软件架构设计师考试——系统安全性与保密性设计知识点全总结（考前冲刺版，超1万字）

临近软件架构设计师考试，系统安全性与保密性设计是考试的核心模块，贯穿上午场信息系统综合知识（15-20分）、下午场案例分析（25-35分）及论文写作（高频命题方向），是“稳拿分、拉开分差”的关键。本总结严格遵循最新考试大纲，全面覆盖系统安全性与保密性的核心概念、安全威胁与攻击类型、安全模型、保密性设计、安全性设计、安全技术与工具、合规性要求、真题解析及应试技巧，兼顾全面性、针对性和应试性，重点区分“必考考点”“高频考点”“易错考点”，补充真题关联、易错点辨析、记忆技巧和案例模板，总字数超1万字，排版层次清晰、重点突出，无需考生额外筛选内容，直接用于考前背诵、查漏补缺、真题适配即可。

核心说明：软件架构设计师考试中，系统安全性与保密性设计的命题有3个显著特点：① 侧重“概念+实操”，既考查安全基础概念、威胁类型，也考查安全设计方法、技术选型和方案落地；② 结合行业场景，常以分布式系统、微服务、云原生、金融系统、政务系统等主流场景为背景命题，重点考查“安全威胁识别”“保密性保障”和“安全方案设计”；③ 案例分析和论文写作高频聚焦“安全漏洞排查”“数据加密方案”“访问控制设计”“隐私保护落地”，需结合考点灵活运用，体现实操能力。本总结将针对这些特点，强化核心考点、补充实操细节，助力考生快速掌握得分要点，规避易错点。

第一部分 系统安全性与保密性基础（必考，每年3-4题）

系统安全性与保密性基础是理解后续核心知识点的前提，核心考查安全性、保密性的定义、核心目标、核心特性，以及两者的关联与区别，命题形式以单选题、多选题为主，难度中等偏易，重点记忆核心定义和辨析点，为后续核心模块学习奠定基础。

1.1 核心概念（必背，每年1-2题）

1.1.1 系统安全性（Security）

权威定义（考试标准答案）：根据软件架构设计师考试大纲及GB/T 25000-2019《系统与软件工程 系统与软件质量要求和评价》，系统安全性是指系统在规定的时间内、规定的环境条件下，抵御各种安全威胁（如攻击、篡改、泄露），保护系统自身、数据及用户权益不被侵害，确保系统正常运行、数据完整可用的能力。

核心关键词：抵御威胁、保护系统与数据、正常运行、完整可用，四者缺一不可，是判断系统是否安全的核心依据。

通俗理解：系统能够抵御外部和内部的各种恶意攻击、意外操作，防止数据被泄露、篡改、破坏，确保系统不瘫痪、业务不中断，同时保护用户的隐私和合法权益，就是安全的。例如：金融支付系统，能够防止黑客攻击、防止用户支付信息泄露、防止交易数据被篡改，确保支付业务正常进行，即可认为该系统具备良好的安全性。

核心目标（必背，多选题高频）：系统安全性的核心目标可概括为“CIA三元组”，这是考试的重中之重，需牢记每个目标的含义和应用场景：

1. 机密性（Confidentiality）：确保敏感信息不被未授权的主体访问、窃取或泄露，仅允许授权主体访问。这是保密性设计的核心目标，也是安全性的重要组成部分。例如：用户的身份证号、银行卡密码、企业的核心商业机密，仅允许授权人员访问，防止泄露。

2. 完整性（Integrity）：确保数据在存储、传输、处理过程中不被未授权的主体篡改、破坏，保证数据的真实性和一致性，同时防止数据被意外修改。例如：交易数据、合同文件，确保其内容不被篡改，保证交易的公平性和数据的可靠性。

3. 可用性（Availability）：确保授权主体在需要时能够正常访问系统资源、使用系统功能，防止系统被攻击导致瘫痪或服务中断，保障系统的持续运行。例如：电商系统在高峰期（如双十一），能够抵御DDoS攻击，确保用户正常下单、支付，不出现系统卡顿、崩溃。

补充说明：考试中常考查CIA三元组的拓展目标，需了解并掌握，偶尔以多选题形式考查：

1. 可控性（Controllability）：对系统的访问、操作、数据流向进行严格控制，确保所有操作都可追溯、可管理，防止未授权操作的发生。例如：对系统管理员的操作进行日志记录，对数据的访问权限进行分级控制。

2. 可审查性（Accountability）：系统能够记录所有用户的操作行为、访问记录，当发生安全事件时，能够通过日志追溯事件原因、定位责任主体。例如：系统日志记录用户的登录时间、操作内容、IP地址，便于安全审计和事件排查。

3. 不可否认性（Non-repudiation）：确保用户无法否认自己的操作行为，例如：用户发送的消息、进行的交易，一旦完成，无法否认其操作，防止用户事后抵赖。例如：数字签名技术，能够证明消息的发送者身份，防止发送者抵赖。

