第一篇:信息网络安全工程考试复习提纲
信息系统建设的周期:1.系统规划;2.系统分析与设计;3.系统实施;4.系统运维。
资源需求属性:1.人,软件,设备;2.开始时间;3.持续时间。
ISO信息安全定义:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件,软件和数据不因偶然和恶意的原因而遭到破话,更改和显露。
信息安全工程建设的流程:1.风险分析与评估;2.安全需求分析;3.制定安全策略;4.安全体系设计;5.安全工程实施;6.安全工程监理。
安全工程的生命周期:1.发掘信息保护需求;2.定义系统安全要求;3.设计系统安全体系结构;4.展开详细的安全呢设计;5.实现系统安全;6.评估信息保护的有效性。
安全工程特点:1.全面性;2.过程性与周期性;3.动态性;4层次性;5.相对性;6.继承性
CMM(Capability Maturity Model)是能力成熟度模型的缩写
CMM的一个成熟级别指示了这个级别的过程能力,它包含了许多关键过程域(KPM)
每个KPM的工作以组织方式细化为一般特性(CF),每个CF都对实施或规则的建立进行说明,它由若干个关键实施(KP)组成KPM7个级别:机构关注过程,机构定义过程,培训计划,集成软件管理,软件产品工程,组间协调,对等审查。
完整的安全工程包括如下活动:前期概念,开发与证明,工程实施,开发与制造,生产和部署,运行和支持,淘汰
系统安全工程的能力成熟度模型(SSE-CMM),他是一种衡量系统安全工程实施能力的方法,是一种使用面向对象过程的方法。
SSE-CMM模型的三种应用方式:过程改进,能力评估,保证。
SSE-CMM将系统安全划分为:风险过程,工程过程和保证过程三个基本过程区
过程(process)指未达到某一给定目标而执行的一系列活动,这些活动可以重复,递归,和并发地执行
过程区(PA)是一组相关安全工程的过程的性质,当这些性质全部实施后能够达到过程区定义的目的SSE-CMM采用两维设计:域(domain)横坐标,能力(capability)纵坐标
基本实施必要步骤:汇集一个域中的相关活动,以便以后使用。有关价值的安全工程服务。
可在组织生命周期中应用。能在多个组织和多个产品范围内实现。能作为一个独立过程进行改进。能够由类似过程兴趣组进行改进。包括所需满足过程区目标的BP
基本实施(BP)的特性:应用于整个企业生命周期。和其他BP互相不覆盖。代表安全业界最好的实施。不是简单地反映当前技术。可在业务环境以下采用多种方法使用。不指定特定的方法或工具。
SSE-CMM使用的一般步骤:启动,诊断,评价,应用,学习。
SSE-CMM框架:①风险控制②强调合作,协作③工程实施管理④可重复信任程度⑤识别成熟度
信息安全工程是系统安全工程,系统工程和系统获取在信息系统安全方面的具体体现
信息安全基本功能活动:对安全活动进行规划和控制;安全需求定义;安全设计支持;安全运行分析;生命期安全支持;安全风险管理。
安全认证(SC)是对一个系统在技术上的和非技术上的安全特征,以及其他保护措施综合进行的独立评估,目的是确定特定系统在所处环境条件下的使用满足制定安全需求集合的程度
安全认可(SA)由独立的DAA给定的正事安全声明
安全威胁:敌对方经过深思熟虑,利用那些可能对信息或者系统造成顺还的条件,(行为或事件)能力,意图或方法
信息安全工程的过程:风险分析与评估;安全需求分析;安全体系设计;制定安全策略;安全产品的测试和选型;安全工程的实施与工程监理;信息安全组织管理体系的结构;安全事件紧急响应体系的构建;安全的稽查与检查;安全意识教育与技术培训。
安全规则与控制属于系统和安全项目的管理与规则活动,开始于一个机构从业务角度决定承担该工程的时候,他们是信息安全工程过程的基本部分;安全需求是为了确定系统每个主要功能,并用无歧义的可试验术语说明这些需求;安全设计支持提供了对那些能满足系统需求的安全服务,安全机制和安全特性的深刻理解,以及在整系统结构的上下文联系中的建议;生命周期的规划和实施达到了安全持续运行在设计的性能水平上
风险评估:对信息和信息处理设施的威胁,影响和脆弱点及三者发生的可能性的评估,也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定资产风险等级和优先控制顺序。
风险评估的基本特点:①决策支持性;②比较分析性;③前提假设性;④时效性;⑤主管与客观集成性;⑥目的性
风险评估步骤:①风险评估准备,包括确定评估范围,组织评估小组;②风险因素识别;③风险确定;④风险评价;⑤风险控制。
威胁:指对组织的资产引起不期望事件而造成损害的潜在可能性。
弱点评估:指通过技术检测,试验和审计等方法,寻找用户信息资产中可能存在的弱点,并对弱点的严重性进行估值。可以分为管理和技术层面进行,主要包括技术弱点检测,网络架构与业务流程分析,策略与安全孔氏实施审计,安全弱点综合分析等
风险评估文件包括在整个风险评估过程中产生的评估过程文件和评估过程文档,包括:风险评估计划;风险评估程序;资产识别清单;重要资产清单;威胁列表;脆弱性列表;已有安全措施确认表;风险评估报告;风险处理计划;风险评估记录。
