网络安全面试指南（上）

前言

• 自我拷问一下：
  • 多年来也看过了数以百记的简历，为何很多人连面试的机会都没有？
  • 参与了数以百记应聘者的面试，为何如此多的人没有通过最终面试？
• 能力当然是最重要的，可我却见过很多能力不比已经入职的同事差却应聘失败的人，到底该如何做？希望这篇安全从业者面试指南能够帮到你，让你少走一些弯路。
• 本文目标是希望创造一份针对网络信息安全领域从业者的面试指南，从行业、企业、从业者等方面了解当前现状，学习通用的面试和招聘经验，核心围绕各个细分安全岗位的体系、实用、高质量的题库展开。
• 本文主线围绕面试者视角进行全流程讲解，其中会穿插企业视角、HR视角以及技术面试官视角，让你能够更加全面体系的理解并吸收各种经验。其中核心题库部分，会存在较强的时效效应，因此会不断的进行更新，增加新的题目、剔除不合适的题目、调整题目难度或解答提示。

注：本题库来源于真实工作中，能够确保题目能真实反应应聘者能力水平，但技术都有时效性，无法保证当前就业环境适用。

版权申明

• 本文仅代表作者与本人观点，和所在公司无关，如有任何建议或意见请直接联系作者与本人。本文开放至互联网，可免费阅读转载，转载请注明原作者和原文链接：信息安全面试指南 。

注：

• 本文略有修改，建议者请看原文，在这里非常感谢原作者的文章！。
• 若内容涉及隐私问题，请联系本人删除，感谢大家！

读者对象

• 本文内容适合应聘者以及面试官：
  • 在校学生：通过阅读本文可以了解从业人员必备素质和公司考察的问题，以找到自己当前的薄弱点进行补充学习。
  • 安全爱好者：如何从爱好者变为从业者？如何从业余级别进阶为专业级别？也许你能在这里找到答案。
  • 其它行业有面试需求者：本质上没有某个行业的面试指南，所有面试都是相通的，你一定能从其中得到一些收获。
  • 安全从业者：帮助安全从业者更从容的面试与被面试。
• 同时，本文也被众多企业面试官所采用，作为面试官也可以使用相关领域问题，同时也欢迎通过评论提交你觉得有价值的问题。

网络安全面试指南（上）

网络安全行业现状

• 安全行业起步晚，整体起来才没几年。
• 期中多数企业因为资源投入和建设时间不足，导致覆盖面和深入度都不够，这其中甚至包括一些国内大厂，并没有想象的那么安全。
• 其安全水位仅能应付一些白帽子级别，针对专业黑客团伙持续定向攻击，大多数都不能防御住，看HW就知道了。

从业人员薪酬高

• 由于安全行业起步晚，安全人才紧缺，需求旺盛，导致安全从业者薪资水涨船高。
• 高到什么程度呢？
• 都知道互联网行业薪酬是所有行业中最高的之一，技术类是互联网行业中薪酬相对最高的职能，而安全工程师又是技术人才中薪酬最高的，和当下发展正火的机器学习人才并驾齐驱。
• 可能还是没概念？
• 这么说，应届信安专业优秀本科生能拿到每月20000-35000（当然这里面有很多行业内卷的因素，一些公司的招聘策略是入职即巅峰，后面薪资就不怎么涨了），努力工作三四年的能拿到40000每月，做到安全团队管理者后能拿到百万年薪，做到行业顶尖能拿到千万年薪，后面也会讲不同薪资对应需要什么样的能力结构。
• 随着市场调节，越来越多的学校开设信息安全相关课程，越来越多的培训机构教学信息安全知识，越来越多的人学习或转行做信息安全，整体紧缺情况有所好转（不过，现在好像到寒冬了？）。

安全水位难衡量

• 很多事情是有因果关系的，前面讲到的良莠不齐的根源在于很难通过结果来判断安全建设的水位。
• 很多团队的KPI是不出安全事故（什么事都不做也不会出安全事故），于是造就了吹嘘拍马之人的风生水起。
• 但随着实战红蓝演练的普及，国家级别实战攻防演练的规模和范围扩大，逐渐用模拟实战的方式来检验防护和应急效果，能一定程度上改善这类情况（这点从近年护网要求中可以看出来）。

