【软考】中级信息安全工程师高频考点清单

软考中级·信息安全工程师

高频考点背诵清单(上午+下午通用)

一、上午综合知识·必背(单选高频)

  1. 安全基础
  • CIA 三要素

  • 机密性:不泄露

  • 完整性:不篡改

  • 可用性:可使用

  • 安全属性判断是必考送分题。

  • 主动攻击 / 被动攻击

  • 被动:监听、流量分析、窃听(不修改)

  • 主动:中断、篡改、伪造、DDos、植入木马
  1. 密码学(必考)
  • 对称加密

  • 特点:速度快、密钥需安全分发、一对一共享密钥

  • 算法:DES、3DES、AES、SM4(国密)

  • 非对称加密

  • 特点:公钥公开、私钥保密、用于密钥交换/签名

  • 算法:RSA、ECC、SM2(国密)

  • 哈希 / 摘要

  • 作用:完整性校验、不可加密还原

  • 算法:SHA-1、SHA-256、SM3(国密)

  • 数字签名

  • 作用:防伪造、防抵赖、完整性

  • 原理:发送方用自己私钥签名,接收方用公钥验证

  • PKI / CA

  • 核心:证书、认证、密钥管理、信任链

  • 证书包含:公钥、持有者信息、CA签名、有效期
  1. 国密必背(每年都考)
  • SM1:对称加密(硬件)

  • SM2:非对称加密、签名

  • SM3:哈希算法

  • SM4:对称分组加密

  • SM9:标识密码
  1. 网络安全
  • 防火墙

  • 包过滤、状态检测、应用代理

  • 作用:访问控制、NAT、日志

  • IDS / IPS

  • IDS:检测、告警、不阻断

  • IPS:检测+直接阻断

  • VPN

  • IPSec:网络层

  • SSL VPN:应用层

  • 常见攻击

  • DoS/DDoS:耗尽资源

  • 端口扫描:信息收集

  • 缓冲区溢出:代码执行

  • ARP 欺骗:内网冒充网关
  1. Web 安全(上午下午都考)
  • SQL 注入:构造恶意SQL,绕认证/拖库

  • XSS 跨站脚本:注入脚本盗取Cookie

  • CSRF 跨站请求伪造:冒用身份执行操作

  • 文件上传漏洞:上传脚本获取权限

  • 防御:输入校验、参数化查询、WAF、验证码、CSP
  1. 系统安全
  • 恶意代码

  • 病毒:寄生、需宿主

  • 蠕虫:自我复制、网络传播

  • 木马:远程控制、后门

  • 访问控制

  • DAC:自主(用户可赋权)

  • MAC:强制(系统/标签控制)

  • RBAC:基于角色(最常用)

  • 最小权限原则:只给完成任务所需权限
  1. 等保2.0(高频)
  • 标准:GB/T 22239-2019

  • 五个等级:1~5级,三级最常考

  • 流程:定级→备案→建设整改→等级测评→监督检查

  • 要求:技术(物理、网络、主机、应用、数据)+管理
  1. 安全管理 & 法规
  • 风险评估:识别→分析→评价→处置

  • 应急响应 PDCERF

准备→检测→遏制→根除→恢复→跟踪总结

  • 三大法律必考

  • 《网络安全法》

  • 《数据安全法》

  • 《个人信息保护法》

二、下午应用技术·必背(案例/配置/方案)

  1. 防火墙 ACL 规则题
  • 先禁止危险,再允许必要

  • 规则从上到下匹配,一旦匹配不再往下

  • 常用:禁止外网ping、禁止高危端口、允许业务端口
  1. Linux 安全配置
  • 文件权限: rwx 对应 421

  • chmod 、 chown 、禁用不必要服务、关闭root远程登录、日志审计
  1. 密码应用方案题
  • 数据传输加密:SM4 + SM2 密钥协商

  • 身份认证/签名:SM2

  • 完整性:SM3

  • 答题模板:用什么算法 + 实现什么安全目标 + 部署在哪
  1. Web 漏洞分析题(万能答题模板)

  2. 漏洞名称

  1. 漏洞原理

  1. 危害

  1. 修复方案(输入校验、WAF、权限控制、补丁)

  2. 应急响应题(勒索/挖矿/钓鱼)

  3. 隔离受感染主机/断网

  1. 保留日志、不随意重启

  1. 查杀清除恶意程序

  1. 修复漏洞、改密、加固

  1. 恢复业务、复盘、制度完善

  2. 安全方案设计题

  • 分区:互联网区、DMZ区、内网区、核心数据区

  • 设备:防火墙、WAF、IDS/IPS、堡垒机、日志审计、数据备份

  • 必写要点:最小权限、纵深防御、零信任、等保合规、数据备份

三、下午答题万能套路(直接套)

  1. 先看问题,再看材料,圈关键词:漏洞、攻击、配置、合规、应急。

  1. 每道题分点作答,1条1分。

  1. 不会就写:

  • 加强身份认证

  • 开启日志审计

  • 定期备份

  • 安装补丁、升级版本

  • 部署防火墙/WAF/IDS/IPS

  • 符合等保要求

  • 最小权限、双因素认证
相关推荐
csdn_aspnet11 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
ChainSafeAI00313 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
世***y14 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站14 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
mounter62515 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
chenyulin454516 小时前
企业微信API二次开发:万级并发回调下的极致幂等性设计与防重放架构实战
大数据·人工智能·安全·架构·企业微信
CypressTel18 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全
上海云盾-小余19 小时前
流量攻击详解:区分带宽耗尽与资源耗尽两类攻击
爬虫·安全·ddos
科力锐品牌君20 小时前
医院数据存储“乱象”:如何兼顾兼容、高效与合规?
大数据·安全·备份·存储·存储方案
长风23021 小时前
Day 17: 突破 AOB 框架霸权 —— 插件界面重构与大屏呈现
人工智能·安全