張蕾:電力網安戰隊的“鏗鏘玫瑰”

人物簡介

張蕾,共青團員,上海電力科學研究院電網技術中心信通安全技術監管室工程師,國網上海市電力公司2022-2023年網絡安全實戰攻防先進個人,曾獲2021年“觀安杯”管理運維賽金獎、2022年上海職工職業技能系列競賽銀獎、2023年全國網絡安全職工職業技能競賽三等獎、2024年第八屆全國職工職業技能大賽第四名等國家及省部級網絡安全獎項15項。

人物心語

行“以攻爲守”之道,築“電力網安”之牆。

“這個網站好像存在命令執行漏洞,還不知道怎麼進一步利用,我們一起研究下。”9月23日清晨8點一上班,張蕾和同事就立即着手對某個系統開展滲透測試,這也是張蕾日常工作的一個縮影。自2019年參加工作以來,張蕾主要從事網絡安全工作。她和同事曾出色完成全國“兩會”、進博會、黨的二十大期間重大保電任務的網絡保障工作,紮實學習、刻苦鑽研,不斷提升專業技能水平,逐漸成爲網絡安全工作的技術骨幹。

以賽代練,提升實戰對抗能力

張蕾在大學中攻讀並非網絡安全專業。在工作後,將張蕾引入這個全新的奇妙領域的啓蒙老師就是網絡安全奪旗賽(CTF)比賽。

2021年6月,國調組織電力監控系統網絡安全比賽,張蕾被選中參加調考,需要進行爲期三個月的封閉式培訓。“封閉式的紅藍對抗培訓,機會難得,未知攻,焉知防,學會攻擊,才能找到更多漏洞,就可以幫助公司排查更多隱患,這就是我一直以來想做的事情。”就這樣,初出茅廬的張蕾通過三個月時間的層層篩選,最終在上海公司的網絡安全調考中取得了第一的成績。

網絡安全工作需要紮實的技能基礎,僅靠紙上談兵遠遠不夠,張蕾抓住一切可以學習的機會在一次次大大小小的競賽和實戰對抗工作中不斷歷練,快速成長,她很快掌握了紮實的網絡安全技術,從一個新人小白成長爲合格的網絡安全工作者。不僅拿下了各級CTF競賽的大滿貫,還收穫了多封感謝信和表揚信。在2023年的能源行業網絡攻防實戰演習(SD行動)中,作爲現場攻擊隊的一員,表現出色,挖掘多個高危漏洞隱患,助力國網公司在演習中排名第一。另外,張蕾積極參與電力監控系統漏洞專項挖掘工作,幫助調度專業發現了多個工控系統的安全隱患,以確保電力系統安全穩定運行。此外,張蕾還提交了某型號路由器二進制漏洞等5個國家信息安全漏洞共享平臺官方(CNVD)原創漏洞、挖掘國網公司重大安全漏洞3項。

截至目前,張蕾代表上海公司多次參加各類國家及省部級的網絡安全比賽,獲得2021年“觀安杯”管理運維賽金獎、2022年上海職工職業技能系列競賽銀獎、2023年全國網絡安全職工職業技能競賽三等獎、2024年第八屆全國職工職業技能大賽第四名等獎項。網絡世界是沒有硝煙,卻又無處不在的戰場,沒有網絡安全就沒有國家安全,創新、進取,是她永不止步的追求。

紮根一線,鑽研網絡安全技術

正是通過自己前期的不斷積累和學習,張蕾僅用了一年時間就通過了國網公司級紅隊選拔考試。作爲國網級網絡安全紅隊的一名隊員,張蕾憑藉自己過硬的專業能力挖掘了網絡安全漏洞隱患數百個。漏洞的發現不僅僅意味着個人工作成果的展現,更加意味着電力系統網絡安全又增添了一重保障。爲提高漏洞挖掘效率,提升成果質量,張蕾不斷地總結經驗,優化漏洞排查算法,自主研發了多個自動化漏洞挖掘工具。

2021年12月,某網絡視頻監控軟件被爆出多個高危漏洞,張蕾和同事們在漏洞被爆出後的第一時間就對其形成原理、利用方法、修復方案展開了研究,並着手對公司所有IP地址段的監控軟件進行排查。由於排查目標數量龐大,漏洞復現流程複雜,因此人工篩查的效率十分低下。張蕾決定將所有的漏洞腳本整合優化,採用高效率算法開發一個可視化的攝像頭漏洞自動排查工具。僅用了一天時間,張蕾就完成了自動漏掃工具的開發。有了自動化工具的輔助,攝像頭漏洞的排查效率顯著提高,只需要幾分鐘的時間就可以實現對公司網絡監控系統漏洞全方位、全過程的掃描工作。直到現在,張蕾還在不斷地更新工具的漏洞庫、優化算法,正是這種在日常工作中不斷鑽研、精益求精信念,張蕾才能在不斷突破自我,創造佳績。

這些年,張蕾作爲青年業務骨幹,牽頭了基於生成式人工智能模型的新型電力系統網絡安全態勢感知與評估關鍵技術研究、鴻蒙系統應用滲透測試技術研究及應用、企業網絡空間資產精準定位技術研究等多個上海公司科技項目,先後發表中文核心期刊及EI檢索論文7篇,授權發明專利1項,獲2023年國網上海市電力公司科技創新 “舉手製” 成果獎、2023年國網上海市電力公司新型電力系統科技攻關羣衆性勞動競賽二等獎等科技類獎項5項。同時張蕾還重視技術方法的標準化,於2023年參與了電力系統管理及其信息交換數據和通信安全等國標和行標的編制工作。

深入前沿,探索移動安全領域

除了日常的漏洞挖掘工作,張蕾還接軌科技前沿,熱衷於新技術的研究。移動化時代的來臨給生活帶來了很多的便利,但也面臨了更多的網絡安全威脅。如今,越來越多的電力應用在移動平臺上線,在日趨複雜的網絡安全形勢下,針對電力的網絡攻擊愈演愈烈。張蕾深知對移動端漏洞挖掘技術的研究刻不容緩。

這兩年,張蕾不斷鑽研微信等新媒體平臺、手機APP及子應用等漏洞挖掘技術,在電力系統移動安全領域實現了技術的突破,先後發表核心期刊及三大檢索論文7篇,申請專利5項,獲上海公司科技進步獎2項。和同事共同研究的某APP子應用上線前測試方法在國網紅隊中被廣泛應用,張蕾還受邀爲國網紅隊講授某APP子應用的漏洞挖掘經驗分享,實現了研究成果的轉化、落地和傳播。

張蕾注重傳承創新和技術傳承,幫助並帶動了身邊的職工共同進步、共同成長。積極參加網絡安全到基層宣貫,多次前往國網上海電力各基層單位和各省兄弟單位進行技術交流,主講了2023年國網上海電力各基層單位信息技術崗位能力培訓、福建電科院第三期科技沙龍等講座,助力身邊同事提高網絡安全意識。“在網絡安全的道路上,我希望自己成爲一名召之即來、來之能戰、戰之必勝的網絡安全女戰士,用自己的方式守護電力系統安全穩定運行。”張蕾說。

(勞動報 王彬彬)

來源:中工網