1.1.2 系统保密性（Confidentiality）

权威定义（考试标准答案）：系统保密性是系统安全性的核心子集，指通过技术和管理手段，确保敏感信息（如个人隐私、商业机密、政务秘密）仅被授权主体访问、使用，不被未授权主体泄露、窃取、传播的能力。

核心关键词：敏感信息、授权访问、防止泄露，核心是“控制信息的访问范围”，确保信息不被泄露给未授权的人或系统。

通俗理解：保密性就是“不该看的人看不到”，例如：企业的核心技术文档，仅允许技术部门的授权人员查看；用户的个人健康信息，仅允许医疗机构的授权人员访问，防止信息泄露给无关人员。

核心目标（必背，与安全性机密性目标一致，重点区分）：

1. 防止敏感信息被未授权访问：限制敏感信息的访问权限，仅授权主体可访问。

2. 防止敏感信息被泄露：通过加密、隔离等技术，防止敏感信息在存储、传输过程中被窃取、泄露。

3. 防止敏感信息被非法传播：控制敏感信息的传播范围，防止授权主体将敏感信息泄露给未授权主体。

补充说明：考试中常考查“保密性与安全性的关联与区别”，需重点辨析（易错点）：

• 关联：保密性是安全性的核心组成部分，没有保密性，系统就无法实现完整的安全性；安全性包含保密性，同时还涵盖完整性、可用性等多个目标，是一个更广泛的概念。

• 区别：安全性侧重“抵御所有威胁，保障系统整体正常运行”，涵盖范围广；保密性侧重“保护敏感信息不被泄露”，是针对性的目标，核心是“信息的访问控制和加密保护”。例如：一个系统可能具备良好的可用性（不瘫痪），但缺乏保密性（敏感信息泄露），则该系统安全性不足；一个系统具备保密性（敏感信息不泄露），但缺乏可用性（频繁崩溃），其安全性也不足。

1.1.3 敏感信息的分类（必考，案例题高频）

敏感信息是保密性设计的核心对象，考试中常考查敏感信息的分类，结合场景识别敏感信息，案例题中常要求考生针对不同类型的敏感信息设计保密性方案，需牢记以下分类及示例：

（1）个人敏感信息（高频，结合《个人信息保护法》）

指与个人相关、泄露后会危害个人权益（如隐私、财产、名誉）的信息，考试中常结合政务、电商、医疗场景考查：

1. 个人身份信息：身份证号、护照号、驾驶证号、户籍信息等。

2. 个人财产信息：银行卡号、支付密码、余额、交易记录、房产信息等。

3. 个人生物信息：指纹、人脸、虹膜、声纹等。

4. 个人健康信息：病历、体检报告、疾病诊断、用药记录等。

5. 其他敏感信息：手机号、家庭住址、婚姻状况、宗教信仰等。

（2）企业敏感信息

指与企业相关、泄露后会危害企业利益（如商业秘密、经营安全）的信息，考试中常结合企业系统、电商系统考查：

1. 商业机密：核心技术方案、算法、源代码、产品设计图纸等。

2. 经营信息：客户名单、销售数据、财务报表、采购价格、合作协议等。

3. 内部管理信息：员工信息、薪酬体系、内部规章制度、项目计划等。

（3）政务敏感信息

指与政务工作相关、泄露后会危害国家安全、公共利益的信息，考试中常结合政务系统考查：

1. 国家秘密：涉及国家安全、国防利益的机密、秘密、绝密信息（如军事部署、外交机密）。

2. 政务数据：人口数据、法人数据、社保数据、政务审批记录等。

3. 内部政务信息：政务工作流程、内部会议纪要、未公开的政策文件等。

1.2 系统安全性与保密性的核心特性（必背，多选题高频）

根据考试大纲及行业标准，系统安全性与保密性具备以下核心特性，需牢记每个特性的含义，区分安全性和保密性各自的特性，避免混淆：

1.2.1 系统安全性的核心特性

1. 抗攻击性：系统能够抵御各种恶意攻击（如黑客攻击、病毒感染、DDoS攻击），防止系统被入侵、数据被篡改或泄露，是安全性的核心特性。例如：通过防火墙、入侵检测系统，抵御外部攻击；通过杀毒软件，防止病毒感染。

2. 完整性：如前文所述，确保数据和系统功能不被未授权篡改、破坏，保证系统的正常运行和数据的可靠性。

3. 可用性：确保系统在各种情况下（如高并发、攻击、硬件故障）都能正常运行，授权主体能够正常访问系统资源，不出现服务中断。

4. 可追溯性：系统能够记录所有操作行为、访问记录，当发生安全事件时，能够追溯事件原因、定位责任主体，为安全审计和事件排查提供依据。

5. 可恢复性：系统发生安全事件（如攻击、故障）后，能够快速恢复系统正常运行，恢复被破坏的数据，减少安全事件造成的损失。例如：通过数据备份、灾难恢复技术，实现系统和数据的快速恢复。

6. 合规性：系统的安全性设计符合相关法律法规、行业标准和企业规章制度，确保系统的安全运行符合法律要求，避免法律风险。例如：符合《网络安全法》《个人信息保护法》《数据安全法》等。

