5月29日,国网山西电科院五级技能专家王尧完成了对外部售电单位虚拟电厂智慧管理平台的数据交互准入测试。经过分析研判,平台安全性符合防护要求,可以参与电力市场交易。
入职11年来,王尧专注于网络安全领域,扎根一线钻研信息系统漏洞挖掘、攻防对抗等专业技术,带领团队累计完成信息系统安全评估600余套,发现并消除网络与信息系统安全隐患数千例,为电力行业网络安全稳定运行保驾护航。他曾获得全国五一劳动奖章、新时代青年先锋、全国技术能手、全国青年岗位能手、山西省三晋工匠等荣誉。
▲王尧和团队开展智能化渗透测试技术攻关
脚踏实地打磨专业本领
2015年,通信专业毕业的王尧入职国网山西电科院,跨专业从事电力网络安全岗位。通信专业研究的是“信息如何跑得快、跑得准”,而网络安全研究的是“信息如何不被偷、不被改”。
入职初期,由于缺乏网络安全专业基础,王尧第一次参加专业培训几乎全程“听天书”。他回忆道:“课程能听懂的内容寥寥无几,看着身边科班出身的同事讨论技术细节,我甚至产生过放弃的念头。”
此时,师傅周自强鼓励他说:“没人天生就会,这行全靠一点一滴积累,慢慢就能摸到门道。”师傅的话让王尧树立了信心,他从零起步、迎难而上,开启了“疯狂自学”。他利用业余时间“啃”下了大量英文技术文档,笔记上密密麻麻记满了网络安全漏洞复现的步骤和代码逻辑。每当攻克一个技术难点,他都会在实验室里反复进行实操验证。
经过两年潜心学习与深入实践,王尧的专业水平突飞猛进。2017年5月,国家电网公司组建网络安全红队,从各省选拔人员,王尧成功入选。入选后,王尧又面临新的挑战——作为红队队员,他的工作范围更广、任务更多,常常在全国各地开展网络安全检查检测;由于红队属于攻击方,客观上需要比防守方(蓝队)具备更加全面高超的隐患排查技能。
王尧反复分析了70多个典型攻防案例,根据自己的理解,分别写出了处置措施和增加隐蔽性的方法,还尝试编写了20多个安全脚本,提炼典型经验。“那段日子虽然难熬但也珍贵,让我明白钻研技术没有捷径,想要做好就要比别人多一份把冷板凳坐热的定力。”王尧说。
▲王尧在项目现场进行技术验证
2018年第六届全国职工职业技能大赛上,王尧获得了全国第十九名的成绩。这让他看到了差距——缺乏实战经验,导致技术沉淀不足。王尧将赛场上的遗憾转化为精进本领的动力。在备战2021年第七届全国职工职业技能大赛网络与信息安全管理员工种比赛时,为了攻克一个复杂的攻防技术难点,他常常在电脑屏幕前一坐就是十几个小时。
决赛现场,面对瞬息万变的攻防环境,王尧凭借千百次实战演练积累的经验,在复杂的网络拓扑中精准捕捉到了防护漏洞,最终取得该工种全省比赛个人第一、全国比赛个人第四名的好成绩,并助力团队取得全国团体第三名。
王尧坚持以赛促学、以练促战,入职以来参与各类竞赛21次,圆满完成多项重大活动电力网络安全保障任务。在与行业能手同台竞技、保电一线实战历练中,他持续打磨专业本领,迅速成长为电力网络安全领域的技术骨干。
一丝不苟守牢安全防线
在看不见的“数字战场”上,一个不起眼的弱口令、一行被忽略的冗余代码、一次看似无关紧要的权限疏忽,都可能成为恶意攻击者攻破网络安全防线的“特洛伊木马”。作为一名守护万家灯火的电网人,王尧始终坚持“比黑客更快一步、更深一层”的工作信条,深耕漏洞挖掘、安全评估与隐患治理,用“工匠精神”守牢每一道防线。
2019年5月,在一次实战攻防演练中,王尧起初带领团队顺利攻破了目标移动OA系统。正当他们准备乘胜追击深入内网时,攻击路径被切断,陷入僵局。王尧迅速调整策略,不断尝试攻击其他薄弱环节,敏锐捕捉到一个风险点。经过反复尝试,他们成功突破防护,最终获取了靶标系统的最高权限。这场实战“突围”,帮助目标单位挖掘并修复了潜藏多年的高危安全漏洞。
▲王尧和同事在机房排查信息系统安全隐患
2021年10月,王尧接到任务,对一套经多轮加固、自动化检测显示“无异常”的重要业务系统进行安全评估。当时,自动化扫描报告上清一色的“通过”并没有让他感到轻松,反而触发了他心底的警觉:“机器只能按照既定规则去扫描已知漏洞,但真正的顶级黑客,往往会盯着那些机器看不懂的业务逻辑下手。”
王尧放弃使用快捷检测工具,坚持人工深度核查,也就是采用最原始也最考验耐心的方式——人工渗透,去测试这套系统。连续十余天,他在实验室逐行比对海量的网络请求响应数据,在成千上万条看似正常的流量中敏锐捕捉到一处极其隐蔽的异常:某个普通用户的请求在特定参数下,竟然能绕过权限校验,触碰到核心数据的接口。他顺藤摸瓜,成功找到这处可能导致大量核心信息泄露的越权漏洞,并第一时间完成封堵,守住了安全底线。
言传身教带领团队成长
作为青年党员和技术带头人,王尧深刻意识到:网络安全的攻防博弈瞬息万变,守护电网安全既需要个人的极致钻研,更需要一支“召之即来、来之能战、战之必胜”的青年队伍。“网络安全是一场没有终点的接力赛,光靠我一个人跑不快,也跑不远。只有把经验毫无保留地分享给大家,让团队不断成长,才能守住网络安全。”
2024年5月,王尧系统梳理自己多年的实战心得,搭建起涵盖数千个知识点的国网山西电力网络安全红队知识库,为青年员工提供了一套随时可查、即学即用的“武功秘籍”。他还积极开展攻防靶场建设,编写培训教材,组织技能竞赛,毫无保留地分享实战经验,相关成果在国网山西电力广泛推广。
▲王尧和团队讨论信息系统测试进展
在王尧的带动下,国网山西电力网络安全红队2人入选国家电网公司网络安全尖兵部队、10人入选国家电网公司网络安全红队,形成了“工匠带骨干、骨干带新人”的良好氛围。
2024年1月,王尧带队获得全国网络安全行业职业技能竞赛网络安全管理员、数据安全管理员团体双第一,创造了国网山西电力在职业技能竞赛上的最好成绩。
电力网络安全关系国家能源安全,责任重大。王尧扎根电力网络安全一线,把责任扛在肩、把使命落于行,以过硬的专业能力守护网络空间安全。
内容来源:国家电网有限公司官方网站
热门跟贴