第一篇:信息安全考点总结
关于QQ、网银、大师、360等讨论题,你们有谁整理出答案来了 hmac是用hash函数做mac的技术 就是分解n啊,不分解n比分解n更难
大家都知道溢出现象一不小心就会发生,所以微软和VC做了预先准备,在临时变量之间设置了缓冲隔离带,万一有溢出,尽可能避免影响到别人,也尽早尽量发现,在debug模式下才有此举,在release模式下隔离带就没有饿了。缓冲区: 网银安全;
1、Ssl加密,https
2、输入银行账号和密码时的控件:特殊机制
3、对抗口令监听的软件(硬件对抗不了)
4、开通网银时的那句话来鉴别这不是钓鱼网
5、手机交易吗
6、U盾
7、有没有可能网站不存口令
8若是不可能,存了口令,认证期间不要在网上传,传的时候hash一下,传hash值,用随机数挑战,随机数和口令hash。
9、网银ssl加密后给服务器
Qq 登陆方面。
重新设你的密保,复杂一点的,QQ密码 也复杂一点,QQ盗号从单纯的“偷窥”、“键盘钩子”木马、“屏幕快照”木马,到聊天记录监视和“网络钓鱼”
输入账号密码的时候可能网吧里面就双黑色的眼睛正盯着你的键盘可能电脑里面还有你看不到的“眼睛”也监控着你的键盘,然后把获取的账号信息发送出去,而这类木马占了QQ盗号木马的99%以上。
将账号密码加密,QQ账号密码信息本地存放,无须注册。不用注册的方式比较安全,不用担心信息在传递过程中出现问题 在加密通道中输入QQ账号密码后自动删除所有临时信息 注意电脑系统的清洁 检测键盘钩子程序和木马
以及打开的qq是不是按照目录下的qq.exe 聊天时可以进行身份认证
确定和你聊天的确实是那个人 所以现在比较高级的就是用二维码登陆⊙.⊙ 手机确认一下
使用qq交换文件的话,服务器会不会有记录? QQ加密外挂 Pkcs5 密钥分发: 1,公钥
CA 2:对称密钥
diffie hellman 文件加密的惨剧: 360加密: 无纸化办公: 单表统计规律: 文件共享
密码学和网络信息安全能帮助我们干什么 通信安全 偷听和保密
分组网络的存储-转发 假冒和抵赖 无纸化支持 办公和电子商务活动 签章、支付安全和抵赖问题 数字签名 系统安全 漏洞、病毒等问题 系统访问安全体现
恶意代码
病毒、木马、攻击程序 数据驱动 黑客
攻击破坏(漏洞,引诱)未授权使用 系统和软件漏洞 NOS 系统软件
系统安全手段
硬件、NOS、系统软件 防火墙 软件、硬件 身份认证 访问控制和授权 kerberos 审计/入侵检测 LOG,IDS 网络管理员 关于签名 手写签名 数字签名
纸版文件 数字文件 手写签名 数字小文件 同一页纸 如何绑定 必须的特性:
不可伪造 不可重用 不可改变 不可抵赖
四种技术手段 加密
鉴别/数字签名 身份
消息来源和真实性 防抵赖 签名和验证 完整性 校验 网络安全模型 系统安全
病毒、木马、漏洞、黑客、攻击等 防火墙、信息过滤和入侵监测等 传输安全 加密防信息泄密
鉴别和认证:消息来源、身份核认、防抵赖等 完整性 * 密码学
加密算法、鉴别和签名算法、安全协议等 * 安全系统
互操作、部署、运行、监控等 密码分析学
目标:恢复密钥或明文 唯密文攻击 只有一些密文 已知明文攻击
知道一些过去的(明文及其密文)作参考和启发 选择密文攻击
有一台解密机(能解密选择的密文)选择明文攻击
缴获有一台加密机(还能加密选择的明文)
Feistel参数特性 分组大小 密钥大小 循环次数
一般仅几轮是不够的,得十几轮才好,如16轮 子钥产生算法 越复杂越好 轮函数Round 关键 其他考虑
速度(尤其是软件实现的速度)便于分析(使用简洁的结构)不是Feistel结构的 AES、IDEA
* 绝大数分组密码属于或类似Feistel结构 多轮
每轮有XOR(或能恢复的操作)轮函数 DES 参数
Feistel体制分组密码
分组大小 64bit,密钥大小 56bit,轮数 16轮 S-Boxes
对DES的争议集中在 密钥空间太小
Key space 从Lucifer的2^128降到DES的2^56 DES Challenge III, 22 hours 15 minutes S盒 S-Boxes S盒的设计准则?
陷门? trapdoors by NSA(?)“Form surprise to suspicion”
从惊喜(甚至能够抵御很后来才发现的各种攻击)到怀疑(n年前就如此厉害的NSA现在究竟有多厉害)DES总结
DES算法对个人用户仍值得信赖 DES算法本身没有大的缺陷 对DES攻击方法复杂度为2^47 DES使用的2^56密钥空间不够大,蛮力攻击目前已能够奏效(DES Challenges III),所以关键场合不能使用了 DES已经不再是推荐标准
DES还是AES,或者RC4、RC5、IDEA、BF Free/Open DES模块仍广泛存在 保护和延续DES投资 对DES的改造
使用现存的软件硬件在强度上提高
AES(=Rijndael)算法
基本参数
分组大小128bits,被分为4组×4字节处理 密钥典型128、192、256bits 非Feistel结构 设计出发点
安全,抵抗已知的攻击方法
代码紧凑,速度够快,适合软硬件实现 结构简单/简明/简 对称算法的应用: 7.1 密码功能的设置
7.2 传输保密性
7.3 密钥分配
7.4 随机数
↓ ↓ ↓
7.a 案例分析
随机数的用途
用做会话密钥 [需保密] 用来产生公钥 [需保密] 如产生RSA密钥时素数p和q 鉴别方案中用来避免重放攻击 nonce [不需保密] 每次使用不同的随机数
很多挑战-应答协议里的挑战值 [不需保密] salt in /etc/passwd etc [不需保密] *
非对称算法
密钥:K =(Kd,Ke)
加密:E(P,Ke)= C 解密:D(C,Kd)= P 要求:从Ke
Kd 安全不仅依赖于密钥的保密,也依赖于随机数的质量
Kd 称为私钥,Ke 称为公钥
公钥加密算法: 加密(如果有人要给该用户A发送消息P)
他先获得该用户的公开钥Ke
加密
传输
解密
D(C,Kd)=P
C = E(P,Ke)
除非拥有Kd,象该用户A,否则不能解开
RSA算法参数建立: 找素数
选取两个512bit的随机素数p,q 计算模n 和Euler 函数φ(n)n =pq φ(n)=(p-1)(q-1)找ed≡1 mod φ(n)选取数e,用扩展Euclid 算法求数d 发布
发布(e,n),这是公钥ke d 保密,(d, n)是私钥 kd
RSA加解密:
加密
明文分组m 做为整数须小于n
解密
m = cd mod n RSA的正确性 证明
依据Euler 定理,在mod n 的含义下
cd=(me)d=med
c = me mod n
mod n
=mkφ(n)+1
mod n
=(mφ(n))km1
mod n =m
mod n // 据Euler定理
RSA计算实例:
选p=7,q=17 则n=pq=119 且φ(n)=(p-1)(q-1)=6×16=96 取e=5 则d=77(5×77 =385 =4×96 +1≡1 mod 96)公钥(5,119),私钥(77,119)
加密m =19 则c =me mod n= 195 mod 119 = 66 mod 119
解密c =66 m =cd mod n = 6677mod 119 =19 mod 119 程序功能:
用p和q为素数,则n=pq且f(n)=(p-1)(q-1)e为加密指数,则求得解密指数d满足ed=1 mod f(n)加密明文x,则得密文y=x^e mod n 解密密文y,则得解密明文x2=y^d mod n 注意:e必须和fn互素 用法:pqex
e 和(p-1)(q-1)互素
x 小于pq 模幂乘:
97221 % 2003
(都在模2003意义下)
972
21= 97128+64+16+8+4+1
= 97128 9764 9716 978 974 971
依次计算971、972、974、978、一直平方下去即可,并保持模2003 如果某次方在1 式出现,则累乘
累积开始是1 *
乘法次数O(log2Y)攻击RSA
9716… 97128 枚举
枚举所有可能明文m,用e加密和c比较 枚举所有可能的私钥d(已知明文)
数学方法
分解n=pq,就可以计算φ(n),就可从e 求得d
不分解n,而直接求φ(n),再求d
不求φ(n),直接求d
对RSA的理解
形式简单,易于理解,研究深入支持广泛 既能用来加密,可以用来加密回话密钥,又可签名
它的对称性使它可以可以用来加/解密,同时也可以用来做签名/验证。
安全性的模糊(疑为等价于因子分解的难度)随机素数产生并不容易
运算量大,速度受局限,尤其在嵌入式设备中 对称短发和公钥算法的比较 安全性 速度
