信息安全工程师面试题及答案.docxVIP

信息安全工程师面试题及答案

一、基础实操类（考察落地能力）

问题：配置防火墙时，如何平衡业务可用性和安全性？举个你过往的实际案例说明。

答案：之前给财务部门配置防火墙时，他们需要访问外部银行的网银系统，但又要防止外部攻击。我没直接放通所有银行IP，而是先和财务确认常用的3个银行域名，用DNS解析出固定IP段，只放通这几个IP的443端口；同时加了流量限制，单IP每秒请求不超过10次，避免被恶意利用。另外每天导出防火墙日志，重点查非工作时间的访问记录，既没影响财务汇款，也守住了安全边界。

问题：用Nessus扫出服务器有高危漏洞，但业务部门说“停机修复会影响营收”，你怎么处理？

答案：首先得找替代方案，不能硬刚。比如之前遇到WindowsServer的SMB漏洞，业务不能停，我先在服务器上临时禁用了SMBv1协议，用组策略限制只有内网管理IP能访问SMB端口；然后和业务部门约了凌晨2点的维护窗口，提前备好漏洞补丁和回滚方案，修复后用Nessus再扫一次确认没问题，第二天正常业务没受影响。核心是先做“临时止血”，再推进彻底修复，过程中要把风险（比如漏洞被利用可能导致数据泄露）和业务损失对比着说，业务部门更容易配合。

二、应急响应类（考察问题解决能力）

问题：半夜收到监控告警，某业务服务器CPU占用100%，排查后发现是被植入挖矿程序，你的处理步骤是什么？

答案：第一步先断网隔离，避免挖矿程序向外传数据或感染其他机器；然后用taskmgr找挖矿进程，记录进程ID和路径，比如之前遇到过伪装成“system.exe”的进程，路径在C盘temp目录，先结束进程但不删文件，留着取证；接着查系统日志，看最近有没有异常登录（比如远程桌面的陌生IP）、异常服务或计划任务，之前那次是通过弱口令登录后创建的定时任务，所以先删了可疑任务和服务；再用杀毒软件全盘扫，确认没有残留后，把服务器接入内网，改了管理员密码和远程桌面端口，最后给业务部门出了份报告，附带上入侵路径和后续加固建议（比如启用双因素认证）。

问题：发现公司官网被挂马，打开网页会跳转到钓鱼网站，你怎么快速恢复并溯源？

答案：先找运维临时下线官网，换成静态的“维护中”页面，减少用户受害；然后从备份服务器恢复官网文件，要确认备份是挂马前的（比如查备份时间戳），恢复后用webshell查杀工具扫一遍，确保没有后门；溯源的话，先查网站日志，看有没有异常的文件上传记录，比如之前遇到过通过后台编辑器上传伪装成图片的php马，日志里能看到上传IP和时间；再查服务器的访问日志，看这个IP有没有访问过其他目录，同时把IP加入防火墙黑名单；最后要给开发提建议，比如限制后台上传文件的类型和大小，给编辑器加过滤规则。

三、合规与管理类（考察体系化思维）

问题：做等保2.0三级测评时，最容易被扣分的环节是什么？你怎么提前规避？

答案：最容易扣分的是“日志管理”和“权限控制”。之前帮公司过等保，第一次测评时，发现服务器日志只存了1个月，不符合“至少留存6个月”的要求，而且运维有很多服务器的管理员权限，没做最小权限控制。后来提前3个月就部署了日志审计系统，把服务器、防火墙、数据库的日志都汇总存起来，设置自动清理时间为7个月；权限方面，用RBAC模型给运维、开发分了权限，比如开发只能访问测试环境数据库，运维没有生产环境的数据库权限，还每月做一次权限审计，最后测评这两项都没扣分。

问题：开发团队总说“安全措施影响开发效率”，你怎么和他们沟通？

答案：不能只说“要安全”，得帮他们解决效率问题。比如之前开发抱怨“每次提交代码都要扫漏洞，太费时间”，我就和他们一起调了扫描规则，只扫高危漏洞，而且把扫描集成到CI/CD流程里，代码提交后自动扫描，有高危漏洞才提醒，不影响正常开发；另外还给开发做了简单的安全培训，比如教他们怎么避免SQL注入、XSS，减少漏洞产生，后来开发发现漏洞少了，扫描反而不耽误时间，就愿意配合了。核心是把安全融入开发流程，而不是当“绊脚石”。

四、工具与技术类（考察技术熟练度）

问题：用Wireshark分析流量时，怎么快速定位可疑的SQL注入流量？

答案：先过滤目标端口，比如数据库用3306，就输入“tcp.port==3306”；然后看数据包的“Data”字段，SQL注入会有明显的关键词，比如“unionselect”“or1=1”“and1=2”，之前排查时，发现有个IP的数据包里反复出现“select*fromuserwhereid=1or1=1--”，这就是典型的注入；另外还可以看流量频