深信服基本情况

公司官网
2000年成立，全球50余个分支机构，4500多人

三大业务品牌：SXF智安全，信服云（云计算）、SXF新IT
智安全：
①传统的网络安全：边界安全、终端安全、安全管理、云上的安全
②安全服务：风险评估、漏洞扫描、渗透测试，代码审计等等
③解决方案：政策合规、事件驱动的方案、安全规划的方案<br

云计算：
桌面云、托管云

新IT：
新型的IT网络架构，企业级分布式存储EDS、数据中心必备组件应用交付AD、软件定义广域网SD-WAN、软件定义终端桌面云aDesk四大产品，同时还提供安全办公、IPv6改造、数据中心统一存储、多分支组网、DaaS（桌面即服务）等紧密贴合用户业务场景的一站式解决方案及服务，致力于解决传统IT基础设施面临的效率低、成本高、不够灵活、安全性差等一系列问题，加速用户的数字化转型进程

---

五大研发中心：深圳、北京、长沙、南京和硅谷

---

优势产品：VPN产品起家，全网行为管理（上网行为管理），IDC统计显示，已经连 续10年保持中国市场占有率第一
（SSL VPN 属于身份安全，全网行为管理属于 内容安全）

上网行为管理

基于不同用户、不同终端以及不同接入方式划分权限策略；
基于不同流量分类（迅雷下载流量、发送邮件流量、视频会议流量）
基于行为可控（色情网站、网盘下载、逛淘宝网、微信流量）
此外，上网行为管理对 网贷可以分析

---

价值主张：“全情投入、持续创新、给用户带来省心便捷体验”
企业使命：“让用户的IT更简单、更安全、更有价值”
安保单位：“G20峰会、广东护城河、上海进博会、70年周年庆祝活动、港珠澳大桥开通仪式”等等，SXF始终冲在国家级安全保障的前线，或者说是第一线。

---

你认为售前产品经理应该具备什么技能？

• 会说
  —项目交流与汇报：能够完成方案汇报，获得客户的认可

• 会写
  —解决方案编制与落地：基于客户业务需求，能够完成产品及产品组合类的解决方案，解决方案与客户诉求高度匹配、方案框架清晰且具备落地性。

• 会谋
  —对所负责产品的市场、客户、产业趋势等进行洞察分析
  —客户需求挖掘：能够完成客户拜访，输出客户需求洞察文档；

---

1. 熟练掌握项目管理知识和技能
   2. 熟练掌握网络安全基础知识
   3. 掌握导图法、里程碑图等项目管理方法。
   4. 熟练使用 project、EXCEL、思维导图、禅道等项目管理工具
   5. 协调、管控项目的进程及做好同客户的需求调研沟通；
   6. 制作项目相关的报告、表格、汇报材料、PPT、协助客户完成部分文档等

你的职业规划是怎么样？

---

你认为售前产品经理应该具备哪些知识？

1. 计算机知识：网络知识、操作系统、数据库、云计算
2. 网络安全相关的法律法规：
3. 安全技术相关的知识：VPN、加密算法、常见的攻击原理
4. 行业的知识： 交通、能源、医疗、教育…
5. 安全产品的知识：基础类、平台类

---

四法

《网络安全法》：2017年6月1日通过，7章79条

可以说 是我国第一部规范 网络空间安全 的基础性法律，也是我国在网络空间法治建设的 重要里程碑。主要内容可以用“防御、控制和惩治”三位一体这几个词来概括
第二十一条：国家实行网络安全等级保护制度
第三十一条：对于共同交通、能源、水利、金融、公共服务、电子政务等重要行业和领域，严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护

《密码法》：2020年1月1日

密码：指采用特定变换的方法对信息等 进行加密保护、安全认证的技术、产品和服务
核心密码、普通密码用于保护国家秘密信息；**商用密码：个人信息、商业秘密
核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。
“密评”工作包括两部分重要内容： **
信息系统规划阶段的密码应用方案评估信息系统
建设完成后的信息系统商用密码应用安全性评估

《数据安全法》：2021年9月1日，七章55条

在国外，有关数据安全的法律法规其实颁布的是比较早的。
内容：包括数据安全的发展（二）、数据安全制度（三）（数据分级分类、数据安全审查、数据出境的管控）、数据安全保护义务（四）（数据安全管理制度、数据安全技术措施、数据安全培训等等）、政务数据安全的内容（五）
**什么是数据：**任何以电子或者其他方式对信息的记录（纸质文档也算数据）
数据处理：数据的收集、存储、 使用、加工、传输、提供、公开等
数据安全：指通过采取必要措施， 确保数据处于有效保护和合法利用的状态
数据的分类分级：基于一些数据特征，号码类、名称类、地址类、联系类、证件类…