典型相差1000倍
密钥管理
对称算法需要额外安全信道
公钥:证书中心CA 混合密码体制
公钥算法用于签名和认证
用公钥算法传输会话密钥
用会话密钥/ 对称算法加密批量(bulk)数据
公钥算法太慢
公钥的分配方法:
临时索要公钥/自由的扩散/PGP的公钥环 2.公开的目录服务(在线方式)3.公钥授权(在线中心方式)4.通过证书中心CA(离线中心方式
公钥授权:在线中心 有在线中心帮助的公钥交换
A 以带时间戳的信息向中心请求B 的当前公钥
中心用私钥PRauth签署的消息回复A,包括:
原始请求和原始时间戳,B 的公钥PUb,A 用B 的公钥加密:将自己的身份IDa 和会话标识号N1包含在加密的消息里 B 也如法取得A 的公钥
B 用A 的公钥加密:N1 和N2 A 用B 的公钥加密N2,以最后确认会话
在线中心容易成为单点故障和性能瓶颈
Certificate Authentication
CA是受信任的权威机构,有一对公钥私钥。
每个用户自己产生一对公钥和私钥,并把公钥提交给CA申请证书。CA以某种可靠的方式核对申请人的身份及其公钥,并用自己的私钥“签发”证书。
证书主要内容:用户公钥,持有人和签发人的信息,用途,有效期间,签名等。
证书在需要通信时临时交换,并用CA的公钥验证。
有了经CA签名保证的用户公钥,则可进行下一步的身份验证和交换会话密钥等。
Diffie-Hellman密钥
目的:使两用户能安全的交换密码,以便在后续的通信中用改密码对消息加密
算法的有效性是建立在计算离散对数是很困难这件事的基础上 步骤
随机 交换y 算k 选取大素数q 和它的一个生成元g,这些参数公开 A选择随机数Xa,B选择随机数Xb
A 计算Ya =g^Xa mod q,B 计算Yb =g^Xb mod q
交换Ya,Yb
A 计算K =Yb^Xa mod q,B 计算K' =Ya^Xb mod q
事实上,K =K'
举例 q=97,g=5
A选Xa=36,B选Xb=58,则
Ya=5^36%97=50,Yb=5^58%97=44 交换50,44 A算K=44^36%97=75,B算K’=50^58%97=75 分析(别人怎么计算K?)
别人看到了Ya和Yb,但需要计算Xa或Xb,即要算离散对数 Ya=g^Xa mod q,或Yb=g^Xb mod q.b ElGamal加密 准备
1素数p,Zp*中本原元g,公开参数 2私钥a,公钥b=ga mod p 加密
1对明文1<=m<=p-1,选随机数k 2密文(c1, c2)c1=gk mod p, c2=mbk mod p 解密
1m=c2(c1a)-1=mbk((gk)a)-1
=m(ga)k(g-ka)
=m mod p C2和c1a 先求模再相处 ElGamal加密基于离散对数难题 缺点 需要随机数
密文长度加倍
背景循环群: 从Zp* 到EC 点加群
认证和加密不同。
消息认证是验证消息完整性的一种机制,能发现对消息的篡改或假冒。
使用对称算法可产生消息鉴别码MAC 使用公钥算法可对消息进行签名
身份认证是鉴别通信对方的身份是否属实。
Hash函数是一个单向的消息摘要函数,在产生MAC、签名中有重要用途。认证函数: 对称加密
2.公钥加密
3.消息认证码(MAC)
4.散列函数(Hash)
认证需要给密文添加结构特征 公钥加密认证方法:
A可以先使用自己的私钥加密消息(这是数字签名),再用B的公钥加密,这样可以提供认证。亦需要给明文消息添加结构特征 消息认证码mac
利用密钥来生成一个固定长度的短数据块,并将该数据附在消息之后(假定双方共享密钥)
发送方利用密钥从明文产生一个固定长度的短数据块(MAC),和消息一起传输。
接收方考察是否一致,以判断MAC和/或消息是否被改动过。
MAC:CBC模式最后一个分组 MAC函数
计算明文M在密钥K的作用下的特征码 M || MAC(M, K)
验证时,判断明文M 和MAC 码是否一致
HMACK:带key的HASH函数
利用HASH函数从报文和密钥产生MAC码
先计算特征,再把特征加密的思想,或 直接把散列函数和Key结合得MAC
HMAC = HashKey(Message)
一种实现,比如
HMAC = Hash(Key || Message)HMACK的含义和用途 HASH函数定义:
对于任意给定的报文,产生固定长度的摘要信息是消息认证的一种变形,输入是大小可变的消息M,输出固定大小的散列码H(M),与MAC不同,HACH并不使用密钥,它仅是输入消息的函数,是所有消息位的函数。
Hash函数强调单向性和抗冲突特性
单向性质:给定h,要找x 使H(x)=h 是困难的
弱抗碰撞特性:
对于给定的y,找x,使H(x)=H(y)是困难的
强抗碰撞特性(生日攻击):
* 如果碰撞则意味着数字签名容易被伪造/欺骗 Hash函数的用途总结下先
Hash函数的用途总结下先 给明文增加结构特征以保护密文 产生MAC码(HMAC)找x 和y,使H(x)=H(y)是困难的 数字签名前HASH代表参与 从口令衍生密钥 挑战-应答认证协议中 也用来产生随机数 PKCS5用口令到K
数字签名:
是一种认证机制,使得消息的产生者可以添加一个起签名作用的码字。通过计算消息的散列值并用产生者的私钥加密散列值来生成签名。签名保证了消息的来源个完整性。
两种模式: 1私钥签名:
输入
报文明文、私钥
m^d = s 输出
报文明文、报文密文(签名)
(m, s)
验证
不可伪造 不可改变
2散列签名 讨论
s^e =? M 私钥(其实是公钥)的管理: 和身份绑定、更新等 签名过程太慢: 启用散列函数
改进
对报文的散列值用私钥加密得到和n 等宽的签名值
使用证书的鉴别过程:例如ssl A要和B通信,A要弄清楚B是否是他所期望的真的B
A->B:A向B请求证书 A<-B:B的证书
A
:A检查B的证书是否是A所信任的中心签发的 A->B:A给B一个随机报文,让B签个名来看看 B
:B签名,在签名之前可施加自己的影响成分 A<-B:B的签名
A
:检验是否通过了B的证书里的公钥的验证
第二篇:信息安全考点、内容
一、信息与信息安全(名词解析)
(1)信息:指事物运动的状态和方式,是事物的一种属性,在引入必要约束条件后可以形成特定的概念体系。通常情况下,可理解为消息、信号、数据、情报和知识。
(2)信息安全:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
二、我国法律制度的构成(宪法、法律、行政法、地方性法规、自治单行条例)(辨别)
立法层次看,全国人大及其常委会制定国家法律(中华人民共和国刑法、中华人民共和国计算机信息系统安全保护条例),国务院及其所属部门分别制定行政法规和部门规章(计算机信息网络国际互联网安全保护管理办法、计算机病毒防治管理办法),一般地方的有关国家权力机关和政府制定地方性法规和地方政府规章(广东省计算机系统安全保护管理规定、武汉市电子政务建设管理暂行办法)。
三、地方立法权的主体(较大的市,福建有厦门、福州)
一般是省、自治区、直辖市的人大及其常委会和较大市的地方人大及其常委会,另外还有民族自治地方的人大。
四、各种法律责任的构成
(1)不满14周岁,完全不负刑事责任,满16周岁完全负刑事责任。(2)民事权利分为财产权(物权、债权、知识权)、人身权(人格权、身份权)
(3)民事责任有10种,可同时使用;刑事责任分主刑(死刑)附加刑(罚金、驱逐);行政责任(罚款、警告)
五、法律事实
指是否与当事人的意志有关,可以把法律事实分为事件包括自然事件(无人参与)、社会事件(有人参与)(与当事人意志无关),行为包括合法、违法(与当事人意志有关)
六、犯罪的基本特征(多选)
社会危害性(本质)、刑事违法性、应受刑罚处罚性
七、犯罪的构成要件(多选)
犯罪客体、犯罪客观方面、犯罪主体、犯罪主观方面
八、法律关系及其三要素(选)
法律关系:是法律在调整人们行为的过程中形成的权利义务关系。三要素:主体、客体、内容
九、法律关系主体(选)
公民(自然人)、各种机构和组织、国家
十、法律关系客体(选、判断)
物、行为、智力成果
十一、法律规范
概念:指通过国家的立法机关制定的或者认可的,用以引导、约束人们行为的行为规范的一种。
授权性(有权。、享有。权利、可以。)义务性(有。义务、要。、必须。)职权性
十二、国家安全的构成要素
国家安全一般法律制度、国防安全法律制度、经济安全法律制度、网络信息安全法律制度、生态安全法律制度、社会公共安全法律制度
十三、计算机信息系统安全保护重点
国家事务、经济建设、国防建设、尖端科学技术等重要领域
十四、信息安全法律规范基本原则
(1)谁主管谁负责原则
(2)突出重点原则
(3)预防为主原则
