十二月 21, 2025
28 分钟阅读

初级安全工程师面试题与答案

interview
career-advice
job-search
entry-level
初级安全工程师面试题与答案
Milad Bonakdar

Milad Bonakdar

作者

练习初级安全工程师面试常见问题,覆盖 CIA 三元组、OWASP、漏洞管理、TLS、SIEM 告警、密码安全和事件响应。

引言

初级安全工程师面试通常会考察你能否解释安全基础,并把它们用于真实场景:给漏洞排序、阅读 SIEM 告警、保护密码、检查 TLS,以及冷静处理安全事件。

使用这些问题练习简洁回答,把概念和你在岗位上会采取的具体行动联系起来。

安全基础知识

1. 解释 CIA 三元组。

回答: CIA 三元组是信息安全的基础:

保密性 (Confidentiality):

  • 只有授权用户才能访问数据
  • 实现方式:加密、访问控制、身份验证

完整性 (Integrity):

  • 数据保持准确且未被修改
  • 实现方式:哈希、数字签名、校验和

可用性 (Availability):

  • 系统和数据在需要时可访问
  • 实现方式:冗余、备份、DDoS 防护
Loading diagram...

违规示例:

  • 保密性: 数据泄露暴露客户信息
  • 完整性: 攻击者修改财务记录
  • 可用性: DDoS 攻击导致网站瘫痪

常见程度: 非常常见 难度: 简单

OWASP Top 10

2. 列举 OWASP Top 10 中的三个项目并解释它们。

回答: OWASP Top 10 列出了最关键的 Web 应用程序安全风险:

1. 注入 (SQL 注入): 攻击者将恶意代码插入查询中。

# 存在漏洞的代码
username = request.GET['username']
query = f"SELECT * FROM users WHERE username = '{username}'"
# 攻击:username = "admin' OR '1'='1"

# 安全的代码(参数化查询)
cursor.execute("SELECT * FROM users WHERE username = %s", (username,))

2. 破坏的访问控制: 用户可以访问他们不应该访问的资源。

# 存在漏洞:没有授权检查
@app.route('/admin/users/<user_id>')
def get_user(user_id):
    return User.query.get(user_id)

# 安全:检查授权
@app.route('/admin/users/<user_id>')
@require_admin
def get_user(user_id):
    if not current_user.is_admin:
        abort(403)
    return User.query.get(user_id)

3. 跨站脚本 (XSS): 攻击者将恶意脚本注入到网页中。

<!-- 存在漏洞 -->
<div>欢迎,{{ username }}</div>

<!-- 攻击 -->
username = "<script>alert('XSS')</script>"

<!-- 安全(转义输出) -->
<div>欢迎,{{ username | escape }}</div>

常见程度: 非常常见 难度: 中等

3. 你如何执行漏洞管理?

回答: 漏洞管理是一个持续识别、评估和修复安全弱点的过程。好的初级回答应提到资产清单、严重性、可利用性、暴露面、业务影响、修复负责人和复测验证。

不要只看 CVSS 分数。优先处理已被利用、暴露在互联网、位于关键资产上,或容易与其他弱点组合利用的漏洞。

流程:

Loading diagram...

漏洞扫描:

# Nmap 漏洞扫描
nmap --script vuln 192.168.1.100

# OpenVAS 扫描
openvas-start
# 通过 https://localhost:9392 访问 Web 界面

# Nessus 扫描(商业版)
# 通过 Web 界面配置

Nessus 示例:

# 自动化 Nessus 扫描
import requests
import time

class NessusScanner:
    def __init__(self, url, access_key, secret_key):
        self.url = url
        self.headers = {
            'X-ApiKeys': f'accessKey={access_key}; secretKey={secret_key}'
        }
    
    def create_scan(self, name, targets):
        data = {
            'uuid': 'template-uuid',  # 基本网络扫描
            'settings': {
                'name': name,
                'text_targets': targets
            }
        }
        response = requests.post(
            f'{self.url}/scans',
            headers=self.headers,
            json=data,
            verify=False
        )
        return response.json()['scan']['id']
    
    def launch_scan(self, scan_id):
        requests.post(
            f'{self.url}/scans/{scan_id}/launch',
            headers=self.headers,
            verify=False
        )
    
    def get_results(self, scan_id):
        response = requests.get(
            f'{self.url}/scans/{scan_id}',
            headers=self.headers,
            verify=False
        )
        return response.json()

# 用法
scanner = NessusScanner('https://nessus:8834', 'access_key', 'secret_key')
scan_id = scanner.create_scan('Weekly Scan', '192.168.1.0/24')
scanner.launch_scan(scan_id)

补丁管理:

# Linux 补丁管理
# Ubuntu/Debian
sudo apt update
sudo apt list --upgradable
sudo apt upgrade -y

# CentOS/RHEL
sudo yum check-update
sudo yum update -y

# 自动补丁
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

优先级矩阵:

CVSS 分数可利用性资产重要性优先级
严重 (9-10)公开漏洞生产环境P1 (立即)
高 (7-8.9)PoC 可用生产环境P2 (1 周)
中 (4-6.9)无漏洞内部环境P3 (1 个月)
低 (0-3.9)无漏洞开发/测试环境P4 (下个周期)

修复跟踪:

# 漏洞跟踪
class VulnerabilityTracker:
    def __init__(self):
        self.vulnerabilities = []
    
    def add_vulnerability(self, vuln):
        self.vulnerabilities.append({
            'id': vuln['id'],
            'severity': vuln['severity'],
            'asset': vuln['asset'],
            'status': 'open',
            'discovered': datetime.now(),
            'sla_deadline': self.calculate_sla(vuln['severity'])
        })
    
    def calculate_sla(self, severity):
        sla_days = {
            'critical': 7,
            'high': 30,
            'medium': 90,
            'low': 180
        }
        return datetime.now() + timedelta(days=sla_days[severity])
    
    def get_overdue(self):
        return [v for v in self.vulnerabilities 
                if v['status'] == 'open' and 
                datetime.now() > v['sla_deadline']]

常见程度: 常见 难度: 简单-中等

加密基础

4. 对称加密和非对称加密有什么区别?

回答:

对称加密:

  • 加密和解密使用相同的密钥
  • 速度快
  • 示例:AES、DES、3DES

非对称加密:

  • 公钥加密,私钥解密
  • 速度较慢
  • 示例:RSA、ECC
# 对称加密 (AES)
from cryptography.fernet import Fernet

# 生成密钥
key = Fernet.generate_key()
cipher = Fernet(key)

# 加密
encrypted = cipher.encrypt(b"Secret message")

# 解密
decrypted = cipher.decrypt(encrypted)

# 非对称加密 (RSA)
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives import serialization

# 生成密钥对
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048
)
public_key = private_key.public_key()

# 使用公钥加密,使用私钥解密

用例:

  • 对称加密: 加密大型数据(文件、数据库)
  • 非对称加密: 密钥交换、数字签名、SSL/TLS

常见程度: 非常常见 难度: 简单-中等

5. SSL/TLS 如何工作,你如何管理证书?

回答: SSL/TLS 加密客户端和服务器之间传输的数据。

TLS 握手:

Loading diagram...

