网络安全工程师

岗位职责 1.IAM体系建设与运营 ·负责公司身份与访问管理系统的规划、建设与日常运营,包括用户生命周期管理、认证、授权、角色权限治理 等。 推动单点登录(SSO)、多因素认证(MFA)、统一身份目录(如[LDAP、AD、AzureAD)的落地与优化。 ?设计并实施基于最小权限原则的权限管理策略,定期开展权限合规审计。 2.特权访问管理(PAM) 建设与维护特权账号管理系统(PAM),覆盖服务器、数据库、网络设备、云控制台等核心资产。 实现特权账号的托管、定期改密、会话审计、命令拦截与高危操作告警。 ·对接运维、数据库、云平台等场景,推动"零永久特权"和"即时提升"机制落地 3.账号安全治理 ·建立统一的账号安全基线,管理员工、第三方、服务账号、机器身份等各类账号。 定期组织账号权限清理,消除僵尸账号、共享账号、弱口令、过期权限、过度授权等风险。 ?设计与实施账号异常行为检测规则(如异常登录、越权尝试、非工作时间访问等)。 4.安全运营与事件响应 ·监控身份与访问相关日志,分析账号失陷、越权访问、异:常配置变更等安全事件。 ●参与安全事件应急响应,提供取证分析与改进方案。 ?定期开展内部红蓝演练或渗透测试中与身份/权限/变更相关的攻击路径测试 5.安全能力建设与自动化 ·将身份安全、PAM、变更安全控制集成到CI/CD、云基础没施及IT服务管理流程中。 ●编写自动化脚本或策略实现权限合规检查、账号生命周期自动化。 推动身份安全度量指标体系(如MFA覆盖率、特权账号托管率、权限过度授予比例等)的建设与可视化。 任职要求 基础要求 ·本科及以上学历,计算机、信息安全相关专业,3年以上安全工作经验。 ·熟悉身份与访问控制相关标准与框架,如零信任架构、最小权限、RBAC/ABAC、SOD(职责分离)等。 ·有实际IAM或PAM产品的搭建或运维经验(商业产品如CyberArk、EBeyondTrust、SailPoint;开源如Keycloak 关键技术能力 ●身份安全:掌握LDAP、OIDC、SAML、OAuth2、SCIM等协议,了解SSO、MFA、用户目录同步等实现方式。 ●PAM:熟悉特权账号的发现、托管、改密、审计、会话录制等核心能力,了解Just-In-Time(JIT)特权提升机制 与Breakglass应急机制。 ·账号安全:具备账号基线制定、账号审计、异常检测(UEBA)实践经验,了解服务账号与机器身份管理。 平台与工具 ·熟悉多个云平台(AWS/Azure/AliCloud)的IAM能力,如身份策略、服务账号、访问分析器 ·具备基础脚本能力(Python/Shell/Go),能对接API实现自动化任务5。 ·有SIEM或日志分析经验(如Splunk、ELK、DataDog),能编写查询与告警规则。 软性能力 ·能与运维、研发、合规、业务部门有效沟通安全需求与控制措施。 ·具备风险判断能力,能在安全与效率之间做出合理权衡。 ·有SFC、HKMA监管持牌机构安全合规经验者优先。