从业人员良莠不齐

• 好处是会有更多的人投身于安全，当然坏处也很明显，人员空缺与岗位的紧急程度导致存在大量能力良莠不齐的人在行业内浑水摸鱼。
• 明显的特征：
  • 你跟他聊技术细节他跟你聊推进落地，
  • 你跟他聊推进落地他跟你聊方向把控，
  • 你跟他聊方向把控他跟你聊团队管理，
  • 你跟他聊团队管理他跟你聊行业空间。
• 如果这些方面都能聊一点那也行，更多人是答非所问或者看似句句在理实际空洞无物，更有甚者，不知在何处听到的理论还没消化完毕，就拿出来班门弄斧。
• 虽然这么说会得罪一部分人，难道入职后不能衡量出来吗？
• 正常老板不懂的情况下，还真不能衡量出来，主要是因为前面讲到的安全水位难以衡量，而实际的安全风险都是小概率事件。

安全建设驱动因素转变中

• 金融、电商、游戏这些业务类型对安全有天然诉求，作为业务的重要属性，不做安全黑灰产都会盯上来，此时属于黑灰产驱动安全。
• 乌云等公共漏洞报告平台兴起后，各家企业的安全建设又上了一个台阶，属于白帽子安全事件驱动。
• 而后，白帽子驱动的模式由于合规问题也逐渐减少，更多企业只是为满足合规而进行安全建设，甚至一些企业会购买大量安全产品，但只为了应付监管检查却不使用，此时仅为合规驱动安全。
• 最近几年的行业风气，因为国家攻防演练的增加而变得正常起来，逐渐演变为由实际风险驱动安全。

安全圈子文化氛围浓厚

• 安全是一个小圈子，圈内事件传播十分迅速（同理，做坏事儿名声臭的也非常快），比如：
  • 哪家企业数据库泄露
  • 哪家业务活动被薅羊毛
  • 哪个安全人被抓
  • 哪个企业遭到了什么处罚等负面新闻
• 圈内人能够很快了解到行业新技术、新方向、新政策，能够很容易了解到每家公司的安全建设情况。
• 你能了解到阿里安全与线下公安配合的手段之强，也能认识到腾讯的SRC如何能够运营的的这么好，更能和百度的安全人讨论如何让机器学习赋能安全产品，这一切场景在安全圈内的实现都非常容易。
• 众多安全会议的举办也能让你学习到每家公司的经验，无需自己摸索、闭门造车。
• 这都是小圈子的好处，当然弊端也很明显，总有一些人搞所谓的“圈子文化”，混迹于各种安全会议主动认识圈内人（当然这里不是指各家SRC运营的同学，这些是运营同学的工作一部分）。
• 结识所谓圈内人如果出于交流技术的目的也能理解，但这些人仅仅是加上微信，发送一条打招呼的自我介绍后就再也不会有任何有意义的交流。妄图以这样的方式让自己进入圈子中心，可笑可悲。

注：初入安全时我也是这样，加了等于在圈子里，现在看来交流才是混圈子的唯一途径。

学历相对不重要

• 安全圈存在很多无学历或低学历的牛人，他们年龄可能不大、工龄也短，但往往都是兴趣驱动，早期就在安全方面投入了大量时间精力，因此颇有造诣。
• 当长处特别突出时，往往会突破企业的一些要求限制，比如岗位学历要求本科时，候选人突出的安全能力能让这项要求降低。同时也必须正确认识低学历对工作带来的影响，在当前安全行业逐渐细分、安全建设越来越深入的趋势下，安全从业者不再只是会挖漏洞就行。
• 建议低学历候选人尽早通过自考的方式系统的学习英语、数学、计算机基础等学科，并获得国家认可的成人教育学历，届时学历问题的影响就不再会是问题。
• 随着大量院校开设信安专业，越来越多的人进入到安全行业，后续企业招聘安全人才时，学历要求肯定会和其他行业一样成为基础筛选要求，以降低招聘成本。

安全公司与公司安全选择

• 我们都知道选择比努力重要，人生总在不断面临选择，有些选择大有些选择小，而下一家公司则是人生中最重要的选择之一，这个选择关系到你未来几年甚至整个职业生涯的成功与否，无论是技术能力、管理经验、薪资水平甚至另一半都会受到影响。

