第一篇：信息安全技術(shù)基礎(chǔ)--期末考點總結(jié)

4．信息安全就是只遭受病毒攻擊，這種說法正確嗎？

不正確，信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷，最終實現(xiàn)業(yè)務(wù)連續(xù)性。信息安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。

信息安全本身包括的范圍很大，病毒攻擊只是威脅信息安全的一部分原因，即使沒有病毒攻擊，信息還存在偶然泄露等潛在威脅，所以上述說法不正確。5.網(wǎng)絡(luò)安全問題主要是由黑客攻擊造成的，這種說法正確嗎？

不正確。談到信息安全或者是網(wǎng)絡(luò)安全，很多人自然而然地聯(lián)想到黑客，實際上，黑客只是實施網(wǎng)絡(luò)攻擊或?qū)е滦畔踩录囊活愔黧w，很多信息安全事件并非由黑客（包括內(nèi)部人員或還稱不上黑客的人）所為，同時也包括自然環(huán)境等因素帶來的安全事件。補充：信息安全事件分類

有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件 設(shè)備設(shè)施故障、災(zāi)害性事件、其它事件

3.信息系統(tǒng)的可靠性和可用性是一個概念嗎？它們有什么區(qū)別？

不是。

信息安全的可靠性：保證信息系統(tǒng)為合法用戶提供穩(wěn)定、正確的信息服務(wù)。

信息安全的可用性：保證信息與信息系統(tǒng)可被授權(quán)者在需要的時候能夠訪問和使用。區(qū)別：可靠性強調(diào)提供服務(wù)的正確、穩(wěn)定，可用性強調(diào)提供服務(wù)訪問權(quán)、使用權(quán)。5.一個信息系統(tǒng)的可靠性可以從哪些方面度量？

可以從抗毀性、生存性和有效性三個方面度量,提供的服務(wù)是否穩(wěn)定以及穩(wěn)定的程度，提供的服務(wù)是否正確。

7.為什么說信息安全防御應(yīng)該是動態(tài)和可適應(yīng)的？

信息安全防御包括（1）對系統(tǒng)風(fēng)險進行人工和自動分析，給出全面細致的風(fēng)險評估。（2）通過制訂、評估、執(zhí)行等步驟建立安全策略體系（3）在系統(tǒng)實施保護之后根據(jù)安全策略對信息系統(tǒng)實施監(jiān)控和檢測（4）對已知一個攻擊（入侵）事件發(fā)生之后進行響應(yīng)等操作

保障信息安全必須能夠適應(yīng)安全需求、安全威脅以及安全環(huán)境的變化，沒有一種技術(shù)可以完全消除信息系統(tǒng)及網(wǎng)絡(luò)的安全隱患，系統(tǒng)的安全實際上是理想中的安全策略和實際執(zhí)行之間的一個平衡。實現(xiàn)有效的信息安全保障，應(yīng)該構(gòu)建動態(tài)適應(yīng)的、合理可行的主動防御，而且投資和技術(shù)上是可行的，而不應(yīng)該是出現(xiàn)了問題再處理的被動應(yīng)對。4.什么是PKI？“PKI是一個軟件系統(tǒng)”這種說法是否正確？

PKI是指使用公鑰密碼技術(shù)實施和提供安全服務(wù)的、具有普適性的安全基礎(chǔ)設(shè)施，是信息安全領(lǐng)域核心技術(shù)之一。PKI通過權(quán)威第三方機構(gòu)——授權(quán)中心CA(Certification Authority)以簽發(fā)數(shù)字證書的形式發(fā)布有效實體的公鑰。

正確。PKI是一個系統(tǒng)，包括技術(shù)、軟硬件、人、政策法律、服務(wù)的邏輯組件，從實現(xiàn)和應(yīng)用上看，PKI是支持基于數(shù)字證書應(yīng)用的各個子系統(tǒng)的集合。5.為什么PKI可以有效解決公鑰密碼的技術(shù)應(yīng)用？

PKI具有可信任的認證機構(gòu)（授權(quán)中心），在公鑰密碼技術(shù)的基礎(chǔ)上實現(xiàn)證書的產(chǎn)生、管理、存檔、發(fā)放、撤銷等功能，并包括實現(xiàn)這些功能的硬件、軟件、人力資源、相關(guān)政策和操作規(guī)范，以及為PKI體系中的各個成員提供全部的安全服務(wù)。簡單地說，PKI是通過權(quán)威機構(gòu)簽發(fā)數(shù)字證書、管理數(shù)字證書，通信實體使用數(shù)字證書的方法、過程和系統(tǒng)。

實現(xiàn)了PKI基礎(chǔ)服務(wù)實現(xiàn)與應(yīng)用分離，有效解決公鑰使用者獲得所需的有效的、正確的公鑰問題。1．什么是安全協(xié)議？安全協(xié)議與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議有何關(guān)系與區(qū)別？

答：安全協(xié)議是為了實現(xiàn)特定的安全目標，以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，其目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)。

網(wǎng)絡(luò)協(xié)議為計算機網(wǎng)絡(luò)中進行數(shù)據(jù)交換而建立的規(guī)則、標準或約定的集合，它是面向計算機網(wǎng)絡(luò)的，是計算機通信時采用的語言。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。常見的協(xié)議有：TCP/IP協(xié)議等。網(wǎng)絡(luò)協(xié)議是由三個要素組成：語義、語法、時序。人們形象地把這三個要素描述為：語義表示要做什么，語法表示要怎么做，時序表示做的順序。

