甲方安全面试(一)

开始

1、用过哪些安全设备

惠御云waf、阿里云盾、安恒APT、ALPHA平台、奇安信天眼、NGSOC、深信服态势感知、明御、深信服waf。这几个比较熟悉，其他的安全厂商的态感和 WAF 有些也用过，但比较少。

2、了解 DLP 吗

了解过，数据泄露保护设备，主要是防止企业敏感数据泄露的。

DLP 最开始的核心功能就是敏感数据识别、数据传输监控、操作日志审计，用来检测企业内的敏感数据传输和存储的过程，防止数据通过 U 盘、网盘、社交工具、拍照、截图、打印等途径外带，如果发生数据泄露事件，也可以通过 DLP 的操作日志审计功能来进行溯源取证。

后期随着 DLP 的发展，功能也逐渐升级，部分 DLP 产品已经可以和网络准入、身份认证、零信任、防病毒都开始整合为一体，并且对于敏感数据的识别，也加入了人工智能模块，识别度更加精准。DLP 这个东西在数据安全领域应用非常广泛，几乎是必不可少。

3、数据安全了解多少，企业要怎么开展数据安全建设

数据安全其实就是保护数据在采集、访问、存储、使用、共享、传输、销毁这整个生命周期中不被泄露、篡改、丢失的过程。

说到底，它的目的就是保证数据的完整性、机密性、可用性，从而保证公司的名誉和客户的利益。

数据安全的开展是一个很庞大的工程。简单来说，前期准备首先要做的就是建立数据安全合规，这包括行业标准、依据法律法规建设数据安全管理制度；然后对全员进行宣讲培训，明确数据安全的意义、风险以及每个岗位在数据安全建设周期的角色和作用；在接下来，就是数据安全的正式建设，通常来说，会按照数据的生命周期来逐步完成，比如数据采集阶段对数据进行分类分级、确定敏感数据的识别规则，数据传输阶段对数据的加密、脱敏、混淆、身份认证等进行监控识别，数据存储阶段同样也是对数据的加密和脱敏以及一些异常行为、安全事件的监测，使用阶段可能会包含数据的动态处理和静态处理，传输阶段包含透明加密、隐藏水印等，销毁阶段加入安全审计。这些只是数据的生命周期中需要处理的，其它的像数据防泄漏终端管控、终端防病毒、网络接入管控、统一身份认证、钓鱼邮件的防范，甚至社工的防范，比如办公区门禁等等，都是开展数据安全需要考虑的事情。

4、你认为推动 SDL 最重要的是什么，开发不配合你会怎么办

SDL 这个东西因为它是安全和开发合作，根据我这些年推动 SDL 的经验来说，我认为最最最重要的，不是技术，也不是合作，而是公司高层领导的意愿够不够强。

原因很简单，SDL 的目的是监管开发的代码质量，在开发阶段减少安全风险，很明显的是加大了开发的工作量的，所以，在推动过程中，最大的难点其实就是在于开发的抵触情绪，只要安全和开发共同的高层领导强烈推动 SDL ，那么开发必然会配合安全，SDL 推动起来就像顺水推舟。

当然这也有个前提，就是安全要有足够的经验，要做好风险、业务、开发的平衡，不能极致的追求绝对安全而完全忽略开发成本和业务成本。

同时，定期的 SDL 培训和宣讲也是必不可少的，确保开发同学对安全认知的持续更新，让大家都更加明确的认识到安全问题的危害，也可以减少很多推动过程中的阻力。

如果推动过程中真的遇到开发不配合，那就约个会议室，调查清楚开发不配合的原因，是因为开发没有理解其中的风险，觉得没有必要，还是说开发觉得改动成本太大无法接受，或者其他原因，如果是没有理解风险或者错误的理解了风险，那么可以详细的和开发再讲解一下漏洞成因与危害，必要时再举例说明，便于理解。如果是开发觉得成本太大难以接受，那就和开发同学沟通共同研讨出一个双方都可以接受的方案，如果无法达成一致，必要时可以拉上上级领导来权衡利弊做出决策。

5、公司收到大量钓鱼邮件并且已经有人点了，作为安全负责人应该如何处理这种事件

首先，紧急全员通知，禁止继续点击钓鱼链接；通知已经点击钓鱼链接的同事，断网隔离，并全盘扫描计算机；让其余同事时刻关注自己电脑，防止病毒已经扩散；安全部门保留钓鱼邮件样本，同时通知邮件网关拦截钓鱼邮件来源信箱。

做完这些之后，统计影响钓鱼邮件产生的影响，尤其已经点击过链接的同事，尽可能的对受到的影响进行恢复；接下来就是检测钓鱼邮件样本，提取钓鱼链接，分析钓鱼链接行为，展开溯源工作。

事后建议再定期开展邮件钓鱼演习和邮件钓鱼防范意识培训，提升全员的风险识别能力

6、如果暗网上出现一批公司的数据，作为安全负责人你会怎么准备处理

获取数据样本，通知运维同事协助，从我方数据库中对比数据内容，确认数据匹配度，如果数据库中与样本数据不匹配，那么可以认定为虚假数据，保留匹配记录直接反馈就行。

如果匹配度比较高，根据数据库中存储的数据表、数据格式、数据时间等信息，大致可以确认这批数据是入库时间范围，查询这个时间范围及之后的一段时间内的操作日志，是否包含异常行为，如导出、大批量查询、接口异常调用等。

同时，也可以根据数据所在的数据表，寻求开发人员，业务人员共同协助，定位该表的操作接口是哪个系统的哪个功能，从而更快的定位到问题点。

定位到应用范围后，对该应用展开漏洞扫描、渗透测试、代码审计，确认数据泄露原因，然后修复漏洞，对已泄露数据评估定损，并记入安全事件以供后期参考。

如果从应用系统角度无法确认数据泄露的问题点，可以再考虑一下是否人为原因泄露，比如员工 U 盘拷贝、邮件钓鱼、文件外发、拍照截图等行为，审计一下数据相关的后台管理系统操作日志、DLP 监控日志、异常上网行为等等。

事后对整个安全事件进行复盘归档，如果泄露的数据涉及到客户或者合作伙伴，也需要及时沟通降低信任风险。

（持续更新中~）