关龙 18801025587( 同微信 ) 基本信息 性别:男 学历:统招硕士 院校:东北大学 -计算机 安全资质： CISSP/CISP/DPO 政治面貌 :党员 籍贯:吉林 年龄:38 工作年限 :14年 邮箱：253651745@ qq.com 自我概述  体系建设 : 精通信息安全体系规划和建设，具有 2家互联网公司从 0到1信 息安全建设经验及多家政企信息安全咨询经验；  安全技术 : 精通网络安全攻防技术，曾是乌云网排名前 20的白帽子，多次 获得国家漏洞库 (CNVD)原创漏洞证书奖励，发现多个严重的可导致数据泄露 的漏洞；负责2次国家级 HW演练负责人，零失分。  安全合规 : 掌握国家三法一条例及主管部门规章等规范，顺利通过多次监管 的现场检查。掌握 云平台安全评估 /ISO27001 认证/等保3级测评/DSMM等安 全评估要求;  信通院《移动数据安全蓝皮书》第三章 移动应用数据安全管理要求 编写人 之一。 2022.2-，北京网安管家科技有限公司 (创业公司 ) 资深安全咨询顾问 主要工作 :两次国家级 HW主防负责人， 拿到零失分的结果: HW前协助客户进行 外网IP、端口、域名、 API接口、第三方组件、 APP版本、业务等资产盘点 消除 影子资产 /下线不在使用资产 /关闭低版本 APP/配置误开放到公网的资产；针对 资产安全加固 包括防火墙策略确认关闭过期 ACL，确保最小化开放有效 ACL和 ACL配置的正确性 (如172.16是内网ip范围， 不是 172),WAF/椒图/天眼/NGSOC/ 天擎/蜜罐/TIP等防护部署覆盖度和有效性测试 。渗透测试 :自动化+人工发现已 知安全风险，包括但不限于弱口令、边界防护绕过、第三方组件漏洞、安全设备 补丁、 钓鱼演练、 下级单位测试， 对发现的漏洞进行修复并进一步加强防护能力， 对剩余风险进行隔离或临时关停。 招人和培训 : 通过BOSS等渠道获得简历 ->笔 试->面试筛选候选人，并进行 HW工作红线纪律、 安全设备使用 、攻击和防御方 法、应急响应四大内容进行培训和答疑。 制定护网工作流程 :分组、排班、任命 组长，报警处置流程、业务决策流程、建立 对应蓝信工作群。 HW中进行报警事件 处置和威胁情报响应两大部分。 如大汉cms 0day 攻击事件处置，椒图检测到 webshell 进行第一时间文件隔离，基于天眼全流量日志结合椒图报警时间段， 锁定异常 user-agent 10+,进一步人工确认找到使用 xml、base64、URL等多种 编码多次变换的请求，还原攻击路径，最终确认是大汉 cms某API存在未授权访 问，对提交的 XML格式base64编码内容解码后，直接保存成 jsp文件，该漏洞 属于0day，及时编写技战法进行上报。 HW后帮助客户进行复盘，将好的防御方 法沉淀成常态化流程，对于防护缺失的部分给出提升建议。 交付1个云平台安全 评估项目: 有幸参与当前国内最严的安全测评， 整个项目需要两轮由国家院士组 成的评委组进行现场答辩。 依据《GB/T 31168 -2014 信息安全技术 云计算服务 安全能力要求》 从系统开发与供应链安全 ,系统与通信保护 ,访问控制 ,配置管理 , 维护,应急响应与灾备方面 ,审计,风险评估与持续监控 ,安全组织与人员 ,物理与 环境10个方面， 131子项，562条要求对服务的机构进行现状调研、 证据收集、 根据差距分析、给出整改建议。辅助客户通过现场答辩 ,详见附件项目介绍 。与 团队顺利交付某大型航空公司千万级安全咨询项目 :基于国家法律法规及民航标 准和客户需求， 为客户软件开发生命周期中设计了软件开发默认安全、 自动闭环、 智能检测三层防御体系，在保证软件开发安全的前提下，大幅提升安全效能，得 到了客户认可。在开发测试阶段，建议客户引入 IAST技术，该技术融合了传统 的SAST和DAST的优点，具有代码高覆盖、低误报、对业务零影响等优点，大大 提升了自研和第三方供应链代码的漏洞梳理和效率。在生产环境，建议客户采用 RASP技术，实现运行时的安全保护，解决客户面临的频繁发现新的组件漏洞，频 繁更新补丁，对业务稳定性带来巨大威胁的安全问题。 详见附件项目介绍 。 2017.3-2021.4 融360/简谱科技 (美股上市公司 ) 安全技术经理 12人团队 做为安全负责人守护亿级用户的金融数据安全， 4年内无重大安全事件发生。 主要工作 :建立态势感知 SOC平台。