信息安全工程师-核心考点梳理:第 1 章 网络信息安全概述
一、引言
(一)章节定位
《网络信息安全概述》是软考信息安全工程师知识体系的总纲性章节,对应考试大纲中 “信息安全基础知识” 模块的核心要求,占历年选择题分值约 5-8 分,是案例分析题中安全架构设计、管理流程类题目的理论基础。
(二)发展脉络
网络信息安全概念经历了三次演进:1970-1990 年为通信安全阶段,核心目标是保障数据传输的保密性;1990-2010 年为信息系统安全阶段,聚焦计算机系统与网络的防护;2010 年至今为网络空间安全阶段,形成涵盖技术、管理、法律、治理的 “大安全” 体系,与当前 “第五疆域” 的战略定位完全契合。
(三)内容框架
本章内容可划分为基础概念、技术体系、管理框架、合规体系四大模块,核心逻辑为 “是什么 - 做什么 - 怎么管 - 合规要求”,是后续密码学、访问控制、网络防护等章节的顶层指引。
二、核心概念与安全属性
(一)安全定义
- 狭义安全:指网络信息系统的运行安全和数据安全,核心是保障信息资产的基础安全属性,是技术层面的核心防护目标。
- 广义安全:是涵盖国家安全、社会公共安全、个人权益保护的综合体系,符合《网络安全法》中 “维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益” 的立法目标。
(二)核心安全属性(CIA 三元组,高频考点)
- 机密性(Confidentiality):指确保信息不被未授权的用户、实体或过程访问,防范窃听、嗅探、越权访问等攻击。核心实现技术包括对称加密(AES、SM4)、非对称加密(RSA、SM2)、访问控制列表(ACL)等。典型案例:金融机构对客户交易数据采用 SM4 加密存储,防止数据库泄露导致的信息窃取。
- 完整性(Integrity):指确保信息在传输、存储过程中不被未授权篡改,或篡改后可被快速识别。核心实现技术包括哈希算法(SHA-256、SM3)、数字签名、消息认证码(MAC)等。典型案例:电子合同平台采用 SM2 数字签名技术,确保合同内容不可篡改,具备法律效力。
- 可用性(Availability):指确保授权用户可正常、持续访问系统和数据,防范拒绝服务(DoS)、分布式拒绝服务(DDoS)等攻击。核心实现技术包括冗余架构、负载均衡、流量清洗、灾备建设等。典型案例:电商平台在大促期间部署 DDoS 流量清洗系统,峰值清洗能力达 1Tbps,保障用户正常访问。
(三)扩展安全属性
除 CIA 三元组外,还需掌握抗抵赖性(依赖数字签名实现,防止交易双方事后否认操作)、可控性(对信息传播、系统访问具备管控能力)、真实性(确保实体身份、数据来源可验证)、隐私性(个人信息符合最小必要、授权使用要求)等 6 类扩展属性,应对选择题中的概念辨析题。CIA 三元组核心属性及对应攻击、防护技术示意图
三、安全目标、功能与技术需求
(一)安全目标
- 宏观目标:维护国家网络空间主权,防范网络战、APT 攻击等国家级威胁,保障关键信息基础设施安全运行,符合国家安全战略要求。
- 微观目标:保障企业及机构的信息系统稳定运行,保护数据资产安全,确保业务连续性,符合行业监管及企业运营要求。
(二)四大核心安全功能
信息安全体系需形成 “防御 - 监测 - 应急 - 恢复” 的闭环能力:
- 防御:部署防火墙、访问控制、加密等防护措施,阻挡已知攻击;
- 监测:部署入侵检测系统(IDS)、安全信息与事件管理(SIEM)系统,及时发现异常行为;
- 应急:制定应急预案,定期开展应急演练,在攻击发生时快速处置;
- 恢复:通过备份、灾备等措施,在攻击结束后快速恢复业务,减少损失。
(三)九大技术需求(技术体系框架)
- 物理安全:保障机房环境、网络设备、存储介质的物理安全,包括门禁、消防、防雷、介质销毁等措施,对应等级保护 2.0 中 “物理和环境安全” 要求;
- 认证与访问控制:通过口令、数字证书、生物特征等技术实现身份认证,基于 RBAC、ABAC 等模型实现权限管控,确保 “合法用户访问合法资源”;
- 保密技术:通过加密、数据脱敏、DLP(数据泄露防护)等技术,防止敏感信息泄露;
- 内容安全:通过文本识别、图像识别等技术,防范不良信息传播,符合内容监管要求;
- 漏洞扫描:主动识别系统、应用中的安全漏洞,及时修复,降低攻击面;
- 恶意代码防护:部署杀毒软件、EDR(终端检测与响应)系统,防范病毒、木马、勒索软件等攻击;
- 安全监测预警:通过威胁情报、异常行为分析,实现攻击的事前预警;
- 应急响应:建立事件分级处置流程,实现攻击发生时的快速阻断、溯源;
- 取证与追责:通过日志留存、区块链存证等技术,为事件追溯、法律追责提供证据支撑
安全闭环功能与技术需求对应关系表
四、安全管理框架与流程
