CISSP 域3|系统安全防护:你的服务器真的加固到位了吗?🖥️
📌 归属 :Domain 3 安全架构与工程 · OSG第十版第9章核心内容
🎯 考试权重 :占Domain 3(总权重13%)的25%以上,概念题+场景题双高频
💡 一句话定位:所有上层的安全架构、安全策略,最终都靠系统安全防护落地执行------它是企业安全体系的"最后一道防线"
🚨 四条绝对红线(违反必错)
红线一 :系统安全必须遵循最小安装、最小特权、默认拒绝三大核心原则,禁止过度安装、过度授权、默认开放服务
红线二 :安全必须原生内置到系统全生命周期,而非上线后再补防护------系统上线前必须完成安全基线加固与合规校验
红线三 :防护强度必须与资产分级、业务重要性完全匹配,核心业务系统必须配套高强度防护
红线四 :补丁与漏洞管理是核心基础,必须建立闭环全流程管控机制,禁止高危漏洞长期未修复
📖 核心术语速查(12个,先过一遍)
① 系统安全基线(Security Baseline)
针对一类系统制定的标准化、最低安全要求集合,包括配置、权限、服务、补丁、审计规则等统一标准;是规模化系统安全管控的核心基础
② 系统加固(System Hardening)
基于安全基线,对系统进行配置优化、冗余组件移除、安全控制部署,消除默认脆弱性、缩小攻击面;是系统安全防护的核心前置动作
③ 可信计算基(TCB)
系统中所有负责执行安全策略的硬件、软件、固件的集合;系统安全防护的核心就是保障TCB的完整性、防篡改性与不可旁路性
④ 漏洞(Vulnerability)
系统、软件、固件中存在的可被攻击者利用的安全缺陷、设计弱点、配置错误;是系统安全风险的核心来源
⑤ 补丁(Patch)
厂商发布的用于修复软件/系统中安全漏洞的代码更新包;分为安全补丁、功能补丁、紧急补丁三类
⑥ 恶意代码(Malware)
泛指所有设计用于损害系统、窃取数据、破坏业务的恶意程序;包括病毒、蠕虫、木马、勒索软件、间谍软件、Rootkit、广告软件等
⑦ 端点检测与响应(EDR)
部署在终端/服务器上的安全防护工具,可实时监控系统行为、检测恶意活动、自动响应处置安全事件;替代传统杀毒软件的现代系统防护核心工具
⑧ 主机入侵检测/防御系统(HIDS/HIPS)
部署在单台主机上的安全组件;HIDS检测异常活动并告警,HIPS可主动阻断违规操作与恶意攻击
⑨ 最小安装(Minimal Installation)
系统安装时仅部署完成业务必需的最小组件、服务、功能;核心目标是最小化系统攻击面
⑩ Rootkit
一类特殊的恶意代码,可获取系统最高权限并隐藏自身存在,绕过常规安全防护工具;是最难检测的系统威胁之一
⑪ 工控系统(ICS/SCADA)
工业控制系统/数据采集与监控系统,用于控制工业生产、能源、交通等关键基础设施;系统安全防护有特殊的优先级与规则要求
⑫ 攻击面(Attack Surface)
系统中攻击者可利用的所有入口点、脆弱点的总和;包括开放的端口、运行的服务、安装的应用、开放的API等
🧱 模块一:系统安全防护的6大核心底层原则
这6条是场景题的核心判断依据,和安全架构设计原则完全对齐,必须熟记
🔒 原则① 最小安装原则
官方定义:系统仅安装、启用完成业务目标必需的最小组件、服务、功能;卸载/禁用所有非必需的服务、端口、应用、协议
通俗理解:装修房子只装必需的门窗,不额外开多余的口子,减少小偷可下手的入口
落地场景:服务器部署Web业务,仅安装Web服务必需的组件,禁用FTP、Telnet等非必需服务,关闭所有非业务端口