• 选择一家对的公司会让我们接下来几年得到事半功倍的成长。

• 穷选互联网，从行业历史发展角度来看，互联网无疑是发展最快的，虽然已经高速发展多年但还在持续不断的进化，趋势持续向好。

• 同样的人在传统行业工作五年前后，并不会有太大差别。但在互联网行业，你永远无法想象自己五年后是怎么样的，互联网将赋予你无限可能性。

• 从二十多年前开始，我家里就一直在开服装加工厂，除了在我还小的时候，那时服装产业火热，工厂赚了一些钱外，就再也没什么大的起色。其余一些开厂的亲戚朋友都没赚到什么钱，反而是厂房卖了赚了不少钱。我哥哥是公务员，很多人都会羡慕他工作轻松稳定，但工资涨幅、职位升迁都能预料的到，一眼望到头的职业空间不是每个人都能接受的，在体制内你再努力都会显得那么力不从心。

甲方好于乙方

• 互联网又可分为甲方和乙方，乙方由于是销售导向的，所以在人员技术深度和薪资水平上相对甲方会明显差一些，因此优先选择甲方。

• 我面试以及接触过太多乙方人员，不可否认有很优秀的，但受限于乙方的工作形态，大多数还是在做一些基础且重复性的事情，长期在这种环境下只会毁掉自己。

• 选择巨头或潜力股，互联网甲方又可以大致分为：

  • 综合体巨头
  • 大型平台经济公司
  • 细分独角兽
  • 初创公司

• 对于多数人来说按从上到下的优先级选择是最优解，但也有意外，选择独角兽公司有可能为你带来更大的资金收益（期权价值增幅）和综合能力成长（安全广度和空间），当然很有可能变成过气独角兽。

• 刚工作那两年，我在好多个小互联网公司工作过，这么多年过去了，还在小互联网公司的前同事现在的薪资还在两万多，而巨头热门岗位的应届生薪资都比他们多，这就是小公司的天花板。

• 由于业务规模导致技术深度、薪资水平很容易进入瓶颈期，且随着时间推移，你的技术热情也在消退，学习能力也跟不上，年纪也成为了进入大公司的瓶颈。

• 我庆幸的是在14年加入了当时的虽小但有潜力的公司蘑菇街，陪着蘑菇街一路到上市。

• 有潜力的公司能让你坐上技术成长的快车，跟随公司一起成长会更顺畅和扎实。

• 当你无法判断潜力时选择某个细分领域独角兽会更加稳妥。

• 后来进入蚂蚁，往往大公司过了初期建设阶段，能让你更专注在某一个细分点上深入进去，同时薪资和向上发展也能得到保障。

• 努力提升，及早逃离小且没有潜力的公司，否则别期望你的人生有什么改变。

钱和成长兼得

• 金融、电商、游戏公司很早就会有安全岗位，正是因为他们业务上对安全天然有着强诉求：
  • 对安全的资源投入上会大很多，能让安全话语权、事情推动上变得水到渠成。
  • 你无需为了寻找那不存在的安全风险而努力，自然而然的会持续有大量投入进行长期建设。
• 见过太多公司的安全建设不以解决实际安全风险为出发点，开拓了一些伪安全需求，做和不做公司的风险都在那儿。
• 不要服务伪需求，害了公司也害了自己。

文化氛围至关重要

• 从事黑灰产的公司先排除掉，包括擦边球的，公司文化不正就会出现 flanker 前公司那种让安全人员做一些违法的事情，短期是能赚到一些钱，但习惯赚这类钱就很难再回去了，而且很容易就得研究监狱安全性。
• 团队氛围是一个很泛的概念但却至关重要，做的开心与否决定了做的能否长久。
• 其中包括大家相处的融洽程度、做事方式方法、团队公约、人员能力等，提前找人打听下这个团队的氛围是非常有效的方式。
• 我很庆幸自己的兴趣和工作是一件事，每天都能很开心的工作。
• 但如果团队氛围不好，就像跟不喜欢的人玩游戏一样会非常痛苦。
• 正向的文化和氛围有助于我们待的更久。

岗位契合度是重中之重

• 岗位第一优先级需要关注是否和自己的未来的职业发展规划是否匹配，不合适的岗位发挥不出你的才能，继而成长也就相对较难。第二要关注你擅长的技能和公司的需求要匹配，才能发挥最大生产力。
• 我见过太多上班如上坟的同事，也见过明明之前很优秀的人但去了某个公司突然就沉寂了。
• 当然也有团队能够因人设岗，用人之所长补企业缩短，充分发挥出最大效率。

