信息安全章节核心知识梳理

软考系统分析师|信息安全章节核心知识梳理

(适配第三版教材,覆盖选择、案例、论文高频考点)


一、信息安全基础(必考)

1. 核心属性(CIA+2)

  • 机密性:信息不被未授权访问/泄露(加密、访问控制)。
  • 完整性:数据未被篡改/伪造(哈希、数字签名)。
  • 可用性:系统/数据可正常访问(容错、抗DDoS)。
  • 可控性:对信息传播/使用可监控管理。
  • 不可否认性:行为不可抵赖(签名、审计日志)。

2. 安全威胁分类

  • 网络攻击:DoS/DDoS、SQL注入、XSS、CSRF、中间人、端口扫描。
  • 数据威胁:泄露、篡改、丢失、越权访问。
  • 恶意代码:病毒、木马、勒索软件、蠕虫。
  • 内部威胁:权限滥用、操作失误、数据窃取。

3. 安全保护等级(5级,必背)

  1. 用户自主保护级(自主访问控制)。
  2. 系统审计保护级(+审计跟踪)。
  3. 安全标记保护级(+强制访问控制、安全标记)。
  4. 结构化保护级(+形式化模型、隐蔽通道控制)。
  5. 访问验证保护级(+访问监控器、抗篡改)。

口诀:主审标结访(自主→审计→标记→结构→验证)。


二、安全体系结构(分层防护)

1. 五层防护模型(纵深防御核心)

  • 物理层:机房、门禁、电磁屏蔽、环境监控。
  • 网络层:防火墙、IDS/IPS、VPN、网络分段。
  • 主机层:系统加固、补丁、EDR、最小权限。
  • 应用层:WAF、代码审计、API安全、会话管理。
  • 数据层:加密、脱敏、备份恢复、防泄露。

2. 安全设计原则(论文直接用)

  • 最小权限:仅分配必需权限。
  • 纵深防御:多层互补,无单点依赖。
  • 默认拒绝:未授权默认禁止访问。
  • 安全可控可审计:全链路日志追溯。
  • 分权制衡、职责分离:关键岗位分离。

三、核心安全技术(高频考点)

1. 加密技术(对称/非对称/哈希)

(1)对称加密(单密钥,快)
  • 算法:DES(56位)、3DES、AES(128/256位,主流)、IDEA
  • 特点:密钥共享、效率高、适合大数据。
(2)非对称加密(公钥/私钥,慢)
  • 算法:RSA(主流)、ECC(椭圆曲线,轻量)
  • 用途:密钥交换、数字签名、加密小数据。
(3)哈希(摘要,不可逆)
  • 算法:MD5(128位,不安全)、SHA-1(160位)、SHA-256/SHA-512(安全)
  • 用途:完整性校验、数字签名摘要。
(4)数字信封(混合加密)
  • 流程:明文→对称加密(快)→对称密钥→非对称加密(安全)→合并传输。

2. 身份认证与访问控制

(1)认证三因子
  • 知识:密码、PIN。
  • 持有:USB Key、手机令牌、智能卡。
  • 生物:指纹、虹膜、人脸。
  • MFA多因素认证:组合两种以上(如密码+短信)。
(2)访问控制模型
  • DAC自主访问控制:资源所有者授权(Linux权限)。
  • MAC强制访问控制:系统按安全级别强制(军事/政府)。
  • RBAC基于角色:按岗位分配权限(企业主流)。
  • ABAC基于属性:用户/资源/环境属性匹配(灵活)。
(3)PKI/CA体系(必考)
  • CA:证书签发/管理中心。
  • RA:身份审核注册机构。
  • X.509证书:含公钥、有效期、签名。
  • CRL/OCSP:证书吊销/状态查询。
  • Kerberos:KDC分发票据,支持SSO,依赖时间戳防重放。

3. 网络安全设备

  • 防火墙:访问控制、隔离内外网(包过滤/状态检测/应用层)。
  • IDS入侵检测:被动告警,不阻断。
  • IPS入侵防御:主动阻断攻击。
  • WAF:防护Web攻击(SQL/XSS)。
  • VPN:IPsec(网络层)、SSL(应用层)加密传输。

4. 数据安全

  • 数据加密:传输(SSL/TLS)、存储(AES)。
  • 数据脱敏:敏感数据替换/掩码(手机号138****1234)。
  • 备份恢复:全量/增量/差异备份;RTO(恢复时间)、RPO(数据丢失量)。
  • 防泄露DLP:监控/阻断敏感数据外发。

国密SM2/SM3/SM4核心算法 表格梳理

算法算法类型对应国际对标核心用途关键特性应用场景
SM2非对称加密(椭圆曲线ECC)RSA、ECC数字签名、密钥协商、非对称加密国产椭圆曲线,安全强度高、密钥短、运算快;支持签名/加密/密钥交换三合一身份认证、电子证照、证书体系、接口签名、PKI国密改造
SM3哈希摘要算法MD5、SHA-1/SHA256消息完整性校验、数字签名摘要、密码哈希输出256位哈希值;不可逆、抗碰撞;替代不安全MD5/SHA1文件校验、口令存储、签名摘要、数据防篡改、区块链哈希
SM4对称分组加密算法AES、DES、3DES数据加解密、传输/存储加密分组128bit、密钥128bit;加解密算法结构一致,效率高、适合大批量数据文件加密、数据库存储加密、VPN、接口传输加密、磁盘加密
补充国密类型核心作用考试定位
SM9标识密码算法IBE无需数字证书,用手机号/邮箱当公钥做加密签名了解即可,极少考
  1. SM4 对称:大批量数据加解密,对标AES;
  2. SM3 哈希:256位摘要,防篡改、对标SHA256;
  3. SM2 非对称ECC:签名+密钥协商,对标RSA,密钥更短安全性更高。

信创、政务、等保合规系统:传输用SM4、完整性用SM3、身份签名用SM2整套国密闭环。

四、安全管理与审计

1. 安全策略与风险评估

  • 策略:分级保护、最小权限、应急响应。
  • 风险评估:资产识别→威胁/脆弱性分析→风险计算→处置(规避/转移/缓解/接受)。

2. 安全审计

  • 日志类型:登录、操作、权限变更、系统异常。
  • 要求:不可篡改、可追溯、定期审计。

3. 应急响应与灾难恢复

  • 流程:检测→遏制→根除→恢复→复盘。
  • 灾难恢复:冷备(离线)、温备(在线备用)、热备(实时同步)。

五、新兴安全(论文热点)

  • 零信任:永不信任、始终验证;身份为核心、微隔离、持续授权。
  • 云安全:IaaS/PaaS/SaaS责任划分;云防火墙、CASB、云加密。
  • 物联网安全:设备认证、轻量加密、固件安全、边缘防护。
  • 数据安全法/个人信息保护法:数据分类分级、个人信息保护、跨境传输合规。

六、高频考点速记

  1. CIA三要素:机密、完整、可用(必考)。
  2. 加密算法:对称(AES/3DES)、非对称(RSA/ECC)、哈希(SHA-256)。
  3. 访问控制:DAC/MAC/RBAC核心区别。
  4. PKI核心:CA签发、X.509、CRL/OCSP。
  5. 安全等级:5级,主审标结访。
  6. 纵深防御:五层模型(物理→网络→主机→应用→数据)。

七、论文写作方向

  • 信息安全体系设计(分层防护+零信任)。
  • 数据安全治理(加密、脱敏、备份、合规)。
  • 身份认证与访问控制(MFA+RBAC+PKI)。
  • 云/物联网安全架构设计。