身份安全工程师

一、岗位职责 1、身份与访问管理运营：负责 SSO、MFA、统一目录（LDAP/AD/Azure AD）等系统的日常运营与优化，设计最小权限策略，定期开展权限合规审计。 2、特权访问管理（PAM）：建设与运营特权账号管理平台，实现核心资产（服务器、数据库、云控制台等）的账号托管、自动改密、会话审计和高危操作拦截，推动零永久特权与即时提升（JIT）机制落地。 3、安全运营与响应：分析身份与访问相关安全事件，参与应急响应、红蓝演练，推动安全能力自动化及身份安全度量指标（MFA 覆盖率、特权托管率等）的可视化建设。制定统一的账号安全基线，持续清理僵尸账号、弱口令、过度授权等风险，管理员工、第三方、服务账号及机器身份，设计异常行为检测规则并开展监控分析。 二、任职要求 1、本科及以上学历，计算机或信息安全相关专业，3 年以上安全运营或身份安全相关经验。 2、深入理解零信任、RBAC/ABAC、最小权限、职责分离等原则，具备 IAM 或 PAM 产品搭建/运维经验（如 CyberArk、BeyondTrust、SailPoint 或 Keycloak 等）。 3、精通 PAM 全流程：特权账号发现、托管、改密、会话录制、JIT 提升与应急 Breakglass 机制。 4、具备丰富的账号治理与权限清理实践，熟悉服务账号、机器身份管理及异常行为分析（UEBA）。 5、熟悉 LDAP、SAML、OAuth2、OIDC、SCIM 等协议，掌握至少一个云平台（AWS/Azure/阿里云/华为云）的 IAM 策略与访问分析。 6、具备基础脚本能力（Python/Shell 等），有 SIEM（Splunk/ELK 等）日志分析与告警配置经验。具备处置告警进行安全应急响应的能力 7、良好的跨部门沟通与风险平衡能力，有 SFC、HKMA 等监管持牌机构安全合规经验者优先。