负责公司全栈云原生基础设施（K8s集群、Serverless、边缘计算节点）的全生命周期安全管控，涵盖安全架构设计、运行时威胁检测、漏洞闭环治理及合规审计，支撑千万级用户业务系统的安全稳定运行

• 主导设计云原生环境下的「容器-集群-节点」三层安全防护体系：基于Trivy+Syft构建镜像漏洞全链路治理 pipeline（集成GitLab CI/CD与Artifactory），实现镜像构建时自动扫描、高危漏洞阻断推送，将镜像漏洞修复周期从72小时压缩至3小时内；同时定制Falco运行时规则库，识别出「容器挂载宿主机/etc目录未授权访问」「Sidecar容器逃逸至宿主机命名空间」等4类新型攻击模式，推动修复后此类攻击尝试下降95%
• 牵头15个生产K8s集群的CIS基准加固与常态化合规运营：通过自研Python脚本自动化执行CIS K8s Benchmark 1.23版本检查，覆盖RBAC权限最小化、etcd TLS双向认证、API Server审计日志留存等32项核心要求，累计发现并修复「默认Service Account拥有集群管理员权限」「集群监控组件未开启身份认证」等高危问题41项；搭建Elasticsearch+Loki+Grafana日志分析平台，整合K8s控制平面、节点kubelet及Pod日志，实现集群操作全链路追溯，安全事件响应时间从平均5小时缩短至1小时内
• 解决边缘计算节点的安全接入难题：针对分布在30+城市的IoT边缘节点（运行Ubuntu 20.04），设计「预签名镜像+远程证明+定期漏洞扫描」方案——使用Cosign对边缘节点系统镜像进行签名验证，结合TPM芯片实现启动过程的可信证明，同时通过Ansible Tower批量推送OpenSCAP扫描任务，季度边缘节点内核漏洞暴露数量下降82%
• 构建系统安全威胁情报闭环机制：整合VirusTotal、AlienVault OTX及公司内部威胁情报库，用Go语言开发脚本将威胁指标（如恶意IP、漏洞CVE）与内部资产指纹（开放端口、服务版本）关联，每月输出《云原生系统安全威胁态势报告》，推动针对性修复了17台存在SSH弱密码的边缘节点，暴力破解成功事件下降98%

负责金融、电商行业头部客户的生产系统安全保障，涵盖传统服务器、虚拟化平台、混合云架构的漏洞管理、渗透测试及应急响应，支撑客户通过等保2.0三级、ISO 27001认证

• 核心参与某股份制银行虚拟化平台（VMware vSphere 7.0）安全加固项目：依据VMware Security Hardening Guide 2023R1完成6个集群的合规检查，发现并修复「vCenter Server管理员账户未启用MFA」「虚拟机模板包含未打补丁的Windows Server 2016」等27项高危问题；使用Metasploit Pro进行模拟攻击验证，成功拦截9次虚拟机逃逸尝试（CVE-2021-22051），客户系统安全评分从70分提升至93分，顺利通过等保2.0三级测评
• 主导开发自动化漏洞管理平台（基于Nessus API+Django）：整合客户120+台物理服务器与虚拟机的扫描任务，扩展自定义漏洞检测脚本（针对旧版Oracle数据库TNS监听漏洞CVE-2020-14841），将扫描覆盖率从75%提升至100%，漏洞漏报率下降55%；针对扫描出的Log4j2远程代码执行漏洞（CVE-2021-44228），设计「资产重要性分级-修复方案定制-验证脚本推送」流程，推动客户在10天内修复97%的高危漏洞，避免了潜在的供应链攻击风险
• 主导处理15起重大安全事件，如某电商客户的Kubernetes节点被植入挖矿木马：通过分析进程树（pstree）、网络连接（ss -antp）及恶意文件哈希（VirusTotal查询），定位到攻击路径为「Redis未授权访问→写入定时任务→下载木马」，随后清除木马、修改Redis认证密码并开启防火墙白名单，回溯日志发现攻击源为境外IP，封禁后避免了约20万元的算力损失，事件处置时间从7小时缩短至2.5小时
• 输出《企业级系统安全运营最佳实践手册》：涵盖服务器加固、漏洞管理、应急响应三大模块，结合CIS Benchmarks与OWASP Top 10，为客户提供可落地的操作指南，手册被客户纳入内部安全培训教材，推动其安全团队漏洞修复效率提升40%

