摘要：知道创宇信息安全测试员讲述一线工作感悟。

编者按

信息安全测试员是指通过对评测目标的网络和系统进行渗透测试，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人员。

该职业是2020年人社部发布的新职业之一，其国家职业技能标准已于2021年颁布，知道创宇是该职业标准的主要起草单位之一。

2022年8月19日，《光明日报》刊登了知道创宇员工徐得翔作为一名信息安全测试员在网安一线的工作经历和感悟。

本文转载自《光明日报》( 2022年08月19日 07版)

讲述人：北京知道创宇信息技术股份有限公司信息安全测试员 徐得翔

【一线讲述】

信息安全测试员的工作主要有两方面：一是“查缺补漏”，即在获得授权的情况下，模拟黑客视角对目标网络和业务系统进行攻击，找出目标存在的漏洞，并提出改进建议，保证网络及资产安全;二是“亡羊补牢”，即在系统被攻陷后，在被攻击网络和业务系统中查找攻击者留下的蛛丝马迹，提出修复建议，避免下次攻击者从同一途径入侵。

一个漏洞看似不起眼，却往往会引发“蝴蝶效应”，让整个系统崩溃。先于攻击者发现漏洞，保护系统免受恶意攻击，真是最有成就感的工作之一。前几年我参与了一个安全测试项目，经过历时两天的反复排查，发现了一枚危险等级较高的未知漏洞，可直接获取电脑的管理员权限。在提示了客户这一漏洞信息后，我将这枚漏洞提交到了“国家信息安全漏洞共享平台”，获得了平台颁发的原创漏洞证书。

安全事件溯源，需要不断尝试、失败、再尝试……有时很长时间没有任何进展，也要耐得住寂寞，不灰心、不放弃。一次，某机构业务系统遭到黑客攻陷，网页被窜改，系统权限变更，关键业务数据有被拷贝的风险。我们火速赶到现场，从数以万计的系统运行记录中寻找异常记录。从早上9点一直查找到晚上10点，终于查到了攻击非法入侵的路径及其全部非法行为，并成功阻止。

当下，中国的信息安全测试员面临着“需求极大、人员极少”的情况，而且随着数字化进程不断推进，信息安全技术类人才的需求会越来越大。“信息安全测试员”成为人社部公布的新职业，今年又新增了“数据安全工程技术人员”，就是国家对信息安全工作高度重视的体现。

我国的信息技术、网络技术、IT技术和世界先进水平还有一定差距。未来，我希望自己掌握更加过硬的技术能力，保护数字世界中的“人”和数据，为推进祖国信息安全事业的进步尽一份力。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005