(4)安全审计原则(5)风险管理原则
十五、风险管理:又名危机管理,指如何在一个肯定有风险的环境里把风险减至最低的管理过程。
十六、互联网上网服务场所的管理权
(1)县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;(2)公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;
(3)工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;
(4)电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。
十七、国际互联网及互联网络
(1)国际互联网:指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息同外国的计算机信息网络相连接。
(2)已建立中国公用计算机互联网、中国金桥信息网、中国教育和科研计算机网、中国科学技术网四个互联网络
十八、病毒、木马、流氓软件
病毒从本质上讲,它是一段电脑程序。它具有传播性、破坏性及自我繁殖能力的特点。其中自我繁殖及传播性是病毒的最大特征。“木马”,是黑客常用的攻击方法。它通过在你的电脑系统隐藏一个会在Windows启动时悄悄运行的程序,采用服务器/客户机的运行方式,从而达到在你上网时控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的文件、登录注册表等等。
“流氓软件”是介于病毒和正规软件之间的软件。计算机病毒指的是:自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用,并能够自我复制。正规软件指的是:为方便用户使用计算机工作、娱乐而开发,面向社会公开发布的软件。“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。
十九、知识产权的概念组成及特征
(1)概念:是基于创造性智力成果和工商业标记,依法产生的权利的总称。(2)组成:工业产权(专利权、商标权)+版权(作者权、邻接权)(3)特征:客观无形性、双重性、专有性、地域性、时间性
二十、著作权的分类及其保护期限
(1)各类作品的作者依法享有的权利,还包括艺术表演者、录音录像制作者广播电视节目制作者依法享有的权利。
(2)分类:著作人身权(一生)(公开发表权(终身和死后50年)、署名权、修改权、完整权(时间不受限))、财产权(5-17年)(重制权、公开口述权、公开播送权、公开上映权、公开演出权、公开传输权、公开展示权、改作权、散布权、出租权)
二十一、作品及其特点(如何辨别)
(1)概念:指文学艺术和科学领域内,具有独创性并能以某种有形形式复制的智力创作结果
(2)特点:具有独创性
(3)辨别:文字作品、口述作品、音乐作品、戏剧作品、曲艺作品、舞蹈作品、杂技艺术作品、美术作品、建筑作品、摄影作品、电影作品和类似电影制作方法创作的作品、工程设计图、产品设计图、地图、示意图等图形类产品、计算机软件、数据库或其他材料的集合体、法律、行政法规定的其他作品。
二十二、时事新闻的理解
时事新闻是指通过报纸、期刊、电台、电视台等传播媒介报道的单纯事实消息,不受著作权保护。
二十三、专利权客体的类型及保护期限
(1)发明(20年,申请之日起,不可延)(2)实用新型(10年)(3)外观设计(10年)二
十四、专利的特点
新颖性、创造性、实用性 二
十五、专利的限制(大题)
(二)不视为侵犯专利权的行为
1.专利权人制造、进口或者经专利权人许可而制造、进口的专利产品或者依照专利方法直接获得的产品售出后,使用、许诺销售或者销售该产品的。
2.在专利申请日前已经制造相同产品、使用相同方法或者已经做好制造、使用的必要准备,并且仅在原有范围内继续制造、使用的。
3.临时通过中国领陆、领水、领空的外国运输工具,依照其所属国同中国签订的协议或者共同参加的国际条约,或者依照互惠原则,为运输工具自身需要而在其装置和设备中使用有关专利的。
4.专为科学研究和实验而使用有关专利的。二
十六、专利侵权行为(大题)
专利侵权行为是指在专利权有效期限内,行为人未经专利权人许可又无法律依据,以营利为目的实施他人专利的行为。它具有以下特征:
1.侵害的对象是有效的专利。专利侵权必须以存在有效的专利为前提,实施专利授权以前的技术、已经被宣告无效、被专利权人放弃的专利或者专利权期限届满的技术,不构成侵权行为。专利法规定了临时保护制度,发明专利申请公布后至专利权授予前,使用该发明的应支付适当的使用费。对于在发明专利申请公布后至专利权授予前使用发明而未支付适当费用的纠纷,专利权人应当在专利权被授予之后,请求管理专利工作的部门调解,或直接向人民法院起诉。
2.必须有侵害行为,即行为人在客观上实施了侵害他人专利的行为。
3.以生产经营为目的。非生产经营目的的实施,不构成侵权。
4.违反了法律的规定,即行为人实施专利的行为未经专利权人的许可,又无法律依据。
二十七、商标
指商品的生产者或经营者用来标明自己、区别他人同类商品的标志。二
十八、商标强制注册的商品(人用药品和烟草制品)二
十九、商标权的保护期限(10年,核准之日算。可延)三
十、商标侵权行为
(1)商标侵权行为是指未经商标注册人的许可,在同一种商品或者类似商品上使用与其注册商标相同或者近似的商标
(2)侵权行为:
(一)未经商标注册人的许可,在相同商品或者类似商品上使用与其注册商标相同或者近似的商标,可能造成混淆的;
(二)销售侵犯注册商标权的商品的;
(三)伪造、擅自制造与他人注册商标标识相同或者近似的商标标识,或者销售伪造、擅自制造的与他人注册商标标识相同或者近似的标识的;
(四)未经商标注册人同意,更换其注册商标并将该更换商标的商品又投入市场的;
(五)在相同或者类似商品上,将与他人注册商标相同或者近似的标志作为商品名称或者商品装潢使用,误导公众的;
(六)故意为侵犯他人商标权行为提供仓储、运输、邮寄、隐匿、加工、生产工具、生产技术或者经营场地等便利条件的;
(七)将与他人注册商标相同或者相近似的文字作为企业的字号在相同或者类似商品上使用,或者以其他方式作突出其标识作用的使用,容易使相关公众产生误认的;
(八)复制、摹仿、翻译他人注册的驰名商标或其主要部分在不相同或者不相类似商品上作为商标使用,误导公众,致使该驰名商标注册人的利益可能受到损害的;
(九)将与他人注册商标相同或者相近似的文字注册为域名,并且通过该域名进行相关商品宣传或者商品交易的电子商务,容易使相关公众产生误认的。
(十)给他人的注册商标专用权造成其他损害的。三
十一、不正当竞争行为
(1)概念:指经营者在市场竞争中,采取非法的或者有悖于公认的商业道德的手段和方式,与其他经营者相竞争的行为。
(2)市场混淆、商业贿赂、虚假宣传、侵犯商业秘密、低价倾销、不正当有奖销售、商业诋毁
三
十二、混淆行为
指经营者在市场经营活动中,以种种不实手法对自己的商品或服务作虚假表示、说明或承诺,或不当利用他人的智力劳动成果推销自己的商品或服务,使用户或者消费者产生误解,扰乱市场秩序、损害同业竞争者的利益或者消费者利益的行为。
(1)假冒他人的注册商标。(2)与知名商品相混淆。(3)擅自使用他人的企业名称或姓名,引人误认为是他人的商品。(4)伪造、冒用各种质量标志和产地的行为。三
十三、商业贿赂行为
商业贿赂是指经营者为争取交易机会,暗中给予交易对方有关人员或者其他能影响交易的相关人员以财物或其他好处的行为。行为要点:
(1)行为的主体是经营者和受经营者指使的人(包括其职工);其他主体可能构成贿赂行为,但不是商业贿赂。
(2)行为的目的是争取市场交易机会,而非其他目的(如政治目的、提职、获取职称等)。
(3)有私下暗中给予他人财物和其他好处的行为,且达到一定数额。如若只是许诺给予财物,不构成该行为;给予的财物或好处数额过小,如为联络感情赠送小礼物,亦不构成该行为。
(4)该行为由行贿与受贿两方面构成。一方行贿,另一方不接受,不构成商业贿赂;一方索贿,另一方不给付,也不构成商业贿赂。三
十四、不正当有奖销售
(1)谎称有奖销售或对所设奖的种类,中奖概率,最高奖金额,总金额,奖品种类、数量、质量、提供方法等作虚假不实的表示;(2)采取不正当手段故意让内定人员中奖;(3)故意将设有中奖标志的商品、奖券不投放市场或不与商品、奖券同时投放,或者故意将带有不同奖金金额或奖品标志的商品、奖券按不同时间投放市场;(4)抽奖式的有奖销售,最高奖的金额超过5000元(以非现金的物品或者其他经济利益作为奖励的,按照同期市场同类商品或者服务的正常价格折算其金额);(5)利用有奖销售手段推销质次价高的商品;(6)其他欺骗性有奖销售行为。三