风险评估可分为:定性风险评估和定量风险评估
风险评估实施原则:①目标一致;②关注重点资产;③用户参与;④重视质量管理和过程
风险评估实施阶段:①前期准备阶段;②现场调查阶段;③风险分析阶段;④策略制定阶段
安全策略:一种处理安全问题的管理策略的描述,策略要能对某个安全主题进行扫描,探讨其必要性和重要性,解释清楚什么该做,什么不该做。
信心安全策略:一个组织机构中解决信息安全问题最重要的部分
信息安全策略制定原则:①先进的网络安全技术是网络安全策略落实的基础。②严格的安全管理是确保安全策略落实的基础。③严格的法律,法规是网络安全保障的坚强后盾。
信息安全策略的制订首先要进行前期的规划工作,包括确定安全策略保护的对象,确定参与与编写安全策略的人员,以及信息安全策略中是拥抱过的核心安全技术。同时也要考虑制定原则,参考结构因素等。
安全策略使用的主要技术:1.防火墙技术;2.入侵检测技术;3.备份技术;4.加密技术
系统按群策略主要包括WWW服务策略,数据库系统安全策略,邮件系统安全策略,应用服务系统安全策略,个人桌面系统安全策略以及其他业务相关系统安全策略等。
病毒防护策略准则:①拒绝访问能力;②病毒检测能力;③控制病毒传播的能力;④清除病毒的能力;⑤数据恢复能力
GB17859把计算机信息系统的安全保护能力划分为5个等级;户定自主保护;系统审计保护级;安全标记保护级;结构化保护级和访问验证保护级。
数据备份是把文件或数据库从原来存储的地方复制到其他地方的活动,其目的是为了在设备发生故障或凡是其他威胁数据安全的灾害时保护数据,将数据遭受破坏的程度减到最小
数据备份的层次:1.备份;2.系统的双机热备;3.硬件级备份;4.软件级备份;5人工备份。
数据备份常用方法:1.软盘备份;2.磁带备份;3.移动存储备份;4.可移动硬盘备份;5.本机多硬盘备份;6.网络备份;7.备份软件;8.日常备份制度设计。
灾难预防是保证任何公共资源的破坏都不至于影响日常操作的预防措施
信息安全风险评估报告框架:
一.风险评估项目概述:
1.工程项目概况:①建设项目基本;②建设单位基本信息;③承建单位信息
2.实施单位基本情况
二.风险评估活动概述:
1.风险评估工作组织管理;2风险评估工作过程;3依据的技术标准及相关法规文件;4保障与限制条件
三.评估对象
1.评估对象的构成及定级:①网络结构,②业务应用,③子系统构成级定级
2.评估系统的等级保护措施:①XX子系统等级保护措施;②子系统n的等级保护措施
四.资产识别与分析
1.资产类型与赋值:①资产类别,②资产赋值
2.关键资产说明
五.威胁识别与分析
1.威胁数据采集
2.威胁扫描分析:①威胁源分析;②威胁行为分析;③威胁能量分析
3.威胁赋值
六.脆弱性识别与分析
1.常规脆弱性描述:①管理脆弱性;②网络脆弱性;③系统脆弱性;④子系统脆弱性;⑤运维脆弱性;⑥物理脆弱性;⑦数据处理与存储脆弱性;⑧灾备与应急响应脆弱性
2.脆弱性专项检查:①木马病毒;②渗透于攻击;③关键设备安全性;④设备采购与维护服务安全性;⑤其他检测;⑥安全效果综合验证
七.分析分析
1.关键资产的风险分析
2.关键资产的风险等级:①风险等级列表;②风险等级统计;③基于脆弱性的风险排除,④风险分析结果
八.综合分析与评价
九.整改意见
政府网络安全解决方案
一.网络系统分析:1.基本网络结构;2.网络应用
二.网络安全风险分析:1.物理安全风险分析;2.网络平台的安全风险分析:①整个网络结
构和路由状况;②保密安全;③终端安全;3系统的完全风险分析;4.应用的安全风险分析;5.管理的安全风险分析、三.网络安全需求及安全目标:1.安全需求分析;2.网络安全策略;3.系统安全目标
四.网络安全方案总体设计:1.安全方案设计原则;2.安全服务,机制与技术;
五.网络安全体系结构:1物理安全;2.系统安全;3.网络安全;4.应用安全;5.构建CA体
系;6.安全管理
第二篇:考试复习提纲
附件二:
党校学习必备知识
党章及党的基本知识部分
1、中国共产党的最高理想和最终目标是什么?
2、中国共产党的指导思想是什么?
3、我国社会主义建设的根本任务是什么?
4、我党执政兴国的第一要务是什么?
5、“三个有利于”的标准具体指的是什么?
6、党的民主集中制的含义是什么?
7、中国共产党的性质是什么?
8、中国共产党在社会主义初级阶段的基本路线是什么?
9、我们的立国之本是什么?我们的强国之路是什么?
10、党的纪律的主要内容是什么?
11、党支部“三会一课”制度具体内容。
12、我们党的根本组织原则是什么?
13、党的建设必须坚决实现的四项基本要求是什么?
14、“三个有利于”的标准是什么?
15、现阶段我党的基本纲领是什么?
16、我们党的最大政治优势和党执政后的最大危险分别是什么?
17、党的领导主要是哪些方面的领导?
18、党员的党籍管理(组织关系接转)程序?
19、党的纪律的主要内容?
20、党的最高领导机关是什么?
21、马克思主义中国化的理论成果有哪些?
22、党在社会主义初级阶段的基本路线是什么?
23、预备党员的预备期有多长?预备党员的权利和义务与正式党员有什么不同?