网络安全人才基础素质与能力分层

• 具备基础的工程师素质是从业的基础，在攻防渗透和软件开发有较为扎实的基础，同时兼备兴趣驱动和良好的适应能力上比较亮眼，则能很好的适应工作挑战。

网络安全人才基础素质

基础：渗透测试和软件开发

• 首先要明确一个概念，术业有专攻在安全行业不是常态。

• 安全本身就是一个覆盖了客户端、前端、网络、后端、服务器等涉及JavaScript、Python、PHP、Java等各语言的工作，如果非要讲究术业有专攻就没法做了。

• 当然你可以有擅长的方向，但前提是你都懂。

• 这个“懂”不应该只停留在了解的层面：

  • 如果你是安全开发工程师，除了研发技能外，还必须知道常见漏洞的形成原因、利用方式和修复方案。
  • 如果你是渗透工程师，除了理解各种漏洞的攻击细节外，还必须有基本的开发能力。

• 同时拥有攻防渗透和软件开发能力的人，在安全从业时的方方面面都会体现出极大的优势。

• 计算机基础技术要了解并持续学习，安全也是不断在进步的，几年前你很会挖漏洞就很厉害了，但今天你还是这样的话就没什么优势了。

• 摸黑前行最好的应对方法是你曾住过这个房子，或许你是一位资深研发工程师，但安全产品不同于用户产品，往往是没有经验也没有参照物的。所以往往需要有很强的安全背景与不断的试错调整才能开发出最好的安全产品。甚至在很多时候，沟通交流与思维方式都需要进行转变才能更好的协作，减少代沟和沟通成本。

• 安全行业的现状是大部分从业者都偏向于攻防渗透，如果同时拥有强大的开发技能，从业优势将非常明显。

• 在安全产品开发、漏洞挖掘、代码审计上，不同技能的互补显得非常重要，做漏洞扫描器的同时如果在 SRC 挖过漏洞、做代码审计也能掌握软件开发、做合规审计的人也拥有CISP证书，工作中就会更加得心应手。

热情：兴趣驱动是最长久的

• 和安全产品开发一样，渗透测试也需要不断试错，我们往往在各种可能存在漏洞的地方测试数百个请求才有所收获，这需要经年累月的坚持下来，但这种坚持无法速成，而兴趣这位最好的老师就能够促使我们坚持。
• 我对于安全的坚持就是兴趣驱动的，遇到一个线索，我会从傍晚折腾到黎明；又会因为一个突破点，从凌晨摸索到下午（热爱）。
• 我见过太多优秀的白帽子都是因为热爱，特别是他们能够跨行业地坚持热爱。

成果：没有结果的优秀是空谈

• 直观的成果是展示自己综合能力的最好方式，无论是在顶级期刊发表论文、知名比赛中获得好成绩、挖掘众多高质量的通用漏洞、研发Star数非常高的开源项目，还是在安全会议上分享先进理念，甚至突破了行业难题等等。

其它：优秀特质越多成长越快

• 适应能力，软件工程师普遍三年换一轮新技术，而安全工程师则是每年都有新的安全技术、安全防御手段、安全方向，而应对这些思念情况，别无他法，唯有不断学习，良好的自驱自学能力会让你更快成长。

• 智商高、情商高、乐观、沟通交流、逻辑、影响力等。

网络安全人才能力分层

• 上一章节讲述了基础的安全从业者应具备的素质，如果你已经具备这些素质，那么已经踏入了安全行业的门槛。
• 这一章将重点讲解下入门之上的能力分层，不同层级更重视需拥有怎样的特质。

各大公司层级情况

• 能力分层是一件非标准的事情，很难用特定的标准方式去判断一个人的能力。
• 看哪些方面能力、各方面能力如何衡量、最终层次划分到什么程度，这些都不是本文讨论的内容。
• 以通过各大厂面试并顺利拿到offer为诉求，我们需要搞清楚能力分层，就需要先了解各大厂的层级情况。
• 由于作者能力和视野原因，仅讨论国内情况：
  • 国内公认的层级体系首当阿里系，通过公开资料可以知道阿里层级体系分为14级，其中又分为P（专家）序列和M（管理）序列，两个序列有一对一对应关系（链接）。
  • 层级分布情况，各大公司的层级分布并不是正态比例的。有点像政府单位，绝大部分是科员（工程师）、科长（高级工程师）和处长（专家），再向上人数就极度减少。

