临近软件架构设计师考试系统安全性与保密性设计是考试的核心模块贯穿上午场信息系统综合知识15-20分、下午场案例分析25-35分及论文写作高频命题方向是“稳拿分、拉开分差”的关键。本总结严格遵循最新考试大纲全面覆盖系统安全性与保密性的核心概念、安全威胁与攻击类型、安全模型、保密性设计、安全性设计、安全技术与工具、合规性要求、真题解析及应试技巧兼顾全面性、针对性和应试性重点区分“必考考点”“高频考点”“易错考点”补充真题关联、易错点辨析、记忆技巧和案例模板总字数超1万字排版层次清晰、重点突出无需考生额外筛选内容直接用于考前背诵、查漏补缺、真题适配即可。核心说明软件架构设计师考试中系统安全性与保密性设计的命题有3个显著特点① 侧重“概念实操”既考查安全基础概念、威胁类型也考查安全设计方法、技术选型和方案落地② 结合行业场景常以分布式系统、微服务、云原生、金融系统、政务系统等主流场景为背景命题重点考查“安全威胁识别”“保密性保障”和“安全方案设计”③ 案例分析和论文写作高频聚焦“安全漏洞排查”“数据加密方案”“访问控制设计”“隐私保护落地”需结合考点灵活运用体现实操能力。本总结将针对这些特点强化核心考点、补充实操细节助力考生快速掌握得分要点规避易错点。第一部分 系统安全性与保密性基础必考每年3-4题系统安全性与保密性基础是理解后续核心知识点的前提核心考查安全性、保密性的定义、核心目标、核心特性以及两者的关联与区别命题形式以单选题、多选题为主难度中等偏易重点记忆核心定义和辨析点为后续核心模块学习奠定基础。1.1 核心概念必背每年1-2题1.1.1 系统安全性Security权威定义考试标准答案根据软件架构设计师考试大纲及GB/T 25000-2019《系统与软件工程 系统与软件质量要求和评价》系统安全性是指系统在规定的时间内、规定的环境条件下抵御各种安全威胁如攻击、篡改、泄露保护系统自身、数据及用户权益不被侵害确保系统正常运行、数据完整可用的能力。核心关键词抵御威胁、保护系统与数据、正常运行、完整可用四者缺一不可是判断系统是否安全的核心依据。通俗理解系统能够抵御外部和内部的各种恶意攻击、意外操作防止数据被泄露、篡改、破坏确保系统不瘫痪、业务不中断同时保护用户的隐私和合法权益就是安全的。例如金融支付系统能够防止黑客攻击、防止用户支付信息泄露、防止交易数据被篡改确保支付业务正常进行即可认为该系统具备良好的安全性。核心目标必背多选题高频系统安全性的核心目标可概括为“CIA三元组”这是考试的重中之重需牢记每个目标的含义和应用场景机密性Confidentiality确保敏感信息不被未授权的主体访问、窃取或泄露仅允许授权主体访问。这是保密性设计的核心目标也是安全性的重要组成部分。例如用户的身份证号、银行卡密码、企业的核心商业机密仅允许授权人员访问防止泄露。完整性Integrity确保数据在存储、传输、处理过程中不被未授权的主体篡改、破坏保证数据的真实性和一致性同时防止数据被意外修改。例如交易数据、合同文件确保其内容不被篡改保证交易的公平性和数据的可靠性。可用性Availability确保授权主体在需要时能够正常访问系统资源、使用系统功能防止系统被攻击导致瘫痪或服务中断保障系统的持续运行。例如电商系统在高峰期如双十一能够抵御DDoS攻击确保用户正常下单、支付不出现系统卡顿、崩溃。补充说明考试中常考查CIA三元组的拓展目标需了解并掌握偶尔以多选题形式考查可控性Controllability对系统的访问、操作、数据流向进行严格控制确保所有操作都可追溯、可管理防止未授权操作的发生。例如对系统管理员的操作进行日志记录对数据的访问权限进行分级控制。可审查性Accountability系统能够记录所有用户的操作行为、访问记录当发生安全事件时能够通过日志追溯事件原因、定位责任主体。例如系统日志记录用户的登录时间、操作内容、IP地址便于安全审计和事件排查。不可否认性Non-repudiation确保用户无法否认自己的操作行为例如用户发送的消息、进行的交易一旦完成无法否认其操作防止用户事后抵赖。例如数字签名技术能够证明消息的发送者身份防止发送者抵赖。1.1.2 系统保密性Confidentiality权威定义考试标准答案系统保密性是系统安全性的核心子集指通过技术和管理手段确保敏感信息如个人隐私、商业机密、政务秘密仅被授权主体访问、使用不被未授权主体泄露、窃取、传播的能力。核心关键词敏感信息、授权访问、防止泄露核心是“控制信息的访问范围”确保信息不被泄露给未授权的人或系统。通俗理解保密性就是“不该看的人看不到”例如企业的核心技术文档仅允许技术部门的授权人员查看用户的个人健康信息仅允许医疗机构的授权人员访问防止信息泄露给无关人员。核心目标必背与安全性机密性目标一致重点区分防止敏感信息被未授权访问限制敏感信息的访问权限仅授权主体可访问。防止敏感信息被泄露通过加密、隔离等技术防止敏感信息在存储、传输过程中被窃取、泄露。防止敏感信息被非法传播控制敏感信息的传播范围防止授权主体将敏感信息泄露给未授权主体。补充说明考试中常考查“保密性与安全性的关联与区别”需重点辨析易错点关联保密性是安全性的核心组成部分没有保密性系统就无法实现完整的安全性安全性包含保密性同时还涵盖完整性、可用性等多个目标是一个更广泛的概念。区别安全性侧重“抵御所有威胁保障系统整体正常运行”涵盖范围广保密性侧重“保护敏感信息不被泄露”是针对性的目标核心是“信息的访问控制和加密保护”。例如一个系统可能具备良好的可用性不瘫痪但缺乏保密性敏感信息泄露则该系统安全性不足一个系统具备保密性敏感信息不泄露但缺乏可用性频繁崩溃其安全性也不足。1.1.3 敏感信息的分类必考案例题高频敏感信息是保密性设计的核心对象考试中常考查敏感信息的分类结合场景识别敏感信息案例题中常要求考生针对不同类型的敏感信息设计保密性方案需牢记以下分类及示例1个人敏感信息高频结合《个人信息保护法》指与个人相关、泄露后会危害个人权益如隐私、财产、名誉的信息考试中常结合政务、电商、医疗场景考查个人身份信息身份证号、护照号、驾驶证号、户籍信息等。个人财产信息银行卡号、支付密码、余额、交易记录、房产信息等。个人生物信息指纹、人脸、虹膜、声纹等。个人健康信息病历、体检报告、疾病诊断、用药记录等。其他敏感信息手机号、家庭住址、婚姻状况、宗教信仰等。2企业敏感信息指与企业相关、泄露后会危害企业利益如商业秘密、经营安全的信息考试中常结合企业系统、电商系统考查商业机密核心技术方案、算法、源代码、产品设计图纸等。经营信息客户名单、销售数据、财务报表、采购价格、合作协议等。内部管理信息员工信息、薪酬体系、内部规章制度、项目计划等。3政务敏感信息指与政务工作相关、泄露后会危害国家安全、公共利益的信息考试中常结合政务系统考查国家秘密涉及国家安全、国防利益的机密、秘密、绝密信息如军事部署、外交机密。政务数据人口数据、法人数据、社保数据、政务审批记录等。内部政务信息政务工作流程、内部会议纪要、未公开的政策文件等。1.2 系统安全性与保密性的核心特性必背多选题高频根据考试大纲及行业标准系统安全性与保密性具备以下核心特性需牢记每个特性的含义区分安全性和保密性各自的特性避免混淆1.2.1 系统安全性的核心特性抗攻击性系统能够抵御各种恶意攻击如黑客攻击、病毒感染、DDoS攻击防止系统被入侵、数据被篡改或泄露是安全性的核心特性。例如通过防火墙、入侵检测系统抵御外部攻击通过杀毒软件防止病毒感染。完整性如前文所述确保数据和系统功能不被未授权篡改、破坏保证系统的正常运行和数据的可靠性。可用性确保系统在各种情况下如高并发、攻击、硬件故障都能正常运行授权主体能够正常访问系统资源不出现服务中断。可追溯性系统能够记录所有操作行为、访问记录当发生安全事件时能够追溯事件原因、定位责任主体为安全审计和事件排查提供依据。可恢复性系统发生安全事件如攻击、故障后能够快速恢复系统正常运行恢复被破坏的数据减少安全事件造成的损失。例如通过数据备份、灾难恢复技术实现系统和数据的快速恢复。合规性系统的安全性设计符合相关法律法规、行业标准和企业规章制度确保系统的安全运行符合法律要求避免法律风险。