顺丰安全合规工程师(安全审计方向)
任职要求
1. 本科及以上学历,计算机科学、信息安全、网络安全、审计或相关专业
2. 5年以上信息安全/IT审计经验(具有信息安全审计经验优先)
3. 精通信息安全标准(如NIST、PCI DSS)、风险管理方法论(如ISO 27000)及审计流程
4. 熟悉防火墙、IDS/IPS、VPN、终端安全…工作职责
1. 负责安全风险审计,覆盖数据、应用、网络、物理安全等领域,识别策略与流程设计及执行漏洞,提出优化建议并推动整改 2. 负责个人信息保护合规审计,确保符合外部监管及内部合规要求 3. 利用安全审计工具开展审计,识别异常行为或潜在威胁
1、参与公司办公数据安全标准的制定和维护,包括数据安全需求识别、风险分析、数据流转、泄露防护等; 2、参与公司办公安全基础设施建设、包括但不限于终端DLP、文档加密、网络流量分析等方面,针对办公数据泄露风险设计、落地解决方案; 3、参与办公数据安全的日常维护和管理工作,包括办公数据安全的监控与响应、安全合规审计与调查等。
1、负责数据安全监控策略的研发、部署与持续优化,包括但不限于数据泄露风险监测、内部敏感数据流转异常识别等场景; 2、针对内部办公、数据分析、运维等场景,设计并实现用户与实体行为分析(UEBA)策略,输出精准告警与审计线索; 3、参与数据安全事件的全链路溯源分析,通过数据关联与挖掘,定位风险源头与影响范围; 4、基于业务日志、流量数据、操作审计等多源数据,构建异常行为分析模型,提升主动风险发现能力; 5、与安全运营、平台开发团队紧密协作,推动策略的自动化执行、效果评估与迭代优化。
1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系,整合SAST、DAST、SCA、IAST等工具链,建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标(如检出率/误报率/扫描效率),输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析(SAST)技术构建代码安全门禁,设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究(Java/Go/Python等),通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析(SCA)的组件风险评级体系,制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试,覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案,探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应,建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制,输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案,推动安全测试能力与CI/CD管道的深度集成
信息安全方向: 1、网络&应用安全 - 领导信息安全风险评估、漏洞扫描、渗透测试,制定有效的风险缓解与应急响应计划;监控公司核心系统、平台与数据的安全态势,建立高效的威胁检测与响应机制(SIEM、SOC); 2、数据安全 - 建立完善的数据资产分级体系,并设计和建设体系化的数据安全工程体系和防控体; 3、安全制度和培训 - 联动研发、运维、法务、合规等部门推动全公司的安全措施实施,主导全员安全培训与安全意识提升计划; 4、安全技术研究 - 关注前沿安全技术动态,推进零信任架构、DevSecOps、AI驱动安全等新技术应用。 应用安全方向: 1、参与SDLC(安全开发生命周期)能力的建设,包括安全流程、自动化工具(黑盒/白盒/灰盒)、指标体系等; 2、负责公司应用系统和APP的安全测试,发现应用/数据/隐私相关风险漏洞; 3、负责日常应用安全事件的分析和应急响应,跟进前沿安全技术领域研究。 数据安全方向: 1、分析数据安全需求,负责数据安全产品的系统设计&核心功能开发和维护工作,包括但不限于加解密、脱敏、UEBA、数据网关等; 2、组织开展数据安全风险评估,识别潜在漏洞并提出可行的改进措施; 3、负责数据安全技术方案选型、系统部署与运维,推动安全能力落地。