區(qū)別與聯(lián)系：兩者都是針對協(xié)議實體之間通信問題的協(xié)議，網(wǎng)絡(luò)協(xié)議是使具備通信功能，安全協(xié)議旨在通信的同時，強調(diào)安全通信。

1.為什么說WLAN比有線網(wǎng)絡(luò)更容易遭受網(wǎng)絡(luò)攻擊？

（1）有線網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)安全威脅在WLAN中都存在。（2）WLAN固有的特點----開放的無線通信鏈路，使得網(wǎng)絡(luò)安全問題更為突出，從而WLAN面臨更多的安全隱患。例如：在兩個無線設(shè)備間傳輸未加密的敏感數(shù)據(jù)，容易被截獲并導(dǎo)致泄密。惡意實體更容易干擾合法用戶的通信，更容易直接針對無線連接或設(shè)備實施拒絕服務(wù)攻擊DoS，并坑你跟蹤他們的行為。

11．如果讓你來設(shè)計WLAN安全機制，請論述你將考慮的方面以及設(shè)計思路。

WLAN需要解決的問題（138）：

01.訪問控制。只有合法的實體才能夠訪問WLAN及其相關(guān)資源。02.鏈路保密通信。無線鏈路通信應(yīng)該確保數(shù)據(jù)的保密性、完整性及數(shù)據(jù)源的可認證性。

基于上述需求，WLAN安全機制應(yīng)該包括實體認證、鏈路加密和完整性保護、數(shù)據(jù)源認證等，此外應(yīng)該考慮防止或降低無線設(shè)備遭受DoS攻擊。

大致設(shè)計思路：采用基于密碼技術(shù)的安全機制，借鑒全新的WLAN安全基礎(chǔ)架構(gòu)—健壯安全網(wǎng)絡(luò)關(guān)聯(lián)RSNA設(shè)計建立過程：

（1）基于IEEE 802.1X或預(yù)共享密鑰PSK實現(xiàn)認證與密鑰管理，建立RSNA。（2）在RSNA建立過程中，使用協(xié)議棧中一些相關(guān)標準協(xié)議，確保協(xié)議的安全性。（3）密鑰管理協(xié)議部分：采用4次握手密鑰協(xié)商協(xié)議—用于在STA與AP之間協(xié)商產(chǎn)生和更新共享臨時密鑰，以及密鑰使用方法。（4）STA與AP之間相互認證之后，使用數(shù)據(jù)保密協(xié)議保護802.11數(shù)據(jù)幀。

6.若一個單位部署防火墻時，需要對外提供Web和E-mail服務(wù)，如何部署相關(guān)服務(wù)器？ 答：部署過程如下圖：

Web服務(wù)器FTP服務(wù)器Email服務(wù)器Internet屏蔽子網(wǎng)外部防火墻內(nèi)部防火墻服務(wù)器內(nèi)部網(wǎng)絡(luò)

部署：在內(nèi)部網(wǎng)與Internet之間設(shè)置一個獨立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)和屏蔽子網(wǎng)與Internet之間各設(shè)置一個屏蔽路由器（防火墻）。

這種防火墻部署也稱為DMZ部署方式：提供至少3個網(wǎng)絡(luò)接口：一個用于連接外部網(wǎng)絡(luò)—通常是Internet，一個用于連接內(nèi)部網(wǎng)絡(luò)，一個用于連接提供對外服務(wù)的屏蔽子網(wǎng)。DMZ是一個安全系統(tǒng)與非安全系統(tǒng)之間的一個緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。9.什么是入侵檢測系統(tǒng)？如何分類？

答：入侵檢測系統(tǒng)：通過收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。分類：主機型IDS、網(wǎng)絡(luò)型IDS 主機型IDS:安裝在服務(wù)器或PC機上的軟件，監(jiān)測到達主機的網(wǎng)絡(luò)信息流 網(wǎng)絡(luò)型IDS:一般配置在網(wǎng)絡(luò)入口處或網(wǎng)絡(luò)核心交換處，通過旁路技術(shù)監(jiān)測網(wǎng)絡(luò)上的信息流。10.網(wǎng)絡(luò)入侵檢測系統(tǒng)是如何工作的？

1）截獲本地主機系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)，查找出針對本地系統(tǒng)的非法行為。2）掃描、監(jiān)聽本地磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容，對文件進行保護、恢復(fù)等。3）通過輪詢等方式監(jiān)聽系統(tǒng)的進程及其參數(shù)，檢查出非法進程。4）查詢系統(tǒng)各種日志文件，報告非法的入侵者。

Internet防火墻Web/E-mail/FTP核心交換機網(wǎng)絡(luò)IDS位置主機IDS位置辦公大樓

15.入侵檢測技術(shù)和蜜罐技術(shù)都是用于檢測網(wǎng)絡(luò)入侵行為的，它們有什么不同？

入侵檢測系統(tǒng)是根據(jù)人定義的規(guī)則、模式阻止非授權(quán)訪問或入侵網(wǎng)絡(luò)資源的行為。其收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，其前提即已知非法訪問規(guī)則和入侵方式，否則容易產(chǎn)生誤判。

