所属篇章:下篇·案例分析
考查形式:案例分析题 + 论文题
难度等级:★★★★
一、本章知识图谱
安全架构
├── 18.1 安全架构概述
├── 18.2 安全威胁建模
├── 18.3 安全架构设计模式
├── 18.4 零信任架构
├── 18.5 安全合规与标准
└── 18.6 典型案例分析
二、核心考点详解
考点 1:安全架构设计原则
安全设计核心原则:
- 最小权限原则
只授予完成任务所需的最少权限 - 纵深防御
多层安全控制,不依赖单点防护 - 默认安全
系统默认配置为最安全状态 - 失败安全
系统故障时拒绝请求而非放行 - 安全隔离
隔离不同安全级别的组件 - 审计追踪
记录所有安全相关操作
考点 2:安全威胁建模
STRIDE 威胁模型(微软提出):
| S | ||
| T | ||
| R | ||
| I | ||
| D | ||
| E |
威胁建模流程:
识别资产和信任边界 创建数据流图(DFD) 使用 STRIDE 识别威胁 评估威胁影响和可能性 设计缓解措施
考点 3:安全架构设计模式
| 防火墙模式 | ||
| DMZ(隔离区) | ||
| WAF | ||
| 网关模式 | ||
| 堡垒机 |
纵深防御架构:
互联网 → 防火墙 → WAF → 负载均衡 → 应用服务器 → 数据库
↓ ↓ ↓
IDS 输入过滤 参数化查询
考点 4:零信任架构
零信任(Zero Trust) 核心理念:“永不信任,始终验证”。
零信任三大原则:
- 显式验证
基于所有数据点进行认证和授权 - 最小权限访问
JIT/JEA(即时/刚好足够的访问) - 假设已被攻破
最小化爆炸半径
零信任 vs 传统安全:
考点 5:安全合规与标准
| 等保 2.0 | |
| ISO 27001 | |
| GDPR | |
| PCI-DSS |
等保 2.0 等级:
三、案例分析题解析
【案例题】某金融系统安全架构设计
背景:某互联网金融平台需要通过等保三级认证,请设计安全架构方案。
参考答案:
1. 网络安全
部署下一代防火墙(NGFW)+ WAF DMZ 区放置 Web 服务器和 API 网关 网络分区:生产区、管理区、DMZ 区严格隔离 部署 IDS/IPS 和流量分析系统
2. 应用安全
统一身份认证(OAuth 2.0 + MFA) API 安全网关(限流、防重放、签名验证) 输入验证和输出编码(防 XSS/SQL 注入) 敏感数据脱敏展示
3. 数据安全
传输加密:TLS 1.3 存储加密:AES-256 加密敏感字段 密钥管理:HSM 硬件安全模块 数据备份:异地灾备
4. 审计与合规
全链路日志记录 操作审计(不可篡改) 定期安全评估和渗透测试 满足等保三级技术要求
考点 6:安全开发生命周期(SDL)
SDL 阶段:
安全需求分析 威胁建模 安全设计评审 安全编码(安全编码规范) 安全测试(渗透测试、模糊测试) 安全发布评审 安全运维与应急响应
考点 7:DevSecOps
DevSecOps 将安全融入 DevOps 流程:
- 编码阶段
静态代码安全扫描(SAST) - 构建阶段
依赖组件漏洞扫描(SCA) - 测试阶段
动态应用安全测试(DAST) - 部署阶段
容器镜像扫描、配置安全检查 - 运行阶段
运行时安全监控(RASP)
三、补充历年真题解析
真题 2021 年·综合知识
题目:在安全架构设计中,纵深防御的核心思想是( )。
A. 仅依赖防火墙保护网络边界
B. 多层安全控制,不依赖单点防护
C. 只保护最重要的资产
D. 通过加密保护所有数据
答案:B
解析:纵深防御的核心是多层安全控制,即使某一层被突破,其他层仍能提供保护。不能依赖单一安全措施。
真题 2023 年·综合知识
题目:以下关于零信任架构的叙述中,不正确的是( )。
A. 零信任假设网络已经遭到入侵
B. 零信任基于网络位置进行访问控制
C. 零信任要求对所有请求进行验证
D. 零信任采用最小权限原则
答案:B