十五、侵犯商业秘密行为
(1)侵犯商业秘密行为是指以不正当手段获取、披露、使用他人商业秘密的行为。(2)1)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密;(2)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;(3)根据法律和合同,有义务保守商业秘密的人(包括与权利人有业务关系的单位、个人,在权利人单位就职的职工)披露、使用或者允许他人使用其所掌握的商业秘密。第三人明知或应知前款所列违法行为,获取、使用或者披露他人的商业秘密,视为侵犯商业秘密。在实践中,第三人的行为可能与侵权人构成共同侵权。
三
十六、国家秘密与商业秘密
(1)国家秘密:指关系国家安全和利益,依照法定程序确定,在某一确定的时间内只限于一定范围的人员知道;
(2)商业秘密:指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。
三
十七、诋毁商誉行为
(1)指经营者捏造、散布虚假事实,损害竞争对手的商业信誉、商品声誉,从而削弱其竞争力的行为。(2)诋毁商誉的行为要点如下:
(1)行为的主体是市场经营活动中的经营者,其他经营者如果受其指使从事诋毁商誉行为的,可构成共同侵权人。新闻单位被利用和被唆使的,仅构成一般的侵害他人名誉权行为,而非不正当竞争行为。
(2)经营者实施了诋毁商誉行为,如通过广告、新闻发布会等形式捏造、散布虚假事实,使用户、消费者不明真相产生怀疑心理,不敢或不再与受诋毁的经营者进行交易活动。若发布的消息是真实的,则不构成诋毁行为。
(3)诋毁行为是针对一个或多个特定竞争对手的。如果捏造、散布的虚假事实不能与特定的经营者相联系,商誉主体的权利便不会受到侵害。应注意的是,对比性广告通常以同行业所有其他经营者为竞争对手而进行贬低宣传,此时应认定为商业诋毁行为。
(4)经营者对其他竞争者进行诋毁,其目的是败坏对方的商誉,其主观心态出于故意是显而易见的。
第三篇:信息安全技术基础--期末考点总结
4.信息安全就是只遭受病毒攻击,这种说法正确吗?
不正确,信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
信息安全本身包括的范围很大,病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击,信息还存在偶然泄露等潜在威胁,所以上述说法不正确。5.网络安全问题主要是由黑客攻击造成的,这种说法正确吗?
不正确。谈到信息安全或者是网络安全,很多人自然而然地联想到黑客,实际上,黑客只是实施网络攻击或导致信息安全事件的一类主体,很多信息安全事件并非由黑客(包括内部人员或还称不上黑客的人)所为,同时也包括自然环境等因素带来的安全事件。补充:信息安全事件分类
有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件、其它事件
3.信息系统的可靠性和可用性是一个概念吗?它们有什么区别?
不是。
信息安全的可靠性:保证信息系统为合法用户提供稳定、正确的信息服务。
信息安全的可用性:保证信息与信息系统可被授权者在需要的时候能够访问和使用。区别:可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。5.一个信息系统的可靠性可以从哪些方面度量?
可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。
7.为什么说信息安全防御应该是动态和可适应的?
信息安全防御包括(1)对系统风险进行人工和自动分析,给出全面细致的风险评估。(2)通过制订、评估、执行等步骤建立安全策略体系(3)在系统实施保护之后根据安全策略对信息系统实施监控和检测(4)对已知一个攻击(入侵)事件发生之后进行响应等操作
保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化,没有一种技术可以完全消除信息系统及网络的安全隐患,系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。实现有效的信息安全保障,应该构建动态适应的、合理可行的主动防御,而且投资和技术上是可行的,而不应该是出现了问题再处理的被动应对。4.什么是PKI?“PKI是一个软件系统”这种说法是否正确?
PKI是指使用公钥密码技术实施和提供安全服务的、具有普适性的安全基础设施,是信息安全领域核心技术之一。PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书的形式发布有效实体的公钥。
正确。PKI是一个系统,包括技术、软硬件、人、政策法律、服务的逻辑组件,从实现和应用上看,PKI是支持基于数字证书应用的各个子系统的集合。5.为什么PKI可以有效解决公钥密码的技术应用?
PKI具有可信任的认证机构(授权中心),在公钥密码技术的基础上实现证书的产生、管理、存档、发放、撤销等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,以及为PKI体系中的各个成员提供全部的安全服务。简单地说,PKI是通过权威机构签发数字证书、管理数字证书,通信实体使用数字证书的方法、过程和系统。
实现了PKI基础服务实现与应用分离,有效解决公钥使用者获得所需的有效的、正确的公钥问题。1.什么是安全协议?安全协议与传统的网络协议有何关系与区别?
答:安全协议是为了实现特定的安全目标,以密码学为基础的消息交换协议,其目的是在网络环境中提供各种安全服务。
网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合,它是面向计算机网络的,是计算机通信时采用的语言。网络协议使网络上各种设备能够相互交换信息。常见的协议有:TCP/IP协议等。网络协议是由三个要素组成:语义、语法、时序。人们形象地把这三个要素描述为:语义表示要做什么,语法表示要怎么做,时序表示做的顺序。
区别与联系:两者都是针对协议实体之间通信问题的协议,网络协议是使具备通信功能,安全协议旨在通信的同时,强调安全通信。
1.为什么说WLAN比有线网络更容易遭受网络攻击?
(1)有线网络中存在的网络安全威胁在WLAN中都存在。(2)WLAN固有的特点----开放的无线通信链路,使得网络安全问题更为突出,从而WLAN面临更多的安全隐患。例如:在两个无线设备间传输未加密的敏感数据,容易被截获并导致泄密。恶意实体更容易干扰合法用户的通信,更容易直接针对无线连接或设备实施拒绝服务攻击DoS,并坑你跟踪他们的行为。
11.如果让你来设计WLAN安全机制,请论述你将考虑的方面以及设计思路。
WLAN需要解决的问题(138):
01.访问控制。只有合法的实体才能够访问WLAN及其相关资源。02.链路保密通信。无线链路通信应该确保数据的保密性、完整性及数据源的可认证性。
基于上述需求,WLAN安全机制应该包括实体认证、链路加密和完整性保护、数据源认证等,此外应该考虑防止或降低无线设备遭受DoS攻击。
大致设计思路:采用基于密码技术的安全机制,借鉴全新的WLAN安全基础架构—健壮安全网络关联RSNA设计建立过程:
(1)基于IEEE 802.1X或预共享密钥PSK实现认证与密钥管理,建立RSNA。(2)在RSNA建立过程中,使用协议栈中一些相关标准协议,确保协议的安全性。(3)密钥管理协议部分:采用4次握手密钥协商协议—用于在STA与AP之间协商产生和更新共享临时密钥,以及密钥使用方法。(4)STA与AP之间相互认证之后,使用数据保密协议保护802.11数据帧。
6.若一个单位部署防火墙时,需要对外提供Web和E-mail服务,如何部署相关服务器? 答:部署过程如下图:
Web服务器FTP服务器Email服务器Internet屏蔽子网外部防火墙内部防火墙服务器内部网络
部署:在内部网与Internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网和屏蔽子网与Internet之间各设置一个屏蔽路由器(防火墙)。
这种防火墙部署也称为DMZ部署方式:提供至少3个网络接口:一个用于连接外部网络—通常是Internet,一个用于连接内部网络,一个用于连接提供对外服务的屏蔽子网。DMZ是一个安全系统与非安全系统之间的一个缓冲区,这个缓冲区位于企业内部网络和外部网络之间,放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。9.什么是入侵检测系统?如何分类?