主要包括 资产管理模块 (打通运维系统获得 基础域名、 IP等信息、API接口列表 )、网络边界安全巡检功能 (基于nmap对外 网边界、生产网、办公网边界进行巡检发现多起误开高危端口情况 )、防护有效 性验证功能 (检查安全防护运行状态和实际防护能力 )、安全策略配置功能 (waf 规则的策略配置、各业务人机检查阈值的配置、报警方式等的配置等 )、安全漏 洞管理模块 (安全漏洞包括内部发现和 SRC上报的，从创建到修复全生命周期管 理，每月 /季度汇总各业务线安全漏洞情况发送月报 )等。建立4A认证体系 。整 合公司内部 40多个独立的账号系统，建立统一的账号管理中心，支持账号和密 码登录、短信认证登录、和飞天诚信的硬件令牌和 google的软令牌登录等多种 方式，最终实现网络边界 VPN和内部运维等高敏感权限系统进行双因素认证登 录，内部系统采用 sso单点登录，严格落实一人一账号，对巡检发现的借用账号 等行为进行全员通报批评，极大提供了员工的安全意识。 从0到1建设数据安全 体系建设 :数据分类分级 (按金融行业标准将数据分成三类五级 )、数据加密与解 密中心建设 (独立加解密平台使用加密狗硬件存储密钥，确保密钥不落盘 )、数据 外发平台 (业务提数据外发需求包括表、字段、接收人邮箱和手机号，经过审批 后，系统自动将处理完的数据，加密后发送给对方 )、数据操作平台 (所有数据操 作通过平台进行，实现敏感数据脱敏展示和高危操作的屏蔽，跑批和下载审批等 功能)、数据融合平台 (与机构的数据探查服务 实现双方共建的独立集群进行探 查)、终端数据防护 (采用的商业软件实现的终端 DLP防护，做为离职技术审计的 重要组成部分 )。安全合规体系 监管对接和认证测评 : 等级保护 3级、ISO27001 、 印度/印尼/菲律宾等国的安全合规审查 、网安/网信现场检查、 国家机构 大数据 平台测评 等。安全团队管理 : 明确职责分工、要求和目标 ,形成标准 /达成共识 ； 按事情、 人、 时间、 结果核心四要素法跟进项目， 根据项目紧急程度实现日、 周、 双周、月等跟进机制 ，管理最核心的是帮助队友拿到结果，最难的是激发 团队每 个人的善意 最终形成合力 。 2016.4-2017.3 口袋购物 (小微企业 ) 信息安全经理 负责5人团队 主要工作 : 自研并上线 WAF系统。基于openresty 自研WAF防护系统，能够防护 SQL注入、XSS、文件上传、文件下载、命令注入等 常见web攻击请求，并添加了 当时先进的基于浏览器指纹的人机识别能力 ，通过灰度切流 ，观察到拦截模式 上 线过程对业务零影响，帮助 业务系统 每天阻断千万 级攻击请求。 安全开发规范闭 环落地。为解决大量 SQL注入问题，推动安全编码规范在集团技术委员会上通 过，明确研发工程师为漏洞第一责任人，所有新代码都需要调用安全部提供的安 全SDK，并通过 sonar在CI/CD阶段进行自动化扫描，发现违规代码通知工程师 修复后在发布 。存量代码基于 php-taint进行自动发现。经过半年治理，基本上 杜绝掉SQL注入等常见 web漏洞。安全事件应急响应 : 2014.8-2016.4 亚马逊(中国) 应用安全专家 主要工作: 开发一套基于访问日志的自动化漏洞挖掘系统 ，上线一周挖掘 400+ 个反射型 XSS安全漏洞 。在AWS云上，使用 java编写hadoop map -reduce功能 对amazon的全球OPFlog访问日志进行归一化去重， 然后推送到 burpsuite 商业 版本进行自动化漏洞挖掘，一周内发现了 amazon全球共计 400+个XSS安全漏 洞，获得了当年最佳项目奖，赴西雅图总部进行专题演讲。 发现网络劫持攻击行 为， 为公司节约千万广告费用 。通过日志分析发现大量的请求被重定向到 ?tag=， 在充分了解业务场景下确认为是对公司网站网络劫持攻击行为， 进而骗取公司网 络广告推广费用，为公司解决千万的广告投放费用。并基于 C#开发了acme插件 实现对网络劫持 攻击的发现、上报、处置功能，最终杜绝了此类问题的发生。 日常工作 : 业务上线前的 SDL检查。基于内部项目管理平台，对业务系统进行自 动打标，对红色系统进行架构设计 review、威胁建模、代码审计、上线前渗透测 试、上线后持续漏洞跟踪和修复等工作。 重大漏洞应急响应 -破壳。出现重大安 全漏洞时，进行全球业务系统的重点排查，及时发现受影响的系统和进行修复。 2011.7-2014.8 绿盟科技 安全研究员 主要工作 : 通过 Fuzz和逆向技术， 首次发现通过畸形 HTTP请求绕过 WAF文件 上传和 SQL注入的安全防护方法，挖掘上百种绕过当时 WAF防护方法，极大提 升公司 WAF安全防护能力，助力公司 W