24、预备党员预备期满后,转正的条件和程序分别是什么?关于延长预备期的具体规定是什么?
25、预备党员的预备期和党员的党龄应如何计算?
26、党的民主集中制的基本原则是什么?
27、党的中央委员会每届任期几年?党的地方各级委员会任期几年?
28、党的中央、地方和基层组织有哪些?
29、成立党的基层组织在党员人数上有什么要求?
30、根据工作需要和党员人数,经过上级党组织批准,可以设立哪些党的基层组织?
31、党的基层组织的任期是几年?
32、党的基层组织的基本任务是什么?
33、党的领导干部的产生方式有哪些?
34、党组织本着什么原则对违纪党员进行处分?
35、党内的纪律处分有哪几种?
36、给予违纪党员纪律处分,由谁决定,报谁批准?
37、党的三大优良作风是什么?
38、中国共产党党徽的图案由什么构成?
39、中国共产党的党旗是什么样的?
40、中国共产党的象征和标志是什么?
41、你的入党动机是什么?
发展党员工作细则部分
1、入党积极分子的培养联系人应由什么人担任?应采取何种方式对积极分子进行培养和教育?
2、党支部应该间隔多长时间对入党积极分子进行一次考察?
3、积极分子经过多长时间的考察和什么程序,才能被列为发展对象?
4、对入党积极分子的政治审查包括那些内容?基本方法有哪些?
5、什么人可以担任入党介绍人?
6、不能担任入党介绍人的情况有哪些?
7、支部大会应该如何接收预备党员?
8、讨论多个人入党时,支部大会应该如何讨论和表决?
9、哪些党组织无权接收、审批预备党员?
10、预备党员转正,应该经过什么程序,报谁批准?
11、预备党员转正的手续有哪些?
十七大报告部分
1、党的十七大主题是什么?
2、什么是科学发展观,第一要义,核心,基本要求,根本方法分别是什么?
3、党的十七大报告提出的经济发展目标是什么?
4、十七大提出的社会主义文化发展目标与路线是什么?
5、十七大上提出我们党的建设主线是什么?
6、建设社会主义和谐社会的总体要求是什么?
7、什么是中国特色社会主义理论体系?
8、中国特色社会主义的基本要求是什么?
9、党内民主的形式体现在哪些地方?
10、改革开放以来我们党取得一切成绩和进步的根本原因是什么?
11、党的建设的基本要求是什么?
12、发展社会主义民主政治的关键是什么?
13、中国特色社会主义事业总体布局是什么?
14、民族精神和时代精神的核心是什么?
15、中国共产党要领导全国各族人民实现社会主义现代化的宏伟目标,必须加强党的哪些方面建设?
党的十七届六中全会、创先争优活动及《胡锦涛总书记在庆祝建党90周年大会上的讲话》部分
1、坚持中国特色社会主义道路,推进社会主义现代化,实现中华民族伟大复兴,必须毫不动摇地坚持谁的领导?
2、发展中国特色社会主义基本要求是什么?
3、科学发展观的核心是什么?
4、党的基本路线中的奋斗目标是什么?
5、确定毛泽东思想、邓小平理论、“三个代表”重要思想的时间。
6、深化文化体制改革,推动社会主义文化大发展大繁荣,必须以什么为出发点和落脚点?
7、党的十七届六中全会提出,决定着中国特色社会主义发展方向,社会主义先进文化的精髓,兴国之魂是什么?
8、党的十七届六中全会指出,建设社会主义文化强国,就是要着力推动社会主义先进文化更加深入人心,推动社会主义精神文明和物质文明全面发展,不断开创新局面,新局面具体是指什么?
9、当代大学生在创先争优中发挥的作用。
10、胡锦涛总书记在建党九十周年大会上指出,我们党面临的四大考验和四大危险分别分别是什么?
第三篇:信息安全工程考试专题
电子对抗在战争中的地位与作用
1.获取军事情报
通过电子侦察,可以获取到地方无线电通信的内容、敌方电子设备的有关技术参数以及地方兵器属性、类别、数量、配置和位置等情报,从而判断敌方兵力部署和行动企图。2.破坏敌方作战指挥
在陆、海、空军协同作战,坦克集群突防,飞机或舰艇编队行动,空降作战,海上登陆作战以及军队被围时,无线电通信是唯一的通信手段。3.保卫重要目标
使用伪装器材对机场、桥梁、炮阵地、坦克集群等目标进行反可见光、反红外、反雷达的伪装,可以隐真示假,减少被敌人打击摧毁的机会。电子侦察与反电子侦察
(一)无线电通信侦察与反侦察 1.侦收与识别
要侦收敌方无线电通信,己方接收机就必须在工作频率上和敌方相同,在解调方式上和敌方电台调制方式相适应。
2.测向与定位
用无线点定向接收设备来测定正在工作的无线点发射台的方位,称为测向。其接收设备称为无线电测向机。3.反侦察
反侦察的方法有以下几种
(1)使用异常通信活其他通信手段。
(2)采用保密通信设备或进行无线电台伪装,实施佯动和欺骗。(3)使用定向天线、适当控制发射功率。(4)使用新的调制方式。雷达侦察机的组成
雷达侦察机由天线、天线控制设备、接收机和终端设备4部分组成 雷达侦察机的作用
1.发现敌方带雷达的目标。现代化兵器多数是由无线电子设备控制发射和制导的。这些兵器在工作时都要发射电磁波,从而给雷达对抗侦查创造了条件。
2.测定敌方雷达的主要参数,确定雷达和目标的性质。3.引导干扰机和引导干扰杀伤武器。电子干扰与反干扰
电子干扰就是通过干扰电磁波或使用其他器材吸收、反射电磁波,达到干扰和欺骗敌方电子设备,使其不能正常工作的目的。无线电通信干扰
