软考中级信息安全考什么？信息安全基础与等级保护复习要点

核心结论

信息安全是软考中级系统集成项目管理工程师考试的重要考点，在上午综合知识中占5-10分。虽然分值不高，但信息安全知识点相对独立，掌握后容易拿分，是考生不应忽视的部分。

信息安全的基本概念

信息安全的定义

信息安全是指保护信息的机密性、完整性和可用性，防止信息被未经授权的访问、使用、披露、破坏、修改或销毁。

CIA三元组：

| 属性 | 英文 | 定义 | 示例 |

|------|------|------|------|

| 机密性 | Confidentiality | 确保信息仅被授权人员访问 | 数据加密、访问控制 |

| 完整性 | Integrity | 确保信息不被未经授权地修改 | 数字签名、哈希校验 |

| 可用性 | Availability | 确保授权用户在需要时可以访问信息 | 冗余备份、容灾系统 |

扩展属性：

| 属性 | 英文 | 定义 |

|------|------|------|

| 不可否认性 | Non-repudiation | 防止通信双方否认已发生的行为 |

| 可审计性 | Accountability | 能够追溯用户的行为和操作 |

| 真实性 | Authenticity | 确认用户或信息的来源真实可靠 |

信息安全威胁

| 威胁类型 | 说明 | 示例 |

|---------|------|------|

| 病毒 | 自我复制、破坏系统或数据的恶意程序 | 蠕虫、木马、勒索软件 |

| 黑客攻击 | 未经授权访问系统或数据 | SQL注入、跨站脚本攻击 |

| 社会工程学 | 利用人的心理弱点获取信息 | 钓鱼邮件、假冒身份 |

| 内部威胁 | 组织内部人员造成的安全事件 | 数据泄露、越权访问 |

| 物理威胁 | 对物理设备和环境的破坏 | 盗窃、火灾、水灾 |

| 自然灾害 | 自然因素导致的信息系统损坏 | 地震、洪水、雷击 |

密码学基础

加密算法分类

| 类型 | 特点 | 算法示例 |

|------|------|---------|

| 对称加密 | 加密和解密使用同一密钥，速度快 | DES、3DES、AES |

| 非对称加密 | 加密和解密使用不同密钥（公钥/私钥），速度慢 | RSA、ECC |

| 哈希算法 | 将任意长度数据映射为固定长度摘要，不可逆 | MD5、SHA-1、SHA-256 |

对称加密 vs 非对称加密

| 对比项 | 对称加密 | 非对称加密 |

|--------|---------|-----------|

| 密钥数量 | 1个共享密钥 | 1对密钥（公钥+私钥） |

| 加密速度 | 快 | 慢 |

| 安全性 | 密钥分发困难 | 解决了密钥分发问题 |

| 典型应用 | 大数据量加密 | 数字签名、密钥交换 |

| 算法示例 | AES | RSA |

实际应用：通常使用非对称加密交换对称密钥，再用对称加密传输大量数据，兼顾安全性和效率。

数字签名

数字签名用于确保信息的完整性和不可否认性。

过程：

• 发送方用哈希算法生成信息摘要
• 发送方用私钥加密摘要，形成数字签名
• 发送方将原始信息和数字签名一起发送
• 接收方用公钥解密数字签名，得到摘要
• 接收方用相同哈希算法生成信息摘要
• 对比两个摘要，一致则信息未被篡改

信息安全等级保护

等级保护制度

等级保护是我国信息安全的基本制度，将信息系统划分为五个安全保护等级。

| 等级 | 名称 | 定义 | 适用对象 |

|------|------|------|---------|

| 第一级 | 用户自主保护级 | 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益 | 一般企业信息系统 |

| 第二级 | 系统审计保护级 | 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 | 涉及公众利益的信息系统 |

| 第三级 | 安全标记保护级 | 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害 | 重要信息系统 |

| 第四级 | 结构化保护级 | 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害 | 非常重要信息系统 |

| 第五级 | 访问验证保护级 | 信息系统受到破坏后，会对国家安全造成特别严重损害 | 国家核心信息系统 |

等级保护的工作流程

• 定级：确定信息系统的安全保护等级
• 备案：向公安机关备案
• 建设整改：按照等级要求建设安全设施
• 等级测评：由测评机构进行安全测评
• 监督检查：公安机关定期监督检查

等级保护的安全要求

等级保护从技术和管理两个维度提出安全要求：

技术要求：

• 物理安全：机房环境、访问控制、监控报警
• 网络安全：结构安全、访问控制、安全审计、入侵防范
• 主机安全：身份鉴别、访问控制、安全审计、剩余信息保护
• 应用安全：身份鉴别、访问控制、安全审计、通信完整性
• 数据安全：数据完整性、数据保密性、备份恢复