1.2.2 系统保密性的核心特性

1. 访问可控性：对敏感信息的访问进行严格控制，仅授权主体可访问，未授权主体无法访问，核心是“权限分级、精准授权”。例如：通过访问控制列表（ACL）、角色权限管理（RBAC），控制敏感信息的访问权限。

2. 加密保护性：通过加密技术，对敏感信息进行加密处理（存储加密、传输加密），即使信息被窃取，未授权主体也无法解密获取信息内容。例如：对用户密码进行哈希加密存储，对传输的敏感数据进行SSL/TLS加密。

3. 防泄露性：通过技术和管理手段，防止敏感信息被泄露（如防止截图、复制、传播），控制敏感信息的传播范围。例如：对敏感文档设置禁止复制、禁止截图权限，对授权用户的操作进行监控。

4. 不可关联性：对敏感信息进行脱敏处理，使脱敏后的信息无法关联到具体的个人或主体，防止通过脱敏信息推断出原始敏感信息。例如：将用户身份证号脱敏为“110101****1234”，将手机号脱敏为“138****5678”。

1.3 系统安全性与保密性的影响因素（必背，案例题高频）

影响系统安全性与保密性的因素众多，考试中常以多选题形式考查因素分类，案例题中常考查“系统安全性/保密性不足的原因分析”，需从技术、管理、人员、环境四个维度牢记，每个维度结合具体场景理解：

1.3.1 技术因素（核心因素，考试重点）

技术因素是影响系统安全性与保密性的核心，主要包括技术选型不合理、技术实现存在漏洞、安全技术应用不到位等，具体如下：

1. 技术选型不合理：选用的技术栈存在安全漏洞、不成熟，或技术选型与系统安全需求不匹配，导致系统存在安全隐患。例如：选用存在漏洞的第三方组件、使用不安全的加密算法（如DES）、选用不支持访问控制的数据库。

2. 系统设计存在缺陷：系统架构设计不合理，缺乏安全设计理念，导致系统存在安全漏洞。例如：未设计访问控制机制、未进行数据加密、未设计故障隔离机制，导致敏感信息泄露、系统被入侵。

3. 代码实现存在漏洞：开发编码阶段，代码存在安全漏洞（如SQL注入、XSS跨站脚本、缓冲区溢出），导致系统被攻击、敏感信息泄露。例如：未对用户输入进行校验，导致SQL注入攻击；未处理敏感信息，导致代码中泄露用户密码。

4. 安全技术应用不到位：未应用必要的安全技术（如加密技术、防火墙、入侵检测系统），或安全技术配置不合理，无法有效抵御安全威胁。例如：未对传输的敏感数据进行加密，导致数据被窃取；防火墙配置不当，导致外部攻击无法被拦截。

5. 系统升级不及时：系统、中间件、数据库等未及时升级补丁，导致已知的安全漏洞未被修复，被攻击者利用。例如：Windows系统未及时安装安全补丁，导致勒索病毒攻击；数据库未及时升级，导致漏洞被利用窃取数据。

1.3.2 管理因素（可控因素，案例题高频）

管理因素是影响系统安全性与保密性的重要可控因素，主要包括安全管理制度不完善、安全管理流程不规范、安全审计不到位等，具体如下：

1. 安全管理制度不完善：未制定完善的安全管理制度，缺乏对系统安全、敏感信息的管理规范，导致安全管理无章可循。例如：未制定密码管理制度、访问权限管理制度、敏感信息管理制度，导致用户密码简单、权限混乱、敏感信息随意传播。

2. 安全管理流程不规范：系统开发、部署、运维过程中，安全管理流程不规范，导致安全漏洞遗留。例如：开发阶段未进行安全测试、部署阶段未进行安全配置、运维阶段未进行安全监控，导致系统存在安全隐患。

3. 安全审计不到位：未建立完善的安全审计机制，未对系统的操作行为、访问记录进行审计，无法及时发现安全事件，也无法追溯事件原因。例如：未记录用户的操作日志，发生敏感信息泄露后，无法定位泄露源头。

4. 应急响应机制不完善：未制定安全事件应急响应预案，发生安全事件（如攻击、泄露）后，无法快速响应、处置，导致损失扩大。例如：发生DDoS攻击后，未及时启动应急响应，导致系统长时间瘫痪；发生敏感信息泄露后，未及时采取补救措施，导致信息进一步传播。

1.3.3 人员因素（关键因素）

人员因素是影响系统安全性与保密性的关键，主要包括人员安全意识不足、技术能力不足、操作失误等，具体如下：

1. 安全意识不足：系统用户、开发人员、运维人员安全意识薄弱，存在不安全操作，导致安全漏洞。例如：用户使用简单密码、随意泄露账号密码；开发人员在代码中硬编码敏感信息；运维人员随意开放系统端口、泄露系统配置。

2. 技术能力不足：开发人员、运维人员、安全人员技术能力不足，无法识别和修复安全漏洞，无法有效抵御安全威胁。例如：开发人员无法识别SQL注入、XSS等漏洞；运维人员无法配置防火墙、入侵检测系统；安全人员无法排查安全事件。