无线电通信干扰的基本原理是:当干扰信号的频率与通信信号相同或接近时,接收设备就会同时收到干扰与通信信号,从而扰乱接收设备对正常信号的接收。无线电通信反干扰的措施
无线电通信反干扰的主要措施有增大发射功率、缩短通信距离、提高信号与干扰的强度比,是信号强度超过干扰强度。如果发射机功率不能改变,可以增设通信中继站,缩短通信距离,提高收信端的通信强度。雷达干扰与反干扰
(一)雷达干扰
(1)有源干扰。利用雷达干扰设备(干扰机)发射无线电波对敌雷达造成的干扰,称为有源干扰。有源干扰常用的有压制性干扰和欺骗性干扰。
(2)无源干扰。无源干扰与有源干扰的区别在于它不是通过发射无线电波对敌方造成干扰,而是利用反射无线电波或衰减“吸收”无线电波的器材造成干扰。(二)雷达反干扰的主要方法有
(1)增大雷达的发射功率。(2)改变雷达的工作频率。(3)扩展雷达的工作频率。(4)提高雷达天线的方向性、(5)动目标显示。
一、考试作弊事件及其中的信息安全
1、吉林四平考研作弊事件
吉林四平考研作弊事件经媒体曝光后,引发社会极大关注相关负责人表示,其中使用的作弊器更涵盖了一些高科技的手段,如“作弊手表”“作弊耳机”等。考试时从考场外发射答案,考生戴上特殊的手表、耳机等在考场内就能收到答案。这些作弊器常做成黄豆大小的东西,并且能藏在衣服里,由于多是碳棒,由于是炭棒,金属探测仪探测不出来。
为调查作弊事件,CCTV记者联系了一个卖家。她约记者在四平市加州旅馆见面。来到约定的房间,记者发现里面进进出出有好几个人,似乎有不同的分工。这个女孩也拿出一套无线耳机设备,指导着记者戴上。在这里,记者意外看到了传送答案的发射设备。这是个类似电台的设备,看上去体积不大,携带方便,在窗台上还连着一根天线。这个小伙子正是用这个器材为记者戴着的无线耳机发送信息。经过记者的调查,这些设备在考试是能够成功逃过考场的信号屏蔽,为作弊考生传输正确率极高的答案。
其中所涉及的作弊仪器包括反屏蔽手表短信接收器、反探测手表式信息接收机、隐形无线耳机等等。
2、松源高考作弊事件
据四川新闻网报道,吉林省松原市扶余县第一中学两位老师刘艳华和何淑杰由于向毕业生家长出售高考作弊器材,在高考前的6月4日被警方抓获,至今在押。
刘艳华交代,她先后向考生家长兜售了27套作弊设备,并向考生家长许诺,到高考时自己能给考生传答案。在扶余县公安局,陈国庆副局长将收缴的作弊设备展示给记者:“这是发射器,能够通过这个将答案发送出去。”他拿起一块橡皮:“这是接收器。”正在记者疑惑时,他抽开橡皮,露出一块液晶显示器:“这样的橡皮和这样花生大小的耳机,他们一共卖出去了27套。”随着科技的发展,作弊器材也在与时俱进。现在的作弊方式多是通过在考场外架设无线电台,向考场内发射信号,考生利用无线耳机接听,或者是通过光电密显类的接收屏偷看。手表、橡皮、直尺袋都成了伪装的对象。在考场,一块普通的手表也许都是暗藏玄机,令人意想不到的是眼镜、橡皮擦、矿泉水、笔、钱包、背心、腰带等,这些不太引人注意的物品经过高科技包装,都成了隐蔽性极强的作弊器材。以尺子型作弊工具为例,其外形和普通尺子一模一样,看上去没有显示屏、按键或充电孔,但这些“机关”真实存在。这种尺子配有一支笔,当笔触到尺子的指定位置时,隐藏在尺子内的液晶显示屏就会显示数字、字符,按动笔上的机关,屏幕就可以前后翻页,用以接收考试答案。
二、手机信息安全
1、敌方通过窃听手机获取情报
通过卫星传输的移动电话很容易被窃听,许多发达国家的情报部门、军方和重要政府部门,都禁止在办公场所使用移动电话,即使是关闭的手机也不允许带入。美国等军事强国已经建立起覆盖全球的电子监听网络系统,广泛地收集对手或潜在对手的电子情报。情报专家直言,即使不使用手机,也可通过简单的电信暗码,遥控打开手机,窃听任何谈话。比如美国国家安全局建立的“梯队系统”,全世界95 %的通信信息都要经过这一系统的过滤,包括电话、文传、电子邮件等。手机通信是一个开放的系统,只要有相应的接收设备,就能够截获任何时间、任何地点、任何人的通话信息。在伊拉克战争中,美军特种部队和中央情报局特工都采取手机窃听战术,截获了伊拉克高官的重要通信信息,掌握他们的行踪。2 手机蓝牙的漏洞
越来越多的蓝牙功能手机,面临一个蓝牙安全的问题。用一个带有蓝牙设备的笔记本,这上面运行着内置了蓝牙支持的SuSE Linux 9.3(目前大部分的蓝牙安全工具包括故事中出现的工具都运行于Linux 之上)。通过一些方法(比如Linux 系统所提供的hcitool 工具集进行探测)就可以扫描到周围的蓝牙设备, 然后通过检测的设备名识别其型号,或通过地址识别制造商,再验证蓝牙设备的指纹进而确定手机的型号。然后就可以利用手机的安全漏洞进行攻击。这种攻击是基于这样一种原理:通过连接到蓝牙设备的OPP(对象交换传输规格)可以在设备之间交换各种信息,例如电话簿等等,由于厂商的原因,一些型号的蓝牙设备存在脆弱点,使攻击者可以在无须认证的情况下连接到这些设备上,下载设备中的资料(电话簿、日程安排信息、图片或其他数据文件)。除此之外还可以操纵手机进行拨号、短信发送和互联网访问等活动,这种攻击被称之为BlueBug 攻击。
淘汰的旧手机泄密