例如符合《网络安全法》《个人信息保护法》《数据安全法》等。1.2.2 系统保密性的核心特性访问可控性对敏感信息的访问进行严格控制仅授权主体可访问未授权主体无法访问核心是“权限分级、精准授权”。例如通过访问控制列表ACL、角色权限管理RBAC控制敏感信息的访问权限。加密保护性通过加密技术对敏感信息进行加密处理存储加密、传输加密即使信息被窃取未授权主体也无法解密获取信息内容。例如对用户密码进行哈希加密存储对传输的敏感数据进行SSL/TLS加密。防泄露性通过技术和管理手段防止敏感信息被泄露如防止截图、复制、传播控制敏感信息的传播范围。例如对敏感文档设置禁止复制、禁止截图权限对授权用户的操作进行监控。不可关联性对敏感信息进行脱敏处理使脱敏后的信息无法关联到具体的个人或主体防止通过脱敏信息推断出原始敏感信息。例如将用户身份证号脱敏为“110101****1234”将手机号脱敏为“138****5678”。1.3 系统安全性与保密性的影响因素必背案例题高频影响系统安全性与保密性的因素众多考试中常以多选题形式考查因素分类案例题中常考查“系统安全性/保密性不足的原因分析”需从技术、管理、人员、环境四个维度牢记每个维度结合具体场景理解1.3.1 技术因素核心因素考试重点技术因素是影响系统安全性与保密性的核心主要包括技术选型不合理、技术实现存在漏洞、安全技术应用不到位等具体如下技术选型不合理选用的技术栈存在安全漏洞、不成熟或技术选型与系统安全需求不匹配导致系统存在安全隐患。例如选用存在漏洞的第三方组件、使用不安全的加密算法如DES、选用不支持访问控制的数据库。系统设计存在缺陷系统架构设计不合理缺乏安全设计理念导致系统存在安全漏洞。例如未设计访问控制机制、未进行数据加密、未设计故障隔离机制导致敏感信息泄露、系统被入侵。代码实现存在漏洞开发编码阶段代码存在安全漏洞如SQL注入、XSS跨站脚本、缓冲区溢出导致系统被攻击、敏感信息泄露。例如未对用户输入进行校验导致SQL注入攻击未处理敏感信息导致代码中泄露用户密码。安全技术应用不到位未应用必要的安全技术如加密技术、防火墙、入侵检测系统或安全技术配置不合理无法有效抵御安全威胁。例如未对传输的敏感数据进行加密导致数据被窃取防火墙配置不当导致外部攻击无法被拦截。系统升级不及时系统、中间件、数据库等未及时升级补丁导致已知的安全漏洞未被修复被攻击者利用。例如Windows系统未及时安装安全补丁导致勒索病毒攻击数据库未及时升级导致漏洞被利用窃取数据。1.3.2 管理因素可控因素案例题高频管理因素是影响系统安全性与保密性的重要可控因素主要包括安全管理制度不完善、安全管理流程不规范、安全审计不到位等具体如下安全管理制度不完善未制定完善的安全管理制度缺乏对系统安全、敏感信息的管理规范导致安全管理无章可循。例如未制定密码管理制度、访问权限管理制度、敏感信息管理制度导致用户密码简单、权限混乱、敏感信息随意传播。安全管理流程不规范系统开发、部署、运维过程中安全管理流程不规范导致安全漏洞遗留。例如开发阶段未进行安全测试、部署阶段未进行安全配置、运维阶段未进行安全监控导致系统存在安全隐患。安全审计不到位未建立完善的安全审计机制未对系统的操作行为、访问记录进行审计无法及时发现安全事件也无法追溯事件原因。例如未记录用户的操作日志发生敏感信息泄露后无法定位泄露源头。应急响应机制不完善未制定安全事件应急响应预案发生安全事件如攻击、泄露后无法快速响应、处置导致损失扩大。例如发生DDoS攻击后未及时启动应急响应导致系统长时间瘫痪发生敏感信息泄露后未及时采取补救措施导致信息进一步传播。1.3.3 人员因素关键因素人员因素是影响系统安全性与保密性的关键主要包括人员安全意识不足、技术能力不足、操作失误等具体如下安全意识不足系统用户、开发人员、运维人员安全意识薄弱存在不安全操作导致安全漏洞。例如用户使用简单密码、随意泄露账号密码开发人员在代码中硬编码敏感信息运维人员随意开放系统端口、泄露系统配置。技术能力不足开发人员、运维人员、安全人员技术能力不足无法识别和修复安全漏洞无法有效抵御安全威胁。例如开发人员无法识别SQL注入、XSS等漏洞运维人员无法配置防火墙、入侵检测系统安全人员无法排查安全事件。操作失误人员操作失误导致系统安全漏洞或敏感信息泄露。例如运维人员误删除安全配置、误开放系统权限开发人员误将敏感信息写入日志用户误点击钓鱼链接导致账号密码被窃取。内部恶意行为内部人员如员工、管理员恶意操作窃取敏感信息、破坏系统导致系统安全性与保密性受损。例如管理员恶意泄露用户数据员工窃取企业商业机密泄露给竞争对手。1.3.4 环境因素外部因素环境因素是影响系统安全性与保密性的外部因素主要包括网络环境、物理环境、外部攻击环境等具体如下网络环境不安全系统运行的网络环境存在安全隐患如网络未加密、存在网络监听、网络拥堵等导致敏感信息被窃取、系统被攻击。例如在公共Wi-Fi环境下传输敏感数据导致数据被监听网络拥堵时系统响应缓慢易被攻击者利用。物理环境不安全系统运行的物理环境如机房缺乏安全防护导致硬件设备被破坏、敏感信息被窃取。例如机房未设置门禁、监控导致无关人员进入机房窃取服务器中的敏感数据机房电源不稳定导致系统故障数据丢失。外部攻击环境复杂当前网络攻击手段不断升级攻击者采用各种先进的攻击技术如APT攻击、勒索病毒、人工智能攻击导致系统难以抵御攻击。例如APT攻击具有隐蔽性强、持续时间长的特点容易突破系统的安全防护窃取敏感信息。1.4 系统安全性与保密性的设计原则必背案例题、论文题高频系统安全性与保密性设计需遵循一定的原则这些原则是安全设计的核心指导思想考试中常以多选题形式考查原则名称案例题和论文题中常要求考生结合原则设计安全方案需牢记每个原则的含义和应用场景1.4.1 核心设计原则必背重中之重最小权限原则必考核心是“仅授予主体完成其工作所需的最小权限不授予多余权限”防止权限滥用导致的安全风险。例如普通用户仅授予查看自己数据的权限不授予修改、删除他人数据的权限系统管理员仅授予其管理所需的权限不授予超级管理员权限。纵深防御原则必考核心是“构建多层次、多维度的安全防护体系不依赖单一的安全防护手段”即使某一层防护被突破其他层防护仍能发挥作用确保系统安全。例如从网络层防火墙、应用层WAF、数据层加密、管理层安全审计构建多层防护体系抵御不同类型的攻击。数据分类分级原则必考核心是“根据敏感信息的重要程度、泄露后的危害程度对数据进行分类、分级针对不同级别数据采取不同的安全防护措施”。例如将数据分为公开数据、内部数据、敏感数据、绝密数据对敏感数据和绝密数据采取加密、严格访问控制等措施对公开数据采取简单防护措施。加密保护原则必考核心是“对敏感信息进行加密处理包括存储加密、传输加密确保敏感信息即使被窃取也无法被解密获取”。例如对用户密码进行哈希加密存储对传输的敏感数据进行SSL/TLS加密对数据库中的敏感字段进行加密。访问控制原则必考核心是“对系统资源、敏感信息的访问进行严格控制明确授权主体、访问权限、访问范围防止未授权访问”。例如通过角色权限管理RBAC、访问控制列表ACL控制用户对敏感信息的访问通过身份认证确认用户身份后再授予访问权限。1.4.2 辅助设计原则了解低频考点安全隔离原则将不同安全级别的系统、数据进行隔离防止安全风险跨区域扩散。例如将政务系统与互联网隔离将核心业务系统与非核心业务系统隔离将敏感数据存储区与普通数据存储区隔离。可审计原则对系统的所有操作行为、访问记录进行记录和审计确保操作可追溯、责任可定位。例如记录用户的登录时间、操作内容、IP地址记录敏感信息的访问、修改、删除记录便于安全审计和事件排查。易用性原则安全设计不影响系统的易用性避免因安全措施过于复杂导致用户操作不便、系统效率下降。例如密码策略既要保证安全性复杂密码也要考虑易用性定期更换、可找回身份认证既要严格也要避免多次认证影响用户体验。合规性原则安全设计符合相关法律法规、行业标准和企业规章制度确保系统的安全运行符合法律要求避免法律风险。例如符合《网络安全法》《个人信息保护法》《数据安全法》符合行业安全标准如金融行业的等保三级。动态调整原则根据系统的运行环境、安全威胁的变化动态调整安全防护措施确保安全设计的有效性。