【网络安全面经】2024届网络安全岗秋招面试题及面试经验分享

本文链接：https://blog.youkuaiyun.com/Button12138/article/details/144567174

1.1 网络安全行业现状
安全行业起步晚。安全行业整体起来才没几年，多数企业因为资源投入和建设时间原因导致覆盖面和深入度都不够，这其中甚至包括一些国内大厂，并没有想象的那么安全。其安全水位仅能应付一些白帽子级别，针对专业黑客团伙持续定向攻击，大多数都不能防御住，看HW就知道了。

从业人员薪酬高
由于安全行业起步晚，安全人才紧缺，需求旺盛，导致安全从业者薪资水涨船高。高到什么程度呢？都知道互联网行业薪酬是所有行业中最高的之一，技术类是互联网行业中薪酬相对最高的职能，而安全工程师又是技术人才中薪酬最高的，和当下发展正火的机器学习人才并驾齐驱。可能还是没概念？这么说，应届信安专业优秀本科生能拿到每月20000-35000（当然这里面有很多行业内卷的因素，一些公司的招聘策略是入职即巅峰，后面薪资就不怎么涨了），努力工作三四年的能拿到40000每月，做到安全团队管理者后能拿到百万年薪，做到行业顶尖能拿到千万年薪，后面也会讲不同薪资对应需要什么样的能力结构。随着市场调节，越来越多的学校开设信息安全相关课程，越来越多的培训机构教学信息安全知识，越来越多的人学习或转行做信息安全，整体紧缺情况有所好转。

安全水位难衡量
很多事情是有因果关系的，前面讲到的良莠不齐的根因在于很难通过结果来判断安全建设的水位。很多团队的KPI是不出安全事故——什么事都不做也不会出安全事故。于是造就了吹嘘拍马之人的风生水起。但随着实战红蓝演练的普及，国家级别实战攻防演练的规模和范围扩大，逐渐用模拟实战的方式来检验防护和应急效果，能一定程度上改善这类情况。

从业人员良莠不齐
好处是会有更多的人投身于安全，当然坏处也很明显，人员空缺与岗位的紧急程度导致存在大量能力良莠不齐的人在行业内浑水摸鱼，明显的特征是你跟他聊技术细节他跟你聊推进落地，你跟他聊推进落地他跟你聊方向把控，你跟他聊方向把控他跟你聊团队管理，你跟他聊团队管理他跟你聊行业空间，如果这些方面都能聊一点那也行，更多人是答非所问或者看似句句在理实际空洞无物，更有甚者，不知在何处听到的理论还没消化完毕，就拿出来班门弄斧。虽然这么说会得罪一部分人。有人问难道入职后不能衡量出来吗？正常老板不懂的情况下，还真不能衡量出来，主要是因为前面讲到的安全水位难以衡量，而实际的安全风险都是小概率事件。

安全建设驱动因素转变中
金融、电商、游戏这些业务类型对安全有天然诉求，作为业务的重要属性，不做安全黑灰产都会盯上来，此时属于黑灰产驱动安全。乌云等公共漏洞报告平台兴起后，各家企业的安全建设又上了一个台阶，属于白帽子安全事件驱动。而后，白帽子驱动的模式由于合规问题也逐渐减少。更多企业只是为满足合规而进行安全建设，甚至一些企业会购买大量安全产品，但只为了应付监管检查却不使用，此时仅为合规驱动安全。最近几年的行业风气，因为国家攻防演练的增加而变得正常起来，逐渐演变为由实际风险驱动安全。