
软考系统分析师信息安全章节核心知识梳理适配第三版教材覆盖选择、案例、论文高频考点一、信息安全基础必考1. 核心属性CIA2机密性信息不被未授权访问/泄露加密、访问控制。完整性数据未被篡改/伪造哈希、数字签名。可用性系统/数据可正常访问容错、抗DDoS。可控性对信息传播/使用可监控管理。不可否认性行为不可抵赖签名、审计日志。2. 安全威胁分类网络攻击DoS/DDoS、SQL注入、XSS、CSRF、中间人、端口扫描。数据威胁泄露、篡改、丢失、越权访问。恶意代码病毒、木马、勒索软件、蠕虫。内部威胁权限滥用、操作失误、数据窃取。3. 安全保护等级5级必背用户自主保护级自主访问控制。系统审计保护级审计跟踪。安全标记保护级强制访问控制、安全标记。结构化保护级形式化模型、隐蔽通道控制。访问验证保护级访问监控器、抗篡改。口诀主审标结访自主→审计→标记→结构→验证。二、安全体系结构分层防护1. 五层防护模型纵深防御核心物理层机房、门禁、电磁屏蔽、环境监控。网络层防火墙、IDS/IPS、VPN、网络分段。主机层系统加固、补丁、EDR、最小权限。应用层WAF、代码审计、API安全、会话管理。数据层加密、脱敏、备份恢复、防泄露。2. 安全设计原则论文直接用最小权限仅分配必需权限。纵深防御多层互补无单点依赖。默认拒绝未授权默认禁止访问。安全可控可审计全链路日志追溯。分权制衡、职责分离关键岗位分离。三、核心安全技术高频考点1. 加密技术对称/非对称/哈希1对称加密单密钥快算法DES56位、3DES、AES128/256位主流、IDEA。特点密钥共享、效率高、适合大数据。2非对称加密公钥/私钥慢算法RSA主流、ECC椭圆曲线轻量。用途密钥交换、数字签名、加密小数据。3哈希摘要不可逆算法MD5128位不安全、SHA-1160位、SHA-256/SHA-512安全。用途完整性校验、数字签名摘要。4数字信封混合加密流程明文→对称加密快→对称密钥→非对称加密安全→合并传输。2. 身份认证与访问控制1认证三因子知识密码、PIN。持有USB Key、手机令牌、智能卡。生物指纹、虹膜、人脸。MFA多因素认证组合两种以上如密码短信。2访问控制模型DAC自主访问控制资源所有者授权Linux权限。MAC强制访问控制系统按安全级别强制军事/政府。RBAC基于角色按岗位分配权限企业主流。ABAC基于属性用户/资源/环境属性匹配灵活。3PKI/CA体系必考CA证书签发/管理中心。RA身份审核注册机构。X.509证书含公钥、有效期、签名。CRL/OCSP证书吊销/状态查询。KerberosKDC分发票据支持SSO依赖时间戳防重放。3. 网络安全设备防火墙访问控制、隔离内外网包过滤/状态检测/应用层。IDS入侵检测被动告警不阻断。IPS入侵防御主动阻断攻击。WAF防护Web攻击SQL/XSS。VPNIPsec网络层、SSL应用层加密传输。4. 数据安全数据加密传输SSL/TLS、存储AES。数据脱敏敏感数据替换/掩码手机号138****1234。备份恢复全量/增量/差异备份RTO恢复时间、RPO数据丢失量。防泄露DLP监控/阻断敏感数据外发。国密SM2/SM3/SM4核心算法 表格梳理算法算法类型对应国际对标核心用途关键特性应用场景SM2非对称加密椭圆曲线ECCRSA、ECC数字签名、密钥协商、非对称加密国产椭圆曲线安全强度高、密钥短、运算快支持签名/加密/密钥交换三合一身份认证、电子证照、证书体系、接口签名、PKI国密改造SM3哈希摘要算法MD5、SHA-1/SHA256消息完整性校验、数字签名摘要、密码哈希输出256位哈希值不可逆、抗碰撞替代不安全MD5/SHA1文件校验、口令存储、签名摘要、数据防篡改、区块链哈希SM4对称分组加密算法AES、DES、3DES数据加解密、传输/存储加密分组128bit、密钥128bit加解密算法结构一致效率高、适合大批量数据文件加密、数据库存储加密、VPN、接口传输加密、磁盘加密补充国密类型核心作用考试定位SM9标识密码算法IBE无需数字证书用手机号/邮箱当公钥做加密签名了解即可极少考SM4 对称大批量数据加解密对标AESSM3 哈希256位摘要防篡改、对标SHA256SM2 非对称ECC签名密钥协商对标RSA密钥更短安全性更高。信创、政务、等保合规系统传输用SM4、完整性用SM3、身份签名用SM2整套国密闭环。四、安全管理与审计1. 安全策略与风险评估策略分级保护、最小权限、应急响应。风险评估资产识别→威胁/脆弱性分析→风险计算→处置规避/转移/缓解/接受。2. 安全审计日志类型登录、操作、权限变更、系统异常。要求不可篡改、可追溯、定期审计。3. 应急响应与灾难恢复流程检测→遏制→根除→恢复→复盘。灾难恢复冷备离线、温备在线备用、热备实时同步。五、新兴安全论文热点零信任永不信任、始终验证身份为核心、微隔离、持续授权。云安全IaaS/PaaS/SaaS责任划分云防火墙、CASB、云加密。物联网安全设备认证、轻量加密、固件安全、边缘防护。数据安全法/个人信息保护法数据分类分级、个人信息保护、跨境传输合规。六、高频考点速记CIA三要素机密、完整、可用必考。加密算法对称AES/3DES、非对称RSA/ECC、哈希SHA-256。访问控制DAC/MAC/RBAC核心区别。PKI核心CA签发、X.509、CRL/OCSP。安全等级5级主审标结访。纵深防御五层模型物理→网络→主机→应用→数据。七、论文写作方向信息安全体系设计分层防护零信任。数据安全治理加密、脱敏、备份、合规。身份认证与访问控制MFARBACPKI。云/物联网安全架构设计。