人们喜欢把各种敏感信息贮存手机里,而手机信息都存储在闪存上,但要永久删除其中的信息很缓慢,手机厂商为了不至于手机删除信息显得慢就采用不彻底的方法来弥补这一缺点。这就带来一个安全问题。当你更换手机时,原有手机的信息就可以通过互联网上的廉价的专门软件得以恢复。这样手机中的信息就会造成泄密。
手机面临的信息安全威胁: 手机分为功能手机和智能手机,它们所面临的安全威胁是不同的,功能手机采用的是扩展性比较小,手机出厂后用户不能进行软件安装,智能手机有一个开放的操作系统平台如Windows等,有更大的安全威胁。目前手机软件向开放化、智能化的方向发展。手机后装应用软件成为一个主流,后面应用软件给用户带来便利的同时,也会给病毒的传播带来一个可乘之机,手机集成的很多的用户应用,丰富了用户的体验,也可能成为病毒传播的一个途径。还有一些应用,比如说手机支付,这个业务对手机安全性提出了一个更高的要求,只有基于安全的使用环境,类似的业务才能更好的发展。外部接口提供了与外界接触的渠道,这么多的外部接口,也是危险的途径,外界接口的信息没有特殊的保护,病毒会从外界接口进行入侵。
3、通信技术我们现在不断地发展,从2.5到4G,我们可以看到接入网络的速度是越来越高。高带宽的情况下,给用户带来了很多方便,但同时也给用户手机带来更大范围的信息威胁。技术发展有两面性,一方面让手机的能力增强,另外一方面让手机出现了很多漏洞。还有一些特殊应用,对手机的信息安全提出了更高的要求,没有安全环境无法施展拳脚,手机存储的私秘信息越多,对安全的要求也就随着增加。
手机信息安全事件 手机监听。即宣称只要告诉别人电话号码,就可以提前听到电话号码,插入一个卡,进行远距离无限制的监听。
病毒。病毒非常的多样,影响非常广泛的,不知道上面有的弹性病毒,短信炸弹,躲猫猫病毒等等,有些病毒是利用了手机本身存在的漏洞,有的利用了是手机开放的接口。
不良信息。如骚扰电话、促销广告、诈骗短信等。
网上支付的安全问题
网上支付的安全问题:交易支付信息被篡改、截获、盗取。交易信息假冒。交易抵赖。7.1.2 网上支付安全的主要内容
电子商务安全从整体上分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容主要包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特点是针对计算机网络本身可能存在的安全问题问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全是指在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,实现电子商务交易支付结算的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。包括交易支付过程中的各种交易安全技术,如SET、SSL、安全认证手段和CA体系等。7.3 金融安全认证
05年:银监会国内各银行的网银业务拥有的用户中懂得使用中国金融认证中心安全证书的用户不到三成。能窃取账号、密码和验证码的黑客软件“网银大盗” ;“假银行网站事件”
在网银信誉面临考验的情况下,中国金融认证中心联合全国16家商业银行一起发起了“放心安全用网银”宣传活动
中国金融认证中心总经理李晓峰指出,除了最易被攻破的“账号加密码”的简单方式外,网上身份认证机制还有更好的选择——数字证书认证机制,不法分子即使窃取了账号和密码也取不到钱。已在工行、建行、交行、中信实业等20多家商业银行建立了证书注册审批系统。
如果发生安全问题,中国金融认证中心承诺对网银用户进行赔付:对企业高级证书用户赔付上限为人民币80万元,对企业普通用户赔付上限为50万元,对个人用户赔付上限为2万元。1)数字签名 数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同,数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下3点:
(1)接受者能够核实发送者对消息的签名;(2)发送者事后不能低赖对消息的签名;(3)接受者不能伪造对消息的签名。2)数字证书
(1)Digital Certificate,又称公开密钥证书或“数字标识(Digital ID)”,是由权威的、可信赖的、公正的第三方机构――认证中心颁发给网上用户的一段包含用户身份信息、密钥信息以及认证中心数字签名的数据,它把第一个特定的公开密钥与它的所属者的描述信息进行绑定,其包含的信息可建立使用者在网络上进行交易或从事活动时的身份识别功能,所以常把它比喻为电子身份证。3)认证中心(CA)
(2)在电子商务交易过程中,无论是数字签名还是数字证书的发放都不是由交易双方自己来完成的,必须有一个具有权威性和公开性的第三方来完成。
(3)CA(Certificate Authority),承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心是PKI体系中的核心,是由一组计算机硬件、软件以及管理人员组成的,扮演着如同现实世界中的派出所的户藉管理机构这样的角色。
网上支付哪里存在安全隐患?
