软考高级·系统规划与管理师：信息安全核心考点解析与应试指南

一、引言

信息安全是软考高级系统规划与管理工程师考试的核心知识域，归属于信息安全管理范畴。历年在综合知识科目中稳定占据 3 到 5 分，题型以客观选择题为主。备考时需重点关注三大方向：基础概念辨析、技术措施的适用场景，以及新兴安全技术的基本原理。

纵观信息安全管理的演进脉络，大致可分为三个阶段：第一个是20世纪 70-90 年代的通信安全阶段，核心是确保数据传输的保密性；第二个是 90 年代至 2010 年左右的信息系统安全阶段，保护范围扩展到硬件、软件与数据的全维度；2010 年至今则进入网络空间安全时代，强调动态感知、行为追溯和主动防御的综合能力。目前的主流标准，如 ISO/IEC 27001 与国内的 GB/T 22239，也体现了这一理念。

本文将按考点脉络，系统梳理信息安全基础属性、核心防护技术、UEBA 以及态势感知等关键内容，并结合命题规律，助你吃透考点、高效拿分。

二、信息安全核心基础原理

（一）信息安全定义与核心属性

1. 信息安全定义
   信息安全是指为数据处理系统建立技术与管理的双重安全保护机制，防止计算机硬件、软件和数据因偶然或恶意原因遭到破坏、更改或泄露。它致力于保障信息的保密性、完整性、可用性、可控性及不可否认性这五大属性。这一定义有两个侧面：技术保护上，覆盖信息从产生到销毁的全生命周期；管理保护上，则囊括了安全策略、流程规范与人员意识等非技术要素。

2. 五大基本属性
   （1）保密性：确保信息仅被授权者使用，严防泄露。其主要目的是“防泄密”。通常通过数据加密、访问控制、DLP 等实现。比如，企业的核心研发文档只对研发部门的指定人员开放。

   （2）完整性：保证信息在流转过程中不被非法添加、删除或替换，核心是“防篡改”。实现手段包括数字签名、哈希校验、TLS 协议等。最典型的场景便是电子合同签署后，可验证其内容是否被改动。

   （3）可用性：授权用户在需要时随时可访问信息及系统，不被无故拒绝。它强调的是“保服务”。依赖冗余备份、容灾切换、负载均衡等技术。例如，银行核心系统通常要求全年可用性不低于 99.99%。

   （4）可控性：出于国家、机构及社会管理需要，能对信息的传播与使用施加控制，即“可管理”。这通过内容过滤、访问审计、数据脱敏等完成。比如，企业审核员工外发文档中的敏感内容。

   （5）不可否认性：也叫抗抵赖性，指信息主体须为自己的信息行为负责，能提供仲裁所需的证据，目的是“可追溯”。通过数字证书、操作日志及区块链存证等技术来保证。就像电子交易里，双方都无法否认已发生的操作。

（二）信息安全四层防护体系

信息安全防护需贯彻纵深防御思想，自下而上覆盖信息载体的全层级：

1. 设备安全：保障硬件实体及运行的物理安全，如防盗窃、硬件冗余和固件安全，这是最基础的一层载体保障。
2. 数据安全：重点保护数据的保密、完整与可用，覆盖其采集、传输、存储、处理、销毁的全过程，是信息安全的核心保护对象。
3. 内容安全：确保信息内容的合法合规，防止敏感信息或违法内容传播，这是监管层面的核心要求。
4. 行为安全：确保用户和实体的操作符合安全规范，识别异常与恶意行为，让全过程可审计、可追溯，是动态安全的核心。

三、信息安全核心技术措施与实施要点

（一）七类核心安全技术详解

1. 身份认证
   身份认证是确认操作者身份的过程，也是访问控制的前提。常见的实现方式包括：静态密码、智能卡、短信或动态口令、USBKey、PKI 以及生物识别（指纹、虹膜等）。其中，多因素认证（MFA）需组合两种以上方式，安全强度远超单因素，已是等保 2.0 的强制项。

2. 访问控制
   访问控制用于防止未授权访问，保证系统在合法范围内使用。主流模型有四类：
   （1）自主访问控制（DAC）：由资源属主自主决定其他人的访问权限，灵活但强度低，适合小团队内部文件共享。
   （2）基于角色的访问控制（RBAC）：将权限与角色绑定，用户再关联角色，是目前企业应用最广的模型，显著简化了权限管理。
   （3）基于规则的访问控制（RuBAC）：依据时间、IP、设备等预设规则动态决定权限，安全性高。例如，只允许办公网 IP 访问财务系统。
   （4）强制访问控制（MAC）：系统强制为主客体打上安全标签，依据标签匹配做决策，安全等级最高，适用于军工、政务等涉密系统。

3. 入侵检测系统（IDS）
   IDS 依照安全策略，通过软硬件监视网络和系统运行，来主动发现攻击企图或行为。按部署，可分为监视流量的网络型（NIDS）和守护服务器的主机型（HIDS）。需要注意的是，IDS 是旁路设备，能检测和告警，但不阻断流量。