负责公司内部IT系统及客户demo环境的安全运维，涵盖服务器漏洞扫描、补丁管理、简单渗透测试及安全培训，支撑研发团队完成产品安全合规交付

• 负责公司40+台内部服务器（Windows Server 2016/Ubuntu 18.04）的安全运维：使用OpenVAS进行每周漏洞扫描，结合手工验证修复「Windows SMB远程代码执行漏洞CVE-2017-0144」「Ubuntu Samba共享未授权访问」等问题，季度漏洞数量从110个下降至35个；协助IT部门关闭不必要的服务端口（如Telnet、FTP），将服务器攻击面缩小60%
• 参与公司核心产品OA系统的安全检测：使用Lynis对部署在AWS EC2的Linux服务器进行hardening检查，发现「SSH root登录未禁用」「防火墙规则允许所有入站流量」等问题，协助开发团队修改配置，通过了公司的安全上线评审，避免了上线后被暴力破解的风险
• 处理3起小型安全事件：如市场部员工电脑因弱密码（123456）被WannaCry勒索软件攻击，协助使用Veeam Backup恢复数据，并给全体员工开展「弱密码安全」培训，覆盖180+人，后续类似事件减少75%
• 辅助完成客户demo环境的安全加固：针对某教育客户的在线课堂系统（部署在阿里云ECS），使用Nmap扫描开放端口，关闭不必要的8080端口，修改Tomcat默认管理员密码，确保demo环境的安全性，客户满意度提升20%

星途互娱游戏全链路安全风控系统重构与落地

• 项目背景：公司旗下多款头部手游面临外挂作弊、账号盗刷、虚假道具交易等风险，原有风控系统为分散的规则引擎，存在数据孤岛、漏报率高（35%）、响应慢（5秒+）等问题，无法应对新型攻击（如内存注入式外挂、跨服虚假交易）。核心目标：重构覆盖“账号-行为-交易”全链路的风控系统，实现精准检测与低延迟响应，支撑游戏业务的安全增长。
• 解决的关键难题：1. 跨游戏数据整合困难——各游戏服日志格式不统一，无法实时同步至风控引擎；2. 新型攻击特征提取难——传统规则无法覆盖内存操作、协议篡改等隐性风险；3. 误判率控制——需平衡安全拦截与正常玩家体验，原有系统误判率达12%。
• 我的核心行动与技术创新：1. 数据层：主导设计“游戏日志标准化+实时数据管道”方案，用Flink对接各游戏服的Kafka日志流，统一为包含“操作序列、资源消耗、设备指纹”的结构化 schema，存储至ClickHouse实现秒级查询；2. 检测层：引入XGBoost+LSTM混合模型，提取“鼠标移动加速度、技能释放间隔、跨服交易频率”等200+维行为序列特征，训练外挂与虚假交易的识别模型，替代60%的传统规则；3. 策略层：设计“实时拦截-延迟审核-人工复核”三层体系，通过A/B测试优化阈值，将误判率降至3%以内。
• 项目成果与影响：系统上线后，漏报率从35%降至8%，实时拦截响应时间缩短至200ms内；6个月内账号盗刷事件减少60%，虚假交易金额下降55%，直接节省安全损失约200万元/年。该系统成为公司游戏业务的通用安全底座，支持新游1周内快速接入，推动安全能力从“被动响应”转向“主动防御”，本人也因主导核心模块开发获部门“年度安全贡献奖”。

星途互娱手游反外挂动态防护系统研发

• 项目背景：公司主力MMO手游《星途纪元》遭遇严重定制化外挂攻击，外挂作者通过逆向工程修改客户端内存、Hook系统API实现“透视”“加速”，原有静态防护（数字签名、代码加密）完全失效。核心目标：研发轻量级动态防护SDK，实现客户端行为的实时自我保护，对抗90%以上的外挂攻击。
• 解决的关键难题：1. 性能与安全的平衡——安全SDK不能超过5MB，否则影响游戏启动速度；2. 外挂反制手段——需突破反调试、反注入等防护；3. 规则热更新——传统客户端防护需重启游戏才能生效，无法应对快速迭代的外挂。
• 我的核心行动与技术创新：1. SDK架构设计：采用“核心引擎+插件化模块”结构，将内存保护、代码完整性校验、反调试等功能拆分为独立插件，按需加载，最终SDK大小控制在3.2MB，游戏启动时间仅增加100ms；2. 动态防护技术：用LLVM Obfuscator对关键函数进行混淆，引入“内存页表权限监控”防止数据篡改，通过“反调试陷阱”（隐藏调试寄存器标志）对抗调试工具；3. 热更新机制：基于WebSocket建立客户端与安全服务器的长连接，定时拉取新规则并动态加载，无需重启游戏。
• 项目成果与影响：系统上线后，成功对抗了当时市场上80%的定制化外挂，外挂作者的攻击成本提升4倍；《星途纪元》的外挂投诉率从每月2万单降至500单以下，玩家30日留存率提升5%。该SDK获公司“技术创新一等奖”，成为后续所有手游项目的标配安全组件，也让我在客户端安全领域积累了从“防御设计”到“对抗迭代”的完整经验。

支教时发现乡村小学因缺乏实验器材，科学课多停留在课本讲解。返校后联合实验室开发出百元级科学实验背包，内含20个基础实验器材。为确保可持续运营，设计配套视频课程与城乡结对系统，并培训132名大学生担任远程助教。项目覆盖9省47所学校后，学生科学兴趣评分提升35%。这段经历教会我用产品思维解决社会问题，当看到孩子们用自制望远镜发现土星光环时，我理解了教育的真谛是点燃可能性。