Life-note +

面试总结-2022

2022-12-14

回顾一下近一年面试过的公司,做一些总结,思考不足之处在哪里?接下来的工作之中,如何提升自己的能力,去获得更多的机会。

1- 南京大数据集团有限公司-信息安全工程师

企业介绍

南京新国企,发展数字经济的公司。主流产品:我的南京。投资机构均为南京国有机构,发展潜力比较大。

2021/12 来源:51Job 1人 | 硕士 | 3年以上

岗位职责: 1、负责信息安全相关制度、流程、规范定义、遵循和持续改进; 2、为集团撰写的各种材料提供方案、技术建议、长期规划建议等; 3、保障集团业务、内部IT系统的正常运行; 4、完成领导安排的其他安全运维工作。 任职资格:

1、1991年10月1日以后出生,“***”高校硕士研究生及以上学历,网络安全、计算机软件或计算机应用等相关专业; 2、3年以上大中型IT架构信息安全管理经验。 3、具有规范编写专业文档的能力,包括申报材料、分析报告、解决方案、成功案例分析等; 4、熟悉信息安全理论、主流信息安全技术(Web安全、主机安全、应用安全、逆向工程等)、产品的应用部署及方案设计; 5、了解国家信息安全相关政策法规与标准规范; 6、具有专业安全服务服务经验的优先考虑,如安全行业技术顾问、安全服务工程师等经历; 7、中共党员优先,具有良好的政治觉悟和道德素养,有较强的保密观念和协作能力。

这次招聘很正规的,前期有简历筛选,然后线上笔试,最后从面试中挑选前四个进行线下面试。

其中笔试的题目主要是软考中级信息安全工程师的题目,但笔试你成绩不理想,最后还是以倒数第一的笔试成绩进入四人组的线下面试。不清楚为什么只招一个人,最终会让四个人进面试。你还是体验了一次正规国企的线下面试,需要带着学历学位原件、证书原件,来到面试地点。在一个大会议室中等待着,然后信息安全工程师四个人进行抽签,按照顺序进行面试。

由于时间原因,线下面试只有十分钟。主要是自我介绍、问的问题是挖的通用漏洞、Log4j漏洞的理解、近源渗透攻击。

反思

2-金斯瑞-信息安全经理

国内比较有名的一家药企,在南京上市公司中市值排名前五。基因合成技术

2022/5 BOSS 市值 620 南京-江宁区 5-10年 大专及以上 20-25k 职责描述: 1、依照公司的信息安全工作规划,根据工作安排,负责信息安全领域的标准制定工作; 2、参与信息安全项目,协助团队按目标完成信息安全的建设; 3、参与公司信息安全体系规划和建设,包括,但不限于,信息安全合规、信息安全风险管理、信息安全运营管理、信息安全技术解决方案等; 4、参与建立安全事件响应体制和机制,主导信息安全事件应对和处理,包括事件应急对应、事件调查、事件报告、事件处理、事件宣传等; 5、针对公司基础架构进行桌面安全、系统安全、应用安全、数据安全、物理安全、网络安全等的风险评估和控制; 6、在公司开展信息安全宣传和培训,提高员工和相关人员的信息安全意识; 7、对整体IT信息架构安全隐患的挖掘,追踪与消除。

任职要求: 1、5年以上的安全行业工作经验,具有体系建立交付经验; 2、熟悉ISO27001, 国家等保等信息安全框架,及中国网络安全法,欧洲GDPR等法律; 3、具备应用安全, 软件代码安全, 数据库,服务器,网络安全等领域经验; 4、熟练掌握漏洞检测,网络渗透,安全加密等基本工具的使用; 5、对信息安全风险评估有一定的经验,能够独立处理安全事故; 6、能自我驱动,有较强的沟通能力和组织协调能力;工作责任心及表达能力强,善于分析和解决问题; 7、有CISP,CISSP等信息安全认证及安全行业、互联网行业或者生物科技行业工作经历者优先。

2022/5/20 业务负责人+人力面试

1、简单的自我介绍

2、如何来做渗透测试工作的

3、比如厂商发现了安全漏洞,把这些漏洞给你之后,你是如何进行处理的。

4、比如内网有一些漏洞,实在是修复不了,研发说不修了,应该如何处理

5、非技术能力,面对合规要求,有哪些是和人打交道、软实力,推进不下去的?

6、公司是根据哪些安全体系进行安全建设的?

