江金雷

计算机

2018年01月 — 2022年05月

2022年05月 — 2025年02月

内容: 业绩: 使用 Burp Suite、Nmap、Kali Linux 等工具识别和验证漏洞,包括 SQL注入、XSS 和 文件上传漏洞。 成功发现并修复 多个高中危漏洞,并提出修复建议,优化系统安全防护。 模拟攻击者行为,执行权限提升和 lateral movement(横向移动),验证系统安全性。 制作详细的渗透测试报告,涵盖漏洞描述、风险等级评估、复现步骤及修复建议。

2022年05月 — 2025年02月

团队职责 安全监控：实时监测网络流量、系统日志及各类安全设备告警信息，及时发现异常流量、恶意行为和潜在的安全威胁。例如，通过部署入侵检测系统（IDS）和入侵防御系统（IPS），对网络流量进行深度分析，一旦发现可疑的端口扫描、恶意代码传输等行为，立即发出警报。 漏洞管理：定期对网络架构、操作系统、应用程序等进行漏洞扫描和评估。根据漏洞的严重程度和影响范围，制定修复计划并跟踪修复进度，确保系统安全漏洞得到及时处理。例如，利用专业的漏洞扫描工具，如 Nessus、OpenVAS 等，定期对组织内部的服务器、网络设备和应用系统进行全面扫描，发现并修复 SQL 注入、跨站脚本（XSS）等常见漏洞。 应急响应：制定并完善应急预案，当发生安全事件时，能够迅速响应并采取有效的措施进行处置，最大限度地降低损失和影响。在应急响应过程中，蓝队成员需要快速定位问题根源，采取隔离、修复、恢复等措施，同时对事件进行详细记录和分析，总结经验教训，完善应急预案。 安全加固：依据安全策略和最佳实践，对网络设备、服务器、应用系统等进行安全配置和优化，增强系统的安全性和抗攻击能力。比如，关闭不必要的服务和端口，设置强密码策略，定期更新系统补丁等。 技术手段 防火墙：部署防火墙对网络访问进行控制，阻止未经授权的访问和恶意流量进入内部网络。通过配置访问控制列表（ACL），限制特定 IP 地址、端口和协议的访问，确保只有合法的流量能够通过。 入侵检测与防御系统：实时监测网络流量，检测并阻止入侵行为。IDS 主要用于发现异常行为并发出警报，IPS 则能够在检测到攻击时自动采取措施进行阻断，如丢弃恶意数据包、关闭连接等。 数据加密：对敏感数据进行加密存储和传输，防止数据在传输过程中被窃取或篡改。采用 SSL/TLS 加密协议对网络通信进行加密，确保数据的机密性和完整性。使用加密算法对重要数据进行加密存储，如 AES 加密算法，保证数据在存储介质中的安全性。 流程管理 安全事件报告流程：明确安全事件的报告机制和流程，确保安全事件能够及时、准确地上报给相关负责人。一旦发现安全事件，蓝队成员应立即按照规定的流程进行报告，包括事件的详细描述、发现时间、影响范围等信息。 应急响应流程：制定详细的应急响应流程，包括事件的确认、评估、处置和恢复等环节。在应急响应过程中，严格按照流程执行，确保各项措施能够有条不紊地进行。 安全评