注：这里仅讨论P序列。

层级代号	层级名称	人数比例	专业特点	人员特质	抽象能力	代表人物	层级要求	岗位职责
P4	安全专员	技术岗位几乎为0	杂活	-	-	-	-	主要分布在职能支撑部门，比如财务、行政等
P5	安全工程师	40%	技术扎实	高效执行	点	-	应届研究生及优秀本科生	产品某个功能开发、一线渗透测试或安全运营人员
P6	高级安全工程师	30%	能力突出	独当一面	线	-	应届博士或优秀本科研究生或社招工作5年内	某个安全产品负责人，能够辅导工程师工作
P7	安全专家	20%	专业精深	系统思考	面+深度	-	应届凤毛麟角或工作10年内	某个安全细分方向负责人，虚线带领一些同学解决某方面问题。比如 SDL 负责人、某个重要产品负责人
P8	高级安全专家	10%	-	视野开阔、由线及面	体+深度+广度	-	一般十年以上工作经验	安全下某个大领域负责人，一般实线带人。应用安全负责人、移动安全负责人
P9	资深安全专家	2%	-	高瞻远瞩、引领变革	深度+广度+高度	猪猪侠	-	BU CISO、某个大领域负责人
P10	安全研究员	0.1%	-	布局未来、创造机会	-	道哥	-	信息安全负责人
P11-14	副总裁、总裁	0.1%	-	-	-	韦韬	-	分管大安全领域高管

• 以上所有数据仅代表个人观点，非官方标准；
• 人数比例为个人观察的主观数据，在各部门存在误差；
• 各层级薪资信息及和其它公司层次对照信息，可参照 SalaryFly 或 职级对标 。

网络安全面试经验

安全招聘渠道

内部员工推荐

• 内推是优于招聘网站或猎头的，和找女朋友一样，熟人介绍的比媒婆介绍的要好，更不用说相亲网站的质量了。
• 大企业内部大多数入职的人都是通过内推渠道进来的，对于中高端岗位公司需要支付较高的猎头费用，所以内推渠道优于其它所有。
• 总结：
  • 找到自己倾向的公司以及对应的招聘岗位，注意岗位和个人技能及职业发展的匹配度。
  • 找到对应公司员工请求内部推荐简历，如果没有熟悉的人，可以通过 feei.cn 联系作者，可帮忙内推国内多数互联网公司。

安全招聘网站

• 没有合适心仪的目标就上招聘网站：
  • Freebuf ：安全行业垂直招聘网站
  • 拉钩：互联网垂直招聘
  • Boss：和负责人一对一沟通
  • 猎聘：猎头招聘
  • 智联招聘、前程无忧、LinkedIn、脉脉

高阶岗位另辟蹊径

• 上面传统的求职方式是多数人的选择，但不是找工作的最好方式，尤其是高阶岗位。
• 多数工作，尤其是好工作，可能并没有在招聘网站公开宣传。
• 因此必须要跳出僵化的传统方式，以下我亲身经验为例，不一定适合所有人，但不失为一种有效路径：
  • 挑选某一个领域，成为该领域的专家：需要注意的是，在现如今安全已非常细分了，非安全负责人或安全架构路线不建议将领域范围扩太大。需要做的是明确自己细分领域，成为该领域专家。领域越细分，越容易成为该领域的佼佼者。
  • 通过自我营销，建立同业人脉：仅仅成为领域专家还不够，有太多更加努力的人、更加聪明的人、背景更好的人，我们需要突出自己，想到该领域时就能想到你，扩大自己同业人脉和声誉。作为安全从业者，可以通过创造有价值的内容，比如：可以通过参加安全会议分享有见地的观点、系列博客、开源项目、制作视频、写书、写文章、挖 0day、刷排行榜等等许多方法来提高你的声望，迅速让同业人员认识你，积累起知名度，并和大量背景相似的人建立起良好的人际关系。这是一个缓慢的过程，播种价值，收获声望。
  • 让工作找上门来或水到渠成，而不是自己去找工作：此时的你是领域专家且颇有声誉，会有不断的猎头和同行主动找上门来。当人脉中有相关岗位需求或遇到该领域问题时，大家往往会想到你。当恰好他们听说你也在找工作时，一定会优先拉你进他们团队。
• 我自己（原作者）其实就是个典型，通过不断的参加各种安全会议分享我的经验、实践和见解，并把一些有价值的项目开源出去，认识了一大批安全行业专家。
• 后来由于当时所在公司蘑菇街业务不景气，希望换个更大的平台，于是我和业内几个朋友透露了希望换工作的想法，就有多位业内朋友帮我物色岗位，也接触了几家大型互联网企业。
• 恰巧此时蚂蚁集团一位资深安全专家在组建网商银行的安全团队，得知我有换工作的想法，随即一拍即可，有了一号位的认可后续的流程就很顺利的通过了。
• 后来，我才得知，在我入职前招聘其他同学时，有个面试问题是你业内的偶像是谁？
• 居然有两位同学都提到我，相信这件事在我面试过程中极大增强了面试官对我的声誉的信任。