蜜罐(Honeypot)技術(shù)則是可以在不確定攻擊者手段和方法前提下發(fā)現(xiàn)攻擊。發(fā)現(xiàn)自身系統(tǒng)已知或未知的漏洞和弱點。它可以看成是一種誘導(dǎo)技術(shù)，目的是發(fā)現(xiàn)惡意攻擊和入侵。蜜罐技術(shù)可以運行任何的操作系統(tǒng)和任意數(shù)量的服務(wù)，蜜罐上配置的服務(wù)決定了攻擊者可用的損害和探測系統(tǒng)的媒介。

16.如果你是一個單位的網(wǎng)絡(luò)安全管理員，如何規(guī)劃部署網(wǎng)絡(luò)安全產(chǎn)品？

答：安裝安全的無線路由器（防火墻）、選擇安全的路由器名字、定制密碼、隱藏路由器名字、限制網(wǎng)絡(luò)訪問、選擇一種安全的加密模式、考慮使用入侵檢測系統(tǒng)或蜜罐等高級技術(shù)。

2.信息隱藏與傳統(tǒng)數(shù)據(jù)加密有什么區(qū)別？信息隱藏過程中加入加密算法的優(yōu)點是什么？

信息隱藏就是利用特定載體中具有隨機特性的冗余部分，將有特別意義的或重要的信息嵌入其中掩飾其存在，嵌入的秘密信息稱為隱藏信息，現(xiàn)代信息隱藏通常要把傳輸?shù)拿孛苄畔懙綌?shù)字媒介中，如圖像、聲音、視頻信號等，其目的在于將信息隱藏的足夠好，以使非法用戶在截獲到媒介物時不會懷疑媒介中含有隱藏信息。

傳統(tǒng)數(shù)據(jù)加密指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪?，其目的是使明文信息不可見，它的核心是密碼學(xué)。

優(yōu)點：由于隱藏算法必須能夠承受一定程度的人為攻擊，保證隱藏信息不會破壞，所以信息隱藏中使用加密算法，增強了隱藏信息的抗攻擊能力，更加有利于對信息的安全性保護，5.什么是數(shù)字水??？數(shù)字水印技術(shù)與信息隱藏技術(shù)有什么聯(lián)系和區(qū)別？

數(shù)字水印是指嵌入在數(shù)字產(chǎn)品中的、不可見、不易移除的數(shù)字信號，可以是圖像、符號、數(shù)字等一切可以作為標識和標記的信息，其目的是進行版權(quán)保護、所有權(quán)證明、指紋（追蹤發(fā)布多份拷貝）和完整性保護等。

聯(lián)系和區(qū)別：

信息隱藏與數(shù)字水印都是采用信息嵌入的方法，可以理解為信息隱藏的概念更大，但通常講到的信息隱藏是隱秘和保護一些信息傳遞，而數(shù)字水印是提供版權(quán)證明和知識保護，二者目的不同。

8.如何對數(shù)字水印進行攻擊？

從數(shù)字水印的2個主要性質(zhì)：魯棒性、不可見性入手。

基于攻擊測試評價，分析數(shù)字水印的魯棒性，結(jié)合使用峰值信噪比PSNR分析數(shù)字水印不可見性，使用低通濾波、添加噪聲、去噪處理、量化、幾何變換(縮放、旋轉(zhuǎn)、平移、錯切等)、一般圖像處理(灰度直方圖調(diào)整、對比度調(diào)整、平滑處理、銳化處理等)、剪切、JPEG壓縮、小波壓縮等方式綜合完成數(shù)字水印進行攻擊。9.RSA及公鑰密碼體制的安全基礎(chǔ)：

RSA密碼系統(tǒng)的安全性依賴兩個數(shù)學(xué)問題：大數(shù)分解問題、RSA問題。由于目前尚無有效的算法解決這兩個問題的假設(shè)，已知公鑰解密RSA密文是不容易的。10.保密通信系統(tǒng)模型圖

竊聽者明文m加密(Encrypttion)密 文c=E k1(m)搭線信道公眾信道解密(Decryption)明文m=Dk2(c)發(fā)送方加密密鑰k1秘密信道解密密鑰k2接收方

11.簡述公鑰密碼體制在信息安全保護中的意義：

公鑰加密系統(tǒng)中任何主體只擁有一對密鑰—--私鑰和公鑰，公開其公鑰，任何其他人在需要的時候使用接收方的公鑰加密信息，接收方使用只有自己知道的私鑰解密信息。這樣，在N個人通信系統(tǒng)中，只需要N個密鑰對即可，每個人一對。公鑰加密的特點是公鑰是公開的，這很好地解決了對稱密碼中密鑰分發(fā)與管理問題。12.AES 由多輪操作組成，輪數(shù)由分組和密鑰長度決定。AES在4×n字節(jié)的數(shù)組上操作，稱為狀態(tài)，其中n是密鑰字節(jié)數(shù)除4。AES的數(shù)據(jù)結(jié)構(gòu)：以字節(jié)為單位的方陣描述：輸入分組in、中間數(shù)組State、輸出分組out、密鑰分組K。排列順序：方陣中從上到下，從左到右

AES算法輪操作過程：

輪變換包括以下子步驟：

（1）字節(jié)替換：執(zhí)行一個非線性替換操作，通過查表替換每個字節(jié)。（2）行移位：狀態(tài)（矩陣）每一行以字節(jié)為單位循環(huán)移動若干個字節(jié)。（3）列混合：基于狀態(tài)列的混合操作。