《个人信息保护法》：2021年11月1日

明确了 ：个人信息的处理规则（二）
个人信息跨境提供的规则（三）
个人在个人信息处理中的权利（四）
个人信息处理者的义务（五）
包括个人敏感信息、未成年人信息

四条例

《网络安全等级保护条例》

定义（三个层面）：对国家安全、法人和其他组织及公民的专有信息以及公开信息 和 存储、传输、处理这些信息的信息系统 分等级进行保护； 对信息系统中使用的安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级进行响应和处置。
1994年国务院的147号令，第一次提出等级保护的概念，到2008年等级保护1.0的发布 ；再到2019年等级保护2.0的发布，从被动防御到2.0的事前防御、事中响应、事后审计的动态保障体系，等保强调的是“一个中心、三重防护”

• 定级：确定定级的对象，上级主管部门审核，专家评审
• 备案：将定级报告和备案表拿到当地公安机关去备案
• 整改：参考定级对象进行整改
• 测评：具有测评资质的测评机构进行测评，出测评报告

• 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
  新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续

《关键信息基础设施安全保护条例》

2021年7月30日，李克强总理签署 国务院令，发布这项条例
关键信息基础设施：共同交通、能源、水利、金融、公共服务、电子政务、环境保护
是国家经济社会的精神枢纽，对于维护国家网络空间安全、社会发展、公共利益，公民权益等具有重大意义
明确了：重要行业和领域的主管部门和监督管理部门是负责关键信息基础设施安全保护工作的部门（工信部、广电总局、能源局、交通运输部、铁路局等）

《商用密码管理条例》

商用密码应用安全性评估的对象包括：
• 基础信息网络：电信网、广播电视网、互联网；
• 涉及国计民生和基础信息资源的重要信息系统：能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统；
• 重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统；
• 面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统

《网络数据安全管理条例》

数据成为土地、劳动力、资本、技术等传统要素以外的新型生产要素。

招投标

标书构成：（1）商务部分；（2）技术部分；（3）报价部分
商务部分：成功案例、资质文件
技术部分：产品参数、技术偏离表
招标（相亲条件发布，高大威猛，有车有房）
招标文件质疑（指定男生过于明显）
投标（亮肌肉，晒房产证）
开标（女方家长看你材料）
评标（女方家长根据材料给你打分）
中标（确定你是男朋友候选人）
中标结果质疑（你没被选中，但觉得还是比候选人强一些）
授标（从候选人变成正式男朋友）
签订合同（领结婚证）
流标（女方要求太高或者长得太丑，没有三个候选人）
废标（你明显不符合女方要求）

产品选型、介绍、场景

选型首先要考虑
性能参数：应用层吞吐量、新建连接数、并发连接数
硬件参数：网口数量、硬盘大小、形态（1U、2U）
注意：吞吐采集量不等于实际流量

日审：
产品定位：解决信息孤岛、无法关联分析、日志量太大、日志格式多种多样难以分析
日志的收集：
1.基于协议（syslog、snmp、FTP、SFTP）等协议
2.Agent 统一采集
选型依据：
1.日志处理能力（每秒钟处理日志量）
2.最大资产授权数
3.硬件参数（网口、内存、硬盘）

数审：
产品功能：
1.记录（记录访问数据库的行为、客户端信息、服务端信息、操作信息等）
2.存储（存储行为产生的日志、会话日志、告警日志等）
选型：
1.SQL处理能力
2.支持的数据库实例量

堡垒机：
采用4A架构、针对运维人员的身份、账号管理、运维权限、运维审计，设计的 单点登录的设备（运维人员、合作伙伴、员工、外包人员-----主机、网络设备、数据库、服务器）
4W1H：what（你做了什么）、when(什么时间做的)、which（能做什么）、who（你是谁）、How（怎么做的）
产品选型应考虑：
1.所纳管的资产数（服务器、交换机、防火墙、应用系统等等）
2.最大图形并发数、字符并发数（一般一个运维人员5-10图形并发、10-20个字符并发）
3.硬盘容量
4.网口数量

WAF：
产品功能：针对web应用层的防护、包括防护一些常见的web攻、自动化攻击、未知攻击
应用场景：
1.等级保护安全区域边界应用层防护
2.HW演练防守方网站防护
产品选型：
1.网络层吞吐量
2.应用层吞吐量
3.并发连接数
4.确认网站类型（https比http性能消耗多4-5倍）