例如随着攻击手段的升级及时更新防火墙规则、入侵检测系统特征库随着业务的变化及时调整访问权限、数据分类分级。1.5 真题关联必看贴合考试难度真题12023年上半年单选以下关于系统安全性核心目标的描述正确的是 A. 机密性是指确保数据不被篡改保证数据的真实性B. 可用性是指确保授权主体在需要时能够访问系统资源防止系统瘫痪C. 完整性是指确保敏感信息不被未授权访问防止信息泄露D. 不可否认性是指确保系统的操作行为无法追溯避免责任定位解析答案为B。A错误机密性是防止敏感信息泄露完整性是防止数据篡改B正确可用性的核心是确保系统正常运行授权主体可访问资源C错误完整性是防止数据篡改机密性是防止信息泄露D错误不可否认性是确保用户无法否认自己的操作操作可追溯故选B。真题22022年下半年多选以下属于系统保密性核心特性的有 A. 访问可控性 B. 抗攻击性 C. 加密保护性 D. 可恢复性 E. 防泄露性解析答案为ACE。系统保密性的核心特性包括访问可控性、加密保护性、防泄露性、不可关联性B抗攻击性、D可恢复性属于系统安全性的核心特性故选ACE。真题32021年下半年案例分析节选某政务系统上线后出现敏感信息泄露、未授权访问等安全问题经排查发现该系统存在以下问题① 未对敏感数据进行加密存储② 用户密码采用简单密码且未定期更换③ 未制定安全管理制度运维人员随意开放系统端口④ 未对用户操作进行日志记录无法追溯安全事件。请分析该系统安全性与保密性不足的原因分别对应哪些影响因素解析① 未对敏感数据进行加密存储属于技术因素安全技术应用不到位② 用户密码简单、未定期更换属于人员因素安全意识不足③ 未制定安全管理制度、运维人员操作不当属于管理因素安全管理制度不完善和人员因素操作失误④ 未记录用户操作日志属于管理因素安全审计不到位。第二部分 系统安全威胁与攻击类型必考每年4-5题案例题核心系统安全威胁与攻击类型是考试的核心考点考试中重点考查威胁的分类、攻击的类型、攻击的原理及防御措施命题形式包括单选题、多选题、案例题威胁识别与防御是案例题的高频命题点需重点掌握每种攻击类型的特点、原理和防御措施结合场景识别攻击类型。核心说明安全威胁是指可能导致系统安全性、保密性受损的潜在风险如黑客攻击、病毒感染安全攻击是指攻击者主动实施的、危害系统安全的行为如SQL注入、DDoS攻击。考试中常要求考生结合场景识别攻击类型并提出对应的防御措施需重点区分不同攻击类型的差异避免混淆。2.1 安全威胁的分类必背多选题高频安全威胁的分类方式众多考试中最常用的分类方式是“按威胁来源分类”和“按威胁类型分类”两种分类方式均需重点掌握结合场景理解每种威胁的具体表现2.1.1 按威胁来源分类核心分类外部威胁高频案例题常考来自系统外部的威胁主要由外部攻击者如黑客、恶意组织实施核心目的是窃取敏感信息、破坏系统运行具体包括黑客攻击攻击者通过各种技术手段入侵系统窃取敏感信息、篡改数据、破坏系统功能如SQL注入、XSS攻击、DDoS攻击。病毒与恶意软件通过病毒、木马、勒索病毒等恶意软件感染系统窃取敏感信息、控制系统、破坏数据如勒索病毒加密用户数据索要赎金。网络监听攻击者通过网络监听工具窃取系统传输的敏感信息如用户账号密码、交易数据通常发生在未加密的网络环境中。社会工程学攻击攻击者通过欺骗、诱导等方式获取用户的敏感信息如账号密码、系统配置如钓鱼邮件、钓鱼网站、冒充客服等。内部威胁高频易错点来自系统内部的威胁主要由内部人员如员工、管理员实施核心目的是窃取敏感信息、破坏系统由于内部人员熟悉系统结构威胁危害性更大具体包括内部人员恶意操作员工、管理员恶意窃取敏感信息、篡改数据、破坏系统如管理员泄露用户数据、员工窃取企业商业机密。内部人员操作失误员工、管理员操作失误导致系统安全漏洞、敏感信息泄露如误删除安全配置、误将敏感信息发送给未授权人员。内部账号泄露内部人员的账号密码被泄露被外部攻击者利用入侵系统如员工账号密码被黑客窃取用于登录系统。自然威胁低频了解即可来自自然环境的威胁属于不可控因素主要导致系统硬件损坏、数据丢失具体包括自然灾害地震、洪水、雷击、火灾等导致机房硬件设备损坏、系统瘫痪、数据丢失。环境异常机房温度过高、湿度过大、电源不稳定导致硬件设备故障、系统运行异常。2.1.2 按威胁类型分类核心分类案例题必考泄露威胁保密性相关高频核心是导致敏感信息泄露被未授权主体访问、窃取具体包括信息窃取攻击者窃取系统中的敏感信息如用户数据、商业机密、政务数据。信息泄露内部人员或外部攻击者将敏感信息泄露给未授权主体如泄露用户手机号、企业核心技术。网络监听窃取系统传输的敏感信息如未加密的账号密码、交易数据。篡改威胁完整性相关高频核心是导致数据被未授权主体篡改、破坏确保数据的真实性和一致性受损具体包括数据篡改攻击者篡改系统中的数据如交易金额、用户信息、合同内容导致数据失真。系统篡改攻击者篡改系统配置、代码破坏系统功能如篡改系统登录页面、植入恶意代码。文件篡改攻击者篡改系统中的文件如文档、程序文件导致文件无法正常使用或包含恶意内容。破坏威胁可用性相关高频核心是导致系统瘫痪、服务中断授权主体无法正常访问系统资源具体包括拒绝服务攻击DDoS攻击者发送大量请求占用系统资源导致系统无法响应正常请求服务中断。系统破坏攻击者破坏系统硬件、软件导致系统瘫痪如删除系统核心文件、破坏服务器硬件。病毒感染恶意软件感染系统占用系统资源、破坏系统功能导致系统运行异常、瘫痪。未授权访问威胁安全性相关高频核心是未授权主体访问系统资源、敏感信息具体包括非法登录攻击者通过窃取账号密码、破解密码等方式非法登录系统访问敏感信息、操作系统功能。越权访问授权主体访问超出其权限范围的系统资源、敏感信息如普通用户访问管理员权限的功能、查看其他用户的敏感数据。非法入侵攻击者通过各种技术手段入侵系统获取系统控制权访问敏感信息、破坏系统。抵赖威胁不可否认性相关低频核心是用户否认自己的操作行为导致责任无法定位具体包括交易抵赖用户完成交易后否认自己的交易行为如否认支付、否认发送消息。操作抵赖用户完成系统操作后否认自己的操作行为如否认删除数据、否认修改配置。2.2 常见安全攻击类型必考每年2-3题案例题高频考试中常考查的安全攻击类型主要分为“网络层攻击”“应用层攻击”“数据层攻击”“身份认证攻击”四类需重点掌握每种攻击的原理、特点、常见场景和防御措施这是案例题的核心考点也是论文题的重要素材。2.2.1 网络层攻击高频上午题、案例题均考网络层攻击主要针对网络协议、网络设备核心目的是破坏网络连通性、窃取网络传输的敏感信息常见攻击类型如下1拒绝服务攻击DDoS必考攻击原理攻击者通过控制大量僵尸机肉鸡向目标系统发送大量的请求如TCP连接请求、HTTP请求占用系统的CPU、内存、带宽等资源导致系统无法响应正常用户的请求服务中断。DDoS攻击的核心是“耗尽系统资源”使系统瘫痪。常见类型 TCP SYN Flood攻击者向目标系统发送大量的TCP SYN请求建立连接但不完成三次握手导致目标系统的半连接队列被占满无法接收正常的连接请求。UDP Flood攻击者向目标系统发送大量的UDP数据包占用系统带宽导致系统无法正常传输数据。HTTP Flood攻击者向目标系统发送大量的HTTP请求如访问首页、提交表单占用系统的Web服务器资源导致Web服务瘫痪。常见场景电商系统高峰期如双十一、政务系统、游戏服务器攻击者通过DDoS攻击导致系统瘫痪影响业务正常运行。防御措施必背案例题可直接套用 部署抗DDoS设备在网络入口部署抗DDoS防火墙、流量清洗设备对异常流量进行识别和拦截过滤攻击流量保留正常流量。采用云防护服务将系统部署在云平台利用云平台的抗DDoS能力如阿里云、腾讯云的DDoS防护抵御大规模DDoS攻击。优化系统配置调整系统的TCP半连接队列大小、请求超时时间提升系统的抗攻击能力合理分配系统资源避免资源瓶颈。流量限制对系统的访问流量进行限制设置单IP访问频率阈值防止单个IP发送大量请求。冗余部署采用集群部署、多区域部署当某一区域的系统被攻击瘫痪时其他区域的系统可正常提供服务保障系统可用性。2网络监听攻击必考攻击原理攻击者通过网络监听工具如Wireshark、Sniffer捕获网络中传输的数据包分析数据包内容窃取敏感信息如账号密码、交易数据、聊天记录。