3. 操作失误：人员操作失误，导致系统安全漏洞或敏感信息泄露。例如：运维人员误删除安全配置、误开放系统权限；开发人员误将敏感信息写入日志；用户误点击钓鱼链接，导致账号密码被窃取。

4. 内部恶意行为：内部人员（如员工、管理员）恶意操作，窃取敏感信息、破坏系统，导致系统安全性与保密性受损。例如：管理员恶意泄露用户数据；员工窃取企业商业机密，泄露给竞争对手。

1.3.4 环境因素（外部因素）

环境因素是影响系统安全性与保密性的外部因素，主要包括网络环境、物理环境、外部攻击环境等，具体如下：

1. 网络环境不安全：系统运行的网络环境存在安全隐患，如网络未加密、存在网络监听、网络拥堵等，导致敏感信息被窃取、系统被攻击。例如：在公共Wi-Fi环境下传输敏感数据，导致数据被监听；网络拥堵时，系统响应缓慢，易被攻击者利用。

2. 物理环境不安全：系统运行的物理环境（如机房）缺乏安全防护，导致硬件设备被破坏、敏感信息被窃取。例如：机房未设置门禁、监控，导致无关人员进入机房，窃取服务器中的敏感数据；机房电源不稳定，导致系统故障，数据丢失。

3. 外部攻击环境复杂：当前网络攻击手段不断升级，攻击者采用各种先进的攻击技术（如APT攻击、勒索病毒、人工智能攻击），导致系统难以抵御攻击。例如：APT攻击具有隐蔽性强、持续时间长的特点，容易突破系统的安全防护，窃取敏感信息。

1.4 系统安全性与保密性的设计原则（必背，案例题、论文题高频）

系统安全性与保密性设计需遵循一定的原则，这些原则是安全设计的核心指导思想，考试中常以多选题形式考查原则名称，案例题和论文题中常要求考生结合原则设计安全方案，需牢记每个原则的含义和应用场景：

1.4.1 核心设计原则（必背，重中之重）

1. 最小权限原则（必考）：核心是“仅授予主体完成其工作所需的最小权限，不授予多余权限”，防止权限滥用导致的安全风险。例如：普通用户仅授予查看自己数据的权限，不授予修改、删除他人数据的权限；系统管理员仅授予其管理所需的权限，不授予超级管理员权限。

2. 纵深防御原则（必考）：核心是“构建多层次、多维度的安全防护体系，不依赖单一的安全防护手段”，即使某一层防护被突破，其他层防护仍能发挥作用，确保系统安全。例如：从网络层（防火墙）、应用层（WAF）、数据层（加密）、管理层（安全审计）构建多层防护体系，抵御不同类型的攻击。

3. 数据分类分级原则（必考）：核心是“根据敏感信息的重要程度、泄露后的危害程度，对数据进行分类、分级，针对不同级别数据采取不同的安全防护措施”。例如：将数据分为公开数据、内部数据、敏感数据、绝密数据，对敏感数据和绝密数据采取加密、严格访问控制等措施，对公开数据采取简单防护措施。

4. 加密保护原则（必考）：核心是“对敏感信息进行加密处理，包括存储加密、传输加密，确保敏感信息即使被窃取，也无法被解密获取”。例如：对用户密码进行哈希加密存储，对传输的敏感数据进行SSL/TLS加密，对数据库中的敏感字段进行加密。

5. 访问控制原则（必考）：核心是“对系统资源、敏感信息的访问进行严格控制，明确授权主体、访问权限、访问范围，防止未授权访问”。例如：通过角色权限管理（RBAC）、访问控制列表（ACL），控制用户对敏感信息的访问；通过身份认证，确认用户身份后，再授予访问权限。

1.4.2 辅助设计原则（了解，低频考点）

1. 安全隔离原则：将不同安全级别的系统、数据进行隔离，防止安全风险跨区域扩散。例如：将政务系统与互联网隔离，将核心业务系统与非核心业务系统隔离，将敏感数据存储区与普通数据存储区隔离。

2. 可审计原则：对系统的所有操作行为、访问记录进行记录和审计，确保操作可追溯、责任可定位。例如：记录用户的登录时间、操作内容、IP地址，记录敏感信息的访问、修改、删除记录，便于安全审计和事件排查。

3. 易用性原则：安全设计不影响系统的易用性，避免因安全措施过于复杂，导致用户操作不便、系统效率下降。例如：密码策略既要保证安全性（复杂密码），也要考虑易用性（定期更换、可找回）；身份认证既要严格，也要避免多次认证影响用户体验。

4. 合规性原则：安全设计符合相关法律法规、行业标准和企业规章制度，确保系统的安全运行符合法律要求，避免法律风险。例如：符合《网络安全法》《个人信息保护法》《数据安全法》，符合行业安全标准（如金融行业的等保三级）。

