信息安全章节核心知识梳理
📅 2026/7/6 15:13:22
👁️ 阅读次数
📝 编程学习
软考系统分析师|信息安全章节核心知识梳理
(适配第三版教材,覆盖选择、案例、论文高频考点)
一、信息安全基础(必考)
1. 核心属性(CIA+2)
- 机密性:信息不被未授权访问/泄露(加密、访问控制)。
- 完整性:数据未被篡改/伪造(哈希、数字签名)。
- 可用性:系统/数据可正常访问(容错、抗DDoS)。
- 可控性:对信息传播/使用可监控管理。
- 不可否认性:行为不可抵赖(签名、审计日志)。
2. 安全威胁分类
- 网络攻击:DoS/DDoS、SQL注入、XSS、CSRF、中间人、端口扫描。
- 数据威胁:泄露、篡改、丢失、越权访问。
- 恶意代码:病毒、木马、勒索软件、蠕虫。
- 内部威胁:权限滥用、操作失误、数据窃取。
3. 安全保护等级(5级,必背)
- 用户自主保护级(自主访问控制)。
- 系统审计保护级(+审计跟踪)。
- 安全标记保护级(+强制访问控制、安全标记)。
- 结构化保护级(+形式化模型、隐蔽通道控制)。
- 访问验证保护级(+访问监控器、抗篡改)。
口诀:主审标结访(自主→审计→标记→结构→验证)。
二、安全体系结构(分层防护)
1. 五层防护模型(纵深防御核心)
- 物理层:机房、门禁、电磁屏蔽、环境监控。
- 网络层:防火墙、IDS/IPS、VPN、网络分段。
- 主机层:系统加固、补丁、EDR、最小权限。
- 应用层:WAF、代码审计、API安全、会话管理。
- 数据层:加密、脱敏、备份恢复、防泄露。
2. 安全设计原则(论文直接用)
- 最小权限:仅分配必需权限。
- 纵深防御:多层互补,无单点依赖。
- 默认拒绝:未授权默认禁止访问。
- 安全可控可审计:全链路日志追溯。
- 分权制衡、职责分离:关键岗位分离。
三、核心安全技术(高频考点)
1. 加密技术(对称/非对称/哈希)
(1)对称加密(单密钥,快)
- 算法:DES(56位)、3DES、AES(128/256位,主流)、IDEA。
- 特点:密钥共享、效率高、适合大数据。
(2)非对称加密(公钥/私钥,慢)
- 算法:RSA(主流)、ECC(椭圆曲线,轻量)。
- 用途:密钥交换、数字签名、加密小数据。
(3)哈希(摘要,不可逆)
- 算法:MD5(128位,不安全)、SHA-1(160位)、SHA-256/SHA-512(安全)。
- 用途:完整性校验、数字签名摘要。
(4)数字信封(混合加密)
- 流程:明文→对称加密(快)→对称密钥→非对称加密(安全)→合并传输。
2. 身份认证与访问控制
(1)认证三因子
- 知识:密码、PIN。
- 持有:USB Key、手机令牌、智能卡。
- 生物:指纹、虹膜、人脸。
- MFA多因素认证:组合两种以上(如密码+短信)。
(2)访问控制模型
- DAC自主访问控制:资源所有者授权(Linux权限)。
- MAC强制访问控制:系统按安全级别强制(军事/政府)。
- RBAC基于角色:按岗位分配权限(企业主流)。
- ABAC基于属性:用户/资源/环境属性匹配(灵活)。
(3)PKI/CA体系(必考)
- CA:证书签发/管理中心。
- RA:身份审核注册机构。
- X.509证书:含公钥、有效期、签名。
- CRL/OCSP:证书吊销/状态查询。
- Kerberos:KDC分发票据,支持SSO,依赖时间戳防重放。
3. 网络安全设备
- 防火墙:访问控制、隔离内外网(包过滤/状态检测/应用层)。
- IDS入侵检测:被动告警,不阻断。
- IPS入侵防御:主动阻断攻击。