EDR：
产品定位：终端防护软件
功能优势项：勒索病毒防护、微隔离、高级威胁防护、主动防御能力等
应用场景：防病毒&合规场景、攻防对抗场景、统一终端管控场景等
产品选型：
中心（管理软件）+相应数量的端点（PC或Server）

入侵检测：
产品功能：基于多种维度（紧急事件、失陷主机、威胁情报）的关联分析，识别真正的入侵行为
产品选型：
1.最大的流量吞吐量（网络层、应用层）
2.HTTP最大并发数

防火墙：
产品功能：访问控制策略、上网行为管理、入侵防御、抗DDOS、防病毒、非法外联、防暴力破解、VPN
产品选型：
1.出口带宽
2.最大并发连接数（使用VPN的用户数）
3.吞吐量
:::
态势感知：
产品定位：及检测、可视、响应于一体的大数据分析和运营平台
通过日志探针采集安全设备日志、流量探针内部流量、结合威胁情报、关联分析、然后联动相关安全设备做到自动化应急处理、时间安全闭环
（发现、识别、理解、分析、处理）
选型：
1.数据流量采集处理能力
如果采用虚拟机部署的话：
考虑CPU、内存、硬盘、操作系统等是不是满足条件
:::

---

常见的网络攻击原理

脆弱性和攻击

网络安全审计技术原理

网络安全审计：
1.发现潜在威胁行为、开展网络安全风险分析及管理
2.等保二级 开始要求要提供 安全审计 机制
二级（系统审计保护）：审计安全设备、运维管理
三级（安全标记保护）：审计的是 客体的安全
四级（结构化保护）：审计 隐蔽存储信道
3.类型：
数据库安全审计：监控数据库的读写、增删改查等操作
网络通信安全审计：源IP、目的IP、源端口、目的端口、协议类型
操作系统安全审计
应用系统安全审计
网络安全设备审计
代码安全审计
4. 常用的技术方法有 共享网络监听、交换机端口镜像、网络分流器等等
5.利用抓包软件抓包，然后进行分析（字符串匹配、数据关联、可视化分析）等等，比如基于用户上午时长、网络浏览排行，分析形成一个模型

恶意代码防范技术

恶意代码攻击模型：
1.侵入系统
2.维持或提升已有的权限
3.隐蔽
4.潜伏
5.破坏
6.重复
恶意代码生存技术：
1.反跟踪技术
2.加密技术
3.模糊变换技术
4.变形技术
5.通信隐蔽技术
防范技术：
终端防护产品：保护终端安全
安全网关产品：防止破坏扩大
恶意代码检测产品：IDS、网络协议分析器
补丁管理系统：打补丁

操作系统安全

Windows系统可能遭遇以下安全威胁：
弱口令
恶意代码
应用软件漏洞
系统程序的漏洞
注册表安全
文件共享安全

系统安全增强方法
(1)安全漏洞打补丁
(2)停止不需要的服务和卸载软件
(3)升级或更换程序
(4)修改配置或权限
(5)配置安全策略
(6)安装专用的安全工具软件

数据库安全

数据库安全指的是 数据库的机密性、完整性、可用性能够得到保障
安全威胁：
1.授权失误
2.SQL注入攻击
3.数据库口令密码被破解
4.对数据库的存储介质等硬件 破坏

应对措施：
1.数据库加密（传输中使用SSL、存储使用加密模块）
基于字段、文件加密
2.提供虚拟补丁，预防数据库漏洞
3.加强数据库的安全审计
4.使用数据库脱敏技术
5.定期备份

网络设备安全

1. Mac地址泛洪
2. ARP欺骗
3. DOS攻击
4. 路由协议安全

防范措施：

1. 关闭不用的网络
2. 配置路由器的时候使用协议认证
3. 配置交换机的时候 采用 ACL 控制权限

深信服售前产品经理面试准备材料（更新ing）相关推荐

1. 双非硕士 | 0实习 | 1个月上岸深信服售前产品经理提前批

   一. 背景 双非本硕,0实习的我,是如何1个月上岸深信服售前产品经理的,今天就为大家分享下我个人的面试经历.简单总结就是:高效的准备 + 运气^n 二. 面试流程 由于深信服是我一直想去的公司,所以2 ...