优秀的简历是最好的敲门砖

简历是一切的开始

• 在以前我对于如何写好简历并不是很在意，觉得信息写全了就够了，重要的是自己的实力，因此并未在简历上下太多功夫。

• 直到我成了面试官，看了太多太多简历后，绝大多数人的简历简直是惨不忍睹。好的简历能让面试官看的时候就心里给你 Offer 了，差的简历面试的机会可能都没有，哪怕你真的很有实力。

• 这好像是IT从业人员的通病，也许代码写的很好，但简历或者PPT一般都是一塌糊涂，对于怎么写好简历并没有什么研究。

• 面试季的时候，面试官会收到大量的简历，他需要快速的筛选简历判断是否适合岗位要求，在你的简历也许只扫了一眼，就会对你有一个初步看法。

• 接下来再粗略看下每部分内容，就会决定评估不通过或是心里默许你肯定能拿到Offer。

• 简历就是广告，需要在一两页纸上呈现你的优势，把自己销售出去。

简历基本要求

• 使简历看起来舒服：赏心悦目在任何领域都是一大优势，整体要简洁明了，逻辑结构清晰。

• 确保信息真实性：尤其是工作经历、学历、日期、职级等信息，现在入职背景调查是很普遍的事情，一旦提交简历和后续背调不符，基本与这份工作就无缘了。

• 确保基本信息都有：包括姓名、ID、性别、年龄、教育背景（毕业院校、专业、时间）、联系方式、期望地点。不要期望面试官来问你没填的基础信息，这样你只会丢失这个面试机会。

• 不要有基础的错别字：你在简历上下的功夫侧面在面试官眼里也体现你做其它事情的细致程度，错别字都有就明摆着告诉面试官我是个很粗心且不注重细节的人。

• 简历篇幅不应过长或过短： 正常一页，最多两页。如果你觉得自己的工作和项目经验太多了，一两页无法列全，那说明你连重点都抓不住。

• 拥有更多的加分项，成为那个亮眼的仔：

  • 使用 PDF、RTF 格式，简洁不花哨；

  • 有 GitHub 并参与过开源项目，可以写一些自己做过的小项目放上去；

  • 有一些行业专业证书；

  • 参加一些行业比赛，获得好的成绩；

  • 参加一些行业会议，分享一些最佳实践；

  • 有个人博客，会写一些经验和问题的解决思路，一些深度文章等；

  • 邮箱使用 gmail、foxmail 或技术类邮箱（php.net）、私人域名邮箱等；

讲清楚你的价值，而非堆砌信息

• 这其实有点像工作中晋升时的述职答辩，面试官并不希望看到你做了各种大大小小的事情，而是关注你是否具备了下一层级能力。
• 简历也一样，它的目的并不是告诉面试官你到底干了什么，而是你的价值是什么，他为什么要招你而不是别人。
• 因此千万不要堆砌各种信息，让简历变得臃肿不堪或多无用信息，要想让面试官在其中发觉你的优势不如简洁明了的体现你的优势来的有效。

找专业的人给你的简历提意见

• 相信绝大多数人看完我前面的建议后，自己的简历质量会有所提升，但还是会有各种问题。所以建议最后一步是找一个专业的人给你的简历提提意见。相信我，看过上千份简历的人，只需要一眼就知道你的简历有什么问题。不要觉得麻烦别人，这种重要的事情上值得你去找他们帮忙，他会影响你的工作、薪水甚至你的职业生涯。
• 当然要注意，前提是你找到专业的人。不需要找文采好的，这不是写小作文。更不要找网上那种帮润色简历的人，他可能是找不到工作才做这行的，仅能找出一些细枝末节的问题或空而有理的建议。
• 你需要的是现实中对他人简历起到决定性作用的人，这类人往往是本行业资深的专家或者招聘领域的资深HR，他们才是你的目标人选。
• 身边没有也没有关系，可以问问身边的朋友有没有推荐的，尤其是你身边的朋友可能受过他的帮助。

