，帮助客户了解信息系统整体安全情况和薄弱点。
2. 完成浙江省安全生产监督管理局、浙江省食品药品监督管理局等公司单位的渗透测试与漏洞验证工作。
3. 公司整体网络安全环境进行监测和评估。