6.6 信息安全章节概述
本课核心知识点整理
本章在考试中的位置
信息安全在软件设计师考试里通常不是最大章节,但稳定有分。课堂给出的经验是:少的时候大约 2 分,多的时候可到 5 分;其中加密技术、认证技术和网络安全协议出现频率更高,网络攻击和安全控制技术相对分散。
复习策略不是把安全工程完整学一遍,而是建立“安全目标 -> 技术手段 -> 典型题干”的映射。
五条主线
| 主线 | 必须掌握 | 典型考法 |
|---|---|---|
| 加密与认证 | 对称加密、非对称加密、摘要、数字签名、数字证书 | 判断算法类别、判断解决的安全目标 |
| 网络安全协议 | SSL/TLS、HTTPS、IPSec、SSH、邮件安全协议 | 判断协议层次、功能和安全特性 |
| 网络威胁 | 主动攻击、被动攻击、重放、拒绝服务、窃听、篡改 | 根据现象判断攻击类型 |
| 恶意代码 | 病毒、木马、蠕虫及分类命名 | 根据特征判断类型 |
| 安全控制 | 防火墙、DMZ、IDS、漏洞扫描、访问控制、安全分级 | 根据措施判断对应技术或安全类别 |
最高频的概念关系
| 安全目标 | 解决手段 | 注意不要混淆 |
|---|---|---|
| 保密性 | 加密 | 加密不必然证明发送者身份 |
| 完整性 | 摘要、消息认证码、数字签名 | 摘要只能发现变化,不能自动证明身份 |
| 身份认证 | 口令、证书、签名验证、生物特征 | 认证不等于授权 |
| 不可否认 | 数字签名 | 单纯对称加密一般不能防抵赖 |
| 可用性 | 冗余、备份、容灾、抗拒绝服务 | 加密不能解决资源耗尽 |
加密技术为什么占比高
加密与认证是本章最容易形成稳定题型的部分,因为它有清晰的分类边界:
| 类别 | 关键词 | 典型算法或对象 |
|---|---|---|
| 对称加密 | 一把共享密钥,速度快,密钥分发困难 | DES、3DES、AES、IDEA、RC5 |
| 非对称加密 | 公钥/私钥成对,速度慢,适合密钥交换和签名 | RSA、ECC |
| 摘要算法 | 固定长度摘要,不可逆,校验完整性 | MD5、SHA |
| 数字签名 | 私钥签名,公钥验证 | 完整性、身份认证、不可否认 |
| 数字证书 | CA 证明身份与公钥绑定 | 证书主体、公钥、CA 签名、有效期 |
复习时不要只背英文缩写,要能说出它解决的问题。例如 RSA 既可用于加密,也可用于数字签名,但方向不同:保密通信通常用接收方公钥加密;签名通常用发送方私钥签名。
安全协议的层次感
协议题常问“属于哪一层”或“提供什么安全能力”:
| 协议 | 位置/用途 | 要点 |
|---|---|---|
| HTTPS | HTTP over TLS/SSL | 给 Web 通信提供加密和身份认证 |
| SSL/TLS | 位于应用层协议与传输层之间 | 常被说成跨层或介于应用层和传输层之间 |
| IPSec | 网络层 | 保护 IP 数据包 |
| SSH | 应用层远程登录 | 替代明文 Telnet |
| S/MIME、PGP | 邮件安全 | 邮件加密、签名和认证 |
威胁与控制的对应关系
| 威胁 | 更合适的控制 |
|---|---|
| 窃听 | 加密、HTTPS、VPN |
| 篡改 | 摘要、签名、消息认证码 |
| 重放 | 时间戳、随机数、序列号 |
| 拒绝服务 | 限流、清洗、冗余、弹性扩容 |
| 木马后门 | 终端防护、行为检测、最小权限、网络隔离 |
| 系统漏洞 | 漏洞扫描、补丁管理、安全配置 |
| 外部未授权访问 | 防火墙、访问控制、DMZ |
例题
按课堂复习建议,信息安全章节中考察相对频繁的是:
同时帮助实现完整性、身份认证和不可否认的典型技术是:
自查要点
- 本章哪两条主线最值得优先复习?
- 加密、摘要、签名、证书分别解决什么问题?
- SSL/TLS、HTTPS、IPSec、SSH 各自典型用途是什么?
- 主动攻击和被动攻击如何按现象区分?
- 防火墙、漏洞扫描、IDS 的职责边界是什么?