（4）輪密鑰加：狀態(tài)的每一個字節(jié)混合輪密鑰。輪密鑰也是由蜜月調(diào)度算法產(chǎn)生。需要注意的是，最后一輪（第10輪）操作與上述輪操作略有不同，不包括列混合操作，即只包括字節(jié)替換、行移位和密鑰疊加操作。加密128比特明文輪密鑰加主密鑰Kw[0,3]密鑰擴展128比特明文輪密鑰加逆字節(jié)替換逆行移位逆列混合第9輪第10輪第1輪字節(jié)替換行移位列混合輪密鑰加w[4,7]輪密鑰加逆字節(jié)替換第9輪字節(jié)替換行移位列混合輪密鑰加w[36,39]逆行移位逆列混合輪密鑰加逆字節(jié)替換逆行移位w[40,43]輪密鑰加128比特密文第1輪第10輪字節(jié)替換行移位輪密鑰加128比特密文解密 13.簡述PKI的功能：

PKI功能包括數(shù)字證書管理和基于數(shù)字證書的服務(wù)。

01.數(shù)字證書是PKI應(yīng)用的核心，它是公鑰載體，是主題身份和公鑰綁定的憑證。因此，證書管理是PKI的核心工作，即CA負責(zé)完成證書的產(chǎn)生、發(fā)布、撤銷、更新以及密鑰管理工作，包括完成這些任務(wù)的策略、方法、手段、技術(shù)和過程。

02.PKI服務(wù)：PKI的主要任務(wù)是確立證書持有者可信賴的數(shù)字身份，通過將這些身份與密碼機制相結(jié)合，提供認證、授權(quán)或數(shù)字簽名等服務(wù)。當完善實施后，能夠為敏感通信和交易提供一套信息安全保障，包括保密性、完整性、認證性和不可否認性等基本安全服務(wù)。

03.交叉認證。為了在PKI間建立信任關(guān)系，引入了“交叉認證”的概念，實現(xiàn)一個PKI域內(nèi)用戶可以驗證另一個PKI域內(nèi)的用戶證書。

14．信息安全威脅主要來自人為攻擊，其大致可分為主動攻擊和被動攻擊兩大類型。15.現(xiàn)代密碼系統(tǒng)按其原理可分為兩大類： 對稱加密系統(tǒng)和 非對稱加密系統(tǒng)。16．安全的定義 只有相對的安全，沒有絕對的安全。安全的意義在于保護信息安全所需的代價與信息本身價值的對比，因此信息安全保護是一種效能的折衷?？蓪⑿畔⑾到y(tǒng)的安全性定義為以下三種：

01.理論安全性：即使具有無限計算資源，也無法破譯。

02.可證明安全性：從理論上可以證明破譯一個密碼系統(tǒng)的代價/困難性不低于求解某個已知的數(shù)學(xué)難題。03.計算安全性：使用已知的最好算法和利用現(xiàn)有的最大的計算資源仍然不可能在合理的時間完成破譯一個密碼系統(tǒng)。

3種又可區(qū)分為理論安全性和實際安全性兩個層次，其中實際安全性又包括兩個層次：可證明安全性和 計算安全性。16.1如何攻擊密碼系統(tǒng)？

惟密文攻擊：破譯者已知的東西只有兩樣：加密算法、待破譯的密文。

已知明文攻擊：破譯者已知的東西包括加密算法和經(jīng)密鑰加密形成的一個或多個明-密文對，即知道一定數(shù)量的密文和對應(yīng)的明文。

選擇明文攻擊：破譯者除了知道加密算法外，他還可以選定明文消息，并可以知道該明文對應(yīng)的加密密文。

選擇密文攻擊：破譯者除了知道加密算法外，還包括他自己選定的密文和對應(yīng)的、已解密的明文，即知道選擇的密文和對應(yīng)的明文。

選擇文本攻擊：是選擇明文攻擊與選擇密文攻擊的結(jié)合。破譯者已知的東西包括：加密算法、破譯者選擇的明文消息和它對應(yīng)的密文，以及破譯者選擇的猜測性密文和它對應(yīng)的解密明文。

17．消息認證（如何主體的身份或消息的真實性？）

被認證的主體包括兩類：

01.消息的發(fā)送實體，人或設(shè)備（實現(xiàn)技術(shù)，例如：數(shù)字簽名）02.對消息自身的認證，順序性、時間性、完整性（時間戳服務(wù)、消息標識等方法）由中國制定的無線網(wǎng)絡(luò)安全國際標準是GB 15629.11；

公鑰基礎(chǔ)設(shè)施PKI通過 控制中心CA以簽發(fā) 數(shù)字證書 的形式發(fā)布有效的實體公鑰。18.網(wǎng)路安全協(xié)議：

應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層HTTPS, SSH, PGP, Kerberos,SETSSL, TLS, SOCK5IPSecPPP-PAP/CHAP,WEP物理層安全

18.1數(shù)字簽名工作過程：

簽名者私鑰簽名s摘要h(m)Hash消息m簽名者消息m簽名者公鑰有效驗證摘要h(m)Hash無效簽名簽名驗證者 19.密碼體制分類（根據(jù)密鑰情況分類）

對稱密鑰密碼體制：加密與解密使用相同密鑰(單鑰)優(yōu)點（為什么使用對稱密碼加密消息呢？）：加解密速度快、效率高、加密算法簡單、易于實現(xiàn)，計算開銷小。

缺點：密鑰分發(fā)困難，即在通信雙方共享的密鑰一般需要帶外傳遞，總之，通信雙方最初的共享密鑰必須通過安全的方式傳遞交換。對稱加密密鑰使用接受者 公鑰，數(shù)字簽名使用 發(fā)送者 的私鑰。