7、甲方需求 对外部评估、测试发现的问题,进行协助研发同事进行修复等。这个岗位更加偏向于安全管理。

没通过该面试。面试是一个双方互相匹配的过程。可能你的技术很厉害了,但对方要的是一个安全管理的人员。给的反馈结果是,甲乙方对安全的理解还是有差别的,可能对甲方安全的理解不够吧!招聘方有多个面试者,会从中选取一个最合适的。

没有问什么技术问题,主要还是方法论、对甲方安全的理解。后面要补充自己的知识,甲方安全建设形成自己的方法论。不要局限在自己所做的工作圈子里面,要跳出来。

不要伤心、不要难过。积累经验,慢慢来。

面试官是内部IT团队负责安全的,一个总管、一个分管。

反思

后期需要提升的地方:

  1. 来一个事情之后,不要慌。心里面要有一个思考,接下来一步步应该怎么去说。
  2. 加强对甲方安全的理解,不要局限在技术里面,要思考如何贴近业务。安全是如何融入业务的
  3. 做事情要形成自己的一套方法、有条理、有重点

3- 博世-安全运维

外企-英语

岗位职责 1、负责BSH IoT云(AWS环境),WAF,DDos,堡垒机等安全产品的日常维护,安全事件的分析和日常处理; 2、负责信息安全问题整改的推动和跟踪,负责等保测评、安全基线制定等专项工作;
3、负责安全体系规划建设和持续改进,负责制定和维护信息安全管控策略,并负责落实;
4、负责安全识别和管理; 任职要求: 1、本科及以上学历,三年以上工作经验; 2、了解网络、服务器等基础设施架构,了解操作系统、数据库及中间件的基本技术原理,具备相关安全配置和漏洞防护能力;
3、了解各种网络安全设备的安全配置,如:防火墙、IDS/IPS、抗DDOS攻击、负载均衡、上网行为管理、代理设备、VPN(SSL VPN、IPSEC VPN)、WEB应用防火墙、网络准入控制,具有实际维护经验
4、熟悉主流安全厂商安全产品,有渗透技能者优先;
5、有安全厂商背景、等保咨询相关经历优先;

2022/5/24 猎头投递简历

2022/5/31 HR电话了解基本情况

2022/6/8 业务负责人+人力面试

打了电话。HR简单的问了下基本情况,又问到了英文水平,还简单的交流了11分钟,问了下为什么换工作、做的工作内容、薪资要求。以及简单的英语交流。

具体能不能达到下轮业务部门面试,不要期望太多了。

2022/6/8 业务负责人+人力面试

面试内容

1、简单自我介绍

2、日常如何进行安全运维的

3、对K8s了解多少

4、安全运维,可以登陆服务器,如何批量的操作上千台服务器

5、红蓝对抗时,蓝方主要做些什么

6、一个注册接口,注册成功率低于50%,你是如何进行处理?

7、你未来的工作打算是什么、为什么跳槽?

面试官反馈:逻辑思维能力,回答问题要抓住重点。

比如问到注册接口成功率50%,你主要精力是先去说去测试这个接口是否存在安全漏洞。标准的回答是什么。

1、先去看报警日志,查看没注册成功的用户,是什么原因。手机号、邮箱问题等,然后再反馈研发同事

2、未注册成功的原因,不是业务代码层面,带去看注册IP是否都是同一个呢,是否存在恶意注册、看注册时间是否集中,是否是恶意攻击呢

3、最后测试下这个注册接口,是否可正常使用、存在安全风险

4、以上几个点分析之后,形成总结报告。

思考:面试问的问题,和你实际做的工作,不是很符合。这是借口吧?你没有真实的进行安全运维,服务器的权限不在自己手上。国内的安全运维应该只是对安全设备的运维,发现告警进行应急处置。

后面需要提升的地方:

1、说话逻辑思维 框架、然后1、2、3

2、安全面试不要局限在渗透、漏洞上面,要全局观、安全管理

3、英语口语能力的继续提升

4、安全思考的要深入,不是表面大家都懂的,而是要深入有自己的思考

5、回答问题前,要花几秒钟,脑子里面组织一下语言,思考如何回答

4-宝马诚迈-安全工程师

职位描述 岗位职责: 1、通过与相关者沟通和合作来支持安全管理过程,以准备安全工件。 2、对 Web/移动应用程序/API 进行威胁建模和评估,并与应用程序开发团队协商部署缓解安全措施以管理已识别的安全威胁/风险。 3、支持日常安全运营,包括 SOC 警报和事件响应。 4、持续跟踪、审查、实施和维护有效的安全政策、程序和实践。 5、根据对安全风险和威胁的评估,及时提供安全建议,确保业务决策知情。 6、与跨职能团队和外部承包商合作,识别和缓解应用程序和平台中的安全漏洞。 7、支持安全项目设计和实施 职位要求: 1、计算机科学、计算机或软件工程、信息安全或相关专业本科及以上学历。 2、了解软件开发生命周期方法论和概念,以及应用程序安全开发领域的专业知识。 3、精通网络安全、云安全、网络与应用安全、访问管理、事件响应等相关领域。 4、了解当前的安全技术和***实践。 5、研究、分析和推荐网络安全解决方案的知识。 6、有 Azure、AWS 和其他云提供商的经验。 7、流利的英语沟通。 8、优秀的管理能力。 9、有效解决问题和决策的能力。 10.优秀的人际交往能力和高积极性。 11、能够在多个截止日期的优先事项下高效工作。

2022/7/13

2022/7/7 投简历

2022/7/8 沟通

2022/7/13 业务负责人面试

聊了将近40分钟。问的问题特别多!

1、自我介绍

2、SDL的流程 你们是如何做SDL的

3、cnnvd编号 没有搜索到,因为你提交的时候没有选择公开。2031-12-06

4、做CTF培训 如何来做的,出了什么样的题目,考察什么样的知识点

5、风险评估,主要做了什么

6、数据安全法,主要给用户做什么、你讲一下自己擅长的领域,如何来做的?

7、在ymm负责0day的应急响应,如何来做的,tomcat 文件读取,具体细节是如何来做的。

8、做一个渗透测试的时候,会关注那几个点,如何来做的

9、apk测试的时候,关注那几个点

10、数据安全法、个人信息保护法有没有关注呢

11、对C、Java是否了解

甲方工作: 业务:车里面的系统、手机客户端、云端的安全。有一套自己的安全标准,检查业务方是否符合这个安全标准。

思考:

面试的时候,回答问题,不能直入主题,有时候会绕弯子。这个是你的沟通能力吗,还是没有听懂对方的问题呢?你在绕什么圈子呢?在干什么呢?如何听懂问题,并回答到点子上呢?

你太关注到细节问题了,工作了6年,需要多关注安全架构、方法论上面。多去读一些这样的文章,并将这些内容成为自己的思考体系,和别人沟通的时候,要觉得你有货。比如安全评估的时候,在登陆接口,不是去说密码要求多少位、验证码这些,从大的角度来思考,比如信息泄露、传输加密,这些大的点。聚焦在细节之处不错,但另外还得心中有个框架,在这个框架里面填内容。你虽然有看这些书籍,但重要的是消化,形成你自己的内容!

多关注一些信息安全法律条文。

反思

如何有这种质的提高,对网络安全入木三分的理解。不是停留在表面的划水,深入的理解这个行业以及技术。形成自己的方法论,有一套自己的思路!

5-国信-Web安全工程师

Web安全工程师1人 岗位职责: 1、负责对内部网络web安全漏洞进行挖掘和分析,分析漏洞共计,梳理共计流程; 2、负责新的安全漏洞及黑客技术研究,提供web安全相关问题的解决思路或针对性解决方法; 3、负责根据如法安全漏洞时间的应急响应。 岗位要求: 1、本科以上学历,计算机网络、信息安全等相关专业优先,3年以上项目经验; 2、熟练掌握常见Web系统安全漏洞原理、利用方式(含工具)以及对应解决方案; 3、掌握PHP/JAVA/.NET/Python等至少一种语言的代码审计; 4、熟练使用Python/Shell/PHP/Java等至少一种编程语言,能快速编写poc/exp 5、熟悉TCP/IP等常用网络协议,熟悉主流数据库管理及应用; 6、有安全事件溯源分析、勒索软件分析经验的优先; 7、在CNVD、CNNVD、SRC、CVE等平台提交过安全漏洞优先 8、有CNVD的原创漏洞证书优先; 9、有CTF经验或在安全会议有技术分享的优先.

招聘信息来源:公众号 南京国企招聘

2022/6/27 沟通

电话沟通时,聊的简历挺匹配这个岗位的,又说什么投递这个岗位的人比较少,才2个人。你听完这话感觉有戏。

6/28又打电话进行了确认,但在6/29查看智联时,岗位不合适!心中很是疑惑!