2. 深信（售前产品经理）服面试总结

   深信服校招面经 个人简介:双非机械本科,西电软件工程第二学士学位,没有实习经历,22年秋招顺利拿下深信服售前产品经理的岗位.深信服的面试在众多公司的面试中我觉得是最正规,最深入,面试轮次也是最高的,当 ...

3. 2019锐捷售前产品经理秋招面试总结

   第一次参加校招面试,并且异常顺利的从名校硕士.本科生的手下杀出来,写点东西总结一下这次面试的经历,为下次面试做个准备. 一面: 一面当时去的时候已经是中午11:30的样子,感觉面试官赶着去吃午饭,所以 ...

4. 最新B端产品经理面试问题大全及答案合集（151题全部有答案）【11年大厂面试官呕心制作】

   我会一直长期给你分享B端产品经理面试问题大全及答案合集,助你斩获心仪offer!请你去→工忠号[B端产品经理面试官Aadi],以免错失后续更多实用的B端产品经理面试技巧! 标题 B端产品经理面试问题大 ...

5. 万字长文 | 产品经理面试大全（建议收藏）

   遇到众多朋友因转行.跳槽等原因,在各类公司的招聘中浴血奋战. 产品经理这个岗位由于其特殊性,在面试当中往往不能够以技术性的题目来衡量,也因其涉猎的范围广泛,所以在准备面试时必须面面俱到,才能够胸有成竹 ...

6. 如何做好产品经理面试工作

   对产品经理如何定义,如何准备才能做到丝毫不慌,从容应对呢? 下面结合自己对产品领域的深度探索与资深产品大佬的一些看法,整理如下,希望能够一起修正,完善自我. 每个人对于成功产品的定义是不一样的,所以这 ...

7. 如何轻松愉快的搞定产品经理面试

   轻松搞定产品经理面试 一开始准备面试的时候,我是一点也看不上面经的,觉得实力水平就在那里,问什么回答什么,还能有错?好在经历了这么多面试后潘然醒悟,收集了常见的产品面试题,结合网络搜索与自己的思考预判 ...

8. 11条通用法则，教你产品经理面试通关指南

   https://mbd.baidu.com/newspage/data/landingsuper?context=%7B%22nid%22%3A%22news_9659606126957247345% ...

9. 产品经理面试必须知道的事

   最近"产品经理面试太难了吧!"这句话一直在我耳边缠绕.其实我觉得还好吧,我只会觉得你可能是没技巧.下面金老师给大家分享一下字节跳动产品经理招聘的面试干货. 应该没有人不知道字节跳动 ...

最新文章

1. Struts2的拦截器只允许有权限用户访问action
2. 云校庆系列活动 | 软件定义新基建，数据驱动新未来
3. java怎样读txt文件_【后端开辟】java怎样读写txt文件？
4. 准备mysql函数库和PHP文件
5. kmeans设置中心_kmeans聚类与支持向量机(1)
6. JS实现文本框有“请输入关键字”功能
7. 未来经济 数字优先 | 大数据专场
8. doublevalue_Java Double类doubleValue（）方法与示例
9. maven 打包javadoc乱码解决方案
10. Remoting服务集成到IIS的简单总结
11. python图片保存需要在图片展示后_用python处理图片之打开\显示\保存图像的方法...
12. linux系统expdp按表空间导出,expdp导出是全库吗
13. 浅谈React Event实现原理
14. matlab 博弈论代码,各种博弈论详解(示例代码)
15. 【用matlab设计仿真数字锁相放大器】
16. PHP：A mono-alphabetic cipher 单字母密码加解密算法(附完整源码)
17. Seagate 日立硬盘型号命名规则
18. web前端开发工程师的真实能力如何判定？大厂资深前端指点迷津
19. 什么是动态DNS（DDNS）
20. AES、DES、RSA、base64、MD5、SHA加密

热门文章

1. 阿里云服务器与腾讯云服务器的故事
2. 【MySql】MySQL排序分页查询数据顺序错乱的原因和解决办法
3. android广播监听短信并显示内容
4. android窗帘拉开动画,Android 窗帘(Curtain Menu)效果五之应用场景和使用方法
5. IDEA 设置单行注释格式化时不换行
6. 以后有了孩子要起名就在这上面选啊!
7. 被修饰成单栋的倾斜摄影处理思路
8. 整个世界都是你的绿幕：这个视频抠图换背景的方法太惊艳了！
9. CNN 卷积神经网络-- 残差计算
10. 二维码 扫描框的 处理 美化功能 喜欢的 自己直接替换和修改