公鑰密碼體制：加密與解密使用不同密鑰(雙鑰)公、私鑰成對出現(xiàn)，公鑰加密、私鑰解密。

20.對稱密碼體制分類

分組密碼先將明文劃分成若干等長的塊——分組（如64b），然后再分別對每個分組進行加密，得到等長的密文分組；解密過程也類似。有些密碼體制解密算法與加密算法完全一樣，如DES。

序列密碼是把明文以位或字節(jié)為單位進行加密，一般是與密鑰進行混合（如異或）獲得密文序列。也稱流密碼。

分組密碼設(shè)計的兩個思想 擴散：即將明文及密鑰的影響盡可能迅速地散布到較多的輸出密文中，典型操作就是“置換”。

混淆：目的在于使作用于明文的密鑰和密文之間的關(guān)系復(fù)雜化，使得明文和密文、密文和密鑰之間的統(tǒng)計相關(guān)性極小化，從而使統(tǒng)計分析攻擊不能奏效?；煜ǔ２捎谩按鷵Q”操作。

公鑰密碼的算法就是一種陷門單向函數(shù)f 21.數(shù)字簽名與消息加密組合方案

公鑰(接收者)私鑰(接收者)密鑰加密解密密鑰明文明文明文加密密文密文|簽名摘要簽名密文解密Hash摘要有效解密簽名私鑰(發(fā)送者)公鑰(發(fā)送者)接收者驗證無效Hash簽名發(fā)送者 22.DES DES是一種分組密碼算法，加密和解密使用相同的密鑰。DES的分組長度為64比特位。使用64比特密鑰（其中包括8比特奇偶校驗位），密鑰通過擴展后，經(jīng)過16輪對明文分組的代換和置換。

DES工作過程：（1）初始置換及其逆置換（2）f函數(shù)（乘機變換）[擴展、密鑰混合、替換、置換P ] DES的安全性分析：S盒是DES的核心，也是DES算法最敏感的部分，所有替換都是固定的，甚顯神秘。許多密碼學(xué)家曾擔(dān)心NSA設(shè)計S盒時隱藏了某些陷門。DES算法具有很好的雪崩效應(yīng)。64比特明文初始置換IP56比特密鑰（去除奇偶校驗位）置換PC128bits28bits<<<置換PC248bits32bits左循環(huán)移位K132bitsL0第1輪R0 <<安全是相對的，同時也是動態(tài)的，沒有絕對的安全！安全是一個系統(tǒng)工程！信息安全技術(shù)原則：

（1）最小化原則：受保護的敏感信息只能在一定范圍內(nèi)被共享，履行工作職責(zé)和職能的安全主體，在法律和相關(guān)安全策略允許的前提下，為滿足工作需要，僅被授予其訪問信息的適當權(quán)限。

（2）分權(quán)制衡原則：每個授權(quán)主體只能擁有其中一部分權(quán)限，使它們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)的安全。

（3）安全隔離原則：將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。

第二篇：信息安全技術(shù)總結(jié)

第1章 信息安全概述

1.廣義的信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件,軟件及其系統(tǒng)中的信息受到保護.2.信息安全威脅從總體上可以分為人為因素的威脅和非人為因素的威脅。人為因素的威脅包括無意識的威脅和有意識的威脅。非人為因素的威脅包括自然災(zāi)害、系統(tǒng)故障和技術(shù)缺陷等。

3.信息安全不僅涉及技術(shù)問題，而且還涉及法律、政策和管理問題。信息安全事件與政治、經(jīng)濟、文化、法律和管理緊密相關(guān)。

4.網(wǎng)路不安全的根本原因是系統(tǒng)漏洞、協(xié)議的開放新和人為因素。人為因素包括黑客攻擊、計算機犯罪和信息安全管理缺失。

5.保密性、完整性、可用性、可控性和不可否認性是從用戶的角度提出的最基本的信息服務(wù)需求，也稱為信息安全的基本特征。

6.ISO基于OSI參考互連模型提出了抽象的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，定義了五大類安全服務(wù)（認證（鑒別））服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抗否認性服務(wù)、八大種安全機制（加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證機制、業(yè)務(wù)流填充機制、路由控制機制和公證機制）和完整的安全管理標準。

7.信息安全既涉及高深的理論知識，又涉及工程應(yīng)用實踐。一個完整的信息安全保障體制系框架由管理體系、組織機構(gòu)體系和技術(shù)體系組成。技術(shù)體系可劃分為物理安全、網(wǎng)絡(luò)安全、信息安全、應(yīng)用安全和管理安全五個層次，全面揭示了信息安全研究的知識體系和工程實施方案框架。

第2章 信息保密技術(shù)

