毕业了,辞去了实习的岗位,近期以应届生的身份面试了竞远安全的等保测评师的这么一个岗位,想和大家分享一下面试的流程,以及自己的心路历程。
一、面试邀约背景
某天,在boss刷招聘信息,发现竞远在招聘等保测评师的岗位,这个公司开设了一个全资子公司,用的竞远的名义在招人,但是后面签合同啥的是以全资子公司的名义签署,估计是想避开一些风险啥的,看了岗位的要求,我应该还算是挺符合的,然后就在线上和HR沟通了一下,没过多久,HR就发来了面试邀约,以及一些笔试和填写的表格给我(笔试有需求可以关注并私信博主要),笔试的大致内容就是一些关于等保保密性、网络拓扑图、以及测评知识,题量大致半小时到一小时左右就可以完成。
填完了笔试的要求,HR也提供了一个面试的机会,然后我开始疯狂找这家公司的一些面试经验分享,但是我并没有在网上找到。。所以就有打算写这篇文章的想法了,约定面试当天,我如约而至的到达面试地点进行面试,当然很可惜,面试没有提前做足充分的准备。以下是一下我还能回忆起来的面试问答分享,问题顺序不分先后,全靠还能记住多少,希望能帮助大家,同时也是我的一个面试总结分享。
二、面试经验分享
1、本次面试大概分为三个环境,自我介绍;问答环境,反问环节!
A:好的,那我先从自我介绍开始,然后就开始自我介绍,在这个环节,我其实没有提前去做一个充分的准备,到场之后是一个读简历的状态,比较简介。在自我介绍完成之后,其实就看到技术经理露出了那种比较嫌弃的一个状态,自己就感觉是过来刷KPI的了,毕竟经验少、应届生的身份BUFF拉满。
2、Linux命令行命令知道多少?
A:我的大概答复就是基本上都熟悉,然后还举了一些命令的例子
3、Linux密码策略怎么看?
A:cat /etc/login.defs、cat /etc/security/pwquality.conf、cat /etc/pam.d/system-auth,我回答了这些配置文件,还特别介绍了一些权限限制的区别,但是在这里表达的不是很好,技术经理给我的感觉就是似懂非懂。。
4、你用过什么漏扫工具,漏扫的流程是怎么样的?
A:产商的漏洞扫描工具,有使用过非凡、绿盟的工具,在学习的时候也有用过Nessus、AWVS这种工具,漏扫的流程,现在都是傻瓜式操作,输入IP地址,设置好策略就可以了,当然,在这了我还提到了一些实际实施的问题,授权和备份。
5、你能讲讲你这个证书是什么嘛?
A:教育机构的安全物理环境测评的一个认证。
6、除了Windows主机、Linux主机方面的测评,还有其他的嘛?
A:中间件IIS、Nginx、Tomcat;应用系统、交换机、路由器等都有按照指导书实操过,但是在甲方实际实施的不是很多。
7、等保测评的一个流程是什么,现场实施前需要准备什么?
A:这里提供一个相对专业一点的图片参考,我的回答比较随性,能讲出大概的工作,但是不够专业。
8、测评过程中需要开的会议,大概是干什么的,有实际参加或主持过嘛?
A:两次会议,启动会议会介绍项目组的成员、问题7的一个时间安排、测评依据、客户方如何配合等等,总结会议会(或者说是最后一次会议)会介绍工作进度、发现的问题(技术层面、管理层面)、后续工作等等。当然,这是我了解到的,并没有实际参加或者主持过这些会议,同时我也向HR坦白,只能说老实的、不会吹水的人,真的是难找到一个好的工作。
9、你在校期间最擅长的课程?
A:我回答了一个并且详细介绍,他就会问你还有没有其他的擅长的课程,我又回答了一个,可能是我没有回答到他想要的,他的表情有点。。这里根据实际说下就行,适当可以吹下水。
10、你的优劣势是什么?
A:。。。真的不会吹水,回答的点也不在技术经理想要的答案。。。
11、你最擅长的三件事是什么
A:。。。
12、你上家公司实习辞职的原因是什么,上家公司没有挽留您嘛?
A:钱多事少,有挽留,但不是符合我的工作期望和薪资。说实话,真的是太老实了,没有专业性的话术去应付,回答的这些个完全没有达到技术经理的期望(看表情就能看出)。老实人真的容易吃亏。
13、Linux的脚本有写过嘛?
