当前位置: 首页 > news >正文

信息安全章节核心知识梳理

软考系统分析师|信息安全章节核心知识梳理

(适配第三版教材,覆盖选择、案例、论文高频考点)


一、信息安全基础(必考)

1. 核心属性(CIA+2)

  • 机密性:信息不被未授权访问/泄露(加密、访问控制)。
  • 完整性:数据未被篡改/伪造(哈希、数字签名)。
  • 可用性:系统/数据可正常访问(容错、抗DDoS)。
  • 可控性:对信息传播/使用可监控管理。
  • 不可否认性:行为不可抵赖(签名、审计日志)。

2. 安全威胁分类

  • 网络攻击:DoS/DDoS、SQL注入、XSS、CSRF、中间人、端口扫描。
  • 数据威胁:泄露、篡改、丢失、越权访问。
  • 恶意代码:病毒、木马、勒索软件、蠕虫。
  • 内部威胁:权限滥用、操作失误、数据窃取。

3. 安全保护等级(5级,必背)

  1. 用户自主保护级(自主访问控制)。
  2. 系统审计保护级(+审计跟踪)。
  3. 安全标记保护级(+强制访问控制、安全标记)。
  4. 结构化保护级(+形式化模型、隐蔽通道控制)。
  5. 访问验证保护级(+访问监控器、抗篡改)。

口诀:主审标结访(自主→审计→标记→结构→验证)。


二、安全体系结构(分层防护)

1. 五层防护模型(纵深防御核心)

  • 物理层:机房、门禁、电磁屏蔽、环境监控。
  • 网络层:防火墙、IDS/IPS、VPN、网络分段。
  • 主机层:系统加固、补丁、EDR、最小权限。
  • 应用层:WAF、代码审计、API安全、会话管理。
  • 数据层:加密、脱敏、备份恢复、防泄露。

2. 安全设计原则(论文直接用)

  • 最小权限:仅分配必需权限。
  • 纵深防御:多层互补,无单点依赖。
  • 默认拒绝:未授权默认禁止访问。
  • 安全可控可审计:全链路日志追溯。
  • 分权制衡、职责分离:关键岗位分离。

三、核心安全技术(高频考点)

1. 加密技术(对称/非对称/哈希)

(1)对称加密(单密钥,快)
  • 算法:DES(56位)、3DES、AES(128/256位,主流)、IDEA
  • 特点:密钥共享、效率高、适合大数据。
(2)非对称加密(公钥/私钥,慢)
  • 算法:RSA(主流)、ECC(椭圆曲线,轻量)
  • 用途:密钥交换、数字签名、加密小数据。
(3)哈希(摘要,不可逆)
  • 算法:MD5(128位,不安全)、SHA-1(160位)、SHA-256/SHA-512(安全)
  • 用途:完整性校验、数字签名摘要。
(4)数字信封(混合加密)
  • 流程:明文→对称加密(快)→对称密钥→非对称加密(安全)→合并传输。

2. 身份认证与访问控制

(1)认证三因子
  • 知识:密码、PIN。
  • 持有:USB Key、手机令牌、智能卡。
  • 生物:指纹、虹膜、人脸。
  • MFA多因素认证:组合两种以上(如密码+短信)。
(2)访问控制模型
  • DAC自主访问控制:资源所有者授权(Linux权限)。
  • MAC强制访问控制:系统按安全级别强制(军事/政府)。
  • RBAC基于角色:按岗位分配权限(企业主流)。
  • ABAC基于属性:用户/资源/环境属性匹配(灵活)。
(3)PKI/CA体系(必考)
  • CA:证书签发/管理中心。
  • RA:身份审核注册机构。
  • X.509证书:含公钥、有效期、签名。
  • CRL/OCSP:证书吊销/状态查询。
  • Kerberos:KDC分发票据,支持SSO,依赖时间戳防重放。

3. 网络安全设备

  • 防火墙:访问控制、隔离内外网(包过滤/状态检测/应用层)。
  • IDS入侵检测:被动告警,不阻断。
  • IPS入侵防御:主动阻断攻击。
  • WAF:防护Web攻击(SQL/XSS)。
  • VPN:IPsec(网络层)、SSL(应用层)加密传输。

4. 数据安全

  • 数据加密:传输(SSL/TLS)、存储(AES)。
  • 数据脱敏:敏感数据替换/掩码(手机号138****1234)。
  • 备份恢复:全量/增量/差异备份;RTO(恢复时间)、RPO(数据丢失量)。
  • 防泄露DLP:监控/阻断敏感数据外发。