1.密碼學(xué)的發(fā)展大致經(jīng)歷了手工加密階段、機械加密階段和計算機加密階段。密碼技術(shù)是現(xiàn)代信息安全的基礎(chǔ)和核心技術(shù)，它不僅能夠?qū)π畔⒓用埽€能完成信息的完整性驗證、數(shù)字簽名和身份認證等功能。按加密密鑰和解密密鑰是否相同，密碼體制可分為對稱密碼體制和非對稱密碼體制。對稱密碼體制又可分為序列密碼和分組密碼。2.移位密碼、仿射密碼、維基利亞密碼和置換密碼等是常用的古典密碼案例，雖然在現(xiàn)代科技環(huán)境下已經(jīng)過時，但它們包含的最基本的變換移位和代替在現(xiàn)代分組密碼設(shè)計中仍然是最基本的變換。3.對稱密碼體制要求加密、解密雙方擁有相同的密鑰，其特點是加密速度快、軟/硬件容易實現(xiàn)，通常用于傳輸數(shù)據(jù)的加密。常用的加密算法有DES、IDEA。對稱密碼算法根據(jù)加密分組間的關(guān)聯(lián)方式一般分為4種：電子密碼本（ECB）模式、密文鏈接（CBC）模式、密文反饋（CFB）模式和輸出反饋（OFB）模式。4.非對稱密碼體制的加密密鑰和解密密鑰是不同的。非對稱密碼被用做加密時，使用接收者的公開密鑰，接收方用自己的私有密鑰解密；用做數(shù)字簽名時，使用發(fā)送方（簽名人）的私有密鑰加密（或稱為簽名），接收方（或驗證方）收到簽名時使用發(fā)送方的公開密鑰驗證。常有的算法有RSA密碼算法、Diffie-Hellman密鑰交換算法、ＥＬＧ ａｍａｌ加密算法等。5.加密可以用通信的三個不同層次來實現(xiàn)，即節(jié)點加密、鏈路加密和端到端加密。節(jié)點加密是指對源節(jié)點到目的節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密，不對報頭加密；鏈路加密在數(shù)據(jù)鏈路層進行，是對相鄰節(jié)點之間的鏈路上所傳輸?shù)臄?shù)據(jù)進行加密，在節(jié)點處，傳輸數(shù)據(jù)以文明形式存在，側(cè)重于在通信鏈路上而不考慮信源和信宿；端到端加密是對源端用戶到目的端用戶的數(shù)據(jù)提供保護，傳輸數(shù)據(jù)在傳輸過程中始終以密文形式存在。

6.序列密碼要求具有良好的偽隨機特性。產(chǎn)生密鑰流的常見方法有線性同余法、RC4、線性反饋移位寄存器（LFSR）、非線性反饋移位寄存器、有限自動機和混沌密碼等。序列密碼主要用于軍事、外交和其他一些重要領(lǐng)域、公開的加密方案并不多。

7.加密算法:指將明文轉(zhuǎn)換成密文的變換函數(shù),表示為C=Ek(M).8.解密算法:指將密文轉(zhuǎn)換為明文的變換函數(shù),表示為M=DK(C).第3章 信息隱藏技術(shù)

1.信息隱藏是將秘密信息隱藏在另一非機密的載體信息中，通過公共信道進行傳遞。秘密信息引產(chǎn)后，攻擊者無法判斷載體信息中是否隱藏信息，也無法從載體信息中提取或去除所隱藏的秘密信息。信息隱藏研究的內(nèi)容包括了隱寫術(shù)（隱藏算法）、版權(quán)標識、隱通道和匿名通信等。

2.隱寫術(shù)是指把秘密信息潛入到看起來普通的載體信息（尤其是多媒體信息）種，用于存儲或通過公共網(wǎng)絡(luò)進行通信的技術(shù)。古代隱寫術(shù)包括技術(shù)性的隱寫術(shù)、語言學(xué)中的隱寫術(shù)和用于版權(quán)保護的隱寫術(shù)。

3.信息隱藏的目的在于把機密信息隱藏域可以公開的信息載體之中。信息載體可以使任何一種多媒體數(shù)據(jù)，如音頻、視頻、圖像，甚至文本數(shù)據(jù)等，被隱藏的機密信息也可以是任何形式。信息隱藏設(shè)計兩個算法：信息潛入算法和信息提取算法。常見的信息隱藏算法有空間域算法和變換域算法。4.數(shù)字水印是在數(shù)字化的信息載體（指多媒體作品）中嵌入不明顯的記號（包括作品的版權(quán)所有者和發(fā)行者等），其目的不是為了隱藏火傳遞這些信息，而是在發(fā)現(xiàn)盜版貨發(fā)生知識產(chǎn)權(quán)糾紛時候，用來證明數(shù)字作品的真實性。被嵌入的標識與源數(shù)據(jù)緊密結(jié)合并隱藏其中，成為源數(shù)據(jù)不可分割的一部分，并可以經(jīng)歷一些不破壞資源數(shù)據(jù)的使用價值的操作而存活下來。

5.隱通道是指系統(tǒng)中利用那些本來不是用于通信的系統(tǒng)資源，繞過強制春去控制進行非法通信的一種機制。根據(jù)隱通道的形成，可分為存儲隱通道和事件隱通道：根據(jù)隱通道是否存在噪音，可分為噪音隱通道和無噪音隱通道；根據(jù)隱通道所涉及的同步變量或信息的個數(shù)，可分為聚集隱通道和非聚集隱通道。隱通道的主要分析方法有信息流分析方法、非干擾分析方法和共享資源矩陣方法。6.匿名通信是指通過一定了的方法將業(yè)務(wù)流中的通信關(guān)系加以隱藏、使竊聽者無法直接獲知或退職雙方的通信關(guān)系或通信雙方身份的一種通信技術(shù)。匿名通信的重要目的就是隱藏通信雙方的身份或通信關(guān)系，從而實現(xiàn)對網(wǎng)絡(luò)用戶各個人通信及涉密通信的更好的保護。

7.信息隱藏具有五個特性:安全性,魯棒性,不可檢測性,透明性,自恢復(fù)性.第4章 消息認證技術(shù)

