阿里钉钉安全部门面试记录

今天迎来了人生第一次工作面试经历，电话面试，阿里钉钉安全部门主管面试，结果显然不会通过，因为自己没啥准备，也比较菜，阿里的面试也比较难。但是这次经历可以让自己找到差距，了解到了企业想要什么样的，发现自己的基础有多么缺失。

0x00面试前的流程

写好简历之后，看到群里有发内推的，就抱着试试看的态度去投看看，本来就没打算过，就是为了想看看实际生产环境需要什么样的知识。简历投递之后稍后就收到了内推学长的回复。第二天面试官就打电话过来说问我第三天有没有时间，效率真的高。

0x01面试ing

开始先来了一段自我介绍，没规定时间，自己大概介绍了2分钟吧。

然后面试官问了一下我的方向和人生规划，如实回答。

然后面试官让我介绍一下做的项目，我详细的介绍了一下项目，然后面试官就根据我做的项目开始了提问：

非对称加密签名的原理

答：私钥加密 公钥验证

SM2什么加密算法

答：ECC椭圆曲线算法

你觉得密码的存储应该怎么做？

答：用SM3哈希处理之后存储，然后面试官问了一下你了解过业界是怎么做的吗，他提示了我一下加盐。我说加一段随机的字符串后哈希可以提升安全性，他又问为什么可以提升安全性，我没答上来。实际上如果直接hash会遭受查表攻击彩虹表攻击等，不能这么设计，如果随意加盐会造成哈希长度扩展攻击，所以我们可以选用hmac，它通过一个标准算法，在计算哈希的过程中，把key混入计算过程中，可以使程序更安全。其实正确的加盐方式应该如下：

1. MD5(MD5(password)+salt)
2. SHA512(SHA512(password)+salt)
3. 引入慢哈希: bcrypt(SHA512(password), salt, cost)

这些方式远比直接加盐哈希安全的多，上课的时候其实是有讲过的，但是当时有点紧张没想起来。

你了解的双因子认证方式有哪些？

答：指纹+口令、验证码+口令、面部识别+口令、硬件设备+口令

硬件设备比如U盾的工作原理是什么？

答：emmm说实话当时我不知道，真的没了解过这类东西。

补充：

基于PKI技术,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。

你做的这个双因子认证和他们比有什么优点？

答：emmmm这时候我懵了，其实笔迹识别这种方式无论准确率还是性能貌似都不如指纹识别。然后呢，面试官就说你当时做这个项目的时候没有横向和纵向的了解吗？我说有了解只是相对于非双因子认证的方式，而没有对同为双因子的指纹识别等进行了解。然后面试官给我上了一课emmmm面试官人挺好的。

WEP的漏洞是什么？原理？

答：我只知道WEP是不安全的，因为它的IV长度太短可以被猜测，就简单说了一点我知道的emmm

你知道有什么安全访问策略吗？

答：比如Linux的安全组策略，对不同的用户进行分组，每一组的用户拥有相同的权限，不同级别的用户拥有不同的权限。

假如给你一个WEB页面，你应该如何设计安全访问策略？

答：分组分角色管理，叭叭叭说了一些

你还有什么想问的吗？

您觉得我和阿里入职要求还有多大距离？

需要的层次比较高，本科生一般达不到安全体系设计的要求，要有经验。

emmm应该是凉了，不过问题不大，找到了差距，知道了生产环境和实验环境的差别，面试官也教会了很多，挺好的，问题不大。

0x03总结

整体感觉面试官人很好，很温柔，问的问题也都挺正常的，就是我基础还不够好，以后还要更加努力学习，总之，第一场面试结束了，虽然不是很完美，但是体验还不错，以后等自己水平够了可能就没问题了吧。

补充学习

访问控制策略

自主访问控制

根据主体的身份及允许访问的权限进行决策；所谓自主是指具有某种访问能能力的主体可以自主地将访问权地某个子集授予其他主体，灵活性比较高，被大量采用。

强制访问控制

每个用户及文件都被赋予一定的安全级别，用户不能改变自身或任何客体的安全级别，即不允许单个用户确定访问权限，只有系统管理员可以确定用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。

基于角色的访问控制RBAC

将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。

用户与客体无直接联系，他只有通过角色才享有该角色所对应的权限，从而访问相应的客体。因此用户不能自主地将访问权限授给别的用户。

角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，即只有系统管理员有权定义和分配角色。

基于任务的访问控制模型TBAC

TBAC模型一般用五元组（S，O，P，L，AS）来表示，其中S表示主体，O表示客体，P表示许可，L表示生命期（lifecycle），AS表示授权步。由于任务都是有时效性的，所以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。

对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化

基于对象的访问控制OBAC

控制策略和控制规则是OBAC访问控制系统的核心所在，在基于受控对象的访问控制模型中，将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许对策略和规则进行重用、继承和派生操作。

这样，不仅可以对受控对象本身进行访问控制，受控对象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设置