网络监听攻击主要发生在未加密的网络环境中如公共Wi-Fi、未加密的局域网核心是“窃取传输中的敏感信息”。常见场景公共Wi-Fi环境下用户使用手机、电脑访问电商网站、银行网站输入账号密码攻击者通过网络监听窃取用户的账号密码企业内部局域网中攻击者监听内部网络传输的敏感数据如商业机密。防御措施必背 数据传输加密对网络传输的敏感数据进行加密处理采用SSL/TLS协议如HTTPS确保数据包即使被捕获也无法被解密获取内容。使用加密网络使用VPN虚拟专用网络、加密局域网避免在未加密的公共网络中传输敏感数据。禁用网络监听工具在系统、网络设备中禁用网络监听工具防止攻击者利用工具进行监听。定期检测网络定期使用网络检测工具排查网络中是否存在监听行为及时发现并处置。3ARP欺骗攻击高频易错点攻击原理ARP地址解析协议的作用是将IP地址转换为MAC地址攻击者通过发送伪造的ARP数据包篡改网络设备的ARP缓存表将目标设备的IP地址对应的MAC地址改为攻击者的MAC地址导致网络流量被劫持攻击者可以监听、篡改网络传输的数据。常见场景企业内部局域网中攻击者通过ARP欺骗劫持其他员工的网络流量窃取敏感信息篡改网络流量导致用户访问虚假网站如钓鱼网站。防御措施必背 静态绑定ARP在网络设备如路由器、交换机、终端设备中静态绑定IP地址与MAC地址防止ARP缓存表被篡改。部署ARP防火墙在终端设备、网络入口部署ARP防火墙拦截伪造的ARP数据包防止ARP欺骗。定期检查ARP缓存表定期检查网络设备、终端设备的ARP缓存表发现异常的IP-MAC绑定及时处置。使用VLAN隔离将局域网划分为多个VLAN限制ARP欺骗的影响范围防止攻击扩散。4IP欺骗攻击低频了解即可攻击原理攻击者伪造IP地址向目标系统发送数据包伪装成合法的IP地址如系统内部IP、信任的IP获取目标系统的信任进而入侵系统、窃取敏感信息。IP欺骗攻击的核心是“伪装合法IP获取系统信任”。常见场景攻击者伪造系统管理员的IP地址向目标系统发送指令篡改系统配置、窃取敏感信息伪造信任的服务器IP地址与目标系统建立连接入侵系统。防御措施 IP地址过滤在防火墙、路由器中设置IP地址过滤规则只允许信任的IP地址访问系统拒绝未知IP地址的访问。身份认证结合IP验证在系统登录、访问时不仅进行身份认证账号密码还验证IP地址确保只有信任的IP地址的合法用户才能访问。使用加密协议采用SSL/TLS等加密协议对传输的数据包进行加密防止IP地址伪造后的数据篡改。2.2.2 应用层攻击高频案例题核心应用层攻击主要针对系统的应用程序如Web应用、移动应用核心目的是窃取敏感信息、篡改数据、入侵系统常见攻击类型如下其中SQL注入、XSS跨站脚本是考试的重中之重每年必考。1SQL注入攻击必考每年1-2题攻击原理SQL注入攻击是最常见的应用层攻击攻击者通过在用户输入框如登录框、搜索框中输入恶意的SQL语句欺骗应用程序执行该SQL语句进而获取数据库中的敏感信息如用户账号密码、交易数据、篡改数据库数据、甚至控制整个系统。核心是“将用户输入当作SQL语句执行绕过应用程序的输入校验”。常见类型 普通SQL注入攻击者输入简单的恶意SQL语句获取数据库中的数据如“1 or 11 --”用于登录绕过。盲注攻击者无法直接获取数据库返回的结果通过发送不同的SQL语句根据应用程序的响应如页面是否正常显示推断数据库中的数据。堆叠注入攻击者输入多个SQL语句用分号分隔让应用程序依次执行实现篡改数据、删除数据等操作如“select * from user; delete from user;”。常见场景Web应用的登录框、搜索框、注册框如电商网站的搜索框、政务系统的登录框攻击者通过输入恶意SQL语句窃取用户数据、篡改交易数据。防御措施必背案例题、论文题可直接套用严格输入校验对用户输入的内容进行严格校验过滤恶意SQL语句如过滤单引号、分号、SQL关键字select、delete、update限制输入长度和格式。使用参数化查询预处理语句将SQL语句与用户输入分离用户输入仅作为参数传递不直接拼接为SQL语句这是防御SQL注入的最有效方法。例如使用PreparedStatementJava、Parameterized QueryPython避免SQL语句拼接。最小权限原则为数据库访问账号分配最小权限仅授予其完成工作所需的权限如仅授予查询权限不授予删除、修改权限即使发生SQL注入也无法造成大规模破坏。数据库加密对数据库中的敏感字段如用户密码、手机号进行加密存储即使攻击者通过SQL注入获取到数据也无法直接获取敏感信息。部署WAFWeb应用防火墙在Web应用前端部署WAF识别并拦截SQL注入等应用层攻击过滤恶意请求。定期安全测试定期对应用程序进行安全测试如渗透测试排查SQL注入等安全漏洞及时修复。2XSS跨站脚本攻击必考每年1-2题攻击原理XSSCross-Site Scripting跨站脚本攻击攻击者通过在用户输入框中输入恶意的JavaScript、HTML代码欺骗应用程序将恶意代码嵌入到网页中当其他用户访问该网页时恶意代码被执行窃取用户的Cookie、账号密码、会话信息或篡改网页内容、诱导用户操作如点击钓鱼链接。核心是“将恶意脚本嵌入网页被其他用户执行”。常见类型 存储型XSS高频攻击者将恶意脚本输入到应用程序的数据库中如评论区、留言板当其他用户访问该页面时恶意脚本从数据库中读取并执行危害范围广、持续时间长。例如在电商网站的评论区输入恶意脚本所有查看该评论的用户都会被攻击。反射型XSS高频攻击者将恶意脚本拼接在URL中诱导用户点击该URL当用户点击后恶意脚本被应用程序反射到网页中并执行危害范围仅限于点击URL的用户。例如伪造电商网站的登录URL嵌入恶意脚本诱导用户点击窃取用户的登录信息。DOM型XSS低频攻击者通过修改网页的DOM结构注入恶意脚本当用户操作网页时恶意脚本被执行无需与服务器交互仅在客户端执行。常见场景Web应用的评论区、留言板、登录框、搜索框如社交平台的评论区、电商网站的留言板攻击者通过输入恶意脚本窃取用户信息、诱导用户操作。防御措施必背案例题、论文题可直接套用 输入过滤与转义对用户输入的内容进行严格过滤过滤恶意JavaScript、HTML代码如过滤script、iframe等标签转义特殊字符如将转义为、转义为使恶意脚本无法被解析执行。例如将用户输入的“scriptalert(1)/script”转义为“lt;scriptgt;alert(1)/scriptgt;”使其无法执行。 启用内容安全策略CSP在Web服务器中配置CSP策略限制网页中可执行的脚本来源仅允许信任的域名加载脚本禁止加载未知来源的恶意脚本从根源上阻止XSS攻击。例如配置CSP策略仅允许本域名、阿里云CDN域名的脚本执行禁止其他域名的脚本加载。 禁止Cookie跨域访问设置Cookie的HttpOnly属性使Cookie无法被JavaScript读取防止攻击者通过XSS脚本窃取Cookie中的会话信息设置Secure属性仅允许HTTPS协议传输Cookie避免Cookie在未加密的HTTP协议中被窃取。 定期清理用户输入数据对存储在数据库中的用户输入数据如评论、留言进行定期清理删除恶意脚本内容防止存储型XSS攻击的持续危害。 前端校验与后端校验结合前端页面对用户输入进行初步校验如限制输入长度、过滤特殊字符后端服务器进行二次校验双重防护避免前端校验被绕过如攻击者禁用前端JS校验直接提交恶意脚本。 部署WAFWeb应用防火墙WAF可自动识别XSS攻击的特征如恶意脚本标签、特殊字符组合拦截包含恶意脚本的请求为Web应用提供额外的防护屏障。3CSRF跨站请求伪造攻击高频每年1题攻击原理CSRFCross-Site Request Forgery跨站请求伪造攻击攻击者利用用户已登录的会话信息如Cookie诱导用户点击恶意链接或访问恶意网页让用户在无意识中向目标系统发送恶意请求如转账、修改密码、删除数据实现攻击目的。核心是“利用用户的合法会话伪造用户操作绕过身份认证”。