🚨 考试提示:场景题中出现"安装全量组件、默认启用所有服务"的选项均为错误答案;这是系统加固的第一原则
🔒 原则② 最小特权原则
官方定义:系统中任何用户、进程、服务、应用,仅拥有完成其本职工作必需的最小系统权限;禁止管理员权限滥用、进程过度授权
通俗理解:酒店保洁员只能拿到自己负责区域的门禁卡,不能拿到总控室钥匙
落地场景:Web服务进程仅能访问网站目录,不能获得系统管理员权限;普通用户不能修改系统配置
🚨 考试提示:全体系最高频考点;系统场景中出现"用管理员账号运行普通应用、给普通用户分配系统权限"的设计均为错误答案
🔒 原则③ 默认拒绝原则
官方定义:系统访问控制、服务访问、网络通信默认拒绝所有请求,仅开放明确授权的权限/端口/服务/通信;系统故障时默认进入安全锁定状态,而非开放权限
通俗理解:酒店房门默认锁闭,只有刷授权房卡才能打开,不是默认敞开
落地场景:系统防火墙默认拒绝所有入站流量,仅放行业务必需的端口;普通用户默认无系统修改权限,仅授权后才能执行指定操作
🚨 考试提示:所有"默认允许访问、默认开放服务"的系统配置选项均为错误答案
🔒 原则④ 安全基线原则
官方定义:所有同类型系统必须遵循统一的、经过验证的最低安全基线;禁止无基线、无标准的系统部署
通俗理解:连锁酒店所有门店的门锁、安保标准完全统一,不会出现一个门店用高级防盗锁、另一个用普通挂锁的情况
落地场景:企业所有Windows服务器必须遵循统一安全基线,包括密码策略、审计配置、补丁级别、服务禁用规则
🚨 考试提示:安全基线是系统安全的最低标准,所有系统必须满足;是规模化系统安全管控的核心基础
🔒 原则⑤ 纵深防御原则
官方定义:为系统构建多层、异构的安全防护体系;单点防护失效不会导致系统完全失控;禁止仅依赖单一防护工具
通俗理解:家里防护:小区门禁→单元门→家门防盗锁→室内监控→保险柜,一道防线失效还有下一道
落地场景:系统防护:系统基线加固→主机防火墙→EDR→HIPS→权限管控→日志审计,层层设防
🚨 考试提示:场景题中仅依赖杀毒软件、单一防火墙的系统防护均为错误答案;必须构建多层防护体系
🔒 原则⑥ 不可旁路原则
官方定义:系统的安全控制机制必须不可旁路、不可篡改;所有访问、操作必须经过安全控制的校验;禁止绕过安全机制直接访问系统资源
通俗理解:机场安检,所有乘客必须经过,没有任何例外,不能绕过安检直接登机
落地场景:系统的所有访问请求必须经过参考监视器的校验;TCB的安全机制不可被用户、进程绕过
🚨 考试提示:是TCB的核心特性;场景题中"绕过安全控制"的设计选项均为错误答案
🔄 模块二:系统安全全生命周期防护(安全左移核心要求)
OSG第十版明确:系统安全防护不是上线后的运维工作,必须从规划阶段就内置安全要求
📐 阶段① 规划与设计阶段
核心安全要求:基于业务需求、资产分级、风险评估结果,明确系统的安全需求、安全目标、防护等级,设计系统安全架构与访问控制模型
关键动作:
- 开展系统风险评估,明确核心安全需求
- 设计系统安全架构,明确信任边界
- 制定适配业务的专属安全基线
- 完成威胁建模,识别潜在系统威胁与防护措施
🚨 考点:安全需求必须在规划设计阶段明确,不是上线后补充;威胁建模必须在设计阶段完成,是安全左移的核心要求
🛒 阶段② 采购与开发阶段
核心安全要求:采购的系统/组件必须满足安全需求;自研系统必须遵循安全开发生命周期;禁止引入含已知高危漏洞的组件
关键动作:
- 开展供应商安全评估,验证系统安全能力
- 自研系统遵循安全编码规范,开展代码审计
- 验证第三方组件的安全资质,排查开源组件漏洞