工作原理:

  1. Client Hello: 客户端发送支持的密码套件
  2. Server Hello: 服务器选择密码套件,发送证书
  3. 证书验证: 客户端验证证书链
  4. 密钥交换: 建立共享密钥
  5. 加密通信: 使用对称加密

证书组成:

# 查看证书详细信息
openssl x509 -in certificate.crt -text -noout

# 证书包含:
# - 主题(域名)
# - 颁发者(CA)
# - 有效期
# - 公钥
# - 签名

证书管理:

生成 CSR(证书签名请求):

# 生成私钥
openssl genrsa -out private.key 2048

# 生成 CSR
openssl req -new -key private.key -out request.csr

# 查看 CSR
openssl req -text -noout -verify -in request.csr

自签名证书(测试):

# 生成自签名证书
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

# 合并用于服务器
cat cert.pem key.pem > server.pem

安装证书:

# Nginx
server {
    listen 443 ssl;
    server_name example.com;
    
    ssl_certificate /etc/nginx/ssl/cert.pem;
    ssl_certificate_key /etc/nginx/ssl/key.pem;
    
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
}

# Apache
<VirtualHost *:443>
    ServerName example.com
    
    SSLEngine on
    SSLCertificateFile /etc/apache2/ssl/cert.pem
    SSLCertificateKeyFile /etc/apache2/ssl/key.pem
    SSLCertificateChainFile /etc/apache2/ssl/chain.pem
    
    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite HIGH:!aNULL:!MD5
</VirtualHost>

常见错误配置:

1. 弱协议:

# 错误:允许 SSLv3, TLSv1.0
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

# 正确:仅现代 TLS
ssl_protocols TLSv1.2 TLSv1.3;

2. 弱密码套件:

# 测试 SSL 配置
sslscan example.com
nmap --script ssl-enum-ciphers -p 443 example.com

# 或者使用在线工具
# https://www.ssllabs.com/ssltest/

3. 过期证书:

# 检查证书到期时间
openssl s_client -connect example.com:443 -servername example.com < /dev/null 2>/dev/null | \
    openssl x509 -noout -dates

# 监控到期时间
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | \
    openssl x509 -noout -enddate

证书自动化 (Let's Encrypt):

# 安装 certbot
sudo apt install certbot python3-certbot-nginx

# 获取证书
sudo certbot --nginx -d example.com -d www.example.com

# 自动续订 (cron)
0 0 * * * certbot renew --quiet

故障排除:

# 测试 TLS 连接
openssl s_client -connect example.com:443 -servername example.com

# 验证证书链
openssl verify -CAfile ca-bundle.crt certificate.crt

# 检查证书与私钥是否匹配
openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in key.pem | openssl md5
# 哈希值应该匹配

常见程度: 常见 难度: 中等

防火墙

6. 解释有状态防火墙与无状态防火墙。

回答:

无状态防火墙:

  • 独立检查每个数据包
  • 不跟踪连接状态
  • 速度更快但安全性较低
  • 示例:基本数据包过滤器

有状态防火墙:

  • 跟踪连接状态
  • 记住之前的数据包
  • 更安全
  • 示例:现代防火墙
# iptables(有状态)
# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许新的 SSH 连接
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

# 丢弃其他所有内容
iptables -A INPUT -j DROP

连接状态:

  • NEW:连接的第一个数据包
  • ESTABLISHED:现有连接的一部分
  • RELATED:与现有连接相关
  • INVALID:与任何状态都不匹配

常见程度: 常见 难度: 中等

SIEM

7. 什么是 SIEM,为什么它很重要?

回答: **SIEM(安全信息和事件管理)**集中了日志收集和分析。

核心功能:

  1. 日志收集: 从多个来源收集日志
  2. 规范化: 标准化日志格式
  3. 关联: 识别模式和关系
  4. 警报: 通知可疑活动
  5. 报告: 合规性和取证
Loading diagram...

用例:

  • 检测暴力破解攻击
  • 识别数据泄露
  • 监控特权访问
  • 合规性报告 (PCI-DSS, HIPAA)

流行的 SIEM 工具:

  • Splunk
  • ELK Stack (Elasticsearch, Logstash, Kibana)
  • IBM QRadar
  • ArcSight

常见程度: 常见 难度: 中等

8. IDS 和 IPS 有什么区别?

回答: **IDS(入侵检测系统)**和 **IPS(入侵防御系统)**监控网络流量以发现威胁。

主要区别:

特性IDSIPS
行动检测并发出警报检测并阻止
部署带外(被动)内联(主动)
影响不会中断流量可能会阻止合法流量
响应手动自动
误报不太关键更关键

IDS 部署:

Loading diagram...