4. 防火墙
   防火墙部署在安全域边界，通过包过滤、应用网关等组件实施跨域访问控制。除了传统的包过滤、应用层网关，如今的下一代防火墙（NGFW）还集成了入侵防御、应用识别和病毒过滤，是当前企业边界的主流防护设备。

5. 网闸
   网闸通过带控制功能的固态开关读写介质，在两个独立主机间进行物理层的分时数据摆渡。它在逻辑上阻断、隔离了外部对专用网的直连攻击，安全等级比防火墙更高，典型用于政务内外网、工控网与办公网之间这类需要高度隔离的场景。

6. 防病毒
   防病毒技术通过特征匹配与行为分析，防范病毒、木马等恶意代码。企业级防护要求具备六大能力：拒绝访问、检测、控制传播、清除、系统恢复以及替代操作。当前，它已演进为终端检测与响应系统（EDR），具备了主动发现威胁和异常行为分析的能力。

7. 数据加密
   加密技术对信息进行伪装，使非法获取者无法理解其真实含义，合法方则可通过密钥解密。它分为两类：
   （1）对称加密：加解密使用同一个密钥。代表算法有 DES、3DES、AES。优点是速度快、适合大量数据加密，但密钥分发是个难题。
   （2）非对称加密：成对出现公钥和私钥，公钥公开，私钥保密。代表算法有 RSA、SM2。它安全性高，解决了密钥分发问题，但加密速度较慢，多用于身份认证、数字签名等场景。

（二）安全技术对比与适用场景

技术类型	核心作用	部署位置	优势	局限性	适用场景
防火墙	边界访问控制	不同安全域边界	配置简单、阻断能力强	无法识别加密流量攻击、内部威胁	企业网络边界防护
IDS	入侵行为检测	网络旁路或主机侧	不影响业务、检测范围广	仅告警不阻断、误报率较高	全网威胁检测与审计
网闸	跨网物理隔离	高低安全域之间	安全等级极高、阻断所有连接	传输效率低、仅支持特定格式	涉密与非涉密网间数据摆渡
UEBA	内部异常行为检测	安全分析平台	可检测未知威胁、适配动态环境	需大量数据训练、初期误报高	内部违规操作、账号盗用检测

四、用户和实体行为分析（UEBA）技术应用

（一）传统安全检测的局限性

传统基于已知特征与规则匹配的安全检测，存在三大明显短板：

1. 安全盲区：只能对付已知特征攻击，在0day漏洞、新型APT等未知威胁面前无能为力。有报告指出，超三分之一的攻击事件能逃脱传统规则检测。
2. 滞后效应：在攻击发生后才能更新特征，存在响应时间差，这个窗口期常常被攻击者利用。
3. 适应性差：很难适配云原生、远程办公这类动态变化的IT环境，规则更新往往跟不上环境变化。

（二）UEBA 技术原理与架构

UEBA（用户和实体行为分析）的思路是：先建立用户和实体（终端、服务器等）的正常行为基线，再用统计分析、机器学习等手段去发现偏离基线的异常活动，从而揪出潜在安全事件。其架构通常分为三层：

1. 数据获取层：采集终端、网络、应用日志及人事、权限数据，甚至外部威胁情报，进行清洗和归一化。
2. 算法分析层：利用无监督、有监督及深度学习，给用户和实体“画像”，计算行为偏离度，精准定位异常。
3. 场景应用层：覆盖内部数据泄露、账号盗用、权限滥用等场景，输出告警和处置建议。
   一个典型案例是，某金融企业部署 UEBA 后，对比员工日常基线，识别出一位运维人员在非工作时间频繁访问核心客户数据库的异常举动，进而及时阻断，避免了约 500 万条信息的泄露，内部威胁检测效率提升了 70%。

五、网络安全态势感知体系建设

（一）态势感知核心概念与前提

网络安全态势感知，是在大规模网络环境中，对引起态势变化的安全要素进行获取、理解、展示并预测未来趋势的一种能力。它本质上是一种基于全局的、动态的、整体的风险洞悉力。实现这一切的前提，是拥有海量、多维度的安全大数据，作为分析的基础“原料”，以此驱动从被动响应到主动预测的转变。

（二）四大关键技术

1. 海量多元异构数据汇聚融合技术：处理PB级的多源异构数据，完成采集、清洗、归一化，并通过属性融合与关系拓展挖掘相关性，为上层分析打基础。
2. 多类型网络安全威胁评估技术：结合流量、域名、终端行为等数据检测异常，并运用大数据分析跟踪恶意代码和APT攻击，对威胁进行统计建模和量化定级。
3. 网络安全态势评估与决策支撑技术：以安全事件为驱动，融合多方信息构建多维知识图谱，从“人、物、地、事”角度综合评估态势，并给出可落地的处置决策。
4. 网络安全态势可视化技术：通过“数据转化→图像映射→视图变换”的流程，将抽象数据变为热力图、攻击路径图等直观视图，帮助安全人员快速决策。