简洁明了的简历模板

• 超级简历：需要开个会员，不过确实好用，可以和舍友拼一个。
• CodeCV：动手自己建一个。

一些通用面试经验避免重蹈覆辙

• 面试也是一项技能，可以去避免前人踩过的一些坑。

企业面试官考察点

• 了解企业考察逻辑，才能有的放矢。在企业视角到底需要什么样的人才？

  • 基础能力+成果+热情，缺一不可：

    • 基础能力：

      • 应聘者专业知识及技能，是否能胜任应聘岗位的要求？

      • 应聘者的学习能力，是否能快速适应和学习？

      • 应聘者价值观，是否与企业相匹配？

      • 应聘者认知接受能力，是否能承认错误并改进？

    • 成果：

      • 负责 xxx 项目的运营……

    • 热情：

      • 应聘者创造的欲望，是否有激情？

• 面试官往往会通过 STAR 面试法、行为面试法等方式来判断你过去做的事情的真实性和能力体现，以此来预判你之后的能力表现，了解这些面试方法能够帮助我们更加清楚面试官希望听到何种回答。

• 此外面试官经常会用到冰山模型来挖掘应聘者的能力、动力和潜力，对于表象的知识经验以及专业技能等可以培养的部分，只要达到基本要求即可，但对于潜在的态度、品质、动机等难以改变的部分会更加看重，必须满足。

• 面试官最终的判断依据其实会有很大感性部分，在如此短的时间内其实很难全面客观的评判。多数公司通用的录用判断标准往往是宁缺毋滥，凡是应聘者有明显缺陷都难以最终通过，除非特长特别明显。让面试官犹豫的人也容易被放弃，往往这类面试者是各方面比较平的，没有突出的亮点。

• 另外面试官对应聘者的评价往往是相对的，同一个面试官往往会使用相同或相似的面试题目来比较你和其他求职者。若在相关问题中回答较好，面试官则会和历史面试者有一个比较，从而会对你有一个更好的印象。

应聘者面试过程经验

• 大多数公司的面试方式都类似，以下从面试的不同阶段准备了一些关注点供参考。

提前准备

• 提前通过搜索引擎、朋友等渠道，尽可能了解所面试公司发展方向、业务模式、主要产品、公司文化、技术氛围、公开的文章、演讲、分享等信息。

• 针对面试的岗位需求以及自己工作经历准备一份简单的自我介绍，方便面试官快速准确的了解你的优点和综合素质。要能顺畅的讲出来，同时避免流水账。

• 面试官除了会看简历外，像 GitHub、博客等可变内容应当提前整理维护下。

• 在日程或提醒事项中记录好面试时间、地点。

• 提前到达现场，有事情应提前电话沟通到位。

• 当然也有可能是电话面试或在线笔试，因此需提前准备好安静稳定的环境。

面试过程

• 自信并放松：友好的微笑，营造一个良好氛围。

• 不知面，如何被面：学习了解 STAR 面试法、行为面试法，能让我们更加清楚的描述做过的事情。避免使用大概、好像、很多等模糊字眼。

• 面试中的情绪控制：当面试官提出一些水平不高的问题时，应克制自己的不满情绪。

• 观察面试官身体语言：当面试官表现出兴趣时，应详细展开来讲。当面试官表现出没有兴趣时，应总结概括尽早结束该问题。

• 相互认同的作用：面试实际上就是双方互相交换意见的过程，作为候选人只有仔细聆听和适当提问，才能弄清楚面试官的真实意图。如果没有弄清真实意图的情况下就大谈特谈，是没有任何实际意义的，不必急于表达自己的观点，用提问的方式检验自己对面试官意图的理解。通过这个方式建立认同感后，才能更加自由的交换意见。

• 中高端岗位积极性的作用：往往参与应聘中高端岗位的面试者，其能力都比较好，可选择的公司也较多，因此往往会存在聊一聊的情况。此时若表现出对应聘岗位一定的兴趣，在其它条件相当时，企业会优先考虑，且有利于之后的薪水谈判。

• 面试时不透露公司敏感信息。

面试结束

• 表示对面试官的感谢！
• 作为面试者，及时记录在面试过程中的不足点，针对不足点进行强化，下一轮面试中改进（往往不足点也会被面试官记录下来并让下一个面试官留意考察）。