IPS 部署:

Loading diagram...

Snort 配置 (IDS/IPS):

# 安装 Snort
sudo apt install snort

# 配置网络
sudo vi /etc/snort/snort.conf
# 设置 HOME_NET
ipvar HOME_NET 192.168.1.0/24
ipvar EXTERNAL_NET !$HOME_NET

# 以 IDS 模式运行
sudo snort -A console -q -c /etc/snort/snort.conf -i eth0

# 以 IPS 模式运行(内联)
sudo snort -Q -c /etc/snort/snort.conf -i eth0

Snort 规则:

# 规则语法
# action protocol src_ip src_port -> dst_ip dst_port (options)

# 检测 SQL 注入
alert tcp any any -> $HOME_NET 80 (msg:"SQL Injection Attempt"; \
    content:"UNION SELECT"; nocase; sid:1000001; rev:1;)

# 检测端口扫描
alert tcp any any -> $HOME_NET any (msg:"Port Scan Detected"; \
    flags:S; threshold:type both, track by_src, count 20, seconds 60; \
    sid:1000002; rev:1;)

# 检测暴力破解 SSH
alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force"; \
    flags:S; threshold:type both, track by_src, count 5, seconds 60; \
    sid:1000003; rev:1;)

# 阻止恶意 IP (IPS 模式)
drop tcp 203.0.113.50 any -> $HOME_NET any (msg:"Blocked Malicious IP"; \
    sid:1000004; rev:1;)

Suricata(现代替代方案):

# 安装 Suricata
sudo apt install suricata

# 更新规则
sudo suricata-update

# 运行 Suricata
sudo suricata -c /etc/suricata/suricata.yaml -i eth0

# 查看警报
sudo tail -f /var/log/suricata/fast.log

警报分析:

# 解析 Snort 警报
import re
from collections import Counter

def analyze_snort_alerts(log_file):
    alerts = []
    
    with open(log_file, 'r') as f:
        for line in f:
            # 解析警报
            match = re.search(r'\[\*\*\] \[(\d+):(\d+):(\d+)\] (.+?) \[\*\*\]', line)
            if match:
                alerts.append({
                    'sid': match.group(1),
                    'message': match.group(4),
                    'line': line
                })
    
    # 顶级警报
    alert_counts = Counter([a['message'] for a in alerts])
    print("Top 10 Alerts:")
    for alert, count in alert_counts.most_common(10):
        print(f"{count:5d} - {alert}")
    
    return alerts

# 用法
alerts = analyze_snort_alerts('/var/log/snort/alert')

常见攻击签名:

# SQL 注入
content:"' OR 1=1--";
content:"UNION SELECT";

# XSS
content:"<script>";
content:"javascript:";

# 命令注入
content:";cat /etc/passwd";
content:"|whoami";

# 目录遍历
content:"../../../";

# Shellshock
content:"() { :; };";

最佳实践:

  • 定期更新签名
  • 调整规则以减少误报
  • 监控 IPS 以阻止合法流量
  • 与 SIEM 集成以进行关联
  • 在启用 IPS 之前在 IDS 模式下进行测试

常见程度: 常见 难度: 中等

安全最佳实践

9. 你如何保护密码安全?