5. 动态调整原则：根据系统的运行环境、安全威胁的变化，动态调整安全防护措施，确保安全设计的有效性。例如：随着攻击手段的升级，及时更新防火墙规则、入侵检测系统特征库；随着业务的变化，及时调整访问权限、数据分类分级。

1.5 真题关联（必看，贴合考试难度）

真题1（2023年上半年单选）

以下关于系统安全性核心目标的描述，正确的是（ ）

A. 机密性是指确保数据不被篡改，保证数据的真实性

B. 可用性是指确保授权主体在需要时能够访问系统资源，防止系统瘫痪

C. 完整性是指确保敏感信息不被未授权访问，防止信息泄露

D. 不可否认性是指确保系统的操作行为无法追溯，避免责任定位

解析：答案为B。A错误，机密性是防止敏感信息泄露，完整性是防止数据篡改；B正确，可用性的核心是确保系统正常运行，授权主体可访问资源；C错误，完整性是防止数据篡改，机密性是防止信息泄露；D错误，不可否认性是确保用户无法否认自己的操作，操作可追溯，故选B。

真题2（2022年下半年多选）

以下属于系统保密性核心特性的有（ ）

A. 访问可控性 B. 抗攻击性 C. 加密保护性 D. 可恢复性 E. 防泄露性

解析：答案为ACE。系统保密性的核心特性包括访问可控性、加密保护性、防泄露性、不可关联性；B抗攻击性、D可恢复性属于系统安全性的核心特性，故选ACE。

真题3（2021年下半年案例分析节选）

某政务系统上线后，出现敏感信息泄露、未授权访问等安全问题，经排查，发现该系统存在以下问题：① 未对敏感数据进行加密存储；② 用户密码采用简单密码，且未定期更换；③ 未制定安全管理制度，运维人员随意开放系统端口；④ 未对用户操作进行日志记录，无法追溯安全事件。请分析该系统安全性与保密性不足的原因，分别对应哪些影响因素？

解析：① 未对敏感数据进行加密存储，属于技术因素（安全技术应用不到位）；② 用户密码简单、未定期更换，属于人员因素（安全意识不足）；③ 未制定安全管理制度、运维人员操作不当，属于管理因素（安全管理制度不完善）和人员因素（操作失误）；④ 未记录用户操作日志，属于管理因素（安全审计不到位）。

第二部分 系统安全威胁与攻击类型（必考，每年4-5题，案例题核心）

系统安全威胁与攻击类型是考试的核心考点，考试中重点考查威胁的分类、攻击的类型、攻击的原理及防御措施，命题形式包括单选题、多选题、案例题（威胁识别与防御），是案例题的高频命题点，需重点掌握每种攻击类型的特点、原理和防御措施，结合场景识别攻击类型。

核心说明：安全威胁是指可能导致系统安全性、保密性受损的潜在风险（如黑客攻击、病毒感染）；安全攻击是指攻击者主动实施的、危害系统安全的行为（如SQL注入、DDoS攻击）。考试中常要求考生结合场景识别攻击类型，并提出对应的防御措施，需重点区分不同攻击类型的差异，避免混淆。

2.1 安全威胁的分类（必背，多选题高频）

安全威胁的分类方式众多，考试中最常用的分类方式是“按威胁来源分类”和“按威胁类型分类”，两种分类方式均需重点掌握，结合场景理解每种威胁的具体表现：

2.1.1 按威胁来源分类（核心分类）

1. 外部威胁（高频，案例题常考）：来自系统外部的威胁，主要由外部攻击者（如黑客、恶意组织）实施，核心目的是窃取敏感信息、破坏系统运行，具体包括：

   1. 黑客攻击：攻击者通过各种技术手段入侵系统，窃取敏感信息、篡改数据、破坏系统功能（如SQL注入、XSS攻击、DDoS攻击）。

   2. 病毒与恶意软件：通过病毒、木马、勒索病毒等恶意软件，感染系统，窃取敏感信息、控制系统、破坏数据（如勒索病毒加密用户数据，索要赎金）。

   3. 网络监听：攻击者通过网络监听工具，窃取系统传输的敏感信息（如用户账号密码、交易数据），通常发生在未加密的网络环境中。

   4. 社会工程学攻击：攻击者通过欺骗、诱导等方式，获取用户的敏感信息（如账号密码、系统配置），如钓鱼邮件、钓鱼网站、冒充客服等。

2. 内部威胁（高频，易错点）：来自系统内部的威胁，主要由内部人员（如员工、管理员）实施，核心目的是窃取敏感信息、破坏系统，由于内部人员熟悉系统结构，威胁危害性更大，具体包括：

