五要素及其含义
| 序号 | 要素 | 英文缩写 | 含义说明 |
|---|
| 1 | 保密性 | Confidentiality | 仅授权用户才能访问信息,防止信息被非法获取或泄露(例如:加密、访问控制) |
| 2 | 完整性 | Integrity | 信息在传输、存储和处理过程中保持准确、完整、未被篡改(例如:哈希校验) |
| 3 | 可用性 | Availability | 授权用户在需要时可以及时、可靠地访问和使用信息系统和资源 |
| 4 | 可控性 | Controllability | 信息流动、访问和使用过程可控制、可授权、可追踪,防止越权操作 |
| 5 | 不可否认性 | Non-repudiation | 行为发生后,行为方不能否认其行为(如发送数据或发出请求),可通过数字签名等实现 |
架构设计中的应用
| 安全要素 | 架构设计措施(软考答题常用术语) |
|---|
| 保密性 | - 数据传输加密(HTTPS、VPN)- 存储加密(AES、SM4)- 访问权限控制 |
| 完整性 | - 数字签名- 哈希摘要验证(SHA256、SM3)- 防篡改存储 |
| 可用性 | - 负载均衡(Nginx、F5)- 灾备方案(主备部署、数据备份)- 容错设计 |
| 可控性 | - RBAC(基于角色的访问控制)- 最小权限原则- 审计与授权机制 |
| 不可否认性 | - 数字签名(RSA、SM2)- 操作日志不可更改- 用户身份强认证(双因子) |
安全威胁分析
| 威胁类型 | 示例 |
|---|
| 非法访问 | 未授权用户访问敏感资源 |
| 数据泄露 | 网络传输被监听、数据库泄密 |
| 数据篡改 | 网络劫持篡改报文、篡改存储文件 |
| 拒绝服务攻击 | 流量攻击导致服务不可用 |
| 权限越权 | 普通用户操作管理员功能 |
安全架构设计方案
1. 网络安全设计
- 采用分区分域架构:将系统划分为外部访问区、业务处理区、数据存储区;
- 使用防火墙控制访问流向;
- 引入入侵检测系统(IDS)和防护系统(IPS);
- 外网访问必须通过VPN 或 HTTPS 通道。
2. 身份认证与访问控制
- 用户登录采用统一认证机制(如 OAuth2.0 / CAS / SSO);
- 使用**多因素认证(MFA)**加强安全性;
- 实施基于角色的访问控制(RBAC),按最小权限原则分配权限;
- 所有关键操作需进行权限校验和日志记录。
3. 数据安全设计
- 数据在传输过程中使用 TLS 加密;
- 数据在存储时进行对称加密(如 AES / SM4);
- 对用户敏感信息(如密码)进行哈希处理(如 SHA256 / SM3);
- 实现数据库操作审计与备份机制。
4. 应用安全设计
- 防止常见漏洞(SQL 注入、XSS、CSRF),采用WAF(Web 应用防火墙);
- 实施白名单机制控制接口调用;
- 所有接口需进行身份校验和数据合法性校验。
5. 日志审计与不可否认性设计
- 对用户登录、访问、操作行为进行日志记录;
- 关键数据和交易行为使用数字签名技术(如 RSA、SM2);
- 日志文件采用防篡改机制保存(如链式签名或日志哈希);
- 配置集中审计平台进行行为追踪与责任认定。
6. 高可用与容灾设计
- 部署主备结构与负载均衡(如 LVS + Nginx);
- 数据库使用异地热备 + 定期快照备份;
- 关键节点使用心跳检测 + 自动故障转移机制(HA)。
安全测试与运维保障
- 定期进行漏洞扫描与渗透测试;
- 建立安全补丁管理机制,及时修复系统漏洞;
- 配置自动告警机制,异常行为实时上报;
- 安全策略定期审查与更新。
安全架构图
[用户浏览器]│ HTTPS▼
[接入层(Nginx + WAF)]│
[应用层(微服务 + SSO)]│
[服务层(业务逻辑 + 权限控制)]│
[数据库(加密 + 审计)]│
[日志服务器 + 签名 + 审计平台]
