安全測試中的安全校驗-tft每日頭條

安全測試中的安全校驗?【一線講述】信息安全測試員：，今天小編就來說說關于安全測試中的安全校驗?下面更多詳細答案一起來看看吧!

安全測試中的安全校驗

【一線講述】

信息安全測試員：

保護數字世界中的“人”和數據

講述人：北京知道創宇信息技術股份有限公司信息安全測試員徐得翔

信息安全測試員的工作主要有兩方面：一是“查缺補漏”，即在獲得授權的情況下，模拟黑客視角對目标網絡和業務系統進行攻擊，找出目标存在的漏洞，并提出改進建議，保證網絡及資産安全；二是“亡羊補牢”，即在系統被攻陷後，在被攻擊網絡和業務系統中查找攻擊者留下的蛛絲馬迹，提出修複建議，避免下次攻擊者從同一途徑入侵。

一個漏洞看似不起眼，卻往往會引發“蝴蝶效應”，讓整個系統崩潰。先于攻擊者發現漏洞，保護系統免受惡意攻擊，真是最有成就感的工作之一。前幾年我參與了一個安全測試項目，經過曆時兩天的反複排查，發現了一枚危險等級較高的未知漏洞，可直接獲取電腦的管理員權限。在提示了客戶這一漏洞信息後，我将這枚漏洞提交到了“國家信息安全漏洞共享平台”，獲得了平台頒發的原創漏洞證書。

安全事件溯源，需要不斷嘗試、失敗、再嘗試……有時很長時間沒有任何進展，也要耐得住寂寞，不灰心、不放棄。一次，某機構業務系統遭到黑客攻陷，網頁被竄改，系統權限變更，關鍵業務數據有被拷貝的風險。我們火速趕到現場，從數以萬計的系統運行記錄中尋找異常記錄。從早上9點一直查找到晚上10點，終于查到了攻擊非法入侵的路徑及其全部非法行為，并成功阻止。

當下，中國的信息安全測試員面臨着“需求極大、人員極少”的情況，而且随着數字化進程不斷推進，信息安全技術類人才的需求會越來越大。“信息安全測試員”成為人社部公布的新職業，今年又新增了“數據安全工程技術人員”，就是國家對信息安全工作高度重視的體現。

我國的信息技術、網絡技術、IT技術和世界先進水平還有一定差距。未來，我希望自己掌握更加過硬的技術能力，保護數字世界中的“人”和數據，為推進祖國信息安全事業的進步盡一份力。

（項目團隊：光明日報記者王美瑩、陳晨、邱玥、王斯敏）

《光明日報》（ 2022年08月19日07版）

來源：光明網-《光明日報》