1.用做消息認證的摘要函數(shù)具有單向性、抗碰撞性。單向函數(shù)的優(yōu)良性質(zhì)，使其成為公共密碼、消息壓縮的數(shù)學(xué)基礎(chǔ)。

2.消息認證碼指使用收、發(fā)雙方共享的密鑰K和長度可變的消息M，輸出長度固定的函數(shù)值MAC，也稱為密碼校驗和。MAC就是帶密鑰的消息摘要函數(shù)，或稱為一種帶密鑰的數(shù)字指紋，它與普通摘要函數(shù)（Hash函數(shù)）是有本質(zhì)區(qū)別的。3.消息完整性校驗的一般準則是將實際的到的信息的數(shù)字指紋與原數(shù)字指紋進行比對。如果一致，則說明消息是完整的，否則，消息是不完整的。因產(chǎn)生數(shù)字指紋不要求具有可逆性，加密函數(shù)、摘要函數(shù)均可使用，且方法很多。4.MD5和SHA-1算法都是典型的Hash函數(shù)，MD5算法的輸出長度是128 bit，SHA-1算法的輸出長度是160 bit。從抗碰撞性的角度來講，SHA-1算法更安全。為了抵抗生日攻擊，通常建議消息摘要的長度至少應(yīng)為128 bit。

第5章 密鑰管理技術(shù)

1.密碼系統(tǒng)中依據(jù)密鑰的重要性可將密鑰大體上分為會話密鑰、密鑰加密密鑰和主密鑰三大類。主密鑰位于密鑰層次的最高層，用于對密鑰加密密鑰、會話密鑰或其他下層密鑰的保護，一般存在于網(wǎng)絡(luò)中心、主節(jié)點、主處理器中，通過物理或電子隔離的方式受到嚴格的保護。

2.密鑰在大多數(shù)情況下用隨機數(shù)生成器產(chǎn)生，但對具體的密碼體制而言，密鑰的選取有嚴格的限制。密鑰一般需要保密存儲?；诿荑€的軟保護指密鑰先加密后存儲。基于硬件的物理保護指密鑰存儲于與計算機隔離的智能卡、USB盤或其他存儲設(shè)備中。3.密鑰分為網(wǎng)外分配方式和網(wǎng)內(nèi)分配方式。前者為人工分配，后者是通過計算機網(wǎng)絡(luò)分配。密鑰的分配分為秘密密鑰的分配和公開密鑰的分配。秘密密鑰既可用加密辦法由通信雙方確定，又可使用KDC集中分配。公開密鑰有廣播式公開發(fā)布、建立公鑰目錄、帶認證的密鑰分配、使用數(shù)字證書分配等4種形式。

4.密鑰共享方案可將主密鑰分解為多個子密鑰份額，由若干個人分別保管，這些保管的人至少要達到一定數(shù)量才能恢復(fù)這個共享密鑰。基于密鑰共享門限思想的會議密鑰廣播方案能夠較好地解決網(wǎng)絡(luò)通信中信息的多方安全傳遞問題。5.密鑰托管允許授權(quán)者監(jiān)聽通信內(nèi)容和解密密文，但這并不等于用戶隱私完全失控，適當?shù)募夹g(shù)手段在監(jiān)管者和用戶之間的權(quán)衡是值得研究的。

第6章 數(shù)字簽名技術(shù) 1.判斷電子數(shù)據(jù)真?zhèn)蔚囊罁?jù)是數(shù)字簽名。數(shù)字簽名其實就是通過一個單向函數(shù)對電子數(shù)據(jù)計算產(chǎn)生別人無法識別的數(shù)字串，這個數(shù)字串用來證明電子數(shù)據(jù)的來源是否真實，內(nèi)容是否完整。數(shù)字簽名可以解決電子數(shù)據(jù)的篡改、冒充、偽造和否認等問題。

2.本章介紹了三種數(shù)字簽名方案，其中RSA數(shù)字簽名的安全性是基于大整數(shù)因子分解的困難問題，Schnorr數(shù)字簽名方案和DSA數(shù)字簽名方案的安全性是基于素數(shù)域上離散對數(shù)求解的困難問題。其共性是簽名過程一定用到簽名人的私鑰，驗證過程一定用到簽名人的公鑰。

3.為適應(yīng)特殊的應(yīng)用需求，各種數(shù)字簽名方案相繼被提出，本章介紹了盲簽名、代理簽名、簽名加密、多重簽名、群簽名和環(huán)簽名等基本概念。

4.數(shù)字簽名應(yīng)用的公鑰基礎(chǔ)設(shè)施，稱為PKI。目前，我國各省市幾乎都建立了CA中心，專門為政府部門、企業(yè)、社會團體和個人用戶提供加密和數(shù)字簽名服務(wù)。

5.iSignature電子簽章系統(tǒng)是一套基于Windows平臺的應(yīng)用軟件，它可以對Word、Excel、Html文件進行數(shù)字簽名，即加蓋電子印章，只有合法用戶才能使用。

第7章 物理安全

1.物理安全是針對計算機網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)施來說的，既包括計算機網(wǎng)絡(luò)設(shè)備、設(shè)施、環(huán)境等存在的安全威脅，也包括在物理介質(zhì)上數(shù)據(jù)存儲和傳輸存在的安全問題。物理安全是計算機網(wǎng)絡(luò)系統(tǒng)安全的基本保障，是信息安全的基礎(chǔ)。2.環(huán)境安全是指對系統(tǒng)所在環(huán)境(如設(shè)備的運行環(huán)境需要適當?shù)臏囟?、濕度，盡量少的煙塵，不間斷電源保障等)的安全保護。環(huán)境安全技術(shù)是指確保物理設(shè)備安全、可靠運行的技術(shù)、要求、措施和規(guī)范的總和，主要包括機房安全設(shè)計和機房環(huán)境安全措施。

