網路安全工程師在面試安全崗位時,哪些內容是加分項?

安全工程師 @大風 曾在微博上提到了在面試安全工作時會加分的內容,但由於微博字數所限,難以展開,因此希望安全界資深人士們能分享一下,在你們看來,面試者的哪些內容是加分項?

參見:道哥的黑板報 | 同學,演技不錯啊!


瀉藥……

1. 技術

烏雲ID、原創文章(blog或者發在雜誌上)、實戰滲透經驗,有防護經驗更佳、刨根究底的黑客精神,最好看過《提問的智慧》並且能夠貫徹執行、會寫點代碼,說說自己寫過的小工具,其原理是什麼……(和刺說的沒什麼區別,總之全部歸納成技術了)

2. 管理

人們常說安全是個整體,但是做安全的似乎總是忽略IT管理的全局,並且對管理方法論嗤之以鼻,實際上看過CISSP、ITIL、7799/27001、COBIT等東西的介紹(哪怕只是目錄稍微瞄了下,能知道每個東東的核心思想是什麼),在甲方內部推安全策略和乙方對外推銷產品服務,知道的多點總歸沒壞處

3. 行業信息

如果能夠像hawk之類的在多家公司呆過,能夠信手拈來的把行業里知名的公司在某個問題上是如何做的擺出來,其實也是一種優勢,coolc說過,IT領域裡,有時候廣也是一種深。(其實隨著騰訊每年都去國內大公司去交流,我覺得白帽子群的這些人相互之間分享的東西也已經不少了)

另外,如果能夠在面試的時候說出自己平時去哪裡獲悉安全領域最新的信息,比如exploit、CVE公告、某個領域最活躍的黑客BLOG(或者twitter)……說出自己刷這些東西的頻率(每天關注還是更多時間),哪怕是個外行,長年累月的關注這些信息,也能「演」個圈內人士了

4. 人際資源

嗯,參考TK教主今天發的那條微博……

ht tp://http://weibo.com/1401527553/zrkm6eslr

5. 職場素養

文字、排版、溝通/傾聽/談判、郵件……

這些基礎素養有助於PK研發,參考刺寫的 狂戰士 與魔法師的那段 (某期的webzine)

學習能力、捕獲重點的能力之類屬於EQ方面的東西,也是招聘方重點關注的素質。

因為招聘向來是一件很頭疼的事,再好的公司也希望人員的成本在預算之內,因此發現當前價值被低估的人才,經過簡單指點可以「人超所值」的,一定是很受歡迎的,而評估是否具備潛力,就因人而異了,我關注學習能力和心態更多一些。

PS. 上述觀察點適用於我目前面試過的所有崗位,包括運維、DBA、數據挖掘、QA、安全、MIS、開發……


去年我在微博上貼了一些在面試安全工作時會加分的內容,如下:

1. wooyun上提交的漏洞,並被廠商認可的。最好是不同類型的,能表達你的知識面。(CVE、微軟、Google的漏洞平台效果同)

2. 在黑客類雜誌上發表了文章的,比如《黑客X檔案》等,表明你有一定的研究精神。

3. 原創的技術類博客文章,比如漏洞原理分析等,說明你除了知其然,還知其所以然。

4. 自己挖掘的漏洞,以及分析文章。這個要求比較高,也比較少見這種人才,如果你能拿出5篇以上,只要專業對口,技術肯定是過關了。

5. 自己寫的小工具,比如掃描器、exploit或後門之類。總之就是展示coding能力。

至於懂什麼攻擊原理之類的,來面試的所有人都這麼寫的(校招除外),怎麼體現出你的與眾不同?只懂滲透的話,除非你在這方面真的是非常非常出色,不然很難拿到什麼好offer。


大風+職業欠錢同學回答的很全了,我補充2點:

1. 牛人氣質

即使現在不是牛人,也具備這樣的氣質,這個在面試時的舉止、眼神是可以看得出來的,只能意會了,這樣的氣質,會讓面試官感覺很爽,很對味,是人才。

沒有一定紮實內功與遠見的人很少有這樣的氣質。

2. 職業素養

記住,這是公司,是團隊,不是懶散的校園。

職業素養也是常說的職場上的通用技能(比如溝通、反饋、責任、團隊意識等等),到任何公司基本通用,沒職業素養的人不適合工作,很快會被競爭淘汰。


推薦閱讀:

https傳輸長文本時是否會先壓縮再加密傳輸?
各大SSL/TLS庫的質量都怎麼樣?
Evi1m0 是誰?
如何學習網路安全?
Win7用默認的Administrator有什麼好處和壞處,自己新建用戶又有什麼好處和壞處?

TAG:面試 | 網路安全 |