答:入侵检测系统:通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。分类:主机型IDS、网络型IDS 主机型IDS:安装在服务器或PC机上的软件,监测到达主机的网络信息流 网络型IDS:一般配置在网络入口处或网络核心交换处,通过旁路技术监测网络上的信息流。10.网络入侵检测系统是如何工作的?
1)截获本地主机系统的网络数据,查找出针对本地系统的非法行为。2)扫描、监听本地磁盘文件操作,检查文件的操作状态和内容,对文件进行保护、恢复等。3)通过轮询等方式监听系统的进程及其参数,检查出非法进程。4)查询系统各种日志文件,报告非法的入侵者。
Internet防火墙Web/E-mail/FTP核心交换机网络IDS位置主机IDS位置办公大楼
15.入侵检测技术和蜜罐技术都是用于检测网络入侵行为的,它们有什么不同?
入侵检测系统是根据人定义的规则、模式阻止非授权访问或入侵网络资源的行为。其收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,其前提即已知非法访问规则和入侵方式,否则容易产生误判。
蜜罐(Honeypot)技术则是可以在不确定攻击者手段和方法前提下发现攻击。发现自身系统已知或未知的漏洞和弱点。它可以看成是一种诱导技术,目的是发现恶意攻击和入侵。蜜罐技术可以运行任何的操作系统和任意数量的服务,蜜罐上配置的服务决定了攻击者可用的损害和探测系统的媒介。
16.如果你是一个单位的网络安全管理员,如何规划部署网络安全产品?
答:安装安全的无线路由器(防火墙)、选择安全的路由器名字、定制密码、隐藏路由器名字、限制网络访问、选择一种安全的加密模式、考虑使用入侵检测系统或蜜罐等高级技术。
2.信息隐藏与传统数据加密有什么区别?信息隐藏过程中加入加密算法的优点是什么?
信息隐藏就是利用特定载体中具有随机特性的冗余部分,将有特别意义的或重要的信息嵌入其中掩饰其存在,嵌入的秘密信息称为隐藏信息,现代信息隐藏通常要把传输的秘密信息写到数字媒介中,如图像、声音、视频信号等,其目的在于将信息隐藏的足够好,以使非法用户在截获到媒介物时不会怀疑媒介中含有隐藏信息。
传统数据加密指通过加密算法和加密密钥将明文转变为密文,其目的是使明文信息不可见,它的核心是密码学。
优点:由于隐藏算法必须能够承受一定程度的人为攻击,保证隐藏信息不会破坏,所以信息隐藏中使用加密算法,增强了隐藏信息的抗攻击能力,更加有利于对信息的安全性保护,5.什么是数字水印?数字水印技术与信息隐藏技术有什么联系和区别?
数字水印是指嵌入在数字产品中的、不可见、不易移除的数字信号,可以是图像、符号、数字等一切可以作为标识和标记的信息,其目的是进行版权保护、所有权证明、指纹(追踪发布多份拷贝)和完整性保护等。
联系和区别:
信息隐藏与数字水印都是采用信息嵌入的方法,可以理解为信息隐藏的概念更大,但通常讲到的信息隐藏是隐秘和保护一些信息传递,而数字水印是提供版权证明和知识保护,二者目的不同。
8.如何对数字水印进行攻击?
从数字水印的2个主要性质:鲁棒性、不可见性入手。
基于攻击测试评价,分析数字水印的鲁棒性,结合使用峰值信噪比PSNR分析数字水印不可见性,使用低通滤波、添加噪声、去噪处理、量化、几何变换(缩放、旋转、平移、错切等)、一般图像处理(灰度直方图调整、对比度调整、平滑处理、锐化处理等)、剪切、JPEG压缩、小波压缩等方式综合完成数字水印进行攻击。9.RSA及公钥密码体制的安全基础:
RSA密码系统的安全性依赖两个数学问题:大数分解问题、RSA问题。由于目前尚无有效的算法解决这两个问题的假设,已知公钥解密RSA密文是不容易的。10.保密通信系统模型图
窃听者明文m加密(Encrypttion)密 文c=E k1(m)搭线信道公众信道解密(Decryption)明文m=Dk2(c)发送方加密密钥k1秘密信道解密密钥k2接收方
11.简述公钥密码体制在信息安全保护中的意义:
公钥加密系统中任何主体只拥有一对密钥—--私钥和公钥,公开其公钥,任何其他人在需要的时候使用接收方的公钥加密信息,接收方使用只有自己知道的私钥解密信息。这样,在N个人通信系统中,只需要N个密钥对即可,每个人一对。公钥加密的特点是公钥是公开的,这很好地解决了对称密码中密钥分发与管理问题。12.AES 由多轮操作组成,轮数由分组和密钥长度决定。AES在4×n字节的数组上操作,称为状态,其中n是密钥字节数除4。AES的数据结构:以字节为单位的方阵描述:输入分组in、中间数组State、输出分组out、密钥分组K。排列顺序:方阵中从上到下,从左到右
AES算法轮操作过程:
轮变换包括以下子步骤:
(1)字节替换:执行一个非线性替换操作,通过查表替换每个字节。(2)行移位:状态(矩阵)每一行以字节为单位循环移动若干个字节。(3)列混合:基于状态列的混合操作。
(4)轮密钥加:状态的每一个字节混合轮密钥。轮密钥也是由蜜月调度算法产生。需要注意的是,最后一轮(第10轮)操作与上述轮操作略有不同,不包括列混合操作,即只包括字节替换、行移位和密钥叠加操作。加密128比特明文轮密钥加主密钥Kw[0,3]密钥扩展128比特明文轮密钥加逆字节替换逆行移位逆列混合第9轮第10轮第1轮字节替换行移位列混合轮密钥加w[4,7]轮密钥加逆字节替换第9轮字节替换行移位列混合轮密钥加w[36,39]逆行移位逆列混合轮密钥加逆字节替换逆行移位w[40,43]轮密钥加128比特密文第1轮第10轮字节替换行移位轮密钥加128比特密文解密 13.简述PKI的功能:
PKI功能包括数字证书管理和基于数字证书的服务。
01.数字证书是PKI应用的核心,它是公钥载体,是主题身份和公钥绑定的凭证。因此,证书管理是PKI的核心工作,即CA负责完成证书的产生、发布、撤销、更新以及密钥管理工作,包括完成这些任务的策略、方法、手段、技术和过程。
02.PKI服务:PKI的主要任务是确立证书持有者可信赖的数字身份,通过将这些身份与密码机制相结合,提供认证、授权或数字签名等服务。当完善实施后,能够为敏感通信和交易提供一套信息安全保障,包括保密性、完整性、认证性和不可否认性等基本安全服务。
03.交叉认证。为了在PKI间建立信任关系,引入了“交叉认证”的概念,实现一个PKI域内用户可以验证另一个PKI域内的用户证书。
14.信息安全威胁主要来自人为攻击,其大致可分为主动攻击和被动攻击两大类型。15.现代密码系统按其原理可分为两大类: 对称加密系统和 非对称加密系统。16.安全的定义 只有相对的安全,没有绝对的安全。安全的意义在于保护信息安全所需的代价与信息本身价值的对比,因此信息安全保护是一种效能的折衷。可将信息系统的安全性定义为以下三种:
01.理论安全性:即使具有无限计算资源,也无法破译。
02.可证明安全性:从理论上可以证明破译一个密码系统的代价/困难性不低于求解某个已知的数学难题。03.计算安全性:使用已知的最好算法和利用现有的最大的计算资源仍然不可能在合理的时间完成破译一个密码系统。
3种又可区分为理论安全性和实际安全性两个层次,其中实际安全性又包括两个层次:可证明安全性和 计算安全性。16.1如何攻击密码系统?
惟密文攻击:破译者已知的东西只有两样:加密算法、待破译的密文。
已知明文攻击:破译者已知的东西包括加密算法和经密钥加密形成的一个或多个明-密文对,即知道一定数量的密文和对应的明文。
选择明文攻击:破译者除了知道加密算法外,他还可以选定明文消息,并可以知道该明文对应的加密密文。
选择密文攻击:破译者除了知道加密算法外,还包括他自己选定的密文和对应的、已解密的明文,即知道选择的密文和对应的明文。
选择文本攻击:是选择明文攻击与选择密文攻击的结合。破译者已知的东西包括:加密算法、破译者选择的明文消息和它对应的密文,以及破译者选择的猜测性密文和它对应的解密明文。
17.消息认证(如何主体的身份或消息的真实性?)