2022年05月 — 2025年02月

工作内容 日常安全巡检：定时对服务器、网络设备、安全设备等进行全面检查，包括硬件状态、系统性能、安全配置等。例如，检查服务器的 CPU、内存、磁盘 I/O 等性能指标，查看网络设备的端口状态和流量情况，确保安全设备的规则配置正确且有效。 权限管理：根据最小权限原则，为系统用户和运维人员分配合理的访问权限。定期审查和更新用户权限，防止权限滥用和非法访问。比如，对不同部门的员工，根据其工作需要分配相应的文件访问权限和系统操作权限，并且定期清理离职人员的账号和权限。 安全策略制定与更新：结合组织的安全需求和行业最佳实践，制定和完善安全策略，如网络访问策略、数据备份策略、密码策略等。同时，根据业务变化和安全威胁的演变，及时更新安全策略，确保其有效性和适应性。 安全事件处理：当安全事件发生时，迅速响应并进行处理。对事件进行详细的调查和分析，找出事件发生的原因和影响范围，采取相应的措施进行修复和防范，防止类似事件再次发生。例如，针对遭受的 DDoS 攻击，及时启用流量清洗服务，分析攻击来源和手段，加强网络防护措施。 技术工具 自动化运维工具：利用 Ansible、SaltStack 等自动化运维工具，实现系统配置、软件部署、补丁更新等任务的自动化。提高运维效率，减少人为错误，确保系统配置的一致性。 日志管理工具：使用 Splunk、ELK 等日志管理工具，收集、存储和分析系统日志、安全日志等。通过对日志的深入分析，及时发现潜在的安全问题和异常行为。 漏洞扫描工具：借助 Nessus、OpenVAS 等漏洞扫描工具，定期对系统进行漏洞扫描，及时发现系统中的安全漏洞，并根据漏洞的严重程度进行分类和处理。 团队协作 与开发团队协作：与开发团队密切配合，参与软件开发的全生命周期，从需求分析、设计、编码到测试和上线，提供安全方面的建议和支持。例如，在需求分析阶段，协助开发团队识别安全需求；在编码阶段，对代码进行安全审查，防止出现常见的安全漏洞。 与安全团队协作：与安全团队协同工作，共同应对安全威胁。安全团队负责制定安全策略和进行安全评估，运维团队负责具体的安全措施实施和日常运维工作。双方及时沟通和共享信息，确保安全工作的有效开展。 项目持续优化 建立监控指标体系：设定关键性能指标（KPI）和关键安全指标（KSI），如系统可用性、漏洞修复率、安全事件发生率等，对安全运维工作进行量化评估。根

2022年05月 — 2025年02月

渗透测试流程 信息收集：利用公开渠道和工具，收集目标系统的域名、IP 地址、网络拓扑、应用系统类型等基础信息。例如，通过搜索引擎、Whois 查询、Shodan 等工具获取相关信息，为后续测试做准备。 漏洞扫描：运用专业漏洞扫描工具，如 Nessus、AWVS 等，对目标系统进行全面扫描，检测常见的安全漏洞，如 SQL 注入、跨站脚本（XSS）、文件上传漏洞等，并生成详细的漏洞报告。 手工渗透测试：测试人员根据漏洞扫描结果，针对重点漏洞进行手工验证和深度挖掘。通过构造特殊的请求包、利用系统逻辑缺陷等方式，尝试获取系统权限、篡改数据或窃取敏感信息，以确认漏洞的真实存在和危害程度。 报告生成：整理渗透测试过程中发现的所有漏洞，按照漏洞类型、严重程度进行分类排序，详细描述漏洞的发现过程、影响范围及修复建议，形成完整的渗透测试报告。 加固措施 系统安全配置：根据安全最佳实践，对操作系统、数据库、网络设备等进行安全配置优化。如关闭不必要的服务和端口，设置强密码策略，限制用户登录次数，开启防火墙访问控制等。 漏洞修复：针对渗透测试发现的漏洞，协助开发团队或系统管理员进行修复。对于 SQL 注入漏洞，通过对输入数据进行严格过滤和转义处理；对于 XSS 漏洞，对输出数据进行编码，防止恶意脚本注入。 安全策略完善：制定或完善安全策略，包括访问控制策略、数据加密策略、安全审计策略等。明确不同用户和角色的访问权限，对敏感数据进行加密存储和传输，加强安全审计日志记录，以便及时发现和追踪安全事件。 后续保障 定期复查：在完成加固措施后的一段时间内，定期对系统进行复查，验证漏洞是否已被成功修复，确保系统安全状态的持续性。 应急响应支持：为客户提供应急响应服务，一旦系统遭受安全攻击，能够迅速响应，协助客户进行事件调查、应急处置和恢复工作，最大程度减少损失。 安全培训：为客户的相关人员提供安全培训，包括安全意识培训、安全操作规范培训等，提高客户整体的安全防范能力。