- WAF:防护Web攻击(SQL/XSS)。
- VPN:IPsec(网络层)、SSL(应用层)加密传输。
4. 数据安全
- 数据加密:传输(SSL/TLS)、存储(AES)。
- 数据脱敏:敏感数据替换/掩码(手机号138****1234)。
- 备份恢复:全量/增量/差异备份;RTO(恢复时间)、RPO(数据丢失量)。
- 防泄露DLP:监控/阻断敏感数据外发。
国密SM2/SM3/SM4核心算法 表格梳理
| 算法 | 算法类型 | 对应国际对标 | 核心用途 | 关键特性 | 应用场景 |
|---|---|---|---|---|---|
| SM2 | 非对称加密(椭圆曲线ECC) | RSA、ECC | 数字签名、密钥协商、非对称加密 | 国产椭圆曲线,安全强度高、密钥短、运算快;支持签名/加密/密钥交换三合一 | 身份认证、电子证照、证书体系、接口签名、PKI国密改造 |
| SM3 | 哈希摘要算法 | MD5、SHA-1/SHA256 | 消息完整性校验、数字签名摘要、密码哈希 | 输出256位哈希值;不可逆、抗碰撞;替代不安全MD5/SHA1 | 文件校验、口令存储、签名摘要、数据防篡改、区块链哈希 |
| SM4 | 对称分组加密算法 | AES、DES、3DES | 数据加解密、传输/存储加密 | 分组128bit、密钥128bit;加解密算法结构一致,效率高、适合大批量数据 | 文件加密、数据库存储加密、VPN、接口传输加密、磁盘加密 |
| 补充国密 | 类型 | 核心作用 | 考试定位 |
|---|---|---|---|
| SM9 | 标识密码算法IBE | 无需数字证书,用手机号/邮箱当公钥做加密签名 | 了解即可,极少考 |
- SM4 对称:大批量数据加解密,对标AES;
- SM3 哈希:256位摘要,防篡改、对标SHA256;
- SM2 非对称ECC:签名+密钥协商,对标RSA,密钥更短安全性更高。
信创、政务、等保合规系统:传输用SM4、完整性用SM3、身份签名用SM2整套国密闭环。
四、安全管理与审计
1. 安全策略与风险评估
- 策略:分级保护、最小权限、应急响应。
- 风险评估:资产识别→威胁/脆弱性分析→风险计算→处置(规避/转移/缓解/接受)。
2. 安全审计
- 日志类型:登录、操作、权限变更、系统异常。
- 要求:不可篡改、可追溯、定期审计。
3. 应急响应与灾难恢复
- 流程:检测→遏制→根除→恢复→复盘。
- 灾难恢复:冷备(离线)、温备(在线备用)、热备(实时同步)。
五、新兴安全(论文热点)
- 零信任:永不信任、始终验证;身份为核心、微隔离、持续授权。
- 云安全:IaaS/PaaS/SaaS责任划分;云防火墙、CASB、云加密。
- 物联网安全:设备认证、轻量加密、固件安全、边缘防护。
- 数据安全法/个人信息保护法:数据分类分级、个人信息保护、跨境传输合规。
六、高频考点速记
- CIA三要素:机密、完整、可用(必考)。
- 加密算法:对称(AES/3DES)、非对称(RSA/ECC)、哈希(SHA-256)。
- 访问控制:DAC/MAC/RBAC核心区别。
- PKI核心:CA签发、X.509、CRL/OCSP。
- 安全等级:5级,主审标结访。
- 纵深防御:五层模型(物理→网络→主机→应用→数据)。
七、论文写作方向
- 信息安全体系设计(分层防护+零信任)。
- 数据安全治理(加密、脱敏、备份、合规)。
- 身份认证与访问控制(MFA+RBAC+PKI)。
- 云/物联网安全架构设计。
编程学习
技术分享
实战经验