被认证的主体包括两类:
01.消息的发送实体,人或设备(实现技术,例如:数字签名)02.对消息自身的认证,顺序性、时间性、完整性(时间戳服务、消息标识等方法)由中国制定的无线网络安全国际标准是GB 15629.11;
公钥基础设施PKI通过 控制中心CA以签发 数字证书 的形式发布有效的实体公钥。18.网路安全协议:
应用层传输层网络层数据链路层物理层HTTPS, SSH, PGP, Kerberos,SETSSL, TLS, SOCK5IPSecPPP-PAP/CHAP,WEP物理层安全
18.1数字签名工作过程:
签名者私钥签名s摘要h(m)Hash消息m签名者消息m签名者公钥有效验证摘要h(m)Hash无效签名签名验证者 19.密码体制分类(根据密钥情况分类)
对称密钥密码体制:加密与解密使用相同密钥(单钥)优点(为什么使用对称密码加密消息呢?):加解密速度快、效率高、加密算法简单、易于实现,计算开销小。
缺点:密钥分发困难,即在通信双方共享的密钥一般需要带外传递,总之,通信双方最初的共享密钥必须通过安全的方式传递交换。对称加密密钥使用接受者 公钥,数字签名使用 发送者 的私钥。
公钥密码体制:加密与解密使用不同密钥(双钥)公、私钥成对出现,公钥加密、私钥解密。
20.对称密码体制分类
分组密码先将明文划分成若干等长的块——分组(如64b),然后再分别对每个分组进行加密,得到等长的密文分组;解密过程也类似。有些密码体制解密算法与加密算法完全一样,如DES。
序列密码是把明文以位或字节为单位进行加密,一般是与密钥进行混合(如异或)获得密文序列。也称流密码。
分组密码设计的两个思想 扩散:即将明文及密钥的影响尽可能迅速地散布到较多的输出密文中,典型操作就是“置换”。
混淆:目的在于使作用于明文的密钥和密文之间的关系复杂化,使得明文和密文、密文和密钥之间的统计相关性极小化,从而使统计分析攻击不能奏效。混淆通常采用“代换”操作。
公钥密码的算法就是一种陷门单向函数f 21.数字签名与消息加密组合方案
公钥(接收者)私钥(接收者)密钥加密解密密钥明文明文明文加密密文密文|签名摘要签名密文解密Hash摘要有效解密签名私钥(发送者)公钥(发送者)接收者验证无效Hash签名发送者 22.DES DES是一种分组密码算法,加密和解密使用相同的密钥。DES的分组长度为64比特位。使用64比特密钥(其中包括8比特奇偶校验位),密钥通过扩展后,经过16轮对明文分组的代换和置换。
DES工作过程:(1)初始置换及其逆置换(2)f函数(乘机变换)[扩展、密钥混合、替换、置换P ] DES的安全性分析:S盒是DES的核心,也是DES算法最敏感的部分,所有替换都是固定的,甚显神秘。许多密码学家曾担心NSA设计S盒时隐藏了某些陷门。DES算法具有很好的雪崩效应。64比特明文初始置换IP56比特密钥(去除奇偶校验位)置换PC128bits28bits<<<置换PC248bits32bits左循环移位K132bitsL0第1轮R0 <<
(1)最小化原则:受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要,仅被授予其访问信息的适当权限。
(2)分权制衡原则:每个授权主体只能拥有其中一部分权限,使它们之间相互制约、相互监督,共同保证信息系统的安全。
(3)安全隔离原则:将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
第四篇:信息政策法规考点完整总结
信息政策法规考点完整总结
第一章 绪论
信息政策是指国家或相关组织为实现信息资源管理的目标而制定的有关调控信息和信息活动的行为规范。信息法是由国家立法机关批准指定,并由国家执法机关的强制力保证实施的,调节信息领域经济关系和社会关系的法律规范的总称。
信息政策法类型规按生命周期不同分为长期、中期、短期政策法规。按地位不同分为主体性政策法规、配套性政策法规。
信息政策与信息法的区别与联系15 区别:信息政策与信息法在手段、内容、稳定性、强制性、调整范围、可操作性等方面存在着明显的区别,主要体现在:
1从手段上讲,信息政策侧重于导向作用,即为了实现信息政策的目标,运用行政手段,鼓励和支持社会信息活动。而信息法侧重于制约作用,即运用法律手段,限制和约束社会信息行为。2从内容上讲,信息政策侧重于为社会信息活动提供具有导向性和约束力的行动准则,而信息法侧重于通过贯彻国家意志,借助于国家强制力,来规范信息行为,保护信息权利,调整信息关系,稳定信息秩序。
3从稳定性上讲,信息政策作为社会信息活动的指导准则,往往是宏观的方针性号召,允许有灵活性和针对性,可以随社会信息化的发展目标,政治、经济、文化等社会状况和条件改变而改变,而信息法一般是在长期的信息政策实践后总结提炼出来的,内容比较成熟,时效较长,而且它的制定、修改或废除都需要经过严格和复杂的法定程序,具有相当大的稳定性。4从强制性上讲,信息法是由国家专门的立法机关依照法律程序而制定或认可的,具有明确性、稳定性、可靠性和执行的强制性,相比之下,信息政策的制定程序相对简单,甚至缺乏必要的审议表决程序,其内容广泛,解释余地广泛,变异性较大,无法提供像信息法那样的信任度、可靠性和强制性。5从调整范围上讲,信息法侧重于调整那些能够成为法律事实,能够引起信息法律关系产生、变更和消灭的信息活动,而灵活性很强的信息政策在某种程度上弥补了这一缺陷,因而具有更宽的调整范围。6从可操作性上讲,信息法比信息政策的可操作性要强的多。
联系:1信息政策对信息立法有指导作用。2信息法是信息政策的升华。3科学而合理的信息政策应当受到信息法的制约。
我国目前信息领域面临的主要问题?1)偏重于硬件建设,软件开发和信息服务明显滞后;2)核心技术开发能力薄弱关键硬件和软件依赖进口 ;3)信息资源严重不足,而网路和数据库有存在大量低水平的建设,且难以是吸纳互联共享;4)信息安全存在隐患;5)信息人才明显不足。第二章 信息政策法规体系结构
信息政策法规在国民经济和社会发展中的地位?1)信息政策法规是国家政策法规体系的有机组成部分2)是国家信息化建设的根本保障3)是现代信息管理的重要构成要素之一
信息政策法规体系的设计原则?1)科学性原则2)系统性原则3)协调性原则4)稳定性和衔接性原则5)导向性原则6)周期性原则
第三章 信息政策法规的制定、实施与评估
信息政策主体分为官方主体和非官方主体。信息政策法规评估可分为正式评估和非正式评估。从评估者的性质来看分为内部评估和外部评估。信息政策法规效应可分为正效应和负效应、短期效应和长期效应、直接效应和间接效应。信息政策与法规整体正效应实现模式
A体系结构因素:各项分支政策法规间的相互配合策略主要包括: 1时差配合策略2松紧配合策略3功能配合策略4主辅配合策略5更新配合策略 B体系环境因素:信息政策法规体系环境是指影响和制约信息政策法规整体正效应实现的外部条件或因素,信息政策法规体系环境有两种:一是政策法规性环境二是非政策法规性环境 终结方式、障碍、策略68 A常见的信息政策法规终结有四种方式,即替代、合并、分解和缩减。
B在信息政策法规终结过程中往往存在着许多难以逾越的障碍,主要包括: 1信息政策法规的受益者、制定者、实施者等相关人员的抵触情绪会阻碍信息政策法规的终结,2现存信息政策法规实施机构的惯性,以及寻求生存和自我扩张本性会给信息政策与法规的终结带来困难,3已经或即将获得利益的行政机关会结成反对联盟,共同抵制信息政策法规的终结,4各种利益集团会千方百计的维持现状,阻碍现行信息政策法规的终结5信息政策与法规的终结需要依据一定的法律程序进行,具有终结程序上的复杂性,6报刊、广播、电视等新闻媒体的社会舆论可能会形成巨大的压力,阻止信息政策法规的终结,7信息政策法规终结需要高昂的成本。
C信息政策与法规的终结策略主要有: 1向社会公众和有关人员公开信息政策法规的评估结果,解释终结原因,以消除其抵触情绪,2实行旧的信息政策法规终结与新的信息政策与法规出台并举的策略,以缓和因终结而带来的巨大压力3在非正式场合有选择性的散播试探性信息,测定人们所持的态度,以防止突发性社会舆论所产生的负面影响4正确处理信息政策法规终结与稳定、发展的关系。第四章 信息技术政策法规
