软考之信息安全工程师经验总结

今年上半年软考成绩在6月27日公布：登陆中国计算机技术职业资格网（ruankao.org.cn）就可以查询2019年上半年的软考成绩。还没查得赶紧去查~

这次考试报了一年只能考一次的信息安全工程师，这个考试项目在2016年才开设的，报名这个项目也是觉得近年来信息安全事故频发，掌握安全知识刻不容缓。于是报名该项目趁机学习一波。废话说的有点多，下面直接开始进入干货总结：

复习资料

官方信息安全工程师材料（不重要）

首先，官方材料可以去某宝订购一本。很厚很厚，而且没有历年真题，书里面的内容都是理论知识，可能学习起来比较摸不着头绪，不知道重难点。（说实话，看书学比较难）

历年真题（很重要）

网上可以找到，比如某管网。因为是2016年开设的，所以真题也就那么几套。都看下就可以自己总结出重点了。

视频教程（重要）

网上可以找到，毫不夸张的说，历年真题和视频教程是我这次侥幸考取证书的关键。

考点分析

上午试题

以下几点是我列出的考点，仅供参考：

身份认证
蜜罐概念
防火墙相关
数字证书相关
虚拟专用网VPN
计算机取证相关概念
四种攻击密码的类型
国家秘密定级和范围
无线局域网安全标准
SSL协议（安全套接层协议）
信息的保密性、完整性、可用性
DES算法或其他算法的S盒的求解
几大加密算法（重点，建议看视频）
人为的安全威胁包括主动攻击和被动攻击
物理安全主要包括场地安全、设备安全和介质安全
几大加密算法的的某某长度（杂凑值，密钥，有效密钥等）
信息系统访问控制的基本要素（主体、客体、授权访问）
IP地址分为全球地址（公有地址）和专用地址（私有地址）
特洛伊木马、僵尸网络、ARP欺骗、网络钓鱼、XSS、重放攻击、中间人攻击、APT攻击、DNS欺骗
强制访问控制(MAC)中用户访问信息的读写关系包括下读、上写、下写和上读（相关知识）

具体的我也不是很专业，上午成绩也是低分略过，所以这里就不多做探讨。

下午试题

第一题考点：

考的访问访问控制，三个基本要素“主体、客体、授权访问”
BLP模型
还有linux用户权限rwx数字表示700，意思可读可写可执行。

第二题考点：

密码学的三大安全目标C.I.A（保密性、完整性、可用性）
S盒补全和推导
乘法逆元推导求解。

第三题考点：

身份认证
哈希函数抗强碰撞性
防止重放攻击方法

第四题考点：

防火墙过滤规则表
两种缺省选择是，默认拒绝或者默认允许。防火墙规则中的三种数据包处理方式Accept、Reject、Drop

第五题考点：

信息系统安全开发生命周期
密码强度，针对弱口令最有效的攻击方式是穷举攻击
隐私保护技术；绥冲区溢出；

安全措施：

使用批准工具：编写安全代码。
禁用不安全函数：禁用C语言中有隐患的函数。
静态分析：检测程序指针的完整性。

总结：
密码学部分是重点，觉得学的有些吃力的建议看视频学习，上午题考的比较广泛，需要完整的知识点和平时日常积累。下午题看着好像比较难，其实把历年真题读透就能总结出其考点，能拿到很多的送分题。不管上午还是下午，历年真题中都能找到相似或一样的考点题，所以真题必看。保护网络信息安全任重道远，在今后的生活中还是要继续抱着一颗学习的心，不骄不馁。

希望这篇文章能给你带来知识和乐趣，喜欢博主的文章可以加博主好友哦