负责公司全栈云原生基础设施（K8s集群、Serverless、边缘计算节点）的全生命周期安全管控，涵盖安全架构设计、运行时威胁检测、漏洞闭环治理及合规审计，支撑千万级用户业务系统的安全稳定运行

• 主导设计云原生环境下的「容器-集群-节点」三层安全防护体系：基于Trivy+Syft构建镜像漏洞全链路治理 pipeline（集成GitLab CI/CD与Artifactory），实现镜像构建时自动扫描、高危漏洞阻断推送，将镜像漏洞修复周期从72小时压缩至3小时内；同时定制Falco运行时规则库，识别出「容器挂载宿主机/etc目录未授权访问」「Sidecar容器逃逸至宿主机命名空间」等4类新型攻击模式，推动修复后此类攻击尝试下降95%
• 牵头15个生产K8s集群的CIS基准加固与常态化合规运营：通过自研Python脚本自动化执行CIS K8s Benchmark 1.23版本检查，覆盖RBAC权限最小化、etcd TLS双向认证、API Server审计日志留存等32项核心要求，累计发现并修复「默认Service Account拥有集群管理员权限」「集群监控组件未开启身份认证」等高危问题41项；搭建Elasticsearch+Loki+Grafana日志分析平台，整合K8s控制平面、节点kubelet及Pod日志，实现集群操作全链路追溯，安全事件响应时间从平均5小时缩短至1小时内
• 解决边缘计算节点的安全接入难题：针对分布在30+城市的IoT边缘节点（运行Ubuntu 20.04），设计「预签名镜像+远程证明+定期漏洞扫描」方案——使用Cosign对边缘节点系统镜像进行签名验证，结合TPM芯片实现启动过程的可信证明，同时通过Ansible Tower批量推送OpenSCAP扫描任务，季度边缘节点内核漏洞暴露数量下降82%
• 构建系统安全威胁情报闭环机制：整合VirusTotal、AlienVault OTX及公司内部威胁情报库，用Go语言开发脚本将威胁指标（如恶意IP、漏洞CVE）与内部资产指纹（开放端口、服务版本）关联，每月输出《云原生系统安全威胁态势报告》，推动针对性修复了17台存在SSH弱密码的边缘节点，暴力破解成功事件下降98%

负责金融、电商行业头部客户的生产系统安全保障，涵盖传统服务器、虚拟化平台、混合云架构的漏洞管理、渗透测试及应急响应，支撑客户通过等保2.0三级、ISO 27001认证

• 核心参与某股份制银行虚拟化平台（VMware vSphere 7.0）安全加固项目：依据VMware Security Hardening Guide 2023R1完成6个集群的合规检查，发现并修复「vCenter Server管理员账户未启用MFA」「虚拟机模板包含未打补丁的Windows Server 2016」等27项高危问题；使用Metasploit Pro进行模拟攻击验证，成功拦截9次虚拟机逃逸尝试（CVE-2021-22051），客户系统安全评分从70分提升至93分，顺利通过等保2.0三级测评
• 主导开发自动化漏洞管理平台（基于Nessus API+Django）：整合客户120+台物理服务器与虚拟机的扫描任务，扩展自定义漏洞检测脚本（针对旧版Oracle数据库TNS监听漏洞CVE-2020-14841），将扫描覆盖率从75%提升至100%，漏洞漏报率下降55%；针对扫描出的Log4j2远程代码执行漏洞（CVE-2021-44228），设计「资产重要性分级-修复方案定制-验证脚本推送」流程，推动客户在10天内修复97%的高危漏洞，避免了潜在的供应链攻击风险
• 主导处理15起重大安全事件，如某电商客户的Kubernetes节点被植入挖矿木马：通过分析进程树（pstree）、网络连接（ss -antp）及恶意文件哈希（VirusTotal查询），定位到攻击路径为「Redis未授权访问→写入定时任务→下载木马」，随后清除木马、修改Redis认证密码并开启防火墙白名单，回溯日志发现攻击源为境外IP，封禁后避免了约20万元的算力损失，事件处置时间从7小时缩短至2.5小时
• 输出《企业级系统安全运营最佳实践手册》：涵盖服务器加固、漏洞管理、应急响应三大模块，结合CIS Benchmarks与OWASP Top 10，为客户提供可落地的操作指南，手册被客户纳入内部安全培训教材，推动其安全团队漏洞修复效率提升40%

负责公司内部IT系统及客户demo环境的安全运维，涵盖服务器漏洞扫描、补丁管理、简单渗透测试及安全培训，支撑研发团队完成产品安全合规交付

• 负责公司40+台内部服务器（Windows Server 2016/Ubuntu 18.04）的安全运维：使用OpenVAS进行每周漏洞扫描，结合手工验证修复「Windows SMB远程代码执行漏洞CVE-2017-0144」「Ubuntu Samba共享未授权访问」等问题，季度漏洞数量从110个下降至35个；协助IT部门关闭不必要的服务端口（如Telnet、FTP），将服务器攻击面缩小60%
• 参与公司核心产品OA系统的安全检测：使用Lynis对部署在AWS EC2的Linux服务器进行hardening检查，发现「SSH root登录未禁用」「防火墙规则允许所有入站流量」等问题，协助开发团队修改配置，通过了公司的安全上线评审，避免了上线后被暴力破解的风险
• 处理3起小型安全事件：如市场部员工电脑因弱密码（123456）被WannaCry勒索软件攻击，协助使用Veeam Backup恢复数据，并给全体员工开展「弱密码安全」培训，覆盖180+人，后续类似事件减少75%
• 辅助完成客户demo环境的安全加固：针对某教育客户的在线课堂系统（部署在阿里云ECS），使用Nmap扫描开放端口，关闭不必要的8080端口，修改Tomcat默认管理员密码，确保demo环境的安全性，客户满意度提升20%