- 完成软件物料清单(SBOM)管理
🚨 考点:软件供应链安全是第十版重点强化内容;SBOM(软件物料清单)是供应链安全的核心工具,是高频新增考点
🚀 阶段③ 部署与上线阶段
核心安全要求 :系统上线前必须完成全量安全加固、基线合规校验、安全测试;未通过安全校验的系统禁止上线生产环境
关键动作:
- 基于安全基线完成系统全量加固
- 关闭非必需服务、端口、组件,最小化攻击面
- 开展漏洞扫描、渗透测试、基线合规检查
- 配置安全防护工具(EDR/HIDS/防火墙)
- 完成权限配置,遵循最小特权原则
🚨 考点:未通过安全校验禁止上线,是必考场景题;安全基线加固是上线前的强制要求
⚙️ 阶段④ 运维与运营阶段
核心安全要求:建立持续的安全管控机制,保障系统长期安全运行
关键动作:
- 闭环的补丁与漏洞管理
- 持续的系统安全监控、日志审计
- 定期的基线复审、合规校验、安全评估
- 恶意代码防护、入侵检测与事件响应
- 定期的权限审计、冗余权限清理
🚨 考点:补丁与漏洞管理、持续监控与审计必须是闭环流程,而非一次性操作
🔧 阶段⑤ 变更与升级阶段
核心安全要求:系统变更、版本升级必须遵循变更管理流程,提前评估安全风险,变更后重新校验安全基线合规性
关键动作:
- 变更前开展安全风险评估,制定回滚方案
- 变更过程全程留痕、可审计
- 变更后重新校验安全基线、开展漏洞扫描
- 重大变更必须经过安全部门审批
🚨 考点:禁止未经审批的变更;变更后必须重新验证安全合规性,是高频场景题
🗑️ 阶段⑥ 退役与销毁阶段
核心安全要求:系统退役时必须完成数据安全销毁、权限回收、系统下线;确保退役后无敏感数据泄露、无残留访问入口
关键动作:
- 完成系统内敏感数据的安全迁移与销毁
- 回收所有系统访问权限、账号
- 彻底清除存储介质中的数据,按资产分级执行对应销毁标准
- 下线系统服务、关闭网络访问入口
- 完成退役全流程审计记录归档
🚨 考点:系统退役必须完成数据安全销毁,禁止直接丢弃存储介质;所有访问权限必须100%回收
🛡️ 模块三:系统安全防护8类核心技术措施
🔧 措施① 系统安全基线与加固
官方标准加固核心步骤(7步):
Step 1 最小化安装
仅安装业务必需的操作系统组件、服务、应用;卸载所有非必需的软件、服务、协议
Step 2 补丁管理
安装最新的安全补丁,修复已知的系统、软件漏洞
Step 3 账号与权限加固
禁用默认账号、Guest账号,重命名管理员账号,配置强密码策略、账户锁定策略,严格遵循最小特权原则
Step 4 服务与端口加固
禁用所有非必需的系统服务,关闭非业务必需的端口;禁止使用Telnet、FTP等明文传输协议,替换为SSH、SFTP等加密协议
Step 5 审计与日志加固
启用系统全量安全审计日志,配置日志不可篡改、不可删除,明确日志留存时长,覆盖账号登录、权限变更、系统配置修改、关键操作等全场景
Step 6 网络防护加固
启用系统原生主机防火墙,配置默认拒绝规则,仅放行业务必需的流量
Step 7 安全功能启用
启用系统原生安全功能,如Windows BitLocker加密、Linux SELinux强制访问控制、内存保护机制
🚨 考点提示:
- 系统加固第一原则是最小安装,核心目标是最小化攻击面
- 明文传输协议(Telnet、FTP)必须禁用;场景题中使用明文协议的选项均为错误答案
👤 措施② 账号与访问控制加固
核心防护措施:
🔑 强制身份认证
所有系统账号必须配置强密码,启用多因素认证(MFA),尤其是管理员账号、远程访问账号;禁止空密码、弱密码
🔑 最小权限分配