解析:零信任架构不基于网络位置进行访问控制,而是基于身份、设备、上下文等多因素进行持续验证。传统边界安全才基于网络位置。
考点 8:安全模型(教材重点)
状态机模型:安全系统的所有状态转换都必须是安全的。
Bell-LaPadula 模型(BLP):
关注机密性(Confidentiality) - 不上读,不下写
(no read up, no write down) 低安全级不能读高安全级数据 高安全级不能写低安全级数据
Biba 模型:
关注完整性(Integrity) - 不下读,不上写
(no read down, no write up) 与 BLP 正好相反
Clark-Wilson 模型:
关注完整性 通过受控转换保证数据完整性 关键概念:受控数据、完整性约束、转换过程
Chinese Wall 模型:
防止利益冲突 用户访问某公司数据后,不能访问竞争对手数据 适用于金融、咨询等存在利益冲突的行业
五大安全模型对比:
考点 9:WPDRRC 信息安全体系架构模型
WPDRRC 是中国提出的信息安全模型:
WPDRRC 特点:
动态循环过程,持续改进 涵盖从预警到反击的完整生命周期 是中国信息安全保障体系的理论框架
考点 10:OSI 安全体系架构
OSI 安全服务:
考点 11:数据库安全设计与系统脆弱性分析
数据库安全设计:
完整性约束:主键、外键、唯一性约束 访问控制:GRANT/REVOKE 权限管理 审计:记录数据库操作日志 加密:敏感字段加密存储
系统架构脆弱性分析:
四、补充历年真题解析
真题 2022 年·综合知识
题目:Bell-LaPadula 模型的核心规则是( )。
A. 不上读、不下写 B. 不下读、不上写
C. 不上读、不上写 D. 不下读、不下写
答案:A
解析:BLP 模型关注机密性,规则是“不上读、不下写”。低安全级主体不能读高安全级数据(不上读),高安全级主体不能写低安全级数据(不下写),防止信息从高安全级流向低安全级。
真题 2023 年·综合知识
题目:WPDRRC 模型中“W”代表的是( )。
A. Web B. Warning(预警)
C. Wireless D. Workflow
答案:B
解析:WPDRRC 是中国提出的信息安全模型,W 代表 Warning(预警),完整顺序是预警→保护→检测→响应→恢复→反击。
真题 2021 年·综合知识
题目:Biba 模型与 BLP 模型的主要区别是( )。
A. Biba 关注机密性,BLP 关注完整性
B. Biba 关注完整性,BLP 关注机密性
C. 两者都关注机密性
D. 两者都关注完整性
答案:B
解析:Biba 模型关注数据完整性(“不下读、不上写”),BLP 模型关注数据机密性(“不上读、不下写”)。两者是互补的安全模型。
真题 2022 年·案例分析
题目:某金融系统需要设计安全架构,要求满足:
交易数据不可篡改 客户信息严格保密 操作可审计追踪
请分析应采用的安全模型和关键技术。
参考答案:
安全模型选择:
- Biba 模型
保证交易数据完整性(不下读、不上写) - BLP 模型
保证客户信息机密性(不上读、不下写) - Clark-Wilson 模型
保证商业交易完整性(受控转换)
关键技术:
- 数据加密
客户敏感信息使用 AES-256 加密存储 - 数字签名
交易数据使用 RSA 签名,确保不可否认性 - 访问控制
RBAC 角色权限管理 - 审计日志
所有操作记录到不可篡改的审计日志 - 双因素认证
登录时使用密码+动态令牌
考点 12:应用安全设计
OWASP Top 10 安全风险:
安全编码原则:
输入验证:对所有外部输入进行校验 输出编码:防止 XSS,对输出内容进行 HTML 实体编码 最小权限:应用只申请必要的权限 深度防御:多层安全措施,不依赖单一防线 安全默认:默认拒绝,显式允许
考点 13:安全测试方法
| 渗透测试 | ||
| 代码审计 | ||
| 漏洞扫描 | ||
| 模糊测试 | ||
| 安全架构评审 |
考点 14:密码学与密钥管理
对称加密 vs 非对称加密:
哈希函数:
数字证书结构:
证书主体信息(公钥、身份) 颁发者信息(CA) 有效期 CA 数字签名
考点 15:安全架构设计模式
| 代理模式 | ||
| 检查点模式 | ||
| 审计模式 | ||
| 加密模式 | ||
| 分区模式 | ||
| 冗余模式 |
三、补充考点
考点 16:身份认证与访问管理(IAM)
OAuth 2.0 四种授权方式:授权码模式、简化模式、密码模式、客户端凭证模式
考点 17:容器与云安全
考点 18:威胁建模方法对比
真题 2022 年·综合知识
题目:在 OAuth 2.0 中,最安全且最常用的授权方式是( )。
A. 简化模式(Implicit)
B. 授权码模式(Authorization Code)
C. 密码模式(Resource Owner Password)
D. 客户端凭证模式(Client Credentials)
答案:B
解析:授权码模式是最安全的 OAuth 2.0 授权方式,通过后端服务器交换令牌,不在前端暴露 access token。简化模式在前端直接获取 token,不安全(A 错),密码模式要求用户将密码给第三方应用(C 错),客户端凭证模式用于服务间通信(D 错)。
真题 2021 年·综合知识
题目:以下关于安全架构中纵深防御原则的叙述,正确的是( )。
A. 只需要一层强大的防火墙即可
B. 多层安全控制重叠,一层失效时其他层继续保护
C. 纵深防御只适用于网络安全
D. 纵深防御会增加系统性能
答案:B
解析:纵深防御(Defense in Depth)的核心是多层安全控制重叠,即使某层失效其他层仍能保护。不是单层防护(A 错),适用于各层安全(C 错),多层防御可能影响性能(D 错)。
四、补充历年真题解析
真题 2019 年·综合知识
题目:以下关于 OWASP Top 10 的叙述中,正确的是( )。
A. 注入攻击是最常见的安全风险之一
B. OWASP 只关注网络安全
C. XSS 不属于 OWASP Top 10
D. OWASP 是硬件安全标准
答案:A
解析:注入攻击(包括 SQL 注入、XSS 等)一直是 OWASP Top 10 中的重要安全风险。OWASP 关注应用安全(B 错),XSS 是 Top 10 之一(C 错),OWASP 是软件安全组织(D 错)。
真题 2020 年·综合知识
题目:以下关于对称加密和非对称加密的叙述中,正确的是( )。
A. 对称加密适合大量数据加密
B. 非对称加密比对称加密速度快
C. 对称加密不需要密钥管理
D. 非对称加密不能用于数字签名
答案:A
解析:对称加密速度快,适合大量数据加密。非对称加密速度慢(B 错),对称加密需要安全的密钥分发(C 错),非对称加密可用于数字签名(D 错)。
真题 2023 年·综合知识
题目:以下关于零信任架构的叙述中,不正确的是( )。
A. 零信任假设内部网络也是不安全的
B. 零信任需要持续验证身份
C. 零信任只需要网络边界防护
D. 零信任强调最小权限原则
答案:C
解析:零信任架构的核心是“永不信任,始终验证”,不再依赖网络边界防护。它假设内部也不安全(A 正确),需要持续验证(B 正确),强调最小权限(D 正确)。
五、高频易错点归纳
六、本章小结
- 安全原则
最小权限、纵深防御、默认安全 - STRIDE
六种威胁类型和对应安全属性 - 安全模型
BLP(机密性)/Biba(完整性)/Clark-Wilson(商业完整性) - 零信任
永不信任,始终验证,持续认证 - 等保 2.0
五个等级的适用范围 - WPDRRC
预警→保护→检测→响应→恢复→反击 - 应用安全
OWASP Top 10、安全编码原则 - 密码学
对称/非对称加密、哈希函数、数字证书 - 安全测试
渗透测试、代码审计、漏洞扫描 - IAM
OAuth 2.0、OpenID Connect、SAML、MFA - 云安全
容器安全威胁、镜像扫描、供应链安全 - 威胁建模
STRIDE、PASTA、LINDDUN、Attack Tree
