负责公司全栈云原生基础设施（K8s集群、Serverless、边缘计算节点）的全生命周期安全管控，涵盖安全架构设计、运行时威胁检测、漏洞闭环治理及合规审计，支撑千万级用户业务系统的安全稳定运行

• 主导设计云原生环境下的「容器-集群-节点」三层安全防护体系：基于Trivy+Syft构建镜像漏洞全链路治理 pipeline（集成GitLab CI/CD与Artifactory），实现镜像构建时自动扫描、高危漏洞阻断推送，将镜像漏洞修复周期从72小时压缩至3小时内；同时定制Falco运行时规则库，识别出「容器挂载宿主机/etc目录未授权访问」「Sidecar容器逃逸至宿主机命名空间」等4类新型攻击模式，推动修复后此类攻击尝试下降95%
• 牵头15个生产K8s集群的CIS基准加固与常态化合规运营：通过自研Python脚本自动化执行CIS K8s Benchmark 1.23版本检查，覆盖RBAC权限最小化、etcd TLS双向认证、API Server审计日志留存等32项核心要求，累计发现并修复「默认Service Account拥有集群管理员权限」「集群监控组件未开启身份认证」等高危问题41项；搭建Elasticsearch+Loki+Grafana日志分析平台，整合K8s控制平面、节点kubelet及Pod日志，实现集群操作全链路追溯，安全事件响应时间从平均5小时缩短至1小时内
• 解决边缘计算节点的安全接入难题：针对分布在30+城市的IoT边缘节点（运行Ubuntu 20.04），设计「预签名镜像+远程证明+定期漏洞扫描」方案——使用Cosign对边缘节点系统镜像进行签名验证，结合TPM芯片实现启动过程的可信证明，同时通过Ansible Tower批量推送OpenSCAP扫描任务，季度边缘节点内核漏洞暴露数量下降82%
• 构建系统安全威胁情报闭环机制：整合VirusTotal、AlienVault OTX及公司内部威胁情报库，用Go语言开发脚本将威胁指标（如恶意IP、漏洞CVE）与内部资产指纹（开放端口、服务版本）关联，每月输出《云原生系统安全威胁态势报告》，推动针对性修复了17台存在SSH弱密码的边缘节点，暴力破解成功事件下降98%

负责金融、电商行业头部客户的生产系统安全保障，涵盖传统服务器、虚拟化平台、混合云架构的漏洞管理、渗透测试及应急响应，支撑客户通过等保2.0三级、ISO 27001认证

• 核心参与某股份制银行虚拟化平台（VMware vSphere 7.0）安全加固项目：依据VMware Security Hardening Guide 2023R1完成6个集群的合规检查，发现并修复「vCenter Server管理员账户未启用MFA」「虚拟机模板包含未打补丁的Windows Server 2016」等27项高危问题；使用Metasploit Pro进行模拟攻击验证，成功拦截9次虚拟机逃逸尝试（CVE-2021-22051），客户系统安全评分从70分提升至93分，顺利通过等保2.0三级测评
• 主导开发自动化漏洞管理平台（基于Nessus API+Django）：整合客户120+台物理服务器与虚拟机的扫描任务，扩展自定义漏洞检测脚本（针对旧版Oracle数据库TNS监听漏洞CVE-2020-14841），将扫描覆盖率从75%提升至100%，漏洞漏报率下降55%；针对扫描出的Log4j2远程代码执行漏洞（CVE-2021-44228），设计「资产重要性分级-修复方案定制-验证脚本推送」流程，推动客户在10天内修复97%的高危漏洞，避免了潜在的供应链攻击风险
• 主导处理15起重大安全事件，如某电商客户的Kubernetes节点被植入挖矿木马：通过分析进程树（pstree）、网络连接（ss -antp）及恶意文件哈希（VirusTotal查询），定位到攻击路径为「Redis未授权访问→写入定时任务→下载木马」，随后清除木马、修改Redis认证密码并开启防火墙白名单，回溯日志发现攻击源为境外IP，封禁后避免了约20万元的算力损失，事件处置时间从7小时缩短至2.5小时
• 输出《企业级系统安全运营最佳实践手册》：涵盖服务器加固、漏洞管理、应急响应三大模块，结合CIS Benchmarks与OWASP Top 10，为客户提供可落地的操作指南，手册被客户纳入内部安全培训教材，推动其安全团队漏洞修复效率提升40%

负责公司内部IT系统及客户demo环境的安全运维，涵盖服务器漏洞扫描、补丁管理、简单渗透测试及安全培训，支撑研发团队完成产品安全合规交付

• 负责公司40+台内部服务器（Windows Server 2016/Ubuntu 18.04）的安全运维：使用OpenVAS进行每周漏洞扫描，结合手工验证修复「Windows SMB远程代码执行漏洞CVE-2017-0144」「Ubuntu Samba共享未授权访问」等问题，季度漏洞数量从110个下降至35个；协助IT部门关闭不必要的服务端口（如Telnet、FTP），将服务器攻击面缩小60%
• 参与公司核心产品OA系统的安全检测：使用Lynis对部署在AWS EC2的Linux服务器进行hardening检查，发现「SSH root登录未禁用」「防火墙规则允许所有入站流量」等问题，协助开发团队修改配置，通过了公司的安全上线评审，避免了上线后被暴力破解的风险
• 处理3起小型安全事件：如市场部员工电脑因弱密码（123456）被WannaCry勒索软件攻击，协助使用Veeam Backup恢复数据，并给全体员工开展「弱密码安全」培训，覆盖180+人，后续类似事件减少75%
• 辅助完成客户demo环境的安全加固：针对某教育客户的在线课堂系统（部署在阿里云ECS），使用Nmap扫描开放端口，关闭不必要的8080端口，修改Tomcat默认管理员密码，确保demo环境的安全性，客户满意度提升20%