(一)管理核心要素
安全管理的核心逻辑是围绕管理对象(硬件、软件、数据、人员、流程),识别面临的威胁(外部攻击、内部违规、自然灾害等),分析自身脆弱性(技术漏洞、管理短板等),评估风险等级,采取对应管控措施,实现风险的可控。
(二)核心管理方法论
- 风险管理:风险处置手段包括风险避免(停止高风险业务)、风险转移(购买安全保险、外包安全服务)、风险降低(部署防护措施)、风险接受(针对低风险可接受残余风险)四类,是安全决策的核心依据;
- 等级保护:我国网络安全的基本制度,按照系统重要性分为五个保护等级,实施分级防护;
- 纵深防御:在物理、网络、主机、应用、数据等多个层面部署防护措施,避免单点失效导致的安全风险;
- PDCA 循环:即计划(Plan)- 执行(Do)- 检查(Check)- 处理(Act)的持续改进模型,实现安全管理体系的迭代优化,符合 ISO/IEC 27001 信息安全管理体系的核心要求。
(三)八大标准管理流程
安全管理的标准化工作流为:1)确定保护对象;2)评估资产价值;3)识别面临的威胁;4)识别系统脆弱性;5)评估风险等级;6)制定安全防护措施;7)实施安全建设;8)持续运行维护。该流程是案例分析题中安全管理方案设计的核心框架。
安全管理 PDCA 循环与八大流程关系图
五、法规与合规支撑体系
(一)核心法律体系
- 《网络安全法》(2017 年实施):我国网络安全领域的基础性法律,明确网络运营者的安全保护义务,核心考点包括 “日志留存不少于 6 个月”“关键信息基础设施运营者境内数据存储要求”“等级保护制度法定化” 等;
- 《数据安全法》(2021 年实施):规范数据处理活动,将数据分为核心数据、重要数据、一般数据三级,实施分级分类保护;
- 《个人信息保护法》(2021 年实施):明确个人信息处理的 “合法、正当、必要、诚信” 原则,规定个人信息跨境、敏感个人信息处理的特殊要求;
- 《密码法》(2020 年实施):将密码分为核心密码、普通密码、商用密码三类,明确关键信息基础设施必须使用商用密码进行保护,定期开展商用密码应用安全性评估。
(二)等级保护 2.0 制度(高频考点)
等级保护 2.0 的核心工作流程为五步:1)定级:根据系统重要性、受破坏后的影响程度确定保护等级;2)备案:第二级及以上系统到公安机关备案;3)建设整改:按照对应等级的基本要求开展安全建设;4)等级测评:每年或每两年委托测评机构开展等级测评;5)监督检查:公安机关对运营者开展定期监督检查。
(三)核心支撑机构
- CCRC(中国网络安全审查技术与认证中心):负责网络安全产品认证、服务资质认证、信息安全人员认证等工作;
- CNCERT/CC(国家计算机网络应急技术处理协调中心):国家级网络安全应急响应机构,负责全国网络安全事件的监测预警、应急处置、协调联动等工作。
我国网络安全法规体系与核心机构架构图
六、前沿发展与考试趋势
(一)行业发展趋势
- 防护对象扩展:从传统的信息系统扩展到物联网、工业控制系统、车联网、人工智能系统等新型领域,防护边界持续扩大;
- 防护理念升级:从传统的 “基于边界的防护” 向 “零信任” 架构演进,从 “事后补救” 向 “主动防御、内生安全” 转变;
- 治理模式完善:形成法律、管理、技术、教育四位一体的综合治理体系,安全人才培养、安全意识普及成为重要工作内容。
(二)考试命题趋势
本章考点近年来的命题方向为:1)概念辨析题占比下降,场景应用题占比提升,如给出具体攻击场景,判断破坏了哪类安全属性;2)结合等级保护、数据安全等最新监管要求出题,如考察《网络安全法》中日志留存的具体要求;3)与后续章节知识点融合,如将 CIA 属性与密码学技术、访问控制技术结合考察。
网络信息安全技术演进路线图
七、总结与备考建议
(一)核心知识点提炼
本章核心考点包括:CIA 三元组的定义、对应攻击与防护技术;四大安全功能与九大技术需求;风险管理的四类处置手段、PDCA 循环的内涵;四部核心法律的核心要点;等级保护 2.0 的五步工作流程。
(二)考试重点提示
高频考点为:CIA 三元组的概念辨析;等级保护 2.0 的工作流程;《网络安全法》中日志留存、数据存储等具体要求;安全管理流程的步骤。易错点为:混淆不同安全属性的对应防护技术,记错等级保护的流程顺序,混淆不同法律的适用范围。
(三)学习与备考建议
- 理解记忆核心概念:不要死记硬背定义,结合具体攻击场景理解安全属性,如 DDoS 攻击破坏可用性、数据篡改破坏完整性、数据泄露破坏机密性;
- 梳理知识框架:按照 “概念 - 属性 - 目标 - 功能 - 技术 - 管理 - 法规” 的逻辑梳理知识树,明确各知识点的关联关系;
- 重点标记高频考点:对等级保护流程、安全管理要素、核心法律要点等内容单独整理,定期回顾