安全运维类面试题
1、你熟悉哪些品牌的安全设备
答:天融信的ngfw防火墙,老牌防火墙厂商,功能比较齐全,像流量检测,web应用防护和僵木蠕等模块都有,界面是红白配色,设计稍微有点老
2、IPS用的是哪个牌子的
答:安天和绿盟的IPS听说技术比较好
3、第一个关于防火墙的项目是在本公司做的还是做的甲方的活,你们之间是什么关系
答:是在甲方使用过防火墙,主要是看一些告警日志,也操作过IP黑名单
4、SIEM系统用的是哪个品牌的
答:IBM的Qradar 但我不是负责使用Qradar的岗
5、遇到应急响应事件是怎么做的,一般都是哪些告警事件
答:我接触的一般都是通过流量触发告警的事件,病毒外联黑域名基本是第一位,做这种应急响应,第一点点是保护现场设备,不要丢失日志和样本,第二点是断网,防止传播扩大,第三点就是取证,1.收集系统的相关日志,比如用户增添、提权或操作的日志、系统进程创建的信息,注册表信息等等。2.查看服务,尤其是最近的和开机启动的。3.端口信息,是否有端口被打开。第四点是溯源,尽可能的分析一下本次事件的5W1H,攻击线路,技战术等等。第五点是汇总报告,就本次事件做一个逻辑清晰的报告,让领导能够明白发生了什么事情,影响如何,解决结果,处理后的收获及后续针对此类的方案或策略
6、还部署过哪些安全设备
答:还部署过一种流量监控设备,是旁路的,可以对流量分析进行加强,该设备比防火墙增加了沙箱功能,可以还原流量中几种文件,进入沙箱,分析是否携带病毒木马,提高了检测能力和告警能力
7、不同厂商设备之间链路如何实现链路聚合对接
答:具体的实现不太清楚,了解到的一些信息,比如旁路设备,就从交换机再联一条数据线到设备,配置一下端口,把镜像流量再分给设备,确认流量没有异常即可。
8、你平常是怎么调试设备的,还有防火墙的连接方式
答:调试新上架的设备,一般都是console口,根据设备不同,查看状态的命令也都不同,但基本都是查看设备的硬件状态,软件运行状态,网络之间的通信状态,还有流量状态这些。日常的话基本都是远程连接防火墙,通过登录堡垒机去远程操作,即安全,又有留痕
9、基线检查是怎么检查的?
答:要先做计划,提前了解要做哪些设备或哪块区域的检查,会涉及到哪些设备,具体的还要有对应的软硬件版本,确定检查深度和主次点,举个例子:比如要检查测试区5台设备,都是linux,有几个应用,具体版本是3.4.1和5.32,本次是全面检查,要留痕归档,那么就按照Linux基线安全进行全面的检查–系统配置、账户权限、访问控制、日志记录等方面进行检查,如果出现问题,确定一下风险等级和解决方案,将解决方案和优化措施一同写进检查报告
10、了解过什么安全设备?具体说一说。都部署在什么位置?
答:防火墙,部署在流量出入口处;
11、管理防火墙接口有哪些?
答:console口直连;电口直连;远程连接
12、你常用的漏扫工具是什么
答:Nmap,Sqlmap,OpenVAS,Nessus,Burp Suite
13、如何评估一个网络的安全性
答:以攻击方角度来说,要先看这个网络的边界,边界防御是否强壮,如果进入到了内部,要看区域划分的是否清晰,各区域是否防守严密。以防守方的角度来说,首先边界的防御要全面且有力,能够阻挡大部分甚至全部的攻击,其次对未知的攻击也要有所准备,内部区域要有层次,能够针对不同的点进行相互补充的防御。以审计的角度来说,要看是否符合法律法规,安全制度,责任落实情况和充足的解决方案应急方案等
14、网络隔离是什么
答:是将不同网络或不同部门的网络资源相互隔离,以提高网络安全性。主要有3种技术:1.物理隔离(网络规划,网闸) 2.协议隔离(于二层的 MAC 地址访问控制,基于VLAN 的广播域控制,基于隧道协议(IPSec、GRE等)的VPN控制) 3.应用隔离(容器、虚拟机、沙箱虚拟化隔离)
15、数据泄露是什么原因造成的
答:1.窃密 被病毒木马等恶意攻击,致使数据被传输或拷贝窃取;
2.泄密 被离职员工或第三方人员泄露
3.失密 由于密级设置不当,数据安全分级不明确,操作失误,被员工或第三方人员无意中泄露
16、有效保护数据的方法有哪些
答:1加强安全防御,增加恶意攻击的成本,减少恶意攻击数量,防止数据被窃取
2.设置合理的数据访问权限,对数据进行评级,几级人员访问几级数据,减少泄露风险
3.追责,对已泄露数据进行职责追索,确认责任人,进行安全教育或法律追责,形成规则,增加安全风气
17、如何预防网络钓鱼
答:针对办公常用软件建立安全软件的下载池;经常访问的网站要建立好安全监控,防止被篡改,跳转和胁持;邮件附件过滤,防止木马病毒的投递或URL的跳转;不安全的U盘连接行为也应禁止;对员工进行安全指导培训