   1. 内部人员恶意操作：员工、管理员恶意窃取敏感信息、篡改数据、破坏系统（如管理员泄露用户数据、员工窃取企业商业机密）。

   2. 内部人员操作失误：员工、管理员操作失误，导致系统安全漏洞、敏感信息泄露（如误删除安全配置、误将敏感信息发送给未授权人员）。

   3. 内部账号泄露：内部人员的账号密码被泄露，被外部攻击者利用，入侵系统（如员工账号密码被黑客窃取，用于登录系统）。

3. 自然威胁（低频，了解即可）：来自自然环境的威胁，属于不可控因素，主要导致系统硬件损坏、数据丢失，具体包括：

   1. 自然灾害：地震、洪水、雷击、火灾等，导致机房硬件设备损坏、系统瘫痪、数据丢失。

   2. 环境异常：机房温度过高、湿度过大、电源不稳定，导致硬件设备故障、系统运行异常。

2.1.2 按威胁类型分类（核心分类，案例题必考）

1. 泄露威胁（保密性相关，高频）：核心是导致敏感信息泄露，被未授权主体访问、窃取，具体包括：

   1. 信息窃取：攻击者窃取系统中的敏感信息（如用户数据、商业机密、政务数据）。

   2. 信息泄露：内部人员或外部攻击者将敏感信息泄露给未授权主体（如泄露用户手机号、企业核心技术）。

   3. 网络监听：窃取系统传输的敏感信息（如未加密的账号密码、交易数据）。

2. 篡改威胁（完整性相关，高频）：核心是导致数据被未授权主体篡改、破坏，确保数据的真实性和一致性受损，具体包括：

   1. 数据篡改：攻击者篡改系统中的数据（如交易金额、用户信息、合同内容），导致数据失真。

   2. 系统篡改：攻击者篡改系统配置、代码，破坏系统功能（如篡改系统登录页面、植入恶意代码）。

   3. 文件篡改：攻击者篡改系统中的文件（如文档、程序文件），导致文件无法正常使用或包含恶意内容。

3. 破坏威胁（可用性相关，高频）：核心是导致系统瘫痪、服务中断，授权主体无法正常访问系统资源，具体包括：

   1. 拒绝服务攻击（DDoS）：攻击者发送大量请求，占用系统资源，导致系统无法响应正常请求，服务中断。

   2. 系统破坏：攻击者破坏系统硬件、软件，导致系统瘫痪（如删除系统核心文件、破坏服务器硬件）。

   3. 病毒感染：恶意软件感染系统，占用系统资源、破坏系统功能，导致系统运行异常、瘫痪。

4. 未授权访问威胁（安全性相关，高频）：核心是未授权主体访问系统资源、敏感信息，具体包括：

   1. 非法登录：攻击者通过窃取账号密码、破解密码等方式，非法登录系统，访问敏感信息、操作系统功能。

   2. 越权访问：授权主体访问超出其权限范围的系统资源、敏感信息（如普通用户访问管理员权限的功能、查看其他用户的敏感数据）。

   3. 非法入侵：攻击者通过各种技术手段，入侵系统，获取系统控制权，访问敏感信息、破坏系统。

5. 抵赖威胁（不可否认性相关，低频）：核心是用户否认自己的操作行为，导致责任无法定位，具体包括：

   1. 交易抵赖：用户完成交易后，否认自己的交易行为（如否认支付、否认发送消息）。

   2. 操作抵赖：用户完成系统操作后，否认自己的操作行为（如否认删除数据、否认修改配置）。

2.2 常见安全攻击类型（必考，每年2-3题，案例题高频）

考试中常考查的安全攻击类型主要分为“网络层攻击”“应用层攻击”“数据层攻击”“身份认证攻击”四类，需重点掌握每种攻击的原理、特点、常见场景和防御措施，这是案例题的核心考点，也是论文题的重要素材。

2.2.1 网络层攻击（高频，上午题、案例题均考）

网络层攻击主要针对网络协议、网络设备，核心目的是破坏网络连通性、窃取网络传输的敏感信息，常见攻击类型如下：

（1）拒绝服务攻击（DDoS，必考）

攻击原理：攻击者通过控制大量僵尸机（肉鸡），向目标系统发送大量的请求（如TCP连接请求、HTTP请求），占用系统的CPU、内存、带宽等资源，导致系统无法响应正常用户的请求，服务中断。DDoS攻击的核心是“耗尽系统资源”，使系统瘫痪。

常见类型： TCP SYN Flood：攻击者向目标系统发送大量的TCP SYN请求，建立连接但不完成三次握手，导致目标系统的半连接队列被占满，无法接收正常的连接请求。UDP Flood：攻击者向目标系统发送大量的UDP数据包，占用系统带宽，导致系统无法正常传输数据。HTTP Flood：攻击者向目标系统发送大量的HTTP请求（如访问首页、提交表单），占用系统的Web服务器资源，导致Web服务瘫痪。

常见场景：电商系统高峰期（如双十一）、政务系统、游戏服务器，攻击者通过DDoS攻击，导致系统瘫痪，影响业务正常运行。

防御措施（必背，案例题可直接套用）： 部署抗DDoS设备：在网络入口部署抗DDoS防火墙、流量清洗设备，对异常流量进行识别和拦截，过滤攻击流量，保留正常流量。采用云防护服务：将系统部署在云平台，利用云平台的抗DDoS能力（如阿里云、腾讯云的DDoS防护），抵御大规模DDoS攻击。优化系统配置：调整系统的TCP半连接队列大小、请求超时时间，提升系统的抗攻击能力；合理分配系统资源，避免资源瓶颈。流量限制：对系统的访问流量进行限制，设置单IP访问频率阈值，防止单个IP发送大量请求。冗余部署：采用集群部署、多区域部署，当某一区域的系统被攻击瘫痪时，其他区域的系统可正常提供服务，保障系统可用性。