回答: 多层密码安全:

1. 哈希(不是加密):

import hashlib
import os

def hash_password(password):
    # 生成盐
    salt = os.urandom(32)
    
    # 使用盐对密码进行哈希
    key = hashlib.pbkdf2_hmac(
        'sha256',
        password.encode('utf-8'),
        salt,
        100000  # 迭代次数
    )
    
    # 存储盐 + 哈希
    return salt + key

def verify_password(stored_password, provided_password):
    salt = stored_password[:32]
    stored_key = stored_password[32:]
    
    key = hashlib.pbkdf2_hmac(
        'sha256',
        provided_password.encode('utf-8'),
        salt,
        100000
    )
    
    return key == stored_key

2. 密码策略:

  • 优先鼓励长密码或密码短语,而不是强制复杂字符规则
  • 允许使用密码管理器、粘贴和自动填充
  • 阻止已泄露或过于常见的密码
  • 尽可能启用 MFA
  • 在有泄露迹象时强制重置,而不是只按固定周期轮换

3. 附加安全:

  • 多因素身份验证 (MFA)
  • 尝试失败后帐户锁定
  • 密码强度计
  • 泄露检测 (Have I Been Pwned API)

切勿:

  • 以纯文本形式存储密码
  • 使用弱哈希(MD5、SHA1)
  • 不使用盐进行哈希

常见程度: 非常常见 难度: 中等

事件响应

10. 事件响应的阶段有哪些?

回答: NIST 事件响应生命周期:

1. 准备:

  • 制定 IR 计划
  • 培训团队
  • 设置工具和监控

2. 检测与分析:

  • 识别事件
  • 分析范围和影响
  • 确定响应优先级

3. 遏制:

  • 短期:隔离受影响的系统
  • 长期:应用补丁,重建系统

4. 根除:

  • 删除恶意软件
  • 关闭漏洞
  • 加强防御

5. 恢复:

  • 恢复系统
  • 监控重新感染
  • 恢复正常运行

6. 事后:

  • 记录经验教训
  • 更新程序
  • 改进防御
Loading diagram...

常见程度: 常见 难度: 中等

结论

准备初级安全工程师面试时,要能解释基础概念,并说明如何在真实环境中应用。重点关注:

  1. 基础知识: CIA 三元组、最小权限、身份验证、授权
  2. OWASP: 访问控制失效、加密失败、注入、日志与监控
  3. 漏洞管理: 资产背景、可利用性、修复、验证
  4. 密码学与 TLS: 加密、哈希、证书、现代协议配置
  5. 防御工具: 防火墙、SIEM、IDS/IPS、告警调优
  6. 密码安全: 哈希、盐、MFA、泄露密码检查
  7. 事件响应: 准备、检测、遏制、恢复、复盘

用实验室、课程项目、实习或个人环境中的具体例子来练习。面试官通常不要求你记住所有工具,而是想看到清晰的推理、合理的优先级和诚实的沟通。

Newsletter subscription

真正有效的每周职业建议

将最新见解直接发送到您的收件箱

相关文章

初级前端开发面试题:HTML、CSS 和 JavaScript
12月 21, 2025
36 分钟阅读

初级前端开发面试题:HTML、CSS 和 JavaScript

用32个问题复习语义化HTML、响应式CSS、JavaScript作用域、异步代码、DOM事件和数组方法等前端基础。

Milad BonakdarMilad Bonakdar
初级前端面试题:React 和工具
12月 21, 2025
31 分钟阅读

初级前端面试题:React 和工具

通过 21 个问题准备初级前端面试,覆盖 React、Git、构建工具、Web 性能、调试、可访问性和测试基础。

Milad BonakdarMilad Bonakdar
初级 Node.js 后端开发面试题
12月 21, 2025
41 分钟阅读

初级 Node.js 后端开发面试题

用 35 个初级 Node.js 后端面试题练习 JavaScript 基础、异步代码、事件循环、Express、REST API、数据库、安全、测试和调试。

Milad BonakdarMilad Bonakdar

在招聘人员面前脱颖而出,获得梦想工作

加入成千上万通过AI驱动的简历改变职业生涯的人,这些简历可以通过ATS并给招聘经理留下深刻印象。

立即开始创建

分享这篇文章

将简历撰写时间减少90%

普通求职者需要花费3小时以上来格式化简历。我们的AI在15分钟内完成,让您以12倍的速度进入申请阶段。

15分钟内创建