（三）典型实施流程

以某省级政务云平台为例，其态势感知平台的落地步骤如下：

1. 数据汇聚融合：整合12类防火墙、IDS、WAF等设备的日志，加上外部威胁情报，每日处理约 5TB 数据，关联用户IP、时间等属性，识别出23个异常访问IP。
2. 威胁评估：检测到某境外IP对服务器的大量加密请求，匹配已知APT木马特征后，建模出“钓鱼邮件→政务终端→跳板服务器→数据库”的完整攻击链，定级为高危。
3. 态势评估与决策：构建包含攻击IP、受影响系统、涉及用户等维度的知识图谱，评估显示有17个服务、120万条用户数据受累，最终处置建议为立即隔离跳板机、重置受影响密码，并升级邮件网关策略。
4. 可视化展示：通过风险热力图、攻击路径节点图实时呈现态势，动态面板直观跟踪处置进度。这让安全人员的平均响应时间从4小时骤降至15分钟。

六、信息安全技术发展趋势与考试命题方向

（一）技术发展趋势

信息安全技术正从昔日静态、被动的防护，加速向动态、主动的智能防御演进，三大方向尤为突出：

1. 可信计算 3.0：以密码为基因，构建主动免疫的计算架构，让计算和防护并行，从底层筑牢根基，已成为等保 2.0 的核心要求。
2. 零信任架构：秉持“永不信任、始终验证”的理念，打破传统的内外网边界信任模型，以身份为核心进行动态访问控制，完美适配混合IT与远程办公场景。
3. 人工智能与安全融合：AI 正深度应用于威胁检测、异常行为分析和自动处置，极大提升了效率与准确性。与此同时，像提示注入、模型投毒等 AI 自身的安全风险，也成了新的研究焦点。

（二）考试命题趋势

近年来，考试对信息安全的考查正从枯燥的概念记忆，转向生动的场景应用和新兴技术原理，三大命题趋势清晰可辨：

1. 基础属性考察：偏好五大属性的场景辨析题。给你一个具体的安全事件描述，让你判断它到底违背了保密、完整还是可用性，这类属于必须拿下的“送分题”。
2. 技术适用场景考察：给出一个具体的企业安全需求，让你选出最恰当的技术。重点就是区分清楚防火墙、网闸、IDS 和加密技术之间各自的擅长领域。
3. 新兴技术考察：UEBA、态势感知、零信任等新鲜概念的基本原理和核心优势，分值逐年看涨，复习时要抓住它们的核心定位和与传统技术的区别。

七、总结与应试建议

（一）核心知识点提炼

1. 五大核心属性：保密性（防泄密）、完整性（防篡改）、可用性（保服务）、可控性（可管理）、不可否认性（可追溯）。
2. 七类核心安全技术：身份认证是访问前提；四种访问控制模型分别对应不同安全等级的场景；防火墙、IDS、网闸这三大边界防护利器，彼此间的适用场景存在明确界限；对称与非对称加密则功能互补、各有利弊。
3. UEBA 技术：核心是“用户画像”加“异常行为检测”，正好弥补了传统规则匹配无法识别未知威胁的盲区。
4. 网络安全态势感知：以安全大数据为全局基石，借四大关键技术打通了“监测—分析—决策—预测”的全流程安全能力。

（二）应试与实践建议

1. 考试备考：重点记忆五大属性的关键词和核心区别、四种访问控制模型的差异、对称与非对称加密各自的代表算法与适用场景。对于 UEBA 和态势感知，重在理解它们的核心定位以及与传统防御手段的根本不同。此部分都是客观题，切忌死记硬背，把概念差异理解透才是王道。
2. 实践应用：企业安全建设必须遵循“分层防护、纵深防御”的原则，把设备、数据、内容、行为四个层级都覆盖到，将防火墙、网闸这类“边界卫士”与 UEBA、态势感知这类“动态侦探”组合起来，构建起主动防御体系，并优先满足等保 2.0 的合规基线。
3. 学习路径：想继续深挖，可以参考 ISO27001、等保2.0系列标准及相关技术规范等官方文件，再结合历年软考真题来巩固记忆，效果会更好。

八、典型真题演练

1. 信息安全的基本属性中，保证信息为授权者享用而不泄漏给未经授权者的是？

A. 完整性

B. 保密性

C. 可用性

D. 可控性

答案：B

2. 网络安全态势感知的前提是？

A. 安全人员的经验

B. 安全策略

C. 安全大数据

D. 网络设备性能

答案：C

3. 以下属于对称加密算法的是？

A. RSA

B. DES

C. MD5

D. SHA-1

答案：B

4. 网闸的主要作用是？

A. 加速网络传输

B. 隔离内外网，防止外部攻击直接入侵内网

C. 提供文件共享服务

D. 进行数据加密

答案：B