负责公司云原生环境下全栈系统安全防护体系建设，涵盖云主机、容器集群及物理机的安全策略制定、漏洞全生命周期管理与内核级加固，保障超10万节点生产环境的安全稳定运行，支撑电商大促、金融支付等核心业务场景。

• 主导设计基于云原生的系统安全防护框架，结合eBPF技术实现容器进程行为监控与异常文件操作检测，覆盖K8s节点及宿主机层，通过内核态探针采集进程启动、文件读写等事件，关联威胁情报库实现实时阻断，将容器逃逸事件发现时效从小时级缩短至分钟级，季度逃逸事件率下降65%
• 深度优化公司内部漏洞管理系统（自研VSMS），集成CVE、CNNVD等12个漏洞库的自动化扫描规则，开发基于CVSS评分与业务影响度的动态优先级算法，联动Jenkins实现漏洞修复任务自动派发，推动漏洞修复周期从平均45天压缩至21天，年度高危漏洞闭环率达98.7%
• 牵头完成核心交易系统Linux内核安全加固，针对4.18+版本制定32项加固策略，包括关闭不必要的netfilter模块、限制ptrace调用范围、配置SELinux强制访问控制策略（禁用unconfined_u域），经第三方渗透测试验证，系统抗本地提权攻击能力提升82%，获集团安全创新奖
• 设计并落地服务器权限最小化管理方案，基于IAM角色与ABAC模型重构服务器登录认证体系，取消默认root直接登录，强制启用TOTP+硬件密钥MFA认证，结合堡垒机实现操作命令全审计，全年未发生因权限滥用导致的生产环境数据泄露或篡改事件

负责企业级物理机与VMware虚拟化平台的安全运维，聚焦漏洞修复、基线合规检查及入侵事件响应，支撑电商平台大促期间亿级用户访问的系统安全保障。

• 主导千台规模物理服务器及VMware集群的安全基线维护，基于等保2.0三级要求编写Python+Ansible自动化检查脚本，覆盖SSH配置、日志留存、账户权限等28项指标，每月完成100%主机核查，整改不符合项2300+，助力公司连续3年通过等保测评
• 优化漏洞扫描流程，引入Nessus与OpenVAS双引擎交叉验证，针对电商业务特有的Redis未授权访问、MySQL弱口令服务定制扫描模板，将关键服务漏洞漏报率从18%降至5%，配合开发团队完成Log4j2远程代码执行漏洞（CVE-2021-44228）48小时内全量修复，保障大促期间系统无异常
• 构建入侵事件响应体系，梳理Linux系统常见入侵路径（如SSH暴力破解、SUID提权），编写《服务器入侵应急处置手册》，建立“发现-隔离-溯源-修复”标准化流程，年度重大入侵事件（影响业务可用性超30分钟）从3起降至0起
• 参与秒杀系统分布式架构安全评审，针对高并发场景提出内核参数调优建议（调整net.core.somaxconn至65535、vm.overcommit_memory=2），避免因连接队列溢出或内存分配失败导致的DDoS攻击风险，大促期间系统CPU利用率峰值稳定在75%以下

协助完成服务器安全运维、漏洞扫描及基础安全培训，保障公司内部办公系统与开发环境的安全，支撑研发团队快速迭代的业务需求。

• 协助搭建内部漏洞管理平台，使用Shell脚本对接Nmap扫描结果，实现漏洞IP、端口、CVE编号的自动录入与邮件告警，将漏洞发现到通知的平均时间从1天缩短至2小时，研发团队修复响应效率提升50%
• 定期执行办公终端安全检查，编写批处理脚本检测未授权软件安装（如非官方VPN）、弱口令（8位以下纯数字）等问题，月度整改率从60%提升至90%，年度终端病毒感染事件减少40%
• 参与新办公室网络布线安全评估，提出服务器区与办公区VLAN逻辑隔离方案，配置防火墙策略限制跨区访问（仅开放80/443端口），降低内部网络横向攻击面
• 组织面向研发团队的基础安全培训，覆盖Linux命令注入防范、SQL参数化查询等内容，累计培训12场，参训人员200+，后续研发代码中低级安全漏洞（如命令拼接）数量下降35%

星途游戏社交平台全链路安全加固与主动威胁狩猎体系搭建

• 星途互娱旗下游戏社交平台承载月活5000万+用户，面临恶意注册、账号盗用、实时聊天违规及黑产刷量等问题，且传统规则防护无法应对黑产机器学习绕抗。我的核心职责是主导全链路安全方案设计与落地，衔接业务、安全运营团队实现“防护-检测-响应”闭环。
• 项目难点在于两点：一是高并发场景下实时检测的性能瓶颈——初期RASP钩子导致游戏服务器延迟上升15%；二是黑产利用游戏社交特性（如虚拟礼物批量刷取、跨服聊天引流）规避传统规则引擎，漏检率高达20%。
• 为解决性能问题，我优化RASP无侵入式hook策略，针对登录、礼物发放等核心接口定制轻量化检测逻辑，通过字节码增强而非全链路拦截，将性能损耗压降至2%以内；针对业务特性，基于用户行为画像（登录时段分布、好友互动频次、虚拟资产变动速率）构建LSTM异常检测模型，结合MISP威胁情报平台的黑产IP/设备指纹库，实现“正常行为基线+实时异常预警”的主动狩猎。
• 项目上线后，恶意注册量月均下降75%，实时威胁拦截率提升至99.2%；威胁狩猎系统3个月内识别3起大型黑产团伙（涉及10万余个虚假账号、非法获利超200万元），为公司挽回直接损失800余万元。同时输出《游戏社交平台安全防护SOP》，赋能公司3款新游上线前的安全评估，成为集团游戏业务安全标准。

云帆供应链金融安全合规改造与自动化审计系统研发

• 云帆电商供应链金融业务连接1000+供应商、500+经销商及8家金融机构，涉及万亿级资金流转，需满足等保2.0三级、金融行业数据安全规范（JR/T 0197-2020），但传统人工审计仅覆盖30%核心流程，无法发现跨系统权限漏洞。我的职责是主导合规改造与自动化审计系统研发，对接风控、法务团队实现“合规可落地、审计可追溯”。
• 项目难点有二：一是供应链金融多系统（ERP、支付网关、风控系统）交互中的权限链路模糊，传统RBAC模型无法覆盖跨系统越权；二是合规要求动态更新（如2021年《金融数据安全管理规范》新增“数据跨境流动”要求），人工适配成本高且易遗漏。
• 针对权限问题，我构建基于Neo4j图数据库的权限链路分析模型，关联用户-角色-系统接口-数据资产的四层关系，识别跨系统隐性越权（如供应商账号通过接口跳转非法访问金融机构交易数据）；针对合规动态性，基于OpenPolicy Agent（OPA）开发适配电商金融的规则引擎，将等保、金融规范封装为可配置的策略集，整合至CI/CD pipeline实现代码提交时自动合规校验。
• 项目完成12个核心系统的合规改造，合规审计覆盖率从60%提升至95%；自动化审计系统将单次全量审计时间从2周缩短至1天，效率提升80%。期间识别并修复17个跨系统越权漏洞、5类数据合规隐患，避免2起潜在监管处罚（预估罚款超500万元）。系统后续被集团推广至所有金融科技业务线，成为供应链金融安全底座。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。