国密SM2/SM3/SM4核心算法 表格梳理

算法算法类型对应国际对标核心用途关键特性应用场景
SM2非对称加密(椭圆曲线ECC)RSA、ECC数字签名、密钥协商、非对称加密国产椭圆曲线,安全强度高、密钥短、运算快;支持签名/加密/密钥交换三合一身份认证、电子证照、证书体系、接口签名、PKI国密改造
SM3哈希摘要算法MD5、SHA-1/SHA256消息完整性校验、数字签名摘要、密码哈希输出256位哈希值;不可逆、抗碰撞;替代不安全MD5/SHA1文件校验、口令存储、签名摘要、数据防篡改、区块链哈希
SM4对称分组加密算法AES、DES、3DES数据加解密、传输/存储加密分组128bit、密钥128bit;加解密算法结构一致,效率高、适合大批量数据文件加密、数据库存储加密、VPN、接口传输加密、磁盘加密
补充国密类型核心作用考试定位
SM9标识密码算法IBE无需数字证书,用手机号/邮箱当公钥做加密签名了解即可,极少考
  1. SM4 对称:大批量数据加解密,对标AES;
  2. SM3 哈希:256位摘要,防篡改、对标SHA256;
  3. SM2 非对称ECC:签名+密钥协商,对标RSA,密钥更短安全性更高。

信创、政务、等保合规系统:传输用SM4、完整性用SM3、身份签名用SM2整套国密闭环。

四、安全管理与审计

1. 安全策略与风险评估

  • 策略:分级保护、最小权限、应急响应。
  • 风险评估:资产识别→威胁/脆弱性分析→风险计算→处置(规避/转移/缓解/接受)。

2. 安全审计

  • 日志类型:登录、操作、权限变更、系统异常。
  • 要求:不可篡改、可追溯、定期审计。

3. 应急响应与灾难恢复

  • 流程:检测→遏制→根除→恢复→复盘。
  • 灾难恢复:冷备(离线)、温备(在线备用)、热备(实时同步)。

五、新兴安全(论文热点)

  • 零信任:永不信任、始终验证;身份为核心、微隔离、持续授权。
  • 云安全:IaaS/PaaS/SaaS责任划分;云防火墙、CASB、云加密。
  • 物联网安全:设备认证、轻量加密、固件安全、边缘防护。
  • 数据安全法/个人信息保护法:数据分类分级、个人信息保护、跨境传输合规。

六、高频考点速记

  1. CIA三要素:机密、完整、可用(必考)。
  2. 加密算法:对称(AES/3DES)、非对称(RSA/ECC)、哈希(SHA-256)。
  3. 访问控制:DAC/MAC/RBAC核心区别。
  4. PKI核心:CA签发、X.509、CRL/OCSP。
  5. 安全等级:5级,主审标结访。
  6. 纵深防御:五层模型(物理→网络→主机→应用→数据)。

七、论文写作方向

  • 信息安全体系设计(分层防护+零信任)。
  • 数据安全治理(加密、脱敏、备份、合规)。
  • 身份认证与访问控制(MFA+RBAC+PKI)。
  • 云/物联网安全架构设计。
http://www.jsqmd.com/news/1135434/

相关文章:

  • MCP基础版本
  • 基于Metasploit的内网渗透实战:从外网突破到域控攻陷
  • Claude 聊天记录导出|AI 导出鸭高效实现各类格式转换
  • 第一篇:Java 语言核心特性与运行机制
  • iCloud Photos Downloader:终极免费命令行工具,完整备份苹果照片库
  • 终极指南:如何用PKHeX自动合法性插件快速管理宝可梦数据
  • ASM330LHH与STM32F303VE的6DoF运动跟踪系统设计
  • 超自动化运维如何优化IT成本结构?
  • 01 模型剪枝是什么?为什么深度模型需要剪枝?
  • MC6470与PIC18LF4682在工业自动化中的高精度控制方案
  • Google Sheets API接入指南:服务账号认证与自动化实战
  • 好用还专业!2026年必备AI论文工具榜单,AI工具一键写高质论文
  • LeetCode //C - 1137. N-th Tribonacci Number
  • ClickHouse 填平 Elasticsearch 护城河?日志分析新选择!
  • YOLOv8热成像人员识别检测系统(项目源码+YOLO数据集+模型权重+UI界面+python+深度学习+环境配置)
  • 《超简单:用 Python 让 Excel 飞起来》读书笔记:第7章 案例04 举一反三 添加图例
  • Kimi LeetCode 3495. 使数组元素都变为零的最少操作次数 Java实现
  • WebSocket 安全实战(二):多层防御穿透攻击模型与长连接底层架构缺陷深度解析
  • KingbaseES读写分离高可用集群扩容、备库重建与故障切换实战
  • STM32L081CB与Si4731收音机模块开发指南
  • ClaudeCode五分钟安装教程!有手就能用上顶级AI编程助手
  • Gazebo仿真PX4+3D激光雷达的搭建
  • 分布式记忆协调_agent-memory-coordinator
  • AI中的表格怎么导出——“AI导出鸭”,深度测评来了!
  • 低成本快速搭建一个博客网站(分享记录)
  • 【单智能体】人寿保险保障顾问案例讲解(附完整源码)
  • YOLOv8可回收塑料识别分类检测系统(项目源码+YOLO数据集+模型权重+UI界面+python+深度学习+环境配置)
  • 如何在Windows上优雅处理iPhone拍摄的HEIF照片?HEIF Utility一站式解决方案
  • AI 很强,但为什么还会“忘”?看懂上下文,你就知道怎么和它合作
  • de风——【从零开始学习Linux】(三):全面总结瞧一瞧,权限管理没烦恼