無止界
基础设施是个很泛的概念,在不同公司这个方向的名称也不一样,有些叫做网络安全,有些则细分为办公安全与网络主机安全。此处基础设施定义为应用层以下的所有基础的安全工作,主要分为网络、系统、硬件。网络安全方向涉及的主要工作为网络区域隔离、DDoS/CC防御、网络访问控制、安全网关等。系统安全方向涉及的主要工作为基线加固、运行时防护、主机入侵防护、文件防护、数据库防护等。硬件安全方向涉及的主要工作为固件安全、芯片安全、加密计算、可信环境等。以及可能还有机房物理安全、办公物理安全等。 解决方案 零信任 什么是零信任?定义的角度:对原有的信任最小化。实现角度来看,微隔离、端的信任替换为网络区域的信任、双向mTLS认证。...
网络安全面试本质在于甄别人选能力,深入理解自己的安全方向比无脑刷题更重要,通过面试过程中的问答更好的表达自己的看法,更容易获得面试官的青睐。
对前面几轮面试官的看法如何?(HR问题,考察对他人评价) 前几次面试中,你有了解到这个岗位的工作职责和目标要求是什么吗?(HR问题) 对于异地工作你是怎么考虑的?(HR问题) 离职原因?为什么这个阶段要裸辞?(HR问题) 提示:不要有太多消极负面东西,点到为止。提及原公司看法时,应当客观正面,切勿有个人情绪,尤其避免对上司、同事的抱怨。 薪资相关问题(HR问题) 提示:如果面试官未谈及薪资问题,切勿主动提及。回答薪资相关问题时,在保证自己基本利益的前提下,表达自己的诉求,但一定不要把话说死,给后续谈判保留空间。相信企业会给自己一个合理的回报。 遇到解决不了的问题怎么做?工作中遇到最大的挑战是什么,如何解决的?(考察学习能力和动手解决能力) 业余时间会干嘛?(考察技术热情) 提示:真实表达。可从乌云、翻墙、写技术博客、参与开源、常浏览的网站、关于黑客电视剧、关注业内牛人等角度。...
面试也是一项技能,虽然我们无法通过不断的面试来提升技能,但可以去避免前人踩过的一些坑。包括要去理解企业面试官常常关注的考察点,使用的一些面试方法(STAR面试法、行为面试法、冰山模型、压力面试法等),以及面试过程中需要注意的事项,同时通过简短的面试反向甄别面试官的能力以及其团队的水平。
上一章节讲述了基础的安全从业者应具备的素质,如果你已经具备这些素质,那么已经踏入了安全行业的门槛。这一章将重点讲解下入门之上的能力分层,不同层级更重视怎样的特质。 能力分层是一件非标准的事情,很难用特定的标准方式去判断一个人的能力,而且随着时间的变化每个人的能力也不断在成长。看哪些方面能力、各方面能力如何衡量、最终层次划分到什么程度,这些都不是本文讨论的内容。以通过各大厂面试并顺利拿到offer为诉求,我们需要搞清楚能力分层,就需要先了解各大厂的层级情况。 和打怪升级时的等级上升有显著差异,公司内部的层级分布往往呈现明显的啤酒瓶形状的,有点像政府单位,绝大部分是科员(工程师)、科长(高级工程师)和处长(专家),是干活的主力,再向上人数就急剧减少。 业余安全爱好者 人员画像:P4,脚本小子,熟练掌握各种安全工具使用,能够利用各种工具挖掘各类漏洞,刷刷SRC奖励。 安全工程师...
具备基础的工程师素质是从业的基础,在攻防渗透和软件开发有较为扎实的基础,同时兼备兴趣驱动和良好的适应能力上比较亮眼,则能很好的适应工作挑战。 软件开发技术:安全是软件开发技术的属性 安全本质上是技术实现的必备属性,和软件质量类似,因此做好安全的前提是懂得软件开发技术。而又由于任何软件开发技术都有可能安全问题,因此对于安全工程师来说,需要懂得各种语言的特性,比如Java、PHP、Python、JavaScript等,要设计后端、移动端、客户端、服务器等各种技术实现。 安全攻防技术:安全的本质是攻防 安全的本质是攻防,无论是做SDL、数据安全、安全开发、安全合规、安全架构或者蓝军等岗位,只有懂得安全攻防,你才知道别人是如何攻击的,自己应该如何防更有效。因此对各种常见的安全威胁,比如各类漏洞的原理与利用、各种黑灰产的攻击方式、监管的各种检查方式等等。...
無止界