身份与访问控制安全工程师（IAM/PAM 方向）

岗位职责

1.IAM体系建设与运营

●负责公司身份与访问管理系统的规划、建设与日常运营，包括用户生命周期管理、认证、授权、角色权限治理等。

●推动单点登录（SSO）、多因素认证（MFA）、统一身份目录（如LDAP、AD、Azure AD）的落地与优化。

●设计并实施基于最小权限原则的权限管理策略，定期开展权限合规审计。

2.特权访问管理（PAM）

●建设与维护特权账号管理系统（PAM），覆盖服务器、数据库、网络设备、云控制台等核心资产。

●实现特权账号的托管、定期改密、会话审计、命令拦截与高危操作告警。

●对接运维、数据库、云平台等场景，推动“零永久特权”和“即时提升”机制落地。

3.账号安全治理

●建立统一的账号安全基线，管理员工、第三方、服务账号、机器身份等各类账号。

●定期组织账号权限清理，消除僵尸账号、共享账号、弱口令、过期权限、过度授权等风险。

●设计与实施账号异常行为检测规则（如异常登录、越权尝试、非工作时间访问等）。

4.安全运营与事件响应

●监控身份与访问相关日志，分析账号失陷、越权访问、异常配置变更等安全事件。

●参与安全事件应急响应，提供取证分析与改进方案。

●定期开展内部红蓝演练或渗透测试中与身份/权限/变更相关的攻击路径测试。

5.安全能力建设与自动化

●将身份安全、PAM、变更安全控制集成到CI/CD、云基础设施及IT服务管理流程中。

●编写自动化脚本或策略实现权限合规检查、账号生命周期自动化。

●推动身份安全度量指标体系（如MFA覆盖率、特权账号托管率、权限过度授予比例等）的建设与可视化。

任职要求

基础要求

●本科及以上学历，计算机、信息安全相关专业，3年以上安全工作经验。

●熟悉身份与访问控制相关标准与框架，如零信任架构、最小权限、RBAC/ABAC、SoD（职责分离）等。

●有实际IAM或PAM产品的搭建或运维经验（商业产品如CyberArk、BeyondTrust、SailPoint；开源如Keycloak等）。

关键技术能力

●身份安全：掌握LDAP、OIDC、SAML、OAuth2、SCIM等协议，了解SSO、MFA、用户目录同步等实现方式。

●PAM：熟悉特权账号的发现、托管、改密、审计、会话录制等核心能力，了解Just-In-Time（JIT）特权提升机制与Breakglass应急机制。

●账号安全：具备账号基线制定、账号审计、异常检测（UEBA）实践经验，了解服务账号与机器身份管理。

平台与工具

●熟悉多个云平台（AWS/Azure/AliCloud）的IAM能力，如身份策略、服务账号、访问分析器。

●具备基础脚本能力（Python/Shell/Go），能对接API实现自动化任务。

●有SIEM或日志分析经验（如Splunk、ELK、DataDog），能编写查询与告警规则。

软性能力

●能与运维、研发、合规、业务部门有效沟通安全需求与控制措施。

●具备风险判断能力，能在安全与效率之间做出合理权衡。

●有 SFC、HKMA监管持牌机构安全合规经验者优先。

base地：深圳、珠海、香港