严格遵循最小特权原则,仅给用户/进程/服务分配完成工作必需的最小权限;禁止普通用户获得管理员权限,禁止用管理员账号运行普通应用
🔑 职责分离
系统管理员、审计员、操作员的权限严格分离;禁止单人完成全流程高风险操作
🔑 账号生命周期管理
建立账号申请、审批、启用、变更、注销的全流程管控;员工离职当日必须注销系统账号;定期审计清理冗余、休眠账号
🔑 特权账号管理(PAM)
对管理员、Root等特权账号进行专门管控,实施特权访问管理(PAM),实现特权账号的申请、审批、临时授权、全程审计、自动密码轮换
🚨 考点提示:管理员账号必须启用多因素认证;特权账号必须实施专门管控,禁止无限制的永久特权授权
🔩 措施③ 补丁与漏洞管理
官方标准闭环流程(6步):
Step 1 漏洞情报收集
持续跟踪厂商发布的安全公告、漏洞情报,明确漏洞的影响范围、风险等级
Step 2 漏洞扫描与评估
定期对系统开展全面漏洞扫描,验证漏洞是否存在,评估漏洞的风险等级、对业务的影响程度
Step 3 补丁测试
在测试环境中对安全补丁进行兼容性、安全性测试,验证补丁不影响业务正常运行,不引入新漏洞
Step 4 补丁部署与审批
基于漏洞风险等级制定补丁部署计划;高危漏洞必须紧急修复;经过正式审批后在生产环境部署补丁
Step 5 验证与复盘
补丁部署后重新扫描验证漏洞是否修复,确认业务正常运行,记录补丁全流程操作,复盘优化补丁管理流程
Step 6 例外处置
对于无法安装补丁的系统,必须制定对应的风险缓解措施(如隔离、防火墙限制、入侵防护),获得管理层书面风险批准,定期复审例外情况
🚨 考点提示:
- 补丁管理必须是闭环的全流程,不是仅下载安装补丁
- 补丁必须先在测试环境测试,再部署到生产环境;禁止未经测试直接在生产环境安装
- 无法打补丁的系统,必须实施补偿控制措施,并获得管理层书面风险批准,是高频场景题
🦠 措施④ 恶意代码防护
核心防护措施:
🛡️ 现代端点防护(EDR)
部署EDR工具替代传统杀毒软件,基于行为分析、AI检测,实时监控系统异常行为,检测并阻断未知恶意代码、勒索软件、APT
🛡️ 白名单机制(最有效手段)
实施应用白名单控制,仅允许经过授权的应用/程序在系统上运行;禁止所有未授权程序执行,是防范未知恶意代码的最有效手段
🛡️ 反Rootkit防护
部署专门的Rootkit检测工具,定期扫描系统底层,检测隐藏的Rootkit、Bootkit恶意代码
🛡️ 邮件与附件防护
在终端部署邮件安全防护,拦截恶意附件、钓鱼链接,防范恶意代码通过钓鱼邮件进入系统
🛡️ 移动介质管控
禁止未经授权的U盘、移动介质接入系统;对授权介质实施病毒扫描、加密管控
🚨 考点提示:
- 应用白名单是防范未知恶意代码的最有效手段,比传统黑名单杀毒软件更安全,是高频考点
- Rootkit的核心特点是获取系统最高权限、隐藏自身存在,最难检测,是高频概念题考点
🔍 措施⑤ 主机入侵检测与防御(HIDS vs HIPS)
这对双胞胎是最高频的区分题,搞清楚核心区别
🟡 HIDS(主机入侵检测系统)
- 核心功能:监控系统日志、文件完整性、进程行为,检测异常活动,触发告警
- 核心特点:被动检测,仅告警不阻断,不会影响业务运行
- 适用场景:工控系统、对业务连续性要求极高的核心业务系统
🔴 HIPS(主机入侵防御系统)
- 核心功能:在HIDS基础上,增加主动阻断能力,可实时拦截违规操作、恶意攻击、越权访问
- 核心特点:主动防御,可直接阻断攻击,可能影响业务运行
- 适用场景:普通业务系统、终端设备,需要主动阻断攻击的场景
🔍 核心防护能力:
- 文件完整性监控(FIM):监控系统核心文件、配置文件、注册表的变更,检测未授权的修改,及时告警
- 异常行为检测:监控账号登录、进程运行、权限变更、网络连接的异常行为,识别入侵活动
- 流量监控:监控系统入站/出站网络流量,识别恶意通信、C2连接、数据外传行为
🚨 考点提示:
- HIDS仅检测告警,HIPS可主动阻断,这个区别是必考
- 文件完整性监控(FIM)是检测系统文件、配置未授权修改的核心手段
🔐 措施⑥ 系统加密防护
核心防护措施:
🔒 全磁盘加密
对系统硬盘、存储介质实施全磁盘加密,如Windows BitLocker、Linux LUKS;防止设备丢失、被盗导致的数据泄露
🔒 文件/文件夹加密
对系统内的敏感文件、文件夹实施单独加密,仅授权用户可解密访问
🔒 内存加密
对系统处理敏感数据的内存区域实施加密,防范内存dump、缓冲区溢出攻击窃取明文数据
🔒 可信执行环境(TEE)
利用CPU内置的安全区域,在隔离环境中处理敏感数据,保障使用中数据的安全
🚨 考点提示:
- 全磁盘加密的核心作用是防范设备丢失/被盗导致的数据泄露,是高频场景题考点
- 内存加密、TEE是使用中数据保护的核心手段,是第十版重点强化内容
📋 措施⑦ 日志与审计监控
官方核心要求:
📌 日志覆盖范围
必须覆盖账号登录(成功/失败)、权限变更、系统配置修改、关键文件访问、服务启停、网络连接、异常操作等全场景
📌 日志安全要求
日志必须设置为不可篡改、不可删除,定期备份到独立的日志服务器;禁止本地存储唯一日志副本
📌 日志留存时长
必须满足合规要求的最低留存时长,通用要求至少6个月;金融、医疗等行业要求3-7年
📌 持续监控与告警
建立日志实时监控机制,针对异常登录、越权操作、恶意行为配置实时告警,及时响应安全事件
📌 定期审计
定期开展系统日志审计,排查违规操作、异常行为、入侵痕迹,形成审计报告
🚨 考点提示:
- 系统日志必须不可篡改、不可删除,必须备份到独立的日志服务器,是必考合规要求
- 失败的登录尝试必须记录日志,是系统审计的强制要求
📊 措施⑧ 系统安全持续评估与优化
系统安全不是一次性加固,必须定期开展评估,持续优化防护措施:
- 定期漏洞扫描:至少每月对系统开展全面漏洞扫描,高危漏洞立即修复
- 定期渗透测试:至少每半年对核心业务系统开展渗透测试,模拟攻击者视角发现系统安全缺陷
- 定期基线合规审计:至少每季度对系统开展安全基线审计,验证系统是否符合基线要求,修复不合规配置
- 定期权限审计:至少每季度对系统账号、权限开展审计,清理冗余权限、休眠账号,验证最小特权原则的执行情况
- 威胁情报适配:基于最新的威胁情报,更新系统防护规则、检测策略,防范新型攻击
🏭 模块四:6类专项场景系统安全防护(第十版重点强化)
☁️ 场景① 云服务器/云主机安全
核心前提:云安全责任共担模型
- 云厂商负责:云基础设施、虚拟化层的安全
- 客户负责:云主机操作系统、应用、数据、权限、补丁管理的安全
🚨 这是最高频的云安全考点,客户侧的安全责任绝对不能漏
核心防护要求:
- 云原生安全加固:基于云厂商的安全基线对云主机进行专项加固,关闭云环境元数据服务的未授权访问,禁用云主机的默认公网IP
- 最小权限IAM管控:通过云平台IAM体系给云主机分配最小权限的服务账号,禁止给云主机分配管理员权限
- 镜像安全:使用经过安全加固的官方镜像,禁止使用未知来源的第三方镜像,构建自定义安全镜像基线
- 微分段隔离:通过云平台的网络微分段实现云主机之间的精细化访问控制,禁止云主机之间的默认全通访问
