负责公司云原生架构下的主机、容器及基础设施全生命周期安全体系建设，主导关键安全工具研发与漏洞闭环治理，支撑电商、金融核心业务系统的机密性、完整性及可用性保障，对接ISO 27001、等保2.0等合规要求

• 主导云原生主机安全Agent迭代，基于eBPF技术实现进程行为内核级监控与容器逃逸联动检测——针对K8s集群中容器通过`clone()`系统调用逃逸至宿主机的风险，设计“eBPF捕获内核事件→用户态规则引擎匹配→实时阻断+告警”机制，替换原有基于用户态的文件完整性监控方案；上线后容器逃逸事件从月均8起降至2起以内，高危漏洞（如CVE-2023-21705）修复率从70%提升至92%
• 牵头基础设施权限治理项目，梳理12套核心业务系统的IAM策略与云资源权限——运用最小权限原则重构Azure AD与AWS IAM的角色权限模型，通过Access Analyzer识别冗余权限327条，结合条件访问策略限制特权账号仅能在办公网段登录；项目落地后越权访问风险评级从“高”降至“低”，顺利通过ISO 27001:2022权限管理模块审核
• 核心参与零信任架构落地，构建“身份-设备-网络”三维信任评估体系——集成Okta身份治理、CrowdStrike Falcon设备安全状态与Zscaler网络分段，实现访问请求的动态授权（如未安装最新补丁的设备无法访问生产数据库）；支撑双11大促期间核心交易系统安全访问，未发生因信任模型失效导致的安全事件，交易链路安全延迟控制在50ms以内
• 搭建开源组件供应链安全检测流水线，整合OWASP Dependency-Check、Snyk与Trivy——针对K8s生态组件（etcd、Docker Engine）进行版本脆弱性实时监控，每月拦截高风险依赖（如CVE-2023-28178）15+个；推动研发团队建立“组件升级SLA”，将供应链漏洞从发现到修复的平均周期从7天缩短至24小时内

负责企业级SaaS平台的主机、数据库及网络边界安全防护，推动安全工具自动化建设，支撑业务从100+服务器扩张至1000+服务器期间的安全能力迭代，保障客户数据与业务系统稳定

• 主导数据库安全加固项目，针对MySQL集群设计“审计-加密-脱敏”三层防护——使用Percona Audit Plugin记录敏感SQL操作（如`SELECT * FROM user_info`），通过TDE透明加密保护静态数据，结合Apache Deidentifier实现生产数据到测试环境的脱敏（手机号替换为`138****1234`）；上线后数据库敏感操作审计覆盖率100%，脱敏效率从人工每小时处理500条提升至自动每小时处理12000条
• 独立开发内部安全扫描工具“盾眼”，基于Python+Scapy实现端口扫描、服务指纹识别与弱口令检测——集成Jenkins实现每日自动化扫描，覆盖公司200+台服务器；工具上线后人工扫描时间从每周10人/天缩短至2人/小时，高危端口（如RDP 3389、SSH 22）暴露率从35%降至5%
• 牵头等保2.0三级测评整改，梳理32项不符合项并制定“责任-时间-验证”计划——调整阿里云安全组策略关闭不必要的公网端口，强化Linux主机`iptables`规则限制异常IP连接，完善日志留存机制（保留6个月以上）；一次性通过测评，获测评机构“整改逻辑清晰、执行效率高”的书面评价
• 支撑业务迁移至阿里云的安全适配，使用CSPM工具评估云资源配置风险——识别并修复S3桶公开读写、ECS安全组开放高危端口等问题23个；制定《阿里云资源配置安全规范》，明确“ECS实例必须启用云盾安骑士”“S3桶默认拒绝公共访问”等10条规则，确保迁移后云资产合规率100%