7/12 打电话又告知简历通过了审核,可以进行面试了!

7/16面试

1、SQL注入的原理和防御

2、XSS的原理和防御

3、CSRF的原理和防御

4、HTM5的安全风险

面试官问题都是很基本的,感觉他们对技术没有很深的认识和理解。里面的人还好吧,问了为什么要离开现有的平台、家是那里的、期望薪资多少。

思考:面试官问什么问题就回答什么,不要说太多。比如问你家是那里的,不用去说你老婆,问你就回答你在那里!

面试时间15min

思考:2022/7/25

面试过了,但钱太少了。公司福利应该不错,五险一金交的比较高!基本上是降薪过去的,还是再缓一缓,看看其他机会吧!

6-省联社-安全执行岗

安全执行岗 1.2-2.4万 南京 3-4年经验 本科 07-26发布 职位信息 1.本科及以上学历,计算机应用、计算机网络、通信、信息安全等相关专业,年龄35周岁及以下; 2.具有3年以上网络安全领域工作经验;具有CISA、CISP、CISSP等安全证书; 3.精通网络安全技术:包括端口扫描、漏洞扫描、入侵检测、攻击分析追踪、网站渗透、代码审计、病毒木马防范等,熟悉TCP/IP协议,熟悉数据包结构,精通常见攻击的攻击原理、手工检测及防御方法; 4.具备网络安全设备、操作系统、应用系统日志分析能力,能通过安全日志分析信息系统存在的问题; 5.良好的沟通能力、团队精神及良好的服务意识; 6.具有金融行业的工作经历者优先,参加各类网络安全竞赛获奖者优先。

过程

这种国企招聘流程比较长,从投简历到笔试,间隔一个月左右。本来都想着要放弃了,后面又给发短信让参加笔试。

2022/9/4

选择题 100道 80单选 20多选 60分钟

论答题 5道题目

选择题目

行测:数学、资料、图形分析、金融知识、安全专业技术

论答题:都是专业知识

1、网络访问控制的几种类型

2、代码混淆的几种方法

3、网络攻击的常见类型及防御方法

4、软件开发生命周期的技术

5、数据安全技术体系架构

这种线上笔试题目都是需要自己平常的积累。如何积累呢,多去看,多去总结,后面要记在自己的脑子里面,形成自己的方法论。想起上次和宝马的面试同样,技术问的不多,但要有自己的一套理论,一套打法。对多家方法论的汇总,形成自己的一套理论。

反思

算是经历过两次省联系社的笔试了,第一次主要都是技术,涉及到数据库、操作系统等,这次主要和事业单位类似了,考了一部分行测知识。后面也该知道如何进行准备了。

7-鼎捷-云安全工程师

2022/10 职位详情 岗位职责: 1.负责云端自研平台的整体安全规划与建制。 2.负责云端自研产品的安全检测。 3.良好的沟通,积极协助和驱动问题解决,高效的执行流程,保证项目质量和进度的达成。 任职要求:

  1. 计算机及相关专业本科学历,4年以上软件研发经验;
  2. 需熟悉任一种公有云的安全产品;
  3. 能够独立完成工作,有很强的责任心,做事严谨,良好的书面表达和工作总结能力
  4. 较强的沟通、协调能力、分析问题和解决问题能力;
  5. 需熟悉等保和ISO27001体系。

面试

2022/10/10 19:00 腾讯视频面试

1、简单介绍

2、初入一家公司,有上百台服务器,你应该如何去做保护其安全

3、除了国内的等保,对于国际上的安全标准理解多少

4、对云安全产品理解多少?前面的公司使用了哪些安全产品

5、如何向外面的客户/售前介绍公司的安全性,让客户放心

6、数据安全的落地方案,比如一个数据库里面 不同的表的分级不同,如何进行安全管理、安全切割

7、云安全技术 k8s、编排

8、换工作的原因是什么?

9、期望薪资、入职时间 22-23

10、你的不足:对云安全产品理解不足、云技术能力

面试官是台湾人,在上海办公。招聘的岗位在南京。面试官说话柔声细语的,你也算是积累了更多的一份经历,也认识到了自己的不足。

确实如面试官所说,现在云的技术突飞发展,难怪火线将论坛变为云安全社区。

关键词:云技术、云安全、云产品。

这一年经过7次面试,要有总结。把每次面试都当作一次学习的过程,查漏补缺。

Blog

Book

Think