🚨 考点提示:云主机必须禁用默认公网IP,仅通过堡垒机、VPN访问,禁止直接暴露在公网
⚙️ 场景② 工控/OT系统安全
与IT系统最核心的差异:安全优先级完全相反
🔴 IT系统 :保密性 > 完整性 > 可用性
🟢 OT系统 :可用性 > 完整性 > 保密性
所有安全控制不能影响工业生产的连续性、实时性
核心防护要求:
- 严格网络隔离:采用Purdue模型,将OT网络与IT网络严格隔离,禁止OT系统直接连接互联网
- 单向通信控制:IT网络到OT网络的访问必须采用单向隔离网闸,禁止双向直接通信
- 最小化攻击面:禁用OT设备非必需的端口、服务、协议,禁止在OT系统上安装非业务必需的软件
- 补丁管理特殊要求:OT系统的补丁必须经过严格的离线测试,在生产停机窗口期部署;无法打补丁的系统,必须通过网络隔离、单向控制实施补偿防护
- 禁止远程访问:禁止OT系统的互联网远程访问,特殊场景必须通过物理隔离的专用线路、强身份认证、全程审计实现
- 专用防护工具:部署OT专用的入侵检测、恶意代码防护工具,禁止使用普通IT系统的杀毒软件
🚨 考点提示:OT系统的安全优先级是可用性优先,与IT系统相反,是最高频易错点,绝对不能搞混
🐳 场景③ 容器/微服务安全(第十版新增重点)
全生命周期4个环节:
🏗️ 构建阶段:使用最小化基础镜像,禁用未知来源镜像,开展镜像漏洞扫描与恶意代码检测,构建镜像安全基线,生成SBOM管理镜像组件
📦 分发阶段:镜像加密存储在私有镜像仓库,实施镜像签名验签,防止镜像被篡改,严格管控镜像访问权限
🚀 部署阶段:基于K8s的RBAC实现最小权限管控,禁止容器以Root权限运行,禁用特权容器,实施Pod安全策略,限制容器的系统权限
🔄 运行阶段:部署容器运行时防护工具,监控容器异常行为,实施容器微分段,限制容器之间的网络通信,持续监控容器漏洞与配置风险
🚨 考点提示:
- 容器禁止以Root权限运行,禁止启用特权容器,是必考场景题考点
- 镜像安全是容器安全的基础,必须在部署前完成漏洞扫描与安全校验
📱 场景④ 移动终端安全
核心防护要求:
- 移动设备管理(MDM):部署MDM工具,实现移动设备的全生命周期管控,包括设备注册、策略下发、远程锁定、数据擦除
- 强身份认证:移动设备必须启用强密码、生物识别认证;企业应用必须启用多因素认证
- 数据隔离:在移动设备上实现企业数据与个人数据的隔离,禁止企业数据存储在个人区域;可远程擦除企业数据而不影响个人数据
- 应用管控:实施企业应用白名单,禁止在移动设备上安装未授权的应用;禁止越狱/ROOT设备接入企业网络
- 传输安全:移动设备访问企业资源必须通过VPN加密传输,禁止通过公共Wi-Fi明文传输企业敏感数据
🚨 考点提示:企业数据与个人数据隔离是移动终端安全的核心要求;越狱/ROOT设备必须禁止接入企业网络
🌐 场景⑤ 物联网(IoT)设备安全
核心防护要求:
- 身份认证:每个IoT设备必须具备唯一的数字身份,接入网络前必须完成强身份认证,禁止未授权设备接入
- 固件安全:禁用设备默认账号、默认密码,定期更新设备固件补丁,修复已知漏洞
- 最小权限原则:设备仅拥有完成工作必需的最小网络访问权限、功能权限,禁止全网络访问
- 加密传输:设备与平台之间的通信必须采用端到端加密,禁止明文传输敏感数据
- 网络隔离:将IoT设备部署在独立的网络分段,与企业核心网络严格隔离,防止IoT设备被入侵后横向移动到核心系统
🚨 考点提示:IoT设备的核心安全风险是默认弱密码、未打补丁、明文传输;IoT设备必须与企业核心网络严格隔离
⚔️ 模块五:常见系统攻击与标准防护措施(场景题核心区)