协助完成公司服务器、网络设备的安全配置与漏洞管理，参与编写安全文档，支撑基础安全能力建设，保障公司内部办公系统与初期SaaS产品安全

• 协助搭建漏洞闭环管理流程，使用Nessus进行每周漏洞扫描——对MS17-010（永恒之蓝）、CVE-2020-14750（Oracle WebLogic）等高危漏洞，制定“补丁下载-测试-推送”方案并与运维协作修复；将平均修复时间从7天缩短至3天，季度漏洞修复率从65%提升至88%
• 负责Linux服务器安全基线检查，基于CIS Benchmarks编写Shell脚本——自动化检查SSH配置（如禁用root远程登录、修改默认端口22为2222）、文件权限（如`/etc/shadow`权限设置为600）与防火墙规则；覆盖100+台服务器，识别并整改不符合基线项156个，降低配置错误导致的安全风险
• 参与编写《系统安全操作手册》，涵盖服务器日常维护、权限申请与应急响应流程——结合“勒索病毒处置”实际案例补充“立即隔离服务器、回滚备份、升级SMB协议至v3”等步骤，手册成为新人培训核心资料，操作不当导致的安全事件占比从20%降至5%
• 协助处置一起勒索病毒事件：通过分析病毒样本传播路径（利用SMB漏洞），迅速隔离3台感染服务器，回滚至前一日的Veeam备份；同时升级所有服务器SMB协议至v3并开启加密，防止事件扩大，业务中断时间控制在2小时内，未造成客户数据丢失

星途互娱游戏全链路安全风控系统重构与落地

• 项目背景：公司旗下多款头部手游面临外挂作弊、账号盗刷、虚假道具交易等风险，原有风控系统为分散的规则引擎，存在数据孤岛、漏报率高（35%）、响应慢（5秒+）等问题，无法应对新型攻击（如内存注入式外挂、跨服虚假交易）。核心目标：重构覆盖“账号-行为-交易”全链路的风控系统，实现精准检测与低延迟响应，支撑游戏业务的安全增长。
• 解决的关键难题：1. 跨游戏数据整合困难——各游戏服日志格式不统一，无法实时同步至风控引擎；2. 新型攻击特征提取难——传统规则无法覆盖内存操作、协议篡改等隐性风险；3. 误判率控制——需平衡安全拦截与正常玩家体验，原有系统误判率达12%。
• 我的核心行动与技术创新：1. 数据层：主导设计“游戏日志标准化+实时数据管道”方案，用Flink对接各游戏服的Kafka日志流，统一为包含“操作序列、资源消耗、设备指纹”的结构化 schema，存储至ClickHouse实现秒级查询；2. 检测层：引入XGBoost+LSTM混合模型，提取“鼠标移动加速度、技能释放间隔、跨服交易频率”等200+维行为序列特征，训练外挂与虚假交易的识别模型，替代60%的传统规则；3. 策略层：设计“实时拦截-延迟审核-人工复核”三层体系，通过A/B测试优化阈值，将误判率降至3%以内。
• 项目成果与影响：系统上线后，漏报率从35%降至8%，实时拦截响应时间缩短至200ms内；6个月内账号盗刷事件减少60%，虚假交易金额下降55%，直接节省安全损失约200万元/年。该系统成为公司游戏业务的通用安全底座，支持新游1周内快速接入，推动安全能力从“被动响应”转向“主动防御”，本人也因主导核心模块开发获部门“年度安全贡献奖”。

星途互娱手游反外挂动态防护系统研发

• 项目背景：公司主力MMO手游《星途纪元》遭遇严重定制化外挂攻击，外挂作者通过逆向工程修改客户端内存、Hook系统API实现“透视”“加速”，原有静态防护（数字签名、代码加密）完全失效。核心目标：研发轻量级动态防护SDK，实现客户端行为的实时自我保护，对抗90%以上的外挂攻击。
• 解决的关键难题：1. 性能与安全的平衡——安全SDK不能超过5MB，否则影响游戏启动速度；2. 外挂反制手段——需突破反调试、反注入等防护；3. 规则热更新——传统客户端防护需重启游戏才能生效，无法应对快速迭代的外挂。
• 我的核心行动与技术创新：1. SDK架构设计：采用“核心引擎+插件化模块”结构，将内存保护、代码完整性校验、反调试等功能拆分为独立插件，按需加载，最终SDK大小控制在3.2MB，游戏启动时间仅增加100ms；2. 动态防护技术：用LLVM Obfuscator对关键函数进行混淆，引入“内存页表权限监控”防止数据篡改，通过“反调试陷阱”（隐藏调试寄存器标志）对抗调试工具；3. 热更新机制：基于WebSocket建立客户端与安全服务器的长连接，定时拉取新规则并动态加载，无需重启游戏。
• 项目成果与影响：系统上线后，成功对抗了当时市场上80%的定制化外挂，外挂作者的攻击成本提升4倍；《星途纪元》的外挂投诉率从每月2万单降至500单以下，玩家30日留存率提升5%。该SDK获公司“技术创新一等奖”，成为后续所有手游项目的标配安全组件，也让我在客户端安全领域积累了从“防御设计”到“对抗迭代”的完整经验。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。