人们对任何事物关注点与该事物发展阶段变化而变化。在事物的不同发展阶段,风险点发生变化,社会对此的关注点可能发生变化。对于网上支付,当前的主流方式是通过银行卡(包括信用卡、借记卡和支付卡等)这种支付工具,通过浏览器输入必要的支付认证信息,经发卡行认证授权后扣款完成在线支付。现阶段的支付风险主要存在于:
●支付密码泄漏。一旦攻击者通过某种方式得到支付密码,可以轻易地冒充持卡人通过互联网进行消费,给持卡人带来损失。这是人们对网上支付安全的主要担心所在。
●支付数据被篡改。在缺乏必要的安全防范措施情况下,攻击者可以通过修改互联网传输中的支付数据。譬如,攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等,达到谋利目的并制造互联网支付事件。
●否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作,若付款人否认发出资金划出指令,商业银行将处于被动局面;对于资金划入操作,若商业银行否认资金划入操作,收款人将处于不利境地。如何减少支付风险?
降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者通常用哪些手段得到得到支付密码呢?
●骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信(邮件)。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗,乖乖地向其泄漏自己的银行卡支付密码。
●支付终端截取。攻击者可以在持卡人电脑上发布恶意软件(如木马软件)。这些软件能在持卡人输入支付密码时悄无声息地捕获,并偷偷地发送出去。
●网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。
●暴力攻击。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机,攻击者可以采用密码词典(密码词典包含了0-9数字不同字长的各种数字串组合)方式逐个试探。
●其它途径获取。攻击者趁持卡人不注意,在银行柜台、ATM或POS终端记下持卡人的支付密码。
支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出,我们首先要具有安全意识和基本防范技能。持卡人应注意:
识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此,持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商,熟悉其域名,并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式,可以帮助持卡人识别假网站。
虚假短信(邮件)相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后,应确认短信发送者的真实身份或短信内容。
密码保护还需要持卡人注意不要设置简单的密码。如不要采用类似“123456”的简单数字组合、自己或亲人的生日信息、电话号码。此外,还注意支付终端的安全性,如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时,还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等,不要将密码记录在被人容易看到的纸片上。
支付密码能轻易为攻击者骗取、窃取或破解,更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合,属于低安全强度的保护机制。如采用数字证书代替或补充支付密码就是一种更有效方式。因此,持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式。
第四篇:法理学2010考试复习提纲
法理学2010考试复习提纲
TL 2010最新版
法理学2010考试复习提纲
一. 名词解释
1.立法、执法与司法
一、立法的概念(课本P209)
立法指有权的国家机关(主体),依照法定的职权和程序(前提),制定、修改、废止和认可(V)法律规范的活动。
(立法体制的概念 :指关于国家机关立法权限划分所形成的结构和制度。)
二、执法的概念(课本P232)
执法,又称法的执行,是指国家机关及其公职人员依照法定职权和程序,贯彻、执行法律的活动。
三、司法的概念(课本P236)
司法,又称为法的适用,通常是指国家司法机关依据法定职权和法定程序,具体应用法律处理案件的专门活动。
现代意义的司法一词是指审判或裁判,这是基于三权分立的宪法理念而对权力所作的划分。
2.比较法学和法系
一、比较法学的含义
是指以不同国家和地区的法律制度及法律文化为研究对象、以比较为其基本研究方法的法学学科。
二、法系的概念(课本P59)
依据法的历史传统和某些形式上的特点作为标准对法所作的分类,是若干个国家和特定地区具有某种共性或共同传统的法律体系的总称。
PS:
1.大陆法系:又称罗马法系、民法法系、法典法系或罗马—日耳曼法系,是承袭古罗马法的传统,仿照《法国民法典》和德国民法典的样式而建立起来的各种法律制度的总称。
2.英美法系:又称英国法系、普通法系和判例法系,是承袭英国中世纪的法律传统而发展起来的各国法律制度的总称。
3.英美法系的衡平法:以公平正义原则和规则对普通法的修正、补充而出现和发展起来的一种法律。(参见教材p87)3.法律关系
一、法律关系的涵义(课本P183)
所谓法律关系是在法律规范调整社会关系的过程中所形成的人们之间的权利和义务关系。
PS:
1.法律关系的内容就是法律关系主体之间的法律权利和法律义务。2.法律关系客体是指法律关系主体之间权利和义务所指向的对象。
3.法律事实,就是具有法律关联性的、能够引起法律关系产生、变更和消灭的客观情况或现象。
第 1页
共 4页 法理学2010考试复习提纲
TL 2010最新版
4.权利和义务(包括法律责任)
一、法律权利
就是规定或隐含在法律规范中、实现于法律关系中的、主体以相对自由的作为或不作为的方式获得利益的一种手段。
二、法律义务
就是设定或隐含在法律规范中,实现于法律关系中的,主体以相对受动的作为或不作为的方式保障权利主体获得利益的一种约束手段。
三、法律责任
就是由特定事实所引起的、对损害予以赔偿、补偿或接受惩罚的特殊义务。
PS:法律权利和法律义务的关系
1.结构上的相关关系
2.功能上的互补关系
3.数量上的等值关系
4.价值意义上的主次关系
二. 简答题
1.近现代资本主义法律制度
两大法系之比较(课本P 59):大陆法系和英美法系的比较
(一)相似:
本质、功能、历史类型相同,根本基础、基本原则、法律理念、主要内容、历史根源方面一致,都崇尚法治,崇尚法律至上。
(二)差异(区别)(课本P 59):
1.法律渊源
2.法典编纂
3.法律的分类
4.诉讼程序
5.法官权限
(三)两大法系的融合:(课本P60)2.法律行为
一、法律行为的概念
就是人们所实施的、能够发生法律上效力、产生一定法律效果的行为。(包括合法行为与违法行为、(意思)表示行为与非表示行为(事实行为)、积极行为(作为)与消极行为(不作为)等等。)
二、法律行为的特征
1.法律行为是具有社会意义的行为
2.法律行为具有法律关联性
3.法律行为是能够为法律和人们的意志所控制的行为
4.法律行为具有价值性
三、法律行为的结构
1.客观要件:法律行为外在表现的一切方面。
它包括外在的行动(行为)、行为方式(手段)和结果等要素。
2.主观要件:是法律行为内在表现的一切方面。
它包括行为意思(意志)、行为认知。(行为主体在实施行为时一切心理活动、精神状态及认知能力的总和。)
第 2页
共 4页 法理学2010考试复习提纲
TL 2010最新版
四、法律行为的分类(略)3.法与其他社会因素
一、法与经济
1.法与经济基础
(一)经济基础对法具有决定作用
(二)法对经济基础具有反作用
2.法与市场经济
(1)法治是约束政府对经济活动的任意干预。
(2)法治是为了约束个人(企业)的经济行为并创造环境
二、法与道德
1.法与道德的联系和区别(课本P426—428)
(一)法与道德的联系
1.存在的目的相同
2.基本内容是一致的3.在功能上相辅相成 4.相互依存、相互作用 5.在某些情况下相互转化
(二)法与道德的区别
1.产生方式不同 2.表现形式不同 3.内容结构不同 4.调整范围不同 5.实施方式不同
三. 论述题
(一)权利、义务和责任
法律责任与法定权利、义务有着密切联系: a)法律责任规范了法律关系主体行使权利的界限,以否定性的法律后果防止权利行使不当或滥用权利;
b)在权利受到妨害或义务被违反时,责任成为救济的依据;
c)法律责任通过否定的法律后果成为对权利、义务得以顺利实现的保证。(PS:要求联系材料,逐项分析以上3点在材料中的体现。)
四. 材料分析题
(一)法治国家的一般理论和第一章法
法治的相关内容:
法治是与民主密切相关的,它是一种贯彻法律至上、严格依法办事的治国原则和方式。
首先,法治包含着一系列原则。这些原则主要是:法律至上,法律确认和保障人权,法律面前人人平等,法律不得溯及既往,法律应当公布、确定和具有一般性,司法独立和律师自由,有限政府的原则,通过民主程序产生法律,等等。
其次,法治意味着围绕上述原则建立起来的一系列制度,一种人们能够据以规划其长久生活、因而使人们的生活可以预见和控制的制度框架。
最后,法治意味着一种依赖上述原则和制度体系建立起来的社会公共生活秩序。
归纳而言,其包含两方面的内容,一方面要有良好的法律,另一方面这种良好的法律要有至高无上的权威,要得到普遍的服从和遵守,核心是依法办事。
第 3页
共 4页 法理学2010考试复习提纲
TL 2010最新版
A.法治国家的一般理论
一、法治的理论基础
法治是在与人治这种治国主张相对的前提下提出的治国主张。
(一)法治的主体观念——个体的自然独立和平等
(二)法治的认知观念——群体智慧优于个人
(三)法治的伦理观念——群体道德优于个人
二、法治的原则
(一)良好的法
(二)普遍地依从法律
(三)有确保国家机关守法的权力机制
B.法制和法治的区别
首先,法治确立了法律在国家和社会事务的管理中具有最高权威性。法制也重视法律的约束力,但是,法律是否具有最终的和最高的权威,则法制无法回答。
其次,法治显示法律介入社会生活的广泛性。法制无法确定法律在社会生活中的介入程度。
最后,法治意味着法律治理的正当性和正义性,具有明显的目的性和价值色彩。而法制则没有这样的含义,且往往使法律沦为统治的工具。
第 4页
共 4页
第五篇:研习会考试复习提纲
研习会考试复习提纲
1、入党申请书:1.交年龄条件:满18周岁(若递交申请书年龄不到18岁,默认他们递交入党申请书的时间为18岁生日的后一天)
2、同入党申请人的谈话记录 :党组织收到入党申请书后,应当在一个月内派人同入党申请人谈话,及时了解基本情况。
3、优秀团员入党推荐表:一般情况下,入党申请人递交入党申请书六个月以上、具备入党积极分子条件,才可被推荐和确定为入党积极分子。
4、党员推荐、群团组织推优时间和结果:大一下到大二上(3月底到10月底)之间完成两到三次推优
5、支委会确定入党积极分子:1.时间=推优时间+15天=每年的4月15日或11月15之前2.支部委员会要详细记录开会时间、地点、与会人员、会议内容,并确定入党积极分子培养联系人。做好会议记录。指定1-2 名正式党员作入党积极分子的培养联系人,一般为两人。