💥 缓冲区溢出攻击
攻击定义:攻击者向程序的缓冲区写入超出其容量的数据,覆盖系统内存,执行恶意代码,获取系统权限
官方标准防护:
- 及时安装系统、软件补丁,修复缓冲区溢出漏洞
- 启用系统内存保护机制(如DEP数据执行保护、ASLR地址空间布局随机化)
- 遵循安全编码规范,避免缓冲区溢出漏洞
- 部署HIPS/EDR,阻断缓冲区溢出攻击
🔑 权限提升攻击
攻击定义:攻击者通过漏洞、配置错误,将普通用户权限提升至管理员/Root权限,获取系统最高控制权
官方标准防护:
- 严格遵循最小特权原则,限制用户/进程权限
- 及时修复系统、软件的权限提升漏洞
- 禁用普通用户的系统修改权限
- 监控权限变更行为,及时告警异常提权操作
🕷️ Rootkit/后门攻击
攻击定义:攻击者在系统中植入Rootkit/后门,获取长期隐蔽的系统访问权限,隐藏自身存在
官方标准防护:
- 部署EDR/专用Rootkit检测工具,定期扫描
- 实施应用白名单,禁止未授权程序运行
- 系统加固,关闭不必要的服务、端口
- 定期校验系统文件完整性,检测未授权修改
🔒 恶意代码/勒索软件攻击
攻击定义:攻击者通过钓鱼、漏洞利用植入恶意代码、勒索软件,加密系统数据、窃取信息、破坏系统
官方标准防护:
- 部署EDR/XDR工具,检测阻断恶意代码
- 实施应用白名单机制,阻断未知程序运行
- 定期离线备份核心数据,防范勒索软件加密
- 开展员工安全意识培训,防范钓鱼攻击
🔓 密码攻击
攻击定义:攻击者通过暴力破解、字典攻击、彩虹表攻击、钓鱼等方式,窃取系统账号密码
官方标准防护:
- 配置强密码策略、账户锁定策略,禁止弱密码
- 启用多因素认证(MFA),尤其是管理员账号
- 定期更换密码,禁止密码复用
- 监控失败的登录尝试,及时告警暴力破解行为
🌊 拒绝服务(DoS/DDoS)攻击
攻击定义:攻击者通过大量恶意流量占满系统资源、带宽,导致系统无法提供正常服务,业务中断
官方标准防护:
- 部署DDoS防护工具、流量清洗服务
- 优化系统资源配置,提升抗攻击能力
- 实施流量限速、异常流量阻断
- 构建冗余架构,保障业务高可用
🆕 第十版新增/强化核心内容
① AI驱动的系统安全防护
官方明确了AI/ML技术在EDR、异常行为检测、漏洞扫描、威胁狩猎中的应用;AI驱动的自动化系统防护能力是现代系统安全的核心发展趋势
② 软件供应链安全防护
针对SolarWinds等供应链攻击事件,强化了系统第三方组件、开源软件、供应商的安全管控要求;明确了SBOM(软件物料清单)在系统全生命周期的强制应用
③ 零信任架构在系统层面的落地
明确了零信任"永不信任、始终验证"原则在系统访问控制中的落地要求;每一次系统访问、进程调用都必须经过身份认证、权限校验、上下文风险评估
④ 云原生系统安全
系统化新增了容器、微服务、Serverless架构的系统安全防护要求;明确了云原生场景下的全生命周期安全管控框架
⑤ 抗量子系统安全防护
新增了量子计算威胁下的系统安全升级要求,明确了系统加密体系向后量子加密算法的迁移
⑥ OT/ICS系统安全
大幅强化了工控系统安全防护要求,明确了IT与OT融合场景下的安全边界、隔离要求、防护标准;是关键信息基础设施保护的核心内容
❌ 7大官方明确误区(高频错题点)
误区① "装了EDR就不用做安全基线加固了"
✅ 官方纠正:EDR只是防护体系的其中一层;安全基线加固是从源头缩小攻击面的核心动作;哪怕部署了EDR,未加固的系统依然存在大量可被利用的漏洞与配置缺陷
误区② "打了所有补丁,系统就绝对安全了"
