一、本章重点

1、SQL注入式攻击和XSS攻击

• 需达到能结合题目应用的水平。
• 下午题中，会有一小问4分（不会明说需要设计该知识点相关的测试用例，但是考点就是这个），题目中给2个输入项，这时需设计4个测试用例，一个正常输入的；两个不正常输入的；还有一个就需要考虑SQL注入式攻击和XSS攻击相关的测试用例了。

2、其他重点内容

• 主要是考概念性的题目。

二、安全保护等级

1、GB17859-1999

• 基于国标17859的1999年的一个标准，将信息安全保护的等级划分为5个级别。
• 其中用户自主级时级别较低的，访问验证级是的级别较高。

2、用户自主

• 在该级别中，用户需要具备自主保护的能力，保护用户和用户组的信息安全，对其他用户进行访问控制，防止他的读写或者破坏。
• 可以通过组织行为的管理制度来实现。

3、系统审计

• 是在用户自主级的基础上，增加了一个日志跟踪功能。
• 也就是在用户自主级上对用户的访问行为进行跟踪和记录，也就意味着用户要对自己的行为负责。

4、安全标记

• 在系统审计上，为访问者和访问对象指定安全标记，以访问对象的安全级别限制访问者的权限，从而实现访问对象的安全保护。
• 简单理解就是，把人和要访问的资料划分等级，在很多公司会将资料划分为绝密级、机密级、普通级等，把人分成可以访问绝密级的、可以访问机密级的、只能访问普通级的；绝密级的资料只有具有绝密级权限的人才可以访问，以访问对象的安全标记来限制访问者的访问行为，实现了对访问对象的强制保护。

5、结构化

• 在安全标记的基础上，将安全保护的对象划分为关键部分和非关键部分，其中关键部分直接控制访问者对访问对象的存储。

6、访问验证

• 在结构化基础上，增设访问验证功能，这个访问验证功能负责仲裁访问者对访问对象的所有访问活动。
• 这一级的抗渗透能力是较高的。

7、考点：安全保护等级分级

三、安全防护体系

1、来由

• 为了对信息系统从不同角度做安全保护；
• 有利于从不同角度去加强信息系统的安全保护能力。

2、安全防护体系的划分

• 总体来讲安全防护体系，将系统分为7个层面。

3、实体安全

• 实体可以理解为具体的物理设备，实体安全就是具体设备的安全。
• 例如用户的服务器是否放到了大家都能碰到的地方，大家都能接触到的服务器是没有安全性可讲的，大家不小心的碰一下导致服务器断电，这对服务器而言就是一种不安全的行为。
• 常见的解决方式：将重要的设备放到专用的空间进行保护。

4、平台安全

• 平台包括网络平台、操作系统平台、通用的平台（例如一些服务、数据库等），平台安全就是这些基础平台的安全。
• 例如手机不时的就会有补丁版推出来，就是为了解决一些安全漏洞，保护手机的安全。

5、数据安全

• 就是数据的安全，指的就是数据的机密性、完整性、访问的可控性，以及可恢复性。
• 例如业务数据是存在数据库中或者磁盘中的，如果没有对业务数据进行加密，用户就能直接获取业务数据，直接打开查看。

6、通信安全

• 数据和信息是要在网络上进行传输的，通信安全也就是信息存在服务器上面，业务用户使用数据时，在客户端通过网络去访问数据。
• 通信安全中涉及到系统之间的通信、会话的访问，是不是会被非法的侵犯。

7、应用安全

• 指业务逻辑方面的安全。
• 也就是业务的运行规则、逻辑规则、逻辑访问安全控制、可迭代性、本身数据的真实性、以及业务实体的鉴别等。 一般都是与业务和具体的应用相关的。
• 例如应用程序本身有漏洞，就会对服务器造成威胁。

8、运行安全

• 系统的安全是一种动态的安全，也就是说系统随着运行时间的变化，它的安全状态一直处于安全、不安全的动态变化之中。
• 例如操作系统，刚发布出来是没有发现任何安全漏洞的，在这种情况下系统做了安全配置之后，安全性是好的，系统处于安全的状态；随着系统运行一段时间之后，漏洞被暴露出来了，此时的系统就处于不安全状态了。

9、管理安全

• 是一个整体上的，对各个安全要素进行有效的控制，对相关的人员继续的操作进行整体的管理。

四、数据安全策略

1、数据安全包含的内容

• 存储优化：DAS（直接附加存储），NAS（网络区域存储），SAN：（存储区域网络）。
• 存储保护：就是当设备损坏时，数据不受影响。

2、考点：数据安全包含的内容

• 数字证书：属于PKR体系。
• 异地容灾：属于存储保护。