软件架构设计师考试——系统安全性与保密性设计知识点全总结(考前冲刺版,超1万字)
临近软件架构设计师考试系统安全性与保密性设计是考试的核心模块贯穿上午场信息系统综合知识15-20分、下午场案例分析25-35分及论文写作高频命题方向是“稳拿分、拉开分差”的关键。本总结严格遵循最新考试大纲全面覆盖系统安全性与保密性的核心概念、安全威胁与攻击类型、安全模型、保密性设计、安全性设计、安全技术与工具、合规性要求、真题解析及应试技巧兼顾全面性、针对性和应试性重点区分“必考考点”“高频考点”“易错考点”补充真题关联、易错点辨析、记忆技巧和案例模板总字数超1万字排版层次清晰、重点突出无需考生额外筛选内容直接用于考前背诵、查漏补缺、真题适配即可。核心说明软件架构设计师考试中系统安全性与保密性设计的命题有3个显著特点① 侧重“概念实操”既考查安全基础概念、威胁类型也考查安全设计方法、技术选型和方案落地② 结合行业场景常以分布式系统、微服务、云原生、金融系统、政务系统等主流场景为背景命题重点考查“安全威胁识别”“保密性保障”和“安全方案设计”③ 案例分析和论文写作高频聚焦“安全漏洞排查”“数据加密方案”“访问控制设计”“隐私保护落地”需结合考点灵活运用体现实操能力。本总结将针对这些特点强化核心考点、补充实操细节助力考生快速掌握得分要点规避易错点。第一部分 系统安全性与保密性基础必考每年3-4题系统安全性与保密性基础是理解后续核心知识点的前提核心考查安全性、保密性的定义、核心目标、核心特性以及两者的关联与区别命题形式以单选题、多选题为主难度中等偏易重点记忆核心定义和辨析点为后续核心模块学习奠定基础。1.1 核心概念必背每年1-2题1.1.1 系统安全性Security权威定义考试标准答案根据软件架构设计师考试大纲及GB/T 25000-2019《系统与软件工程 系统与软件质量要求和评价》系统安全性是指系统在规定的时间内、规定的环境条件下抵御各种安全威胁如攻击、篡改、泄露保护系统自身、数据及用户权益不被侵害确保系统正常运行、数据完整可用的能力。核心关键词抵御威胁、保护系统与数据、正常运行、完整可用四者缺一不可是判断系统是否安全的核心依据。通俗理解系统能够抵御外部和内部的各种恶意攻击、意外操作防止数据被泄露、篡改、破坏确保系统不瘫痪、业务不中断同时保护用户的隐私和合法权益就是安全的。例如金融支付系统能够防止黑客攻击、防止用户支付信息泄露、防止交易数据被篡改确保支付业务正常进行即可认为该系统具备良好的安全性。核心目标必背多选题高频系统安全性的核心目标可概括为“CIA三元组”这是考试的重中之重需牢记每个目标的含义和应用场景机密性Confidentiality确保敏感信息不被未授权的主体访问、窃取或泄露仅允许授权主体访问。这是保密性设计的核心目标也是安全性的重要组成部分。例如用户的身份证号、银行卡密码、企业的核心商业机密仅允许授权人员访问防止泄露。完整性Integrity确保数据在存储、传输、处理过程中不被未授权的主体篡改、破坏保证数据的真实性和一致性同时防止数据被意外修改。例如交易数据、合同文件确保其内容不被篡改保证交易的公平性和数据的可靠性。可用性Availability确保授权主体在需要时能够正常访问系统资源、使用系统功能防止系统被攻击导致瘫痪或服务中断保障系统的持续运行。例如电商系统在高峰期如双十一能够抵御DDoS攻击确保用户正常下单、支付不出现系统卡顿、崩溃。补充说明考试中常考查CIA三元组的拓展目标需了解并掌握偶尔以多选题形式考查可控性Controllability对系统的访问、操作、数据流向进行严格控制确保所有操作都可追溯、可管理防止未授权操作的发生。例如对系统管理员的操作进行日志记录对数据的访问权限进行分级控制。可审查性Accountability系统能够记录所有用户的操作行为、访问记录当发生安全事件时能够通过日志追溯事件原因、定位责任主体。例如系统日志记录用户的登录时间、操作内容、IP地址便于安全审计和事件排查。不可否认性Non-repudiation确保用户无法否认自己的操作行为例如用户发送的消息、进行的交易一旦完成无法否认其操作防止用户事后抵赖。例如数字签名技术能够证明消息的发送者身份防止发送者抵赖。1.1.2 系统保密性Confidentiality权威定义考试标准答案系统保密性是系统安全性的核心子集指通过技术和管理手段确保敏感信息如个人隐私、商业机密、政务秘密仅被授权主体访问、使用不被未授权主体泄露、窃取、传播的能力。核心关键词敏感信息、授权访问、防止泄露核心是“控制信息的访问范围”确保信息不被泄露给未授权的人或系统。通俗理解保密性就是“不该看的人看不到”例如企业的核心技术文档仅允许技术部门的授权人员查看用户的个人健康信息仅允许医疗机构的授权人员访问防止信息泄露给无关人员。核心目标必背与安全性机密性目标一致重点区分防止敏感信息被未授权访问限制敏感信息的访问权限仅授权主体可访问。防止敏感信息被泄露通过加密、隔离等技术防止敏感信息在存储、传输过程中被窃取、泄露。防止敏感信息被非法传播控制敏感信息的传播范围防止授权主体将敏感信息泄露给未授权主体。补充说明考试中常考查“保密性与安全性的关联与区别”需重点辨析易错点关联保密性是安全性的核心组成部分没有保密性系统就无法实现完整的安全性安全性包含保密性同时还涵盖完整性、可用性等多个目标是一个更广泛的概念。区别安全性侧重“抵御所有威胁保障系统整体正常运行”涵盖范围广保密性侧重“保护敏感信息不被泄露”是针对性的目标核心是“信息的访问控制和加密保护”。例如一个系统可能具备良好的可用性不瘫痪但缺乏保密性敏感信息泄露则该系统安全性不足一个系统具备保密性敏感信息不泄露但缺乏可用性频繁崩溃其安全性也不足。1.1.3 敏感信息的分类必考案例题高频敏感信息是保密性设计的核心对象考试中常考查敏感信息的分类结合场景识别敏感信息案例题中常要求考生针对不同类型的敏感信息设计保密性方案需牢记以下分类及示例1个人敏感信息高频结合《个人信息保护法》指与个人相关、泄露后会危害个人权益如隐私、财产、名誉的信息考试中常结合政务、电商、医疗场景考查个人身份信息身份证号、护照号、驾驶证号、户籍信息等。个人财产信息银行卡号、支付密码、余额、交易记录、房产信息等。个人生物信息指纹、人脸、虹膜、声纹等。个人健康信息病历、体检报告、疾病诊断、用药记录等。其他敏感信息手机号、家庭住址、婚姻状况、宗教信仰等。2企业敏感信息指与企业相关、泄露后会危害企业利益如商业秘密、经营安全的信息考试中常结合企业系统、电商系统考查商业机密核心技术方案、算法、源代码、产品设计图纸等。经营信息客户名单、销售数据、财务报表、采购价格、合作协议等。内部管理信息员工信息、薪酬体系、内部规章制度、项目计划等。3政务敏感信息指与政务工作相关、泄露后会危害国家安全、公共利益的信息考试中常结合政务系统考查国家秘密涉及国家安全、国防利益的机密、秘密、绝密信息如军事部署、外交机密。政务数据人口数据、法人数据、社保数据、政务审批记录等。内部政务信息政务工作流程、内部会议纪要、未公开的政策文件等。1.2 系统安全性与保密性的核心特性必背多选题高频根据考试大纲及行业标准系统安全性与保密性具备以下核心特性需牢记每个特性的含义区分安全性和保密性各自的特性避免混淆1.2.1 系统安全性的核心特性抗攻击性系统能够抵御各种恶意攻击如黑客攻击、病毒感染、DDoS攻击防止系统被入侵、数据被篡改或泄露是安全性的核心特性。例如通过防火墙、入侵检测系统抵御外部攻击通过杀毒软件防止病毒感染。完整性如前文所述确保数据和系统功能不被未授权篡改、破坏保证系统的正常运行和数据的可靠性。可用性确保系统在各种情况下如高并发、攻击、硬件故障都能正常运行授权主体能够正常访问系统资源不出现服务中断。可追溯性系统能够记录所有操作行为、访问记录当发生安全事件时能够追溯事件原因、定位责任主体为安全审计和事件排查提供依据。可恢复性系统发生安全事件如攻击、故障后能够快速恢复系统正常运行恢复被破坏的数据减少安全事件造成的损失。例如通过数据备份、灾难恢复技术实现系统和数据的快速恢复。合规性系统的安全性设计符合相关法律法规、行业标准和企业规章制度确保系统的安全运行符合法律要求避免法律风险。