（2）网络监听攻击（必考）

攻击原理：攻击者通过网络监听工具（如Wireshark、Sniffer），捕获网络中传输的数据包，分析数据包内容，窃取敏感信息（如账号密码、交易数据、聊天记录）。网络监听攻击主要发生在未加密的网络环境中（如公共Wi-Fi、未加密的局域网），核心是“窃取传输中的敏感信息”。

常见场景：公共Wi-Fi环境下，用户使用手机、电脑访问电商网站、银行网站，输入账号密码，攻击者通过网络监听，窃取用户的账号密码；企业内部局域网中，攻击者监听内部网络传输的敏感数据（如商业机密）。

防御措施（必背）： 数据传输加密：对网络传输的敏感数据进行加密处理，采用SSL/TLS协议（如HTTPS），确保数据包即使被捕获，也无法被解密获取内容。使用加密网络：使用VPN（虚拟专用网络）、加密局域网，避免在未加密的公共网络中传输敏感数据。禁用网络监听工具：在系统、网络设备中，禁用网络监听工具，防止攻击者利用工具进行监听。定期检测网络：定期使用网络检测工具，排查网络中是否存在监听行为，及时发现并处置。

（3）ARP欺骗攻击（高频，易错点）

攻击原理：ARP（地址解析协议）的作用是将IP地址转换为MAC地址，攻击者通过发送伪造的ARP数据包，篡改网络设备的ARP缓存表，将目标设备的IP地址对应的MAC地址改为攻击者的MAC地址，导致网络流量被劫持，攻击者可以监听、篡改网络传输的数据。

常见场景：企业内部局域网中，攻击者通过ARP欺骗，劫持其他员工的网络流量，窃取敏感信息；篡改网络流量，导致用户访问虚假网站（如钓鱼网站）。

防御措施（必背）： 静态绑定ARP：在网络设备（如路由器、交换机）、终端设备中，静态绑定IP地址与MAC地址，防止ARP缓存表被篡改。部署ARP防火墙：在终端设备、网络入口部署ARP防火墙，拦截伪造的ARP数据包，防止ARP欺骗。定期检查ARP缓存表：定期检查网络设备、终端设备的ARP缓存表，发现异常的IP-MAC绑定，及时处置。使用VLAN隔离：将局域网划分为多个VLAN，限制ARP欺骗的影响范围，防止攻击扩散。

（4）IP欺骗攻击（低频，了解即可）

攻击原理：攻击者伪造IP地址，向目标系统发送数据包，伪装成合法的IP地址（如系统内部IP、信任的IP），获取目标系统的信任，进而入侵系统、窃取敏感信息。IP欺骗攻击的核心是“伪装合法IP，获取系统信任”。

常见场景：攻击者伪造系统管理员的IP地址，向目标系统发送指令，篡改系统配置、窃取敏感信息；伪造信任的服务器IP地址，与目标系统建立连接，入侵系统。

防御措施： IP地址过滤：在防火墙、路由器中，设置IP地址过滤规则，只允许信任的IP地址访问系统，拒绝未知IP地址的访问。身份认证结合IP验证：在系统登录、访问时，不仅进行身份认证（账号密码），还验证IP地址，确保只有信任的IP地址的合法用户才能访问。使用加密协议：采用SSL/TLS等加密协议，对传输的数据包进行加密，防止IP地址伪造后的数据篡改。

2.2.2 应用层攻击（高频，案例题核心）

应用层攻击主要针对系统的应用程序（如Web应用、移动应用），核心目的是窃取敏感信息、篡改数据、入侵系统，常见攻击类型如下，其中SQL注入、XSS跨站脚本是考试的重中之重，每年必考。

（1）SQL注入攻击（必考，每年1-2题）

攻击原理：SQL注入攻击是最常见的应用层攻击，攻击者通过在用户输入框（如登录框、搜索框）中输入恶意的SQL语句，欺骗应用程序执行该SQL语句，进而获取数据库中的敏感信息（如用户账号密码、交易数据）、篡改数据库数据、甚至控制整个系统。核心是“将用户输入当作SQL语句执行，绕过应用程序的输入校验”。

常见类型： 普通SQL注入：攻击者输入简单的恶意SQL语句，获取数据库中的数据（如“1' or 1=1 --”，用于登录绕过）。盲注：攻击者无法直接获取数据库返回的结果，通过发送不同的SQL语句，根据应用程序的响应（如页面是否正常显示），推断数据库中的数据。堆叠注入：攻击者输入多个SQL语句，用分号分隔，让应用程序依次执行，实现篡改数据、删除数据等操作（如“select * from user; delete from user;”）。

