2026-04-24 06:00:23 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统梳理CISSP考试D3安全工程模块中安全架构和模型的核心考点，重点解析安全设计原则（Saltzer和Schroeder八大原则、ISO/IEC19249框架）、系统架构组成（CPU处理状态、存储器类型）、TCSEC四大核心概念（可信计算基、安全边界、引用监控器、安全内核）以及可信系统与保证的区别。文档提供明确备考指导，强调需掌握工程建设生命周期阶段、安全控制技术机制分类及高频考点辨析技巧。 综合评分： 82 文章分类： 安全培训,技术标准,安全建设,安全运营,其他

cover_image

CISSP 重点知识点合集｜D3 安全工程（单元一）安全架构和模型

原创

耶度耶度

野猪与安全

2026年4月23日 11:25 广东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

安全工程

哈喽～备考 CISSP 的小伙伴集合啦✅

全新知识域干货上线！今天聚焦 D3 安全工程模块——单元 1 1.1 安全架构和模型，这是安全工程模块的开篇核心考点，也是 CISSP 考试的高频重点（安全工程知识域考试占比约 13%）。全程搭配考点标注、通俗解读和记忆技巧，帮你快速吃透安全设计原则、系统架构、可信系统等核心内容，理清逻辑、规避易混点，高效备考不踩坑！

本章节重点是 Saltzer 和 Schroeder 八大原则、ISO/IEC 19249 框架与设计原则、系统架构组成、TCSEC 核心概念，知识点偏理论但逻辑性强，是后续安全工程所有考点的基础，建议收藏🌟

持续更新全模块干货，陪你稳步解锁 CISSP 考点，顺利上岸！

安全工程：安全架构和模型

单元一

✅ 1.1 核心考点：

安全设计原则、系统架构、TCSEC 核心概念、可信系统与保证（高频选择+简答题）

📝 考点 A：工程建设生命周期和安全需求（基础必记，易考流程）

安全工程的核心前提：

安全需贯穿工程建设全生命周期，早期融入安全比后期添加更高效、成本更低，重点掌握生命周期阶段和安全核心要求👇

▸ 工程建设全生命周期（7 个阶段，记准顺序，易考多选题）

📋 需求阶段：明确系统功能及安全需求；

🎨 设计阶段：结合安全原则，设计系统架构及安全控制；

💻 开发阶段：编码实现，嵌入安全机制；

🧪 测试阶段：验证安全功能，排查安全漏洞；

🚀 上线阶段：安全部署，确保符合安全规范；

🔄 运营阶段：持续监控安全状态，及时修复漏洞；

🗑️ 退役阶段：安全处置系统及数据，避免残留风险。

▸ 核心安全要求

✅ 每个开发阶段都需考虑安全，程序员需为应用程序建立安全机制；

✅ 重点覆盖：

关键系统应用、处理敏感信息的应用软件；

✅ 核心原则：

早期融入安全（比在现有系统中添加安全更易实现、成本更低）。

🔥 考点 B：安全架构设计原则（重中之重，易考辨析+简答题）

安全架构设计的核心的是“遵循标准化原则，减少系统风险”，重点掌握两大核心原则体系（Saltzer和Schroeder、ISO/IEC 19249），以及实用的控制技术机制分类👇