甄别团队和同事

• 前面章节有讲到如何选择企业，当企业符合自己期望后，并不代表企业中每个团队每个人都符合自己期望。尤其是在大公司里，各个团队的氛围、能力、价值观都会相差比较大。

• 在面试过程中，面试官往往是自己以后的同事、领导和 HR，面试既是企业考察自己的过程，也是自己了解”企业“的过程。理解面试是双向考察，面试官在面试我们的同时，我们也可以通过交谈、询问来观察面试官，去判断他的基础素质和专业素质，了解自己将在一个什么样的团队和一群什么样的共事。

• 其实完全用不上这么复杂的方式来实现这个目的，如果我们在目标团队中有认识的人就简单多了，他的长期感受会比短暂面试的判断要准确全面的多，通过向他们打听是最高效准确的办法。但更多的人是没有这方面人脉资源的，因此甄别面试官就显得尤为重要，在这里我会教大家一些判断面试官素质的经验。这里的经验侧重点并不是让我们去判断面试官的能力水平，而是让我们学会甄别那些不好的团队和人：

  • 面试官时间管理经验判断：是否会提前预约面试时间、是否会准时参加面试、是否会控制面试过程避免面试者一直讲陷入细节从而超过常见面试时间等。
  • 面试官面试经验判断：根据提问可以了解到其是否有提前了解自己简历中的一些信息、是否问的都是一些很简单的问题、问的问题前后没有逻辑像是模板一样一个个事前准备好的、是否通过预言方式来问问题（你会怎么做？你将怎么做？）等。
  • 面试官基础素质判断：遇到自己回答不好的问题时面试官是否表现出不耐烦等负面情绪、面试官是否会无理打断自己、是否有审讯式的提问（往往通过咄咄逼人的方式提问，试图让面试者出现逻辑矛盾）、是否有质疑式提问（通过质疑、不相信的态度进行沟通，试图让面试者证明一切的真实性）、是否有打压式提问（一定要找到一些你不了解的方向但又问的特别多）、是否有高高在上（往往表现为轻蔑的语气）、是否能问出一些细节（而不只是夸夸其谈）。此处有个例外，资深的管理者往往有可能问一些低级问题，我们需要甄别面试官是真的基础素质不行还是非常资深但希望通过一些低级问题来反向考察面试者。
  • 面试官技术能力判断：这个判断的前提是你是该领域专家，否则很有可能出现的情况是，其实是你没有领会面试官意图而觉得人家不专业的误判。当你对该领域很资深时，你能根据面试官的问题很容易的判断出来其对这个领域的技术水平和认知，甚至一些时候可以通过反向询问（慎用）来支撑你的判断。此外还可以通过了解目标企业的安全水位来判断他们安全技术能力程度。
  • 面试官管理能力：这点非常重要，对于稍微高阶职位来讲，我们多数时候并不期望面试官中的管理者技术很强，更看重的是自己心底愿不愿意跟着他干，跟着他干是不是能有好的发展前途，是不是能有空间获得个人成长。

• 上面很多逻辑是一些大家都懂的道理，倘若没有准确的甄别出来，会导致你进入到错误的团队和错误的人共事，所付出的成本是极高的，同时自己会陷入巨大痛苦之中。

• 你有可能遇到团队氛围不好死气沉沉、办公室斗争尔虞我诈、领导情绪不稳定骂人是常态、团队同学陷于日常繁琐事务没有成就、天天加班绩效也不好技术也没成长还看不到希望等。

网络安全行业趋势

• IT 转向 DT、万物互联和地缘政治摩擦的大趋势下，无论是国家、企业还是个人层面，安全将前所未有的被广泛重视。
• 各类细分安全法律、监管要求、行业标准出台，个人隐私保护意识崛起，产品的安全性也逐渐成为各企业的竞争优势。随之安全岗位需求将越来越多，安全从业人员数量也大幅增长，安全对抗的深入导致安全细分领域越来越多。
• 这些意味这什么呢？在我接触安全那会，多数安全从业者都能凭借着兴趣爱好就能在行业内做的不错，先发优势让我们很容易做出一些成绩，甚至跨子领域的成绩。但参加最近几年的校招能明显的感觉到越来越多的专业精深的安全人才，已经逐渐脱离了仅依靠兴趣爱好就能做好的时代。
• 作为新人我们应该把握好这个历史时机，打好安全基础、深入研究新型领域、快速学习他人经验、把握每一次成长机会、扩大安全影响力，安全的未来是你们的！