熊皮特认为穿心就是建立一种新的生产函数也即是建立一从来没有过的关于生产要素和生产条件的新组合。在新技术的形成和扩散中可分为技术领先者、技术追随者、技术后来者。
推行信息技术标准的意义? 1)信息技术标准具有基础性通用性作用,是从事信息生产搜集处理积累储存检索传递和消费的一种共同遵守的技术依据2)通过技术的统一,可以取得最佳的信息资源开发利用秩序和效益3)是千差万别的信息系统之间实现互联互通和共享的技术基础。
我国标准可分为国家标准、行业标准、地方标准、企业标准四个级别。第五章 信息网络政策法规
网络犯罪具有隐蔽性、智能性、无国界性。四大范畴:数据关联罪、网络关联罪、进入犯罪、辅助计算机犯罪。ISP/ICP的责任认定?1)ISP的责任认定:ISP提供入网接入服务2)ICP的责任认定:对于ICP在侵权事件中是否应当承担责任,必须根据其提供服务的内容与方式进行判定。包括三类:信息服务的提供者、信息服务的传播者、混合服务提供者
电子公告服务是指在互联网上以电子公告牌、电子白板、电子论坛、网络聊天室、留言板等交互形式为上网用户提供信息发布条件的行为。
越境数据流(TDF)是指在计算机文档中处理和存储的数据通过电子手段跨越政治疆界的传递。越境数据流的不平衡三角形133 越境数据流的最突出的特点是多国性。这种多国性使其涉及的范围非常广泛,它不仅涉及到发达国家,而且涉及到发展中国家。但是由于世界发展的不平衡性,也使TDF带有明显的不平衡性特征。这种不平衡性被表述为“全球TDF的不平衡三角形”。这个不平衡三角形的主要思想是,a以美国为首的发达国家在国际信息服务市场上占有绝对优势。b发达国家与发展中国家之间存在着TDF的不平衡现象,c在发达国家与发达国家(指美国与欧洲和日本)之间也存在着TDF的不平衡现象。之所以说它们之间的TDF存在着不平衡,是因为从本质上说,TDF有两种形式,一种是信息(商品)形式的TDF,另一种是数据(原料)形式的TDF。如果输出本国的数据(原料)形式的TDF,由他国加工后再花钱买回来信息(商品)形式的TDF,无疑将蒙受经济上的损失。这就是不平衡。第六章 知识产权法律制度
知识产权是人们对其科学、技术、文化等的知识领域中的治理活动创造的成果和经营管理活动中的标记、信誉依法幸有的权利。
什么是知识产权法?特征?是国家制定或认可的,调整咋知识产权的取得、使用、转让和保护等地过程中所产生的产权关系的法律规范的统称。专有性、地域性、时间性,还有国家授予性和客体内容的公开性。
著作权是制作者或其他著作权人依法对其文学、艺术和科学作品所享有的人身权利和财产权利的总称。
原始主体是指在作品创作完成后,直接依据法律规定或合同约定对文学、艺术和科学作品所享有的著作权人。继受主体是指通过受让、继承、受赠或法律的其他方式取得著作权的人。
著作权内容包括著作人身权和著作财产权。著作人身权是指作者对其作品所享有的各种与人身相联系而无直接财产内容的权利。著作权的取得:自动取得、注册取得。
职称发明创造是指发明人或设计人执行本单位的任务或者主要是利用本单位的物质条件所完成的发明创造。专利审查和批准 1)初步审查2)早期公开3)实质审查4)授权登记公告5)复审。
商标是成产经营者在其商品或者服务项目上使用的,由文字、图形、字母、数字、三维标志和颜色组合,以及上述元素的组合构成,具有显著特征,便于识别商品或服务来源的专用标记。商标注册基本条件显著性、视觉上可感知、使用。
域名是因特网上识别和定位计算机的层次结构的字符标识,代表着企业或其他组织在因特网上的身份。除了“最低原创性”原则外,美国在数据库版权保护方面还形成了“版权弱保护”原则。著作权的限制150 1合理使用:是指使用者可以不经著作权人许可,而使用他人已发表的作品,不必向著作权人支付报酬的制度。2法定许可:是指使用者可以不经著作权人的同意而使用其版权作品,但应按规定向著作权人支付报酬,并应注明作者姓名、作品名称的法律制度。3强制许可:当著作权人无正当理由而拒绝使用者使用其作品时,使用者可以经申请由著作权行政管理部门授权,强制性地使用该作品,这便是强制许可。网络环境下知识产权保护认识与理解190(1)网络传输的普及和应用,为著作权人实现自己的权利带来了困难。(2)网络环境下现有著作权作品的扩大。(3)当作品在网络环境下以数字化形式存储、传播时,各类作品之间的界限变得相当模糊,数字化作品的特殊性及相应的著作权保护形式,值得著作权研究者深入探讨。(4)网络环境下作品的复制速度和难易度、作品的修改、复制品的信息含量等问题都发生了本质变化,它对作者的最主要经济权利即复制权产生根本性的冲击,因而“复制”的概念,“复制品”的概念,都需要进一步拓宽。(5)数据库保护问题。目前,国际社会对信息开发者权益保护的手段主要有两种:一是法律手段;二是技术手段。技术方面的保护是易于理解的,例如我国大都采用的附带加密狗、加密卡或加密盘、对软件拷贝或使用进行限制等技术措施,而法律方面大多数国家都是通过版权法来提供知识保护的。采用技术手段虽然可以较为有效地保护开发者的利益,但也给开发工作增加了负担,同时也给用户使用带来不便。第七章 信息保密与公开法律制度
国家机密的泄密途径:一方面是境外敌对势力加紧情报活动结果,另一方面是在于国家保密工作的疏忽和麻痹大意,以及国民信息保密意识的淡薄。境外势力主要采取重金收买我内部人员,以及通过派遣特务、美人计、学术交流、技术交流、技术合作等途径获取我国国家机密;而内部人员则主要是因投敌、贪财、炫耀、麻痹大意、新闻报道失误等原因导致国家机密的泄密。
商业秘密的特征:秘密性、经济性和实用性、保密性、合法性。
侵犯商业秘密权的行为:第一,企业自身泄露商业秘密。无意:1)商业谈判和业务联系中无意泄露2)公开出版物上的不经意发表3)非公开资料的不小心遗失4)公共场合谈话中的不慎泄露5)广告与宣传中的泄露6)信息披露中的把度不严7)其他 有意:1)企业员工因贪图钱财而为竞争对手收买2)企业职工因准备另立山头而积聚力量3)企业职工借人才流动反复跳槽咦收取信息服务费致富4)企业职工本身在入厂前已为竞争对手所雇用。第二外部力量窃取企业商业秘密1)竞争对手直接盗取商业秘密2)竞争对手雇用无用人员到企业内搜集废弃物3)佳节商贸往来逃去商业秘密。
隐私权是指公民享有的对其个人信息、私人活动和私有领域不为他人知悉、禁止他人干涉的权利,即私生活不被干扰的权利。
政府信息公开制度是一种承认公民对政府拥有的信息有公开请求权,政府对这种信息的共公开的请求有回答义务的制度。
第八章 电子商务法
电子商务法律需求:1)地域和空间场所的确定2)时间的确定3)数据电文的法律适用问题4)电子签名和电子认证5)电子合同6)电子支付7)知识产权8)电子商务的第三方的法律地位9)网上隐私权的问题10)电子商务行业的 法律法规11)电子商务税收立法。
电子签名系指在数据电文中与数据电文相关的签名人和表明签名人认可数据电文所含信息。电子签名的法律效率
认证机构的义务1)信息批露义务2)义务说明义务3)方便用户查询证书义务4)保险业务5)保密义务6)担保义务。电子合同与传统合同的区别1)合同的要约和承诺均通过因特网进行2)合同的传递通过因特网进行3)表示合同成立的传统签字方式被电子签名方式所代替4)合同生效的地点确定5)订立过程的特殊性6)电子合同的易消失性和易改动性。
电子支付是指电子支付的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过因特网进行的货币支付或资金流转。
第五篇:《安全生产管理》考点总结
《安全生产管理》考点总结
1.海因里希法则:伤亡:轻伤:不安全行为=1:29:300;(2012年单选;2015年单选;)2.危险源:第一类危险源(严重程度)、第二类危险源(可能性)(2013年多选;)
3.本质安全设计:两种:失误——安全功能;故障——安全功能(2012年多选;2013年单选;)
4.安全生产管理原理:系统原理(4项)、人本原理(4项)、预防原理(4项)和强制原理(2项):(2012年单选;2014单选;2015单选)
5.事故致因理论:5个:事故频发倾向理论、事故因果连锁理论(海因里希、博德)、能量意外释放理论(屏蔽措施等)、轨迹交叉理论、系统安全理论。(2012年单选;2015单选)
