信息安全岗位面试题及答案.docxVIP

信息安全岗位面试题及答案

一、基础概念与原理（考察基础认知）

问题：TCP三次握手过程中，可能存在什么安全风险？如何防御？

答案：风险主要是SYNFlood攻击——攻击者伪造大量源IP，发送SYN请求后不回复第三次ACK，导致服务器保留大量半连接队列耗尽资源。防御方式：①开启TCPSYNCookie（用哈希值代替半连接队列，避免队列溢出）；②限制单IP的SYN请求频率（如iptables设置--syn--limit参数）；③升级服务器内核，调大半连接队列容量。

问题：对称加密和非对称加密的区别是什么？实际场景中怎么配合使用？

答案：区别核心在密钥——对称加密（如AES）加解密用同一密钥，速度快但密钥传输不安全；非对称加密（如RSA）用公钥加密、私钥解密，密钥传输安全但速度慢。实际配合：比如HTTPS，先通过非对称加密（RSA）传输对称加密的密钥，再用对称加密（AES）传输正文数据，既保证密钥安全，又兼顾传输效率。

二、技术实操与漏洞防护（考察动手能力）

问题：如何手工检测一个网站是否存在SQL注入漏洞？举具体步骤。

答案：步骤：①找输入点（如URL参数、表单、Cookie），比如URL为?id=1；②构造测试语句：改id为1，若返回数据库报错（如“MySQLsyntaxerror”），说明可能存在注入；③判断字段数：用1orderby3--+（依次试3、2、1），直到不报错，确定字段数；④查数据库信息：用1unionselectversion(),database()--+，获取数据库版本和库名。防御：用预编译语句（如MyBatis的#{}）、输入过滤（过滤单引号、union等关键字）、最小权限原则（数据库账户仅给查询权限）。

问题：服务器被入侵后，发现有webshell后门，第一步该做什么？后续怎么清除和溯源？

答案：第一步先“隔离取证”——①断开服务器外网连接（避免攻击者继续操作或扩散）；②保存内存镜像（用volatility工具）和系统日志（/var/log/secure、IIS日志等），避免证据被篡改；③备份webshell文件（用md5记录文件哈希，供后续分析）。

清除：①删除webshell文件，检查同目录下是否有隐藏后门（如文件名带空格的文件）；②查看进程（ps-ef或任务管理器），结束异常进程（如名字类似system的陌生进程）；③检查定时任务（crontab-l、Windows任务计划），删除恶意定时执行脚本。

溯源：①通过日志查攻击者IP（如access.log里的异常访问IP），用whois查IP归属；②分析webshell的连接记录（如菜刀、蚁剑的连接日志），看攻击者操作记录；③检查漏洞入口（如是否通过旧版CMS漏洞入侵，及时修补对应漏洞）。

三、应急响应与合规（考察风险处理）

问题：公司数据被勒索病毒加密，除了支付赎金，还有哪些应对步骤？

答案：①断网隔离：立即断开感染设备与内网连接，避免病毒扩散到文件服务器、数据库；②备份加密文件：将加密文件拷贝到离线存储（如移动硬盘），后续可能用于解密；③联系安全厂商：提供病毒样本（如加密后的文件、勒索信），查询是否有公开解密工具（如360、奇安信的解密库）；④恢复数据：若有异地备份（如冷备份磁带、云备份），确认备份未被感染后，用备份恢复系统；⑤复盘整改：检查病毒入侵路径（如是否因员工点击钓鱼邮件、服务器未打补丁），后续加强员工培训、定期漏洞扫描。

问题：什么是等保2.0？企业要达到三级等保，技术层面需要满足哪些核心要求？

答案：等保2.0是《网络安全等级保护基本要求》（GB/T22239-2019），将网络安全等级分为1-5级，三级对应“监督保护级”，适用于有一定规模的企业（如中型电商、地方政务系统）。

技术核心要求：①物理环境：机房需双路供电、门禁系统（刷卡+人脸）、监控保存至少90天；②网络安全：部署防火墙、WAF（Web应用防火墙）、IDS/IPS，划分VLAN（如办公网、业务网隔离）；③主机安全：服务器开启入侵检测（如Linux的LSM、Windows的WDAC），定期打系统补丁；④数据安全：核心数据加密存储（如数据库TDE加密）、数据备份（满足321原则：3份备份、2种介质、1份异地）。

四、综合场景题（考察全局思维）

问题：公司要上线一个电商平台，大促前需要做哪些安全检查？

答案：①应用层检查：用BurpSuite扫Web漏洞（SQL注入、XSS、文件上传），测试支付接口（如是否能篡改订单金额）、登录接口（如是否防暴力破解）；②服务