常见场景：Web应用的登录框、搜索框、注册框，如电商网站的搜索框、政务系统的登录框，攻击者通过输入恶意SQL语句，窃取用户数据、篡改交易数据。

防御措施（必背，案例题、论文题可直接套用）：严格输入校验：对用户输入的内容进行严格校验，过滤恶意SQL语句（如过滤单引号、分号、SQL关键字（select、delete、update）），限制输入长度和格式。使用参数化查询（预处理语句）：将SQL语句与用户输入分离，用户输入仅作为参数传递，不直接拼接为SQL语句，这是防御SQL注入的最有效方法。例如：使用PreparedStatement（Java）、Parameterized Query（Python），避免SQL语句拼接。最小权限原则：为数据库访问账号分配最小权限，仅授予其完成工作所需的权限（如仅授予查询权限，不授予删除、修改权限），即使发生SQL注入，也无法造成大规模破坏。数据库加密：对数据库中的敏感字段（如用户密码、手机号）进行加密存储，即使攻击者通过SQL注入获取到数据，也无法直接获取敏感信息。部署WAF（Web应用防火墙）：在Web应用前端部署WAF，识别并拦截SQL注入等应用层攻击，过滤恶意请求。定期安全测试：定期对应用程序进行安全测试（如渗透测试），排查SQL注入等安全漏洞，及时修复。

（2）XSS跨站脚本攻击（必考，每年1-2题）

攻击原理：XSS（Cross-Site Scripting）跨站脚本攻击，攻击者通过在用户输入框中输入恶意的JavaScript、HTML代码，欺骗应用程序将恶意代码嵌入到网页中，当其他用户访问该网页时，恶意代码被执行，窃取用户的Cookie、账号密码、会话信息，或篡改网页内容、诱导用户操作（如点击钓鱼链接）。核心是“将恶意脚本嵌入网页，被其他用户执行”。

常见类型： 存储型XSS（高频）：攻击者将恶意脚本输入到应用程序的数据库中（如评论区、留言板），当其他用户访问该页面时，恶意脚本从数据库中读取并执行，危害范围广、持续时间长。例如：在电商网站的评论区输入恶意脚本，所有查看该评论的用户都会被攻击。反射型XSS（高频）：攻击者将恶意脚本拼接在URL中，诱导用户点击该URL，当用户点击后，恶意脚本被应用程序反射到网页中并执行，危害范围仅限于点击URL的用户。例如：伪造电商网站的登录URL，嵌入恶意脚本，诱导用户点击，窃取用户的登录信息。DOM型XSS（低频）：攻击者通过修改网页的DOM结构，注入恶意脚本，当用户操作网页时，恶意脚本被执行，无需与服务器交互，仅在客户端执行。

常见场景：Web应用的评论区、留言板、登录框、搜索框，如社交平台的评论区、电商网站的留言板，攻击者通过输入恶意脚本，窃取用户信息、诱导用户操作。

防御措施（必背，案例题、论文题可直接套用）： 输入过滤与转义：对用户输入的内容进行严格过滤，过滤恶意JavaScript、HTML代码（如过滤<script>、<iframe>等标签，转义特殊字符，如将<转义为<、>转义为>，使恶意脚本无法被解析执行）。例如：将用户输入的“<script>alert(1)</script>”转义为“&lt;script&gt;alert(1)</script&gt;”，使其无法执行。 启用内容安全策略（CSP）：在Web服务器中配置CSP策略，限制网页中可执行的脚本来源，仅允许信任的域名加载脚本，禁止加载未知来源的恶意脚本，从根源上阻止XSS攻击。例如：配置CSP策略，仅允许本域名、阿里云CDN域名的脚本执行，禁止其他域名的脚本加载。 禁止Cookie跨域访问：设置Cookie的HttpOnly属性，使Cookie无法被JavaScript读取，防止攻击者通过XSS脚本窃取Cookie中的会话信息；设置Secure属性，仅允许HTTPS协议传输Cookie，避免Cookie在未加密的HTTP协议中被窃取。 定期清理用户输入数据：对存储在数据库中的用户输入数据（如评论、留言）进行定期清理，删除恶意脚本内容，防止存储型XSS攻击的持续危害。 前端校验与后端校验结合：前端页面对用户输入进行初步校验（如限制输入长度、过滤特殊字符），后端服务器进行二次校验，双重防护，避免前端校验被绕过（如攻击者禁用前端JS校验，直接提交恶意脚本）。 部署WAF（Web应用防火墙）：WAF可自动识别XSS攻击的特征（如恶意脚本标签、特殊字符组合），拦截包含恶意脚本的请求，为Web应用提供额外的防护屏障。

（3）CSRF跨站请求伪造攻击（高频，每年1题）

攻击原理：CSRF（Cross-Site Request Forgery）跨站请求伪造攻击，攻击者利用用户已登录的会话信息（如Cookie），诱导用户点击恶意链接或访问恶意网页，让用户在无意识中向目标系统发送恶意请求（如转账、修改密码、删除数据），实现攻击目的。核心是“利用用户的合法会话，伪造用户操作，绕过身份认证”。