6.《企业安全生产标准化基本规范》目标、机构和职责、安全生产投入、制度化管理、教育培训(三级安全培训等)、现场管理(设备设施管理、作业安全、职业健康、职业病危害检测与评价等)、安全性评价、隐患排查治理、应急评估与管理、事故查处、持续改进(2012年单选;2013年单选、多选;2015年单选)7.企业安全文化三层次:安全物质文化、安全行为文化、安全制度文化、安全精神文化(2013年单选)
8.企业安全文化的主要功能:导向功能、凝聚功能、激励功能、辐射和同化功能(2013年单选;2014年单选)9.安全承诺:领导者、各级管理人员、每位员工。(员工2012年单选;员工2015年单选)10.企业安全文化建设评价指标:基础特征、安全承诺、安全管理、安全环境、安全培训与学习、安全信息传播、安全行为激励、安全事务参与。(2012年单选;2015年单选)11.重大危险源辨识:单元划分方法、计算方法(2012年单选,多选;2013年单选、多选;2015年单选)
12.重大危险源的监控监管:整改、帮转停、备案等规定(2012年单选;2013年单选)13.事故严重度评价:最大危险原则和概率求和原则。(2013年单选)14.重大危险源重新辨识、评估的情形:6条。(2014年单选)15.安全生产规章制度:综合安全管理制度(14项)、人员安全管理制度(7项)、设备设施安全管理制度(6项)、环境安全管理制度(3项)。(2011年单选)16.安全生产管理制度管理:起草、会签或公开征求意见、审核、签发、发布、培训、反馈、持续改进。(2013年多选)17.组织保障:金建道危矿设置安全生产管理机构或专职,其余100为基准。(2013年单选、多选;2015年单选)
18.安全生产费用的提取原则、使用和管理(6项)(2012年单选;2013年单选;2015年单选)
19.安全风险抵押金的管理规定(2012年单选,2013年单选)20.安全技术措施:防止事故发生(5种)、减少事故损失(5种)。(2012年单选;2013年单选;2015年单选、多选)
21.编制安全技术措施计划的基本原则:4条。(2015年单选)22.“三同时”的概念、监管责任。(2014年单选;)23.必须进行安全条件论证的企业类型(5种)、安全条件论证报告的主要内容:4条(2012年多选;)
24.建设项目安全设施定义(2012年单选)25.安全设施设计审查的期限:受理5日,审查20日,可延10日;不予批准的情形:6种;26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.重新批准的情形:3种。(2012年单选)
安全设施施工和竣工验收:施工单位职责、监理单位职责、试运行(30-180天)。(2013年单选;2015年单选)
特种设备使用管理:持证上岗;30日内登记、一个月内定检;使用管理(县级;原登记单位注销);应急管理(国务院:特重大事故应急预案,县级事故预案,单位专项预案)。(2015年单选)
主要负责人和安全管理人员的培训工作组织、培训时长(2012年单选;2013年单选)三级安全培训内容和时长。(2012年单选;2013年单选;)特种作业证的管理(2012年单选)
特种作业的范围(2012年多选;2015年单选)特种作业人员的培训内容(2012年多选)
安全生产检查的类型:经常性、季节性及节假日、专项、综合性、职工代表等;检查的内容:软件系统、硬件系统。(2014年多选)
安全生产检查的方法:常规检查、安全检查表、仪器检查及数据分析法。安全生产检查的工作程序:准备(7项)、实施(4项)、综合分析。(2015年单选)事故隐患的分类;每季度、每年。(2015年单选)重大事故隐患报告内容(3项);治理方案(6项);挂牌督办:10日,县,人民政府。(2012年单选;2013年单选;2015年单选)劳动防护用品分类、发放原则、“三证一标志”、“三会”、安全标志。(2012年单选;2013年单选;2014年单选;2015年单选)
申请特种劳动用品安全标志的生产条件(8条)。(2014年单选)承包和发包各自职责;安全协议内容;有限空间作业管理(2012年单选;2013年单选;2015年单选)
煤炭安全监察:日常、重点、专项、定期。(2011年单选)安全生产监督管理方式:事前(证件)、事中(工作场所日常监查:行为监察(管理制度等)、技术监察)、事后(应急救援、事故原因等)。(2012年单选;2014年单选;2015年单选)
特种设备安全监察方式:行政许可制度、监督检查制度、事故应对和调查处理。(2014年单选;2015年单选)
安全预评价、安全验收评价、安全现状评价的各项内容和步骤(2012年多选;2015年单选)
危险和有害因素:按导致事故的直接原因分类:人的因素(心理、生理、行为)、物的因素(物理、化学、生物)、环境(室内、室外、地下、其他)、管理(6项)。(2012年多选;2015年单选)《企业职工伤亡事故分类》20种事故的定义、判别(2012年单选,多选;2013年单选;2014年单选)
危害有害因素辨识方法:直观经验分析法(对照经验法、类比方法)、系统安全分析法(事件树、事故树)。(2012年单选、多选;2015年单选)
危险有害因素的识别:厂址、总平面布置、建筑物、工艺过程、生产设备装置、作业环境、安全管理措施。(2011年单选;2014年单选)安全评价方法:定性(7种)、定量(指数盖饭,3种)。(2012多选;2013单选;2015单选、多选)
安全评价管理;甲级:400万,25,30%;乙级:200万,16,30%(2013单选;2014单选)51.生产过程中的有害因素:生产过程(物理、化学、生物)、劳动过程(5项)、生产环境的有害因素(2项);(2012年单选;2013单选;2014单选;2015单选)52.界定法定职业病的4个基本条件(2014年多选)53.职业卫生工作原则:三级预防
54.职业危害评价:经常性职业危害因素测定与评价、建设项目的职业危害评价。每年一次职业危害因素测定,三年一次职业病危害现状评价。评价方法:检查表法、类比法、定量法(2011单选、多选;2015单选)
55.职业危害控制:工程控制技术(湿式作业、密闭抽风等)、个体防护措施、组织管理措施。(2014单选、多选;2015单选)56.职业卫生监督项目(2012年单选)
57.职业危害申报的相关内容:5条,30天;15天(2012年多选;2014单选)58.生产单位职业卫生管理:① 材料和设备管理(11条);② 作业场所管理(16条);③ 防护设备设施和个人防护用品(7条);④ 履行告示义务(3条);⑤ 职业健康监护(8条)。(2011单选;2015单选)
59.如何辨识人的不安全行为、物的不安全状态、管理不善(2012年多选)
60.应急管理四个阶段的主要内容:预防、准备、响应、恢复(2011单选;2012年单选;2013单选;2014单选)
61.事故响应机制:一级(所有部门)、二级(两个或更多部门)、三级(一个部门)。(2014单选)
62.现场指挥系统组织机构:事故指挥官、行动部、策划部、后勤部、资金/行政部。(2014单选)
63.事故应急预案编制程序:6条;事故应急预案基本结构:1+4;事故应急预案主要内容:5条。(2011单选;2012单选;2013多选;2015单选)64.应急预案演练:类型(2种);内容分类(2种);实施:5步。(2011单选;2012单选;2013单选)
65.安全带的检查内容:10条(2012年多选)
66.一般事故、较大事故、重大事故、特大事故调查归属,四种事故的鉴定(2012年单选;2013单选;2015单选)
67.生产安全事故上报时限、部门。(2011单选;2013单选;2014单选)68.事故调查的原则以及事故调查组履行的职责(2011单选;2012年单选;2013单选;2014单选)
69.直接原因和间接原因辨识(2012年单选,多选)70.报告事故应包括的内容(2012年单选)
71.事故的预防:管理措施和技术措施(2012年单选)72.计数资料(相对二项X2)、计量资料(tu)、等级资料;系统误差、随机误差;(2012年单选;2014单选)
73.统计指标中绝对指标和相对指标的定义和辨识(2012年单选;2014单选)74.发病率和几种率的计算(2012年单选;2013单选;2014单选;2015单选)75.事故统计指标计算方法、直接经济损失统计范围、间接经济损失统计范围。(2013单选;2014单选)
点击咨询 