✅ 官方纠正:补丁只能修复已知漏洞,无法防范零日漏洞、配置错误、权限滥用、内部威胁;系统安全需要构建多层纵深防护体系,仅靠补丁无法实现全面安全
误区③ "OT系统和IT系统用同一套安全防护标准"
✅ 官方纠正:OT系统安全优先级是可用性优先,与IT系统完全相反;OT系统的安全控制必须以不影响生产连续性、系统实时性为前提,不能直接套用IT系统的补丁管理、杀毒软件等防护措施
误区④ "系统在内网,就不用做高强度防护"
✅ 官方纠正:零信任架构的核心原则是默认不信任内网;内网系统依然面临内部威胁、横向移动风险;内网核心系统必须和公网系统执行相同的安全基线、访问控制、防护措施
误区⑤ "用管理员账号运行系统应用更方便,不影响安全"
✅ 官方纠正:严重违背最小特权原则;一旦应用被攻击者利用,攻击者会直接获得系统管理员权限,完全控制整个系统
误区⑥ "系统日志只要开启就行,不用专门备份和管控"
✅ 官方纠正:系统日志必须配置为不可篡改、不可删除,同时必须备份到独立的日志服务器;如果仅在本地存储,攻击者入侵后会直接删除/篡改日志,掩盖攻击痕迹,导致事件无法溯源
误区⑦ "补丁必须厂商一发布就立即安装到生产环境"
✅ 官方纠正:补丁必须先在测试环境完成兼容性、安全性测试后,经过正式审批,才能在生产环境部署;未经测试直接在生产环境安装补丁,可能导致业务中断,尤其是核心业务系统
🔗 跨域关联速查
→ Domain 1 安全与风险管理
系统安全防护是风险缓解的核心落地措施;防护措施的选择必须基于系统风险评估结果;系统安全的最终责任由最高管理层承担
→ Domain 2 资产安全
防护强度必须与系统承载的资产分级分类完全匹配;核心数据资产的加密、访问控制、泄露防护,均通过系统安全防护落地实现
→ Domain 3(域内关联)
安全架构设计、安全模型、密码学体系、可信计算基,最终都通过系统安全防护在终端、服务器上落地执行
→ Domain 4 通信与网络安全
网络防火墙、网络分段、VPN是系统安全防护的边界补充;HIDS/HIPS是网络防护的内部延伸,二者结合实现纵深防御
→ Domain 5 身份与访问管理
系统账号管控、权限分配、最小特权原则、多因素认证,均是IAM体系在系统层面的核心落地
→ Domain 6 安全评估与测试
系统漏洞扫描、渗透测试、基线合规审计、安全评估,用于验证系统安全防护措施的有效性
→ Domain 7 安全运营
系统补丁管理、日志监控、恶意代码防护、入侵检测、事件响应、变更管理,均是Domain 7安全运营的核心日常工作
→ Domain 8 软件开发安全
应用漏洞是系统入侵的核心入口;系统上运行的应用安全,必须通过安全开发生命周期实现;DevSecOps是系统安全在开发环节的延伸
🎯 考前速记总结
系统安全三大核心原则
🔒 最小安装 → 最小化攻击面
🔒 最小特权 → 最小化权限半径
🔒 默认拒绝 → 最小化开放范围
必考的算法与工具分类
- 🟢 EDR = 现代端点防护,替代传统杀毒软件
- 🟢 HIDS = 被动检测+告警,不阻断
- 🟢 HIPS = 主动防御+阻断,可能影响业务
- 🟢 FIM(文件完整性监控)= 检测未授权文件修改
- 🟢 白名单 = 防未知恶意代码的最有效手段
最高频易错点复习
- OT系统优先级:可用性 > 完整性 > 保密性(与IT相反)
- 补丁必须先测试环境验证,再部署生产环境
- 云主机操作系统/应用/数据的安全责任在客户,不在云厂商
- 容器禁止以Root权限运行,禁止启用特权容器
- 日志必须不可篡改,必须备份到独立日志服务器