A:其实我以前是有写过一些比较简单的脚本和工具的,但是在实习的时候,带我的哥哥就说,实施最好是不要用脚本,用了脚本万一那段时间出事情,运维人员也可能会把锅甩过来。但是我在面试的时候,其实是否认了以前的一些脚本,也把后来没写脚本的原因告诉他,然而技术经理的表情还是不容乐观。
14、有渗透和攻防经验,讲讲渗透的思路,如何渗透(好像是这么问)。
A:信息收集、漏洞探测啥的,这里我当时没有展开说明,一个原因是因为我面的是等保,不太像详细展开说,另一个原因是技术经理的表情不容客观。。。
15、你的兴趣是什么?
A:。。。。
16、数据传输的保密性算法有哪些?
A:这里其实我的了解还不够深入,找了点资料和博文分享一下
数据传输完整性算法是用于验证和维护数据在传输过程中的完整性的技术。以下是一些常见的数据传输完整性算法:
循环冗余校验(CRC):CRC算法也可以用于数据传输的完整性验证。发送方在数据中添加一个CRC校验值,接收方收到数据后使用相同的算法计算CRC校验值,并将计算得到的值与发送方的校验值进行比较,以验证数据的完整性。
哈希函数(Hash Function):哈希函数可以用于数据传输完整性的验证。发送方使用哈希函数对数据进行计算,生成一个固定长度的哈希值,并将该哈希值发送给接收方。接收方在接收到数据后使用相同的哈希函数计算哈希值,并将计算得到的哈希值与发送方的哈希值进行比较,以验证数据的完整性。
消息认证码(Message Authentication Code,MAC):MAC是一种使用共享密钥的算法,用于验证数据传输的完整性和认证。发送方使用密钥对数据进行加密生成MAC值,并将MAC值与数据一起发送给接收方。接收方使用相同的密钥对接收到的数据进行加密,并将计算得到的MAC值与发送方的MAC值进行比较,以验证数据的完整性和发送方的身份。
数字签名(Digital Signature):数字签名也可以用于数据传输的完整性验证。发送方使用私钥对数据进行签名,将签名和数据一起发送给接收方。接收方使用发送方的公钥对签名进行验证,从而验证数据的完整性和发送方的身份。
数据传输保密性算法是用于在数据传输过程中保护数据机密性的技术。以下是一些常见的数据传输保密性算法:
对称加密算法:对称加密算法使用相同的密钥对数据进行加密和解密。常见的对称加密算法包括AES(高级加密标准)、DES(数据加密标准)和3DES(三重数据加密算法)等。发送方使用密钥对数据进行加密,接收方使用相同的密钥进行解密,以保护数据的机密性。
非对称加密算法:非对称加密算法使用一对密钥,包括公钥和私钥。发送方使用接收方的公钥对数据进行加密,接收方使用自己的私钥进行解密。常见的非对称加密算法包括RSA(Rivest-Shamir-Adleman)和ECC(椭圆曲线加密算法)等。非对称加密算法通常用于密钥交换和数字签名。
混合加密算法:混合加密算法结合了对称加密算法和非对称加密算法的优势。发送方使用非对称加密算法对对称密钥进行加密,并将加密后的对称密钥与数据一起发送给接收方。接收方使用私钥解密对称密钥,然后使用对称密钥对数据进行加密和解密。这种方法同时提供了数据的机密性和安全密钥的交换。
VPN(Virtual Private Network):VPN是一种建立安全通信通道的技术,通过使用加密协议和隧道技术,将数据在传输过程中进行加密和解密,以保护数据的机密性。常见的VPN协议包括IPSec(Internet Protocol Security)和SSL/TLS(Secure Socket Layer/Transport Layer Security)等。
17、还有蛮多问题,但是记得不是很清楚了,整一个面试耗时半个多小时,过程还是比较失败的,因为在面试的过程中,其实我是能清楚的知道这个问题的答案,但是在表达的过程中,表现的不是很好,其次就是太老实,毕竟应届生身份的BUFF堆在那里,实战经验也确实不够。
反问环节:
1、主要业务分布?
2、福利待遇
3、新人培训机制
4、想问啥问啥
三、面试总结
先说下面试结果把,那肯定就是寄了,反馈的面试结果也是经验和能力不足,只能说还是表达的能力不行,毕竟没有实战就被否决了,还是存在不甘的。当然,能力和经验也确实不够,还得练,但是说实话,在等保这一块,还是很容易上手的,主要是现在的就业形势,很少有公司想让你边学边干,既要要求有证书,又要要求啥都懂,薪资给的还低,现在已经开始迷茫了。
继续加油把!年轻就是干!!
扫一扫
1387
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