例如符合《网络安全法》《个人信息保护法》《数据安全法》等。1.2.2 系统保密性的核心特性访问可控性对敏感信息的访问进行严格控制仅授权主体可访问未授权主体无法访问核心是“权限分级、精准授权”。例如通过访问控制列表ACL、角色权限管理RBAC控制敏感信息的访问权限。加密保护性通过加密技术对敏感信息进行加密处理存储加密、传输加密即使信息被窃取未授权主体也无法解密获取信息内容。例如对用户密码进行哈希加密存储对传输的敏感数据进行SSL/TLS加密。防泄露性通过技术和管理手段防止敏感信息被泄露如防止截图、复制、传播控制敏感信息的传播范围。例如对敏感文档设置禁止复制、禁止截图权限对授权用户的操作进行监控。不可关联性对敏感信息进行脱敏处理使脱敏后的信息无法关联到具体的个人或主体防止通过脱敏信息推断出原始敏感信息。例如将用户身份证号脱敏为“110101****1234”将手机号脱敏为“138****5678”。1.3 系统安全性与保密性的影响因素必背案例题高频影响系统安全性与保密性的因素众多考试中常以多选题形式考查因素分类案例题中常考查“系统安全性/保密性不足的原因分析”需从技术、管理、人员、环境四个维度牢记每个维度结合具体场景理解1.3.1 技术因素核心因素考试重点技术因素是影响系统安全性与保密性的核心主要包括技术选型不合理、技术实现存在漏洞、安全技术应用不到位等具体如下技术选型不合理选用的技术栈存在安全漏洞、不成熟或技术选型与系统安全需求不匹配导致系统存在安全隐患。例如选用存在漏洞的第三方组件、使用不安全的加密算法如DES、选用不支持访问控制的数据库。系统设计存在缺陷系统架构设计不合理缺乏安全设计理念导致系统存在安全漏洞。例如未设计访问控制机制、未进行数据加密、未设计故障隔离机制导致敏感信息泄露、系统被入侵。代码实现存在漏洞开发编码阶段代码存在安全漏洞如SQL注入、XSS跨站脚本、缓冲区溢出导致系统被攻击、敏感信息泄露。例如未对用户输入进行校验导致SQL注入攻击未处理敏感信息导致代码中泄露用户密码。安全技术应用不到位未应用必要的安全技术如加密技术、防火墙、入侵检测系统或安全技术配置不合理无法有效抵御安全威胁。例如未对传输的敏感数据进行加密导致数据被窃取防火墙配置不当导致外部攻击无法被拦截。系统升级不及时系统、中间件、数据库等未及时升级补丁导致已知的安全漏洞未被修复被攻击者利用。例如Windows系统未及时安装安全补丁导致勒索病毒攻击数据库未及时升级导致漏洞被利用窃取数据。1.3.2 管理因素可控因素案例题高频管理因素是影响系统安全性与保密性的重要可控因素主要包括安全管理制度不完善、安全管理流程不规范、安全审计不到位等具体如下安全管理制度不完善未制定完善的安全管理制度缺乏对系统安全、敏感信息的管理规范导致安全管理无章可循。例如未制定密码管理制度、访问权限管理制度、敏感信息管理制度导致用户密码简单、权限混乱、敏感信息随意传播。安全管理流程不规范系统开发、部署、运维过程中安全管理流程不规范导致安全漏洞遗留。例如开发阶段未进行安全测试、部署阶段未进行安全配置、运维阶段未进行安全监控导致系统存在安全隐患。安全审计不到位未建立完善的安全审计机制未对系统的操作行为、访问记录进行审计无法及时发现安全事件也无法追溯事件原因。例如未记录用户的操作日志发生敏感信息泄露后无法定位泄露源头。应急响应机制不完善未制定安全事件应急响应预案发生安全事件如攻击、泄露后无法快速响应、处置导致损失扩大。例如发生DDoS攻击后未及时启动应急响应导致系统长时间瘫痪发生敏感信息泄露后未及时采取补救措施导致信息进一步传播。1.3.3 人员因素关键因素人员因素是影响系统安全性与保密性的关键主要包括人员安全意识不足、技术能力不足、操作失误等具体如下安全意识不足系统用户、开发人员、运维人员安全意识薄弱存在不安全操作导致安全漏洞。例如用户使用简单密码、随意泄露账号密码开发人员在代码中硬编码敏感信息运维人员随意开放系统端口、泄露系统配置。技术能力不足开发人员、运维人员、安全人员技术能力不足无法识别和修复安全漏洞无法有效抵御安全威胁。例如开发人员无法识别SQL注入、XSS等漏洞运维人员无法配置防火墙、入侵检测系统安全人员无法排查安全事件。操作失误人员操作失误导致系统安全漏洞或敏感信息泄露。例如运维人员误删除安全配置、误开放系统权限开发人员误将敏感信息写入日志用户误点击钓鱼链接导致账号密码被窃取。内部恶意行为内部人员如员工、管理员恶意操作窃取敏感信息、破坏系统导致系统安全性与保密性受损。例如管理员恶意泄露用户数据员工窃取企业商业机密泄露给竞争对手。1.3.4 环境因素外部因素环境因素是影响系统安全性与保密性的外部因素主要包括网络环境、物理环境、外部攻击环境等具体如下网络环境不安全系统运行的网络环境存在安全隐患如网络未加密、存在网络监听、网络拥堵等导致敏感信息被窃取、系统被攻击。例如在公共Wi-Fi环境下传输敏感数据导致数据被监听网络拥堵时系统响应缓慢易被攻击者利用。物理环境不安全系统运行的物理环境如机房缺乏安全防护导致硬件设备被破坏、敏感信息被窃取。例如机房未设置门禁、监控导致无关人员进入机房窃取服务器中的敏感数据机房电源不稳定导致系统故障数据丢失。外部攻击环境复杂当前网络攻击手段不断升级攻击者采用各种先进的攻击技术如APT攻击、勒索病毒、人工智能攻击导致系统难以抵御攻击。例如APT攻击具有隐蔽性强、持续时间长的特点容易突破系统的安全防护窃取敏感信息。1.4 系统安全性与保密性的设计原则必背案例题、论文题高频系统安全性与保密性设计需遵循一定的原则这些原则是安全设计的核心指导思想考试中常以多选题形式考查原则名称案例题和论文题中常要求考生结合原则设计安全方案需牢记每个原则的含义和应用场景1.4.1 核心设计原则必背重中之重最小权限原则必考核心是“仅授予主体完成其工作所需的最小权限不授予多余权限”防止权限滥用导致的安全风险。例如普通用户仅授予查看自己数据的权限不授予修改、删除他人数据的权限系统管理员仅授予其管理所需的权限不授予超级管理员权限。纵深防御原则必考核心是“构建多层次、多维度的安全防护体系不依赖单一的安全防护手段”即使某一层防护被突破其他层防护仍能发挥作用确保系统安全。例如从网络层防火墙、应用层WAF、数据层加密、管理层安全审计构建多层防护体系抵御不同类型的攻击。数据分类分级原则必考核心是“根据敏感信息的重要程度、泄露后的危害程度对数据进行分类、分级针对不同级别数据采取不同的安全防护措施”。例如将数据分为公开数据、内部数据、敏感数据、绝密数据对敏感数据和绝密数据采取加密、严格访问控制等措施对公开数据采取简单防护措施。加密保护原则必考核心是“对敏感信息进行加密处理包括存储加密、传输加密确保敏感信息即使被窃取也无法被解密获取”。例如对用户密码进行哈希加密存储对传输的敏感数据进行SSL/TLS加密对数据库中的敏感字段进行加密。访问控制原则必考核心是“对系统资源、敏感信息的访问进行严格控制明确授权主体、访问权限、访问范围防止未授权访问”。例如通过角色权限管理RBAC、访问控制列表ACL控制用户对敏感信息的访问通过身份认证确认用户身份后再授予访问权限。1.4.2 辅助设计原则了解低频考点安全隔离原则将不同安全级别的系统、数据进行隔离防止安全风险跨区域扩散。例如将政务系统与互联网隔离将核心业务系统与非核心业务系统隔离将敏感数据存储区与普通数据存储区隔离。可审计原则对系统的所有操作行为、访问记录进行记录和审计确保操作可追溯、责任可定位。例如记录用户的登录时间、操作内容、IP地址记录敏感信息的访问、修改、删除记录便于安全审计和事件排查。易用性原则安全设计不影响系统的易用性避免因安全措施过于复杂导致用户操作不便、系统效率下降。例如密码策略既要保证安全性复杂密码也要考虑易用性定期更换、可找回身份认证既要严格也要避免多次认证影响用户体验。合规性原则安全设计符合相关法律法规、行业标准和企业规章制度确保系统的安全运行符合法律要求避免法律风险。例如符合《网络安全法》《个人信息保护法》《数据安全法》符合行业安全标准如金融行业的等保三级。