生鲜电商平台供应链端到端安全防护体系构建项目

• 项目背景：鲜达作为头部生鲜电商，连接超10万家供应商与2亿用户，实时交易链路覆盖‘农户种植数据采集-供应商ERP下单-仓储WMS分拣-物流TMS配送-用户支付’全环节，此前曾发生多起供应商数据泄露导致的订单篡改、恶意刷单引发的库存超卖事件，严重威胁业务稳定性与用户信任。项目目标是通过构建覆盖供应链全节点的安全体系，解决数据流转中的身份伪造、数据篡改、异常行为检测问题，保障交易完整性与业务连续性。
• 解决的关键难题：1）供应链节点分散（农户APP、供应商ERP、仓储系统等异构系统），传统边界安全无法覆盖；2）实时交易要求延迟≤15ms，安全检测不能成为性能瓶颈；3）供应商侧IoT设备（如温湿度传感器）安全能力薄弱，易被伪造接入。针对这些问题，我选择SPIFFE/SPIRE零信任身份框架解决节点身份认证，eBPF+轻量级ML模型实现实时数据流异常检测，DTLS 1.3加密保障IoT设备通信安全。
• 核心行动与创新：主导设计‘身份-数据-行为’三位一体防护架构：1）基于SPIFFE为每个供应链节点颁发动态、可验证的身份凭证，实现节点间可信通信；2）针对实时数据流，优化eBPF内核态处理逻辑，将特征提取移至用户态，仅保留内核态快速过滤规则，把安全检测延迟控制在2ms以内；3）引入在线学习型XGBoost模型（结合滑动窗口机制），实时适配新异常行为（如跨区域库存异常调动）。此外，推动供应商侧设备改造，强制要求IoT设备支持DTLS 1.3，通过‘MAC地址+固件版本+地理位置’生成设备指纹，识别伪造设备接入。
• 项目成果：1）供应链数据泄露事件从月均12起降至1.8起（下降85%）；2）恶意刷单拦截率从82%提升至99.2%，大促库存超卖率降至0.01%以下；3）实时交易平均延迟仅增加1.8ms（从12ms到13.8ms），完全满足业务要求。项目支撑2023年中秋大促120万笔/秒交易峰值，业务侧安全客诉减少70%，获公司‘年度安全突破项目’奖，我在行业峰会分享方案经验，成为供应链安全领域的核心负责人。

短视频平台粉丝社群反黑产自动化处置系统研发项目

• 项目背景：星芒拥有超5000万粉丝社群，此前黑产通过批量注册账号、模拟正常互动（发低质广告、引流链接）破坏生态，运营团队每天手动处置超10万条行为，误封率8%，严重影响体验与效率。项目目标是通过全流程自动化系统，降低人工干预，提升黑产处置准确率与效率。
• 解决的关键难题：1）黑产行为仿真度高（用真实手机号、模拟互动），传统规则引擎易漏报；2）处置需平衡安全与生态，避免误封；3）实时处置要求响应≤5秒，否则黑产会扩散。针对这些问题，我选择用图神经网络（GNN）构建用户关系图，挖掘隐藏黑产团伙。
• 核心行动与创新：主导开发系统核心识别模块与策略引擎：1）基于Neo4j图数据库整合账号设备、IP、互动、社群归属数据，用GNN挖掘‘同一设备注册僵尸账号集群’‘跨社群引流链路’等隐藏特征；2）设计‘分层处置’策略：高风险账号（置信度≥90%）自动化禁言/封号，中风险（60%-90%）推运营审核，低风险（<60%）持续观察；3）用模型蒸馏优化GNN推理性能，将时间从1.2秒缩至300ms，结合Redis缓存高频用户关系，整体响应控制在2秒内。同时联动运营建立‘处置-反馈’闭环，每周迭代模型特征。
• 项目成果：1）黑产自动化处置率从65%升至98%，误封率从8%降至1.2%；2）运营手动工作量减少60%，日均处理量从10万条降至4万条；3）用户社群广告投诉从月均5.2万件降至1.04万件（减少80%）。系统支撑社群数量从5000万增长至8000万无大规模黑产爆发，我因此晋升安全开发组组长，负责后续生态安全项目规划。

支教时发现乡村小学因缺乏实验器材，科学课多停留在课本讲解。返校后联合实验室开发出百元级科学实验背包，内含20个基础实验器材。为确保可持续运营，设计配套视频课程与城乡结对系统，并培训132名大学生担任远程助教。项目覆盖9省47所学校后，学生科学兴趣评分提升35%。这段经历教会我用产品思维解决社会问题，当看到孩子们用自制望远镜发现土星光环时，我理解了教育的真谛是点燃可能性。