管理要求：

• 安全管理制度
• 安全管理机构
• 人员安全管理
• 系统建设管理
• 系统运维管理

访问控制

访问控制模型

| 模型 | 核心思想 | 应用场景 |

|------|---------|---------|

| 自主访问控制（DAC） | 资源所有者决定谁可以访问 | 个人文件系统 |

| 强制访问控制（MAC） | 系统根据安全标签强制控制访问 | 军事、政府系统 |

| 基于角色的访问控制（RBAC） | 根据用户角色分配权限 | 企业信息系统 |

| 基于属性的访问控制（ABAC） | 根据用户、资源、环境的属性动态决定访问 | 云计算环境 |

身份认证方式

| 认证方式 | 说明 | 示例 |

|---------|------|------|

| 单因素认证 | 使用一种认证因素 | 密码 |

| 双因素认证 | 使用两种不同认证因素 | 密码+短信验证码 |

| 多因素认证 | 使用两种以上认证因素 | 密码+指纹+令牌 |

认证因素：

• 你知道的（密码、PIN）
• 你拥有的（令牌、手机）
• 你本身的（指纹、虹膜）

网络安全

网络安全设备

| 设备 | 功能 | 工作层次 |

|------|------|---------|

| 防火墙 | 控制网络访问，过滤数据包 | 网络层/传输层 |

| 入侵检测系统（IDS） | 检测网络中的可疑活动 | 网络层/应用层 |

| 入侵防御系统（IPS） | 检测并阻止入侵行为 | 网络层/应用层 |

| 漏洞扫描器 | 扫描系统和应用的漏洞 | 应用层 |

| 安全审计系统 | 记录和分析安全事件 | 应用层 |

常见网络攻击与防护

| 攻击类型 | 说明 | 防护措施 |

|---------|------|---------|

| SQL注入 | 在输入中嵌入SQL语句，非法操作数据库 | 参数化查询、输入验证 |

| XSS（跨站脚本） | 在网页中注入恶意脚本 | 输出编码、输入过滤 |

| CSRF（跨站请求伪造） | 诱导用户执行非预期操作 | Token验证、Referer检查 |

| DDoS攻击 | 大量请求导致服务不可用 | 流量清洗、CDN、限流 |

| 中间人攻击 | 拦截和篡改通信数据 | HTTPS、证书验证 |

安全协议

| 协议 | 功能 | 应用场景 |

|------|------|---------|

| SSL/TLS | 传输层安全协议，加密通信 | HTTPS、VPN |

| IPSec | 网络层安全协议，保护IP通信 | VPN |

| SSH | 安全远程登录协议 | 远程服务器管理 |

| HTTPS | HTTP over SSL/TLS | 安全网站访问 |

| SET | 安全电子交易协议 | 电子商务 |

信息安全的常见考点

上午题常见考点

• CIA三元组：机密性、完整性、可用性的定义和实现方法
• 加密算法：对称加密、非对称加密、哈希算法的特点和应用
• 数字签名：原理和作用
• 等级保护：五个等级的定义和适用对象
• 访问控制：DAC、MAC、RBAC的区别
• 安全协议：SSL/TLS、IPSec、SSH的功能

下午案例分析常见考点

• 找问题：识别案例中的信息安全问题（如未加密传输、权限控制不当等）
• 提出对策：给出信息安全改进建议（如部署防火墙、实施等级保护等）
• 等级保护定级：根据系统重要性确定保护等级

信息安全复习策略

阶段一：理解概念（1周）

• 理解CIA三元组和扩展属性
• 掌握密码学的基本概念
• 熟悉等级保护的五个等级

阶段二：专项练习（1-2周）

• 练习加密算法的应用场景
• 熟悉访问控制模型的区别
• 掌握等级保护的工作流程

阶段三：真题模拟（1周）

• 完成近5年真题中的信息安全题目
• 模拟考试环境，限时完成
• 总结易错点，避免重复犯错

常见问题

Q：对称加密和非对称加密哪个更安全？

A：不能简单比较。非对称加密解决了密钥分发问题，但速度较慢。实际应用中通常结合使用：用非对称加密交换对称密钥，再用对称加密传输大量数据。

Q：等级保护第三级和第二级有什么区别？

A：第三级要求更高，需要进行年度测评，安全技术和管理要求更严格。第二级只需要两年一次测评。第三级适用于重要信息系统，第二级适用于涉及公众利益的系统。

Q：数字签名和数字证书有什么区别？

A：数字签名是用于验证信息完整性和不可否认性的技术；数字证书是由权威机构颁发的，用于证明公钥归属的电子文档。数字签名使用私钥，数字证书包含公钥。

Q：防火墙和IDS有什么区别？

A：防火墙是访问控制设备，根据规则允许或拒绝流量通过；IDS是检测设备，监控网络流量中的可疑行为并报警。防火墙阻止攻击，IDS发现攻击。

培训与辅导建议

信息安全是软考中级的重要考点，涉及密码学、等级保护、访问控制、网络安全等多个方面。如果自学时难以理解加密算法或等级保护定级，参加培训课程可以获得：

• 系统的信息安全知识讲解
• 密码学和等级保护的实例演示
• 大量典型例题和真题练习
• 安全协议和防护措施的应用方法

众智商学院提供软考中级系统集成项目管理工程师培训课程，包含信息安全专项讲解，课程费用1980元，服务内容与PMP培训相同。课程由经验丰富的软考讲师授课，帮助考生掌握信息安全的核心概念和考点，确保在考试中顺利拿分。

如需了解更多课程详情或获取信息安全专项练习资料，可咨询众智商学院冯老师，电话/微信：18610089571，或访问官网 www.zzsxyedu.cn 了解最新课程安排。

*本文内容基于2026年软考考试安排整理，上半年考试时间为5月23日至26日，下半年为10月24日至27日，具体批次以准考证和当地软考办通知为准。*