动态调整原则根据系统的运行环境、安全威胁的变化动态调整安全防护措施确保安全设计的有效性。例如随着攻击手段的升级及时更新防火墙规则、入侵检测系统特征库随着业务的变化及时调整访问权限、数据分类分级。1.5 真题关联必看贴合考试难度真题12023年上半年单选以下关于系统安全性核心目标的描述正确的是 A. 机密性是指确保数据不被篡改保证数据的真实性B. 可用性是指确保授权主体在需要时能够访问系统资源防止系统瘫痪C. 完整性是指确保敏感信息不被未授权访问防止信息泄露D. 不可否认性是指确保系统的操作行为无法追溯避免责任定位解析答案为B。A错误机密性是防止敏感信息泄露完整性是防止数据篡改B正确可用性的核心是确保系统正常运行授权主体可访问资源C错误完整性是防止数据篡改机密性是防止信息泄露D错误不可否认性是确保用户无法否认自己的操作操作可追溯故选B。真题22022年下半年多选以下属于系统保密性核心特性的有 A. 访问可控性 B. 抗攻击性 C. 加密保护性 D. 可恢复性 E. 防泄露性解析答案为ACE。系统保密性的核心特性包括访问可控性、加密保护性、防泄露性、不可关联性B抗攻击性、D可恢复性属于系统安全性的核心特性故选ACE。真题32021年下半年案例分析节选某政务系统上线后出现敏感信息泄露、未授权访问等安全问题经排查发现该系统存在以下问题① 未对敏感数据进行加密存储② 用户密码采用简单密码且未定期更换③ 未制定安全管理制度运维人员随意开放系统端口④ 未对用户操作进行日志记录无法追溯安全事件。请分析该系统安全性与保密性不足的原因分别对应哪些影响因素解析① 未对敏感数据进行加密存储属于技术因素安全技术应用不到位② 用户密码简单、未定期更换属于人员因素安全意识不足③ 未制定安全管理制度、运维人员操作不当属于管理因素安全管理制度不完善和人员因素操作失误④ 未记录用户操作日志属于管理因素安全审计不到位。第二部分 系统安全威胁与攻击类型必考每年4-5题案例题核心系统安全威胁与攻击类型是考试的核心考点考试中重点考查威胁的分类、攻击的类型、攻击的原理及防御措施命题形式包括单选题、多选题、案例题威胁识别与防御是案例题的高频命题点需重点掌握每种攻击类型的特点、原理和防御措施结合场景识别攻击类型。核心说明安全威胁是指可能导致系统安全性、保密性受损的潜在风险如黑客攻击、病毒感染安全攻击是指攻击者主动实施的、危害系统安全的行为如SQL注入、DDoS攻击。考试中常要求考生结合场景识别攻击类型并提出对应的防御措施需重点区分不同攻击类型的差异避免混淆。2.1 安全威胁的分类必背多选题高频安全威胁的分类方式众多考试中最常用的分类方式是“按威胁来源分类”和“按威胁类型分类”两种分类方式均需重点掌握结合场景理解每种威胁的具体表现2.1.1 按威胁来源分类核心分类外部威胁高频案例题常考来自系统外部的威胁主要由外部攻击者如黑客、恶意组织实施核心目的是窃取敏感信息、破坏系统运行具体包括黑客攻击攻击者通过各种技术手段入侵系统窃取敏感信息、篡改数据、破坏系统功能如SQL注入、XSS攻击、DDoS攻击。病毒与恶意软件通过病毒、木马、勒索病毒等恶意软件感染系统窃取敏感信息、控制系统、破坏数据如勒索病毒加密用户数据索要赎金。网络监听攻击者通过网络监听工具窃取系统传输的敏感信息如用户账号密码、交易数据通常发生在未加密的网络环境中。社会工程学攻击攻击者通过欺骗、诱导等方式获取用户的敏感信息如账号密码、系统配置如钓鱼邮件、钓鱼网站、冒充客服等。内部威胁高频易错点来自系统内部的威胁主要由内部人员如员工、管理员实施核心目的是窃取敏感信息、破坏系统由于内部人员熟悉系统结构威胁危害性更大具体包括内部人员恶意操作员工、管理员恶意窃取敏感信息、篡改数据、破坏系统如管理员泄露用户数据、员工窃取企业商业机密。内部人员操作失误员工、管理员操作失误导致系统安全漏洞、敏感信息泄露如误删除安全配置、误将敏感信息发送给未授权人员。内部账号泄露内部人员的账号密码被泄露被外部攻击者利用入侵系统如员工账号密码被黑客窃取用于登录系统。自然威胁低频了解即可来自自然环境的威胁属于不可控因素主要导致系统硬件损坏、数据丢失具体包括自然灾害地震、洪水、雷击、火灾等导致机房硬件设备损坏、系统瘫痪、数据丢失。环境异常机房温度过高、湿度过大、电源不稳定导致硬件设备故障、系统运行异常。2.1.2 按威胁类型分类核心分类案例题必考泄露威胁保密性相关高频核心是导致敏感信息泄露被未授权主体访问、窃取具体包括信息窃取攻击者窃取系统中的敏感信息如用户数据、商业机密、政务数据。信息泄露内部人员或外部攻击者将敏感信息泄露给未授权主体如泄露用户手机号、企业核心技术。网络监听窃取系统传输的敏感信息如未加密的账号密码、交易数据。篡改威胁完整性相关高频核心是导致数据被未授权主体篡改、破坏确保数据的真实性和一致性受损具体包括数据篡改攻击者篡改系统中的数据如交易金额、用户信息、合同内容导致数据失真。系统篡改攻击者篡改系统配置、代码破坏系统功能如篡改系统登录页面、植入恶意代码。文件篡改攻击者篡改系统中的文件如文档、程序文件导致文件无法正常使用或包含恶意内容。破坏威胁可用性相关高频核心是导致系统瘫痪、服务中断授权主体无法正常访问系统资源具体包括拒绝服务攻击DDoS攻击者发送大量请求占用系统资源导致系统无法响应正常请求服务中断。系统破坏攻击者破坏系统硬件、软件导致系统瘫痪如删除系统核心文件、破坏服务器硬件。病毒感染恶意软件感染系统占用系统资源、破坏系统功能导致系统运行异常、瘫痪。未授权访问威胁安全性相关高频核心是未授权主体访问系统资源、敏感信息具体包括非法登录攻击者通过窃取账号密码、破解密码等方式非法登录系统访问敏感信息、操作系统功能。越权访问授权主体访问超出其权限范围的系统资源、敏感信息如普通用户访问管理员权限的功能、查看其他用户的敏感数据。非法入侵攻击者通过各种技术手段入侵系统获取系统控制权访问敏感信息、破坏系统。抵赖威胁不可否认性相关低频核心是用户否认自己的操作行为导致责任无法定位具体包括交易抵赖用户完成交易后否认自己的交易行为如否认支付、否认发送消息。操作抵赖用户完成系统操作后否认自己的操作行为如否认删除数据、否认修改配置。2.2 常见安全攻击类型必考每年2-3题案例题高频考试中常考查的安全攻击类型主要分为“网络层攻击”“应用层攻击”“数据层攻击”“身份认证攻击”四类需重点掌握每种攻击的原理、特点、常见场景和防御措施这是案例题的核心考点也是论文题的重要素材。2.2.1 网络层攻击高频上午题、案例题均考网络层攻击主要针对网络协议、网络设备核心目的是破坏网络连通性、窃取网络传输的敏感信息常见攻击类型如下1拒绝服务攻击DDoS必考攻击原理攻击者通过控制大量僵尸机肉鸡向目标系统发送大量的请求如TCP连接请求、HTTP请求占用系统的CPU、内存、带宽等资源导致系统无法响应正常用户的请求服务中断。DDoS攻击的核心是“耗尽系统资源”使系统瘫痪。常见类型 TCP SYN Flood攻击者向目标系统发送大量的TCP SYN请求建立连接但不完成三次握手导致目标系统的半连接队列被占满无法接收正常的连接请求。UDP Flood攻击者向目标系统发送大量的UDP数据包占用系统带宽导致系统无法正常传输数据。HTTP Flood攻击者向目标系统发送大量的HTTP请求如访问首页、提交表单占用系统的Web服务器资源导致Web服务瘫痪。常见场景电商系统高峰期如双十一、政务系统、游戏服务器攻击者通过DDoS攻击导致系统瘫痪影响业务正常运行。防御措施必背案例题可直接套用 部署抗DDoS设备在网络入口部署抗DDoS防火墙、流量清洗设备对异常流量进行识别和拦截过滤攻击流量保留正常流量。采用云防护服务将系统部署在云平台利用云平台的抗DDoS能力如阿里云、腾讯云的DDoS防护抵御大规模DDoS攻击。优化系统配置调整系统的TCP半连接队列大小、请求超时时间提升系统的抗攻击能力合理分配系统资源避免资源瓶颈。流量限制对系统的访问流量进行限制设置单IP访问频率阈值防止单个IP发送大量请求。冗余部署采用集群部署、多区域部署当某一区域的系统被攻击瘫痪时其他区域的系统可正常提供服务保障系统可用性。