▸ 考点1：Saltzer 和Schroeder 八大原则（必考！记准名称+核心含义）

核心定位：

以保护机制体系结构为中心，聚焦计算机系统信息保护，重点考察权能和访问控制表的实现结构，8 条原则需逐个记准（易考单选题、多选题）：

💰 机制的经济性（Economy of Mechanism）：

安全机制设计需简洁、高效，避免复杂冗余（越简单越易验证、越难被攻击）；

🛡️ Fail Safe 默认保护（Fail Safe Defaults）：

默认拒绝所有访问，仅授权的访问可通过（未明确授权即禁止）；

🔍 完全仲裁（Complete Mediation）：

对主体访问客体的所有请求，都必须进行授权检查（无例外，全程监控）；

🔓 开放设计（Open Design）：

安全机制的设计可公开，但实现细节需保密（依赖设计的合理性，而非隐藏设计）；

🔄 特权分离（Separation of Privilege）：

将关键特权拆分，需多个主体协作才能完成敏感操作（降低单一主体泄密/滥用风险）；

📉 最小特权（Least Privilege）：

主体仅获得完成其任务所需的最小权限，无多余权限（核心原则，贯穿所有安全设计）；

🔒 最少公共机制（Least Common Mechanism）：

减少不同主体共享的机制（共享机制越多，被攻击的风险越高）；

👥 心理可接受性（Psychological Acceptability）：

安全机制需易用，符合用户使用习惯，避免因操作复杂导致用户规避安全控制。

CISSP

▸ 考点 2：ISO/IEC 19249 原则（记准分类+核心，易考多选题）

发布目的：

描述系统和应用程序安全开发的体系架构和设计原则，分为“框架原则”和“设计原则”两类：

🏗️ 5 个框架原则（侧重架构整体设计）：域隔离、分层、封装、冗余、虚拟化；

🛠️ 5 个设计原则（侧重具体安全实现）：最小特权、攻击面最小化、集中参数验证、集中通用安全服务、为错误和异常处理做准备。

CISSP

▸ 考点 3：实用控制技术机制分类（CISSP 备考重点，易考场景题）

简化记忆：

将控制技术机制分为 4 大类，贴合实际应用，便于理解和答题：

🔐 身份认证和访问类：

对主体进行身份验证、对权限进行控制（如账号密码、权限分配）；

📊 信息的安全性类：

保护信息的机密性、完整性、可用性（如加密、备份、校验）；

🚧 边界隔离类：

通过边界和隔离机制，限制访问、使用行为（如防火墙、隔离网闸）；

📝 审查类：

监测、检测和分析控制措施的有效性（如日志审计、漏洞扫描）。

📚 考点 C：系统架构（基础概念，易考细节）

系统架构是系统设计和开发的“全景蓝图”，重点掌握其定义、开发生命周期、核心组成部分，尤其是 CPU 和存储器的细节👇

▸ 核心定义

系统架构：

描述系统的主要组件，以及组件之间、系统与用户、系统与其他系统之间的交互关系，为后续设计和开发提供指导。

▸ 系统开发全生命周期（8 个阶段，记准，区别于工程建设生命周期）

规划 → 分析 → 设计 → 构建 → 测试 → 部署 → 维护 → 退役（比工程建设生命周期多“规划、分析”，少“上线”，注意区分）。

▸ 系统架构核心组成（重点记CPU和存储器，易考多选题）

💻 计算机硬件：

中央处理器（CPU）、存储器（Memory）、输入/输出设备、总线（BUS）；

⚙️ 中央处理器（CPU，重点细节）：

• 执行类型：

多任务、多核、多处理、多进程、多线程；

• 处理状态：

单一状态、多状态；

• 保护机制：

环保护（核心，用于隔离不同权限的进程）；

• 操作模式：

用户模式（普通权限）、特权模式/监管模式/系统模式/内核模式（高权限）；

• 进程状态：

就绪、等待、运行、监管、停止；

• 系统安全模式：

专有模式、系统高级模式、分割模式、多级模式。

📦 存储器（重点细节，易考辨析）：

• 只读存储器（ROM）：

可编程只读存储器（PROM）、可擦除可编程只读存储器（EPROM）、电可擦除可编程只读存储器（UVEPROM）、闪存；

• 随机存取存储器（RAM）：

主内存（实际存储器）、高速缓存RAM、动态RAM vs 静态RAM；

• 寄存器（Registers）：

CPU内部的高速存储单元；

• 存储器寻址：

寄存器寻址、立即寻址、直接寻址、间接寻址、基址+偏移量寻址；

• 辅助存储器：

如硬盘、U 盘等外部存储设备。

🎯 考点 D：系统安全架构（重中之重，TCSEC核心概念，必考！）

可信计算机系统评价标准（TCSEC）是系统安全架构的核心依据，重点掌握 4 个核心概念（TCB、安全边界、引用监控器、安全内核），记准定义和核心要求👇

🛡️ 可信计算基（TCB，Trusted Computing Base）

• 核心定义：

系统内提供安全、实施系统安全策略的所有硬件、软件和固件的组合；

• 补充提示：

内核属于 TCB，但 TCB 还包括可信命令、程序、配置文件等可直接与内核交互的组件。

🚧 安全边界（Security Perimeter）

• 核心定义：

划分“可信区域（TCB 内）”与“不可信区域（TCB 外）”的假想边界；

• 核心作用：

明确哪些进程和资源属于可信范围，便于实施安全控制。

🔍 引用监控器（Reference Monitor）

• 核心定义：

一个抽象机，是主体对客体进行所有访问的中介，定义了引用验证机制的设计要求，确保正确执行访问控制策略；

关键提示：

是“概念”而非“物理组件”，又称“引用监控器概念”。

🔐 安全内核（Security Kernel）

• 核心定义：

位于 TCB 内，由硬件、软件、固件组件构成，实现和实施引用监控器概念；

• 3 个核心要求（必考简答题）：

为实施引用监控器的进程提供隔离，确保进程不被篡改；
所有访问企图都必须调用安全内核，且无法回避；
足够小，可完整、全面地进行测试和验证。

📖 考点 E：可信系统和保证（基础必记，易考定义辨析）

安全设计的最终目标是构建可信系统，并持续维持保证，重点掌握两者的定义和区别👇

✅ 可信系统

• 核心定义：

所有保护机制协同工作，能够在维护稳定、安全的计算环境的同时，处理各类用户的敏感数据。

✅ 保证

• 核心定义：

满足安全需求的置信度，需持续维持、更新和重验证（无论系统是否变化、时间是否推移）；

• 与可信系统的区别：

可信是“将安全功能集成到系统中”，保证是“对安全功能的可靠性和可用性的现实评估”。

💡 考点提示：

两者的区别是高频单选题考点，记住核心逻辑：

可信是“内置安全功能”，保证是“评估安全功能的有效性”。

备考小贴士

CISSP

本章节核心考点：

• 工程建设全生命周期；

• Saltzer 和 Schroeder 八大原则（记准名称+含义）；

• ISO/IEC 19249 框架与设计原则；

• 系统架构组成（CPU、存储器细节）；

• TCSEC 四大核心概念（必考）；

• 可信系统与保证的区别。

建议重点突破：

① Saltzer 和 Schroeder 八大原则（易考简答题，需准确表述含义）；

② TCSEC 四大核心概念（尤其是安全内核的3个要求）；

③ 系统开发与工程建设生命周期的区别。这些是选择题、简答题高频考点，理论性强，建议结合定义拆解记忆，避免记混。

补充提示：

本章节是安全工程模块的基础，后续安全模型、安全控制实施等考点都基于本章节内容，务必扎实掌握核心概念。

✨ 关注我，持续更新 CISSP 全模块重点知识点，每一篇都是纯干货，备考不迷路！

留言区可打卡学习，说说你 1.1 考点掌握得怎么样啦👇

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全耶度耶度《CISSP 重点知识点合集｜D3 安全工程（单元一）安全架构和模型》