UGC社交平台全模态内容安全智能审核系统重构

• 星途互动作为主打年轻人社交的UGC平台，日均内容发布量超1.2亿条，传统基于正则规则+单模态特征的审核系统存在两大核心痛点：一是漏审率高达11%（主要因黑产通过同音替换、图片二维码隐写等变种方式规避），二是高并发下审核延迟达500ms，严重影响用户体验。我的核心职责是主导系统从“规则驱动”向“智能融合”转型，目标是将审核准确率提升至95%以上、实时延迟控制在200ms内，并支持日均5000万条内容的弹性处理。
• 项目面临三大技术挑战：①多模态（文本、图片、短视频）违规特征的语义对齐——文本的同义替换与图片的视觉隐写需统一建模；②实时推理性能瓶颈——原有BERT-base模型参数量大，GPU利用率仅40%；③在线学习能力缺失——无法快速适配黑产每周更新2-3次的攻击变种。
• ①主导设计“多模态特征融合+动态在线学习”架构：将文本的RoBERTa语义嵌入、图片的EfficientNet-V2视觉特征、短视频的3D-CNN光流特征拼接后，通过跨模态Transformer层实现语义对齐，捕捉“文本中的暗示+图片中的二维码”这类组合违规；②对模型进行轻量化改造：采用通道剪枝（剪枝率32%）+INT8量化，将单条内容推理时间从180ms压缩至75ms，并用TensorFlow Serving部署到8卡A100 GPU集群，结合Kafka分片消息队列实现负载均衡；③搭建在线学习pipeline：从用户举报数据（日均20万条）和审核员标注结果中提取新特征，每周自动微调模型，同时用Elasticsearch构建审核日志知识库，识别误判案例反哺特征工程。
• 系统上线后，审核准确率从89%提升至97.5%，实时延迟降至112ms，日均处理量突破5500万条，漏审率降至1.8%以下。业务价值方面：人工审核团队从120人缩减至75人，年成本节省520万元；平台因内容违规导致的网信办通报次数从每年5次降为0，用户对“内容安全”的净推荐值（NPS）提升25个百分点。我的核心贡献是攻克了多模态语义对齐的技术难点，并建立了“模型迭代-效果反馈”的闭环机制，彻底解决了传统审核系统的本质问题。

社交平台全链路账号安全防护体系搭建

• 项目初期，星途互动账号安全依赖静态密码+图形验证码，黑产通过“撞库攻击”（日均尝试150万次）导致1.2%的用户账号被盗，批量注册的虚假账号占比达8%，不仅侵蚀平台生态，还引发大量用户投诉。我的角色是负责账号安全核心模块的开发，目标是构建“事前预防-事中拦截-事后溯源”的全链路防护体系，将账号被盗率降至0.5%以下。
• 挑战集中在三点：①黑产攻击手段动态变化——撞库IP和设备指纹每周更换，传统IP封禁策略误判率达15%；②安全模块分散——设备指纹、验证码、行为分析各自为战，无法形成联动；③设备身份识别不准确——黑产通过模拟器伪造设备信息，原有指纹算法识别率仅85%。
• ①自研“动态设备指纹”算法：整合设备硬件ID、浏览器Canvas指纹、网络DNS解析记录及安装应用列表，生成唯一且抗伪造的设备标识，识别模拟器的准确率提升至99.6%；②开发“行为序列异常检测”模块：基于Spark MLlib训练LSTM模型，分析用户登录时的“按键间隔、鼠标移动轨迹、IP切换频率”等12维行为特征，识别撞库/盗号行为的准确率达96%；③打通各安全模块联动：设备未信任时触发滑动验证码，检测到异常登录立即封禁IP段并推送短信预警，同时将风险账号同步至风控系统进行冻结。
• 体系落地后，账号被盗率从1.2%降至0.27%，批量注册虚假账号占比降至0.9%，撞库攻击成功率从32%降至4%以下。业务影响显著：人工客服处理账号问题的工作量减少43%，用户因账号被盗的流失率下降19%；同时，账号安全能力的提升带动新用户注册转化率增长11%。我的核心贡献是设计并实现了“设备身份+行为特征”的联动防护逻辑，打破了传统账号安全的分散式防御，构建了可动态适配黑产变化的体系化能力。

支教时发现乡村小学因缺乏实验器材，科学课多停留在课本讲解。返校后联合实验室开发出百元级科学实验背包，内含20个基础实验器材。为确保可持续运营，设计配套视频课程与城乡结对系统，并培训132名大学生担任远程助教。项目覆盖9省47所学校后，学生科学兴趣评分提升35%。这段经历教会我用产品思维解决社会问题，当看到孩子们用自制望远镜发现土星光环时，我理解了教育的真谛是点燃可能性。