2网络监听攻击必考攻击原理攻击者通过网络监听工具如Wireshark、Sniffer捕获网络中传输的数据包分析数据包内容窃取敏感信息如账号密码、交易数据、聊天记录。网络监听攻击主要发生在未加密的网络环境中如公共Wi-Fi、未加密的局域网核心是“窃取传输中的敏感信息”。常见场景公共Wi-Fi环境下用户使用手机、电脑访问电商网站、银行网站输入账号密码攻击者通过网络监听窃取用户的账号密码企业内部局域网中攻击者监听内部网络传输的敏感数据如商业机密。防御措施必背 数据传输加密对网络传输的敏感数据进行加密处理采用SSL/TLS协议如HTTPS确保数据包即使被捕获也无法被解密获取内容。使用加密网络使用VPN虚拟专用网络、加密局域网避免在未加密的公共网络中传输敏感数据。禁用网络监听工具在系统、网络设备中禁用网络监听工具防止攻击者利用工具进行监听。定期检测网络定期使用网络检测工具排查网络中是否存在监听行为及时发现并处置。3ARP欺骗攻击高频易错点攻击原理ARP地址解析协议的作用是将IP地址转换为MAC地址攻击者通过发送伪造的ARP数据包篡改网络设备的ARP缓存表将目标设备的IP地址对应的MAC地址改为攻击者的MAC地址导致网络流量被劫持攻击者可以监听、篡改网络传输的数据。常见场景企业内部局域网中攻击者通过ARP欺骗劫持其他员工的网络流量窃取敏感信息篡改网络流量导致用户访问虚假网站如钓鱼网站。防御措施必背 静态绑定ARP在网络设备如路由器、交换机、终端设备中静态绑定IP地址与MAC地址防止ARP缓存表被篡改。部署ARP防火墙在终端设备、网络入口部署ARP防火墙拦截伪造的ARP数据包防止ARP欺骗。定期检查ARP缓存表定期检查网络设备、终端设备的ARP缓存表发现异常的IP-MAC绑定及时处置。使用VLAN隔离将局域网划分为多个VLAN限制ARP欺骗的影响范围防止攻击扩散。4IP欺骗攻击低频了解即可攻击原理攻击者伪造IP地址向目标系统发送数据包伪装成合法的IP地址如系统内部IP、信任的IP获取目标系统的信任进而入侵系统、窃取敏感信息。IP欺骗攻击的核心是“伪装合法IP获取系统信任”。常见场景攻击者伪造系统管理员的IP地址向目标系统发送指令篡改系统配置、窃取敏感信息伪造信任的服务器IP地址与目标系统建立连接入侵系统。防御措施 IP地址过滤在防火墙、路由器中设置IP地址过滤规则只允许信任的IP地址访问系统拒绝未知IP地址的访问。身份认证结合IP验证在系统登录、访问时不仅进行身份认证账号密码还验证IP地址确保只有信任的IP地址的合法用户才能访问。使用加密协议采用SSL/TLS等加密协议对传输的数据包进行加密防止IP地址伪造后的数据篡改。2.2.2 应用层攻击高频案例题核心应用层攻击主要针对系统的应用程序如Web应用、移动应用核心目的是窃取敏感信息、篡改数据、入侵系统常见攻击类型如下其中SQL注入、XSS跨站脚本是考试的重中之重每年必考。1SQL注入攻击必考每年1-2题攻击原理SQL注入攻击是最常见的应用层攻击攻击者通过在用户输入框如登录框、搜索框中输入恶意的SQL语句欺骗应用程序执行该SQL语句进而获取数据库中的敏感信息如用户账号密码、交易数据、篡改数据库数据、甚至控制整个系统。核心是“将用户输入当作SQL语句执行绕过应用程序的输入校验”。常见类型 普通SQL注入攻击者输入简单的恶意SQL语句获取数据库中的数据如“1 or 11 --”用于登录绕过。盲注攻击者无法直接获取数据库返回的结果通过发送不同的SQL语句根据应用程序的响应如页面是否正常显示推断数据库中的数据。堆叠注入攻击者输入多个SQL语句用分号分隔让应用程序依次执行实现篡改数据、删除数据等操作如“select * from user; delete from user;”。常见场景Web应用的登录框、搜索框、注册框如电商网站的搜索框、政务系统的登录框攻击者通过输入恶意SQL语句窃取用户数据、篡改交易数据。防御措施必背案例题、论文题可直接套用严格输入校验对用户输入的内容进行严格校验过滤恶意SQL语句如过滤单引号、分号、SQL关键字select、delete、update限制输入长度和格式。使用参数化查询预处理语句将SQL语句与用户输入分离用户输入仅作为参数传递不直接拼接为SQL语句这是防御SQL注入的最有效方法。例如使用PreparedStatementJava、Parameterized QueryPython避免SQL语句拼接。最小权限原则为数据库访问账号分配最小权限仅授予其完成工作所需的权限如仅授予查询权限不授予删除、修改权限即使发生SQL注入也无法造成大规模破坏。数据库加密对数据库中的敏感字段如用户密码、手机号进行加密存储即使攻击者通过SQL注入获取到数据也无法直接获取敏感信息。部署WAFWeb应用防火墙在Web应用前端部署WAF识别并拦截SQL注入等应用层攻击过滤恶意请求。定期安全测试定期对应用程序进行安全测试如渗透测试排查SQL注入等安全漏洞及时修复。2XSS跨站脚本攻击必考每年1-2题攻击原理XSSCross-Site Scripting跨站脚本攻击攻击者通过在用户输入框中输入恶意的JavaScript、HTML代码欺骗应用程序将恶意代码嵌入到网页中当其他用户访问该网页时恶意代码被执行窃取用户的Cookie、账号密码、会话信息或篡改网页内容、诱导用户操作如点击钓鱼链接。核心是“将恶意脚本嵌入网页被其他用户执行”。常见类型 存储型XSS高频攻击者将恶意脚本输入到应用程序的数据库中如评论区、留言板当其他用户访问该页面时恶意脚本从数据库中读取并执行危害范围广、持续时间长。例如在电商网站的评论区输入恶意脚本所有查看该评论的用户都会被攻击。反射型XSS高频攻击者将恶意脚本拼接在URL中诱导用户点击该URL当用户点击后恶意脚本被应用程序反射到网页中并执行危害范围仅限于点击URL的用户。例如伪造电商网站的登录URL嵌入恶意脚本诱导用户点击窃取用户的登录信息。DOM型XSS低频攻击者通过修改网页的DOM结构注入恶意脚本当用户操作网页时恶意脚本被执行无需与服务器交互仅在客户端执行。常见场景Web应用的评论区、留言板、登录框、搜索框如社交平台的评论区、电商网站的留言板攻击者通过输入恶意脚本窃取用户信息、诱导用户操作。防御措施必背案例题、论文题可直接套用 输入过滤与转义对用户输入的内容进行严格过滤过滤恶意JavaScript、HTML代码如过滤script、iframe等标签转义特殊字符如将转义为、转义为使恶意脚本无法被解析执行。例如将用户输入的“scriptalert(1)/script”转义为“lt;scriptgt;alert(1)/scriptgt;”使其无法执行。 启用内容安全策略CSP在Web服务器中配置CSP策略限制网页中可执行的脚本来源仅允许信任的域名加载脚本禁止加载未知来源的恶意脚本从根源上阻止XSS攻击。例如配置CSP策略仅允许本域名、阿里云CDN域名的脚本执行禁止其他域名的脚本加载。 禁止Cookie跨域访问设置Cookie的HttpOnly属性使Cookie无法被JavaScript读取防止攻击者通过XSS脚本窃取Cookie中的会话信息设置Secure属性仅允许HTTPS协议传输Cookie避免Cookie在未加密的HTTP协议中被窃取。 定期清理用户输入数据对存储在数据库中的用户输入数据如评论、留言进行定期清理删除恶意脚本内容防止存储型XSS攻击的持续危害。 前端校验与后端校验结合前端页面对用户输入进行初步校验如限制输入长度、过滤特殊字符后端服务器进行二次校验双重防护避免前端校验被绕过如攻击者禁用前端JS校验直接提交恶意脚本。 部署WAFWeb应用防火墙WAF可自动识别XSS攻击的特征如恶意脚本标签、特殊字符组合拦截包含恶意脚本的请求为Web应用提供额外的防护屏障。3CSRF跨站请求伪造攻击高频每年1题攻击原理CSRFCross-Site Request Forgery跨站请求伪造攻击攻击者利用用户已登录的会话信息如Cookie诱导用户点击恶意链接或访问恶意网页让用户在无意识中向目标系统发送恶意请求如转账、修改密码、删除数据实现攻击目的。核心是“利用用户的合法会话伪造用户操作绕过身份认证”。
