# 网络安全面试指南(CybersecurityInterviewGuide)
** 为获得最新内容以及更好的阅读体验,可移步 [网络安全面试指南](https://feei.cn/sig/) **
---
多年来筛选了数以千记的简历,为何很多人连面试的机会都没有?参与了数以百记的应聘者的面试,为何如此多的人没有通过最终面试?能力当然是最重要的,可我却见过很多能力不比已经入职的同事差却应聘失败的人,到底该如何做?希望这篇安全从业者面试指南能够帮到你,让你少走一些弯路。
本文目标是希望创造一份针对**网络信息安全领域**从业者的面试指南,从行业、企业、从业者等方面了解当前现状,学习通用的面试和招聘经验,核心围绕各个细分安全岗位的**体系**、**实用**、**高质量**的**题库**展开。
本文主线围绕面试者视角进行全流程讲解,其中会穿插企业视角、HR视角以及技术面试官视角,让你能够更加全面体系的理解并吸收各种经验。其中核心题库部分,会存在较强的时效效应,因此会不断的进行更新,增加新的题目、剔除不合适的题目、调整题目难度或解答提示。此外题库的来源于真实工作中,能够确保题目能真实反应应聘者能力水平。
因作者能力和精力有限,如有错漏,请通过GitHub Issues或邮件`feei#feei.cn`反馈,感谢!
## 读者对象
本文内容适合应聘者以及面试官。
- 如果你是在校学生,通过阅读本文可以了解从业人员必备素质和公司考察的问题,以找到自己当前的薄弱点进行补充学习。
- 安全爱好者,如何从爱好者变为从业者?如何从业余级别进阶为专业级别?也许你能在这里找到答案。
- 其它行业有面试需求者,本质上没有某个行业的面试指南,所有面试都是相通的,你一定能从其中得到一些收获。
- 安全从业者,帮助安全从业者更从容的面试与被面试。
同时,本文也被众多企业面试官所采用,作为面试官也可以使用相关领域问题,同时也欢迎通过评论提交你觉得有价值的问题。
## 版权申明
本文仅代表个人观点,和所在公司无关,如有任何建议或意见请直接联系作者。本文开放至互联网,可免费阅读转载,转载请注明本文作者和本文链接[信息安全面试指南](https://github.com/FeeiCN/SecurityInterviewGuide) 。
---
# 网络安全面试指南
## 1. 网络安全行业现状
### 1.1 网络安全行业现状
安全行业起步晚。安全行业整体起来才没几年,多数企业因为资源投入和建设时间原因导致覆盖面和深入度都不够,这其中甚至包括一些国内大厂,并没有想象的那么安全。其安全水位仅能应付一些白帽子级别,针对专业黑客团伙持续定向攻击,大多数都不能防御住,看HW就知道了。
#### 从业人员薪酬高
由于安全行业起步晚,安全人才紧缺,需求旺盛,导致安全从业者薪资水涨船高。高到什么程度呢?都知道互联网行业薪酬是所有行业中最高的之一,技术类是互联网行业中薪酬相对最高的职能,而安全工程师又是技术人才中薪酬最高的,和当下发展正火的机器学习人才并驾齐驱。可能还是没概念?这么说,应届信安专业优秀本科生能拿到每月20000-35000(当然这里面有很多行业内卷的因素,一些公司的招聘策略是入职即巅峰,后面薪资就不怎么涨了),努力工作三四年的能拿到40000每月,做到安全团队管理者后能拿到百万年薪,做到行业顶尖能拿到千万年薪,后面也会讲不同薪资对应需要什么样的能力结构。随着市场调节,越来越多的学校开设信息安全相关课程,越来越多的培训机构教学信息安全知识,越来越多的人学习或转行做信息安全,整体紧缺情况有所好转。
#### 安全水位难衡量
很多事情是有因果关系的,前面讲到的良莠不齐的根因在于很难通过结果来判断安全建设的水位。很多团队的KPI是不出安全事故——什么事都不做也不会出安全事故。于是造就了吹嘘拍马之人的风生水起。但随着实战红蓝演练的普及,国家级别实战攻防演练的规模和范围扩大,逐渐用模拟实战的方式来检验防护和应急效果,能一定程度上改善这类情况。
#### 从业人员良莠不齐
好处是会有更多的人投身于安全,当然坏处也很明显,人员空缺与岗位的紧急程度导致存在大量能力良莠不齐的人在行业内浑水摸鱼,明显的特征是你跟他聊技术细节他跟你聊推进落地,你跟他聊推进落地他跟你聊方向把控,你跟他聊方向把控他跟你聊团队管理,你跟他聊团队管理他跟你聊行业空间,如果这些方面都能聊一点那也行,更多人是答非所问或者看似句句在理实际空洞无物,更有甚者,不知在何处听到的理论还没消化完毕,就拿出来班门弄斧。虽然这么说会得罪一部分人。有人问难道入职后不能衡量出来吗?正常老板不懂的情况下,还真不能衡量出来,主要是因为前面讲到的安全水位难以衡量,而实际的安全风险都是小概率事件。
#### 安全建设驱动因素转变中
金融、电商、游戏这些业务类型对安全有天然诉求,作为业务的重要属性,不做安全黑灰产都会盯上来,此时属于黑灰产驱动安全。乌云等公共漏洞报告平台兴起后,各家企业的安全建设又上了一个台阶,属于白帽子安全事件驱动。而后,白帽子驱动的模式由于合规问题也逐渐减少。更多企业只是为满足合规而进行安全建设,甚至一些企业会购买大量安全产品,但只为了应付监管检查却不使用,此时仅为合规驱动安全。最近几年的行业风气,因为国家攻防演练的增加而变得正常起来,逐渐演变为由实际风险驱动安全。
#### 安全圈子文化氛围浓厚
安全是一个小圈子,圈内事件传播十分迅速,比如哪家企业数据库泄露、哪家业务活动被薅羊毛、哪个安全人被抓、哪个企业遭到了什么处罚等负面新闻。圈内人能够很快了解到行业新技术、新方向、新政策,能够很容易了解到每家公司的安全建设情况。你能了解到阿里安全与线下公安配合的手段之强,也能认识到腾讯的SRC如何能够运营的的这么好,更能和百度的安全人讨论如何让机器学习赋能安全产品,这一切场景在安全圈内的实现都非常容易。众多安全会议的举办也能让你学习到每家公司的经验,无需自己摸索、闭门造车。这都是小圈子的好处。当然弊端也很明显,总有一些人搞所谓的“圈子文化”,混迹于各种安全会议主动认识圈内人(当然这里不是指各家SRC运营的同学,这些是运营同学的工作一部分)。结识所谓圈内人如果出于交流技术的目的也能理解,但这些人仅仅是加上微信,发送一条打招呼的自我介绍后就再也不会有任何有意义的交流。妄图以这样的方式让自己进入圈子中心,可笑可悲。
#### 学历相对不重要
安全圈存在很多无学历或低学历的牛人,他们年龄可能不大、工龄也短,但往往都是兴趣驱动,早期就在安全方面投入了大量时间精力,因此颇有造诣。当长处特别突出时,往往会突破企业的一些要求限制,比如岗位学历要求本科时,候选人突出的安全能力能让这项要求降