6、思想汇报:三个月(季度)一次
7、入党积极分子培训结业证书,参加入党积极分子培训班接受教育培训
8、入党积极分子和发展对象培养教育考察登记表,党支部每半年对入党积极分子进行一次考察,党总支每年对入党积极分子队伍状况进行一次分析
9、支委会确定发展对象人选,做好会议记录(经过 1 年以上培养考察,听取党小组、培养联系人、党员和群众意见基础上,经支部委员会研究决定,并报党总支审议)
10、自传,内容可以文字版,签名必须手写
11、政治审查:个人政审(综合性政审意见表)和父母政审(目前省内不需要放该材料)
12、发展对象集中培训,发展对象培训证书。(培训证书时间以内网通知公告为准)
13、发展对象入党征求意见表
14、入党志愿书:1.第八页两个介绍人字迹要不同2.监管1、3、5、7、9、戒毒1区队为刑事司法系学工一支部,支部书记为赵超;监管2、4、6、8区队为刑事司法系学工二支部,书记为汪前臣。
15、支部大会讨论接收预备党员,召开支部大会讨论接收预
备党员,讨论 2 名及以上的发展对象入党时,应逐个讨论和表决,做好会议记录(手写和电子版)
16、预备党员考察表,党支部每半年对预备党员进行一次考察
17、省直机关发展党员工作记实表
18.入党积极分子材料:入党申请书,同入党申请人的谈话记录,优秀团员入党推荐表,入党积极分子和发展对象培养教育考察登记表,入党积极分子培训结业证书,思想汇报
19:发展对象材料:
自传、个人政审(综合性政审意见表)和父母政审(目前省内不需要放该材料)、发展对象培训证书、发展对象入党征求意见表
20:预备党员材料:入党志愿书、预备党员考察表、省直机关发展党员工作记实表
入党志愿书的制作
入党介绍人意见
【填写要求】入党介绍人意见的内容:一是根据被介绍人的政治思想、工作学习、作风纪律等方面的表现写出综合性的意见;二是指出被介绍人的不足及今后的努力方向;三是按党员标准全面衡量,表明自己对被介绍人能否入党的态度。【应注意的问题】一是入党介绍人要坚持党性原则,本着对党组织负责、对被介绍人负责的态度,坚持全面分析的原则,把在培养和考察过程中了解的被介绍人的思想觉悟、政治品质、现实表现等方面的情况如实反映出来;二是在写明被介绍人的主要优缺点时,优点要概括得符合实际,缺点要具体,切中要害,不要只笼统、抽象、简单地提点希望,更不能只填写“同意入党”;三是两名入党介绍人都要有自己的意见,第二介绍人不能简单地写同意第一介绍人的意见。
【范例】xxx同志拥有坚定的政治立场,自觉同党中央保持一致,拥护党的路线、方针和政策。自递交入党申请书后,能经常向党组织汇报思想,积极向党组织靠拢,自党地以党员标准严格要求自己,处处以身作则。品行端正,团结同学,为人正直,有为共产主义奋斗终身的决心。主要缺点:工作方法有些简单,态度有时生硬。用党章规定的标准全面衡量,我认为该同志已经具备共产党员的条件,愿意介绍其加入中国共产党。
介绍人单位、职务或职业XX学院XX支部组织委员(指党内职务,如支部书记、组织委员等,若无则填教师/学生)
签名或盖章__________ 年 月 日
【范例】我同意第一介绍人的意见,xxx同志能自觉用党员的标准严格要求自己,入党目的明确,动机端正,能够认真学习党的基本知识,积极参加党的各项活动。思想作风正派,政治立场坚定,有为共产主义奋斗终身的坚定信念。在工作、学习中能够甘于奉献、责任心强,有较好的群众基础。缺点是:在处理工作间题上有时过于急躁。我认为该同志符合党员的条件,愿意介绍其加入中国共产党。
介绍人单位、职务或职业__________________
签名或盖章_______________________
年 月 日
支部大会通过接收申请人为预备党员的决议
【范例】本支部于XXX年XX月XX日召开全体党员大会,讨论了XXX同志的入党问题,与会同志经充分讨论认为,该同志能积极靠拢党组织,自觉用党员标准严格要求自己,对党的认识正确,入党动机端正,有为党的事业奋斗终身的决心。主要缺点是工作方法简单,态度有时坚硬。
会议经过讨论认为,该同志已基本具备党员条件,本次支部大会应到会有表决权的党员X名,实到会X名,经无记名投票表决,X票赞成,X票反对,X票弃权(根据实际票数写)。根据表决结果,同意接收其为预备党员。
【注意】大会有表決权的正式党员不能少于3名
支部名称: 支部书记签名或盖章____________
年月日(此处时间要与决议里支部大会召开时间一致)
上级党组织指派专人进行谈话情况和对申请人入党的意见
【范例】受学院党总支的指派,XXX年XX月XX日与XXX同志进行了谈话。主要是了解其对党的认识、入党信念、入党动机、思想觉悟和对党的基本知识掌握情况,以及对待入党的态度和决心等,并有针对性地对其进行教育和指点。通过谈话和审阅其入党材料,我认为该同志对党的认识正确,能认真学习党的基本理论知识,具有一定的思想觉悟,入党动机端正,有为党的事业奋斗终身的决心。该同志思想作风正派,对组织和同志忠诚老实,工作踏实,有较强的事业心和奉献精神。该同志的缺点是工作方法简单。综上所述,我认为该同志已基本符合共产党员标准,具备入党条件,材料齐全,手续完备,同意其加入中国共产党,请党总支讨论审批。
谈话人单位、职务或职业___________________________________________________
签名或盖章______________________________ 年 月 日
总支部审查(审批)意见
【范例】经总支委员会XXX年XX月XX日召开会议,审查XXX同志的入党材料和现实表现,同意支部大会吸收该同志为预备党员的决议,报上级党委审批。
总支名称 总支部书记签名或盖章_________________
年 月 日
点击咨询 