3.廣義的設(shè)備安全包括物理設(shè)備的防盜，防止自然災(zāi)害或設(shè)備本身原因?qū)е碌臍?，防止電磁信息輻射?dǎo)致的信息的泄漏，防止線路截獲導(dǎo)致的信息的毀壞和篡改，抗電磁干擾和電源保護等措施。狹義的設(shè)備安全是指用物理手段保障計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)安全的各種技術(shù)。常見的物理設(shè)備安全技術(shù)有訪問控制技術(shù)、防復(fù)制技術(shù)、硬件防輻射技術(shù)以及通信線路安全技術(shù)。

第8章 操作系統(tǒng)安全

1.漏洞是指系統(tǒng)中存在的弱點或缺點，漏洞的產(chǎn)生主要是由于程序員不正確和不安全編程所引起的。按照漏洞的形成原因，漏洞大體上可以分為程序邏輯結(jié)構(gòu)漏洞、程序設(shè)計錯誤漏洞、開放式協(xié)議造成的漏洞和人為因素造成的漏洞。按照漏洞被人掌握的情況，漏洞又可以分為已知漏洞、未知漏洞和0day漏洞。

2.Windows系統(tǒng)的安全性根植于Windows系統(tǒng)的核心層，它為各層次提供一致的安全模型。Windows系統(tǒng)安全模型由登錄流程(Login Process，LP)、本地安全授權(quán)(Local Security Authority，LSA)、安全帳號管理器(Security Account Manger，SAM)和安全引用監(jiān)視器(Security Reference Monitor，SRM)組合而成。

3.Windows注冊表是一個二進制數(shù)據(jù)庫，在結(jié)構(gòu)上有HKEY_LOCAL_MACHINE、HKEY_CURRENT_CONFIG、HKEY_CURRENT_USER、HKEY_CLASSES_ROOT、HKEY_USERS 5個子樹。用戶可以通過設(shè)定注冊表編輯器的鍵值來保障系統(tǒng)的安全。

4.帳號是Windows網(wǎng)絡(luò)中的一個重要組成部分，它控制用戶對資源的訪問。在Windows 2000中有兩種主要的帳號類型: 域用戶帳號和本地用戶帳號。另外，Windows 2000 操作系統(tǒng)中還有內(nèi)置的用戶帳號。內(nèi)置的用戶帳號又分為Administrator 帳號和Guest帳號等。Administrator帳號被賦予在域中和計算機中，具有不受限制的權(quán)利。Guest帳號一般被用于在域中或計算機中沒有固定帳號的用戶臨時訪問域或計算機，該帳號默認情況下不允許對域或計算機中的設(shè)置和資源做永久性的更改。

5.Windows系統(tǒng)的安全策略可以從物理安全.安裝事項.管理策略設(shè)置方面來考慮.管理策略上有打開審核策略.開啟賬號策略,開啟密碼策略,停用Guest賬號,限制不必要的用戶數(shù)量.為系統(tǒng)Administrator賬戶改名.創(chuàng)建一個陷阱賬戶,關(guān)閉不必要的服務(wù),關(guān)閉不必要的端口.設(shè)置目錄和文件權(quán)限,關(guān)閉IPC和默認共享,禁止空連接,關(guān)閉默認共享等手段及備份數(shù)據(jù),使用配置安全工具等.第9章 網(wǎng)絡(luò)安全協(xié)議

1.由于TCP/IP協(xié)議在最初設(shè)計時是基于一種可信環(huán)境的，沒有考慮安全性問題，因此它自身存在許多固有的安全缺陷。網(wǎng)絡(luò)安全協(xié)議是為了增強現(xiàn)有TCP/IP網(wǎng)絡(luò)的安全性而設(shè)計和制定的一系列規(guī)范和標準。

2.目前已經(jīng)有眾多的網(wǎng)絡(luò)安全協(xié)議，根據(jù)TCP/IP分層模型相對應(yīng)的主要的安全協(xié)議有應(yīng)用層的S-HTTP、PGP，傳輸層的SSL、TLS，網(wǎng)絡(luò)層的IPSec以及網(wǎng)絡(luò)接口層的PPTP、L2TP等。

3.SSL協(xié)議是在傳輸層提供安全保護的協(xié)議。SSL協(xié)議可提供以下3種基本的安全功能服務(wù): 信息機密、身份認證和信息完整。SSL協(xié)議不是一個單獨的協(xié)議，而是兩層協(xié)議，最主要的兩個SSL子協(xié)議是SSL握手協(xié)議和SSL記錄協(xié)議。SSL記錄協(xié)議收到高層數(shù)據(jù)后，進行數(shù)據(jù)分段、壓縮、認證、加密，形成SSL記錄后送給傳輸層的TCP進行處理。SSL握手協(xié)議的目的是使客戶端和服務(wù)器建立并保持用于安全通信的狀態(tài)信息，如SSL 協(xié)議版本號、選擇壓縮方法和密碼說明等。

4.IPSec協(xié)議由兩部分組成，即安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護方式;密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護參數(shù)，以及如何對通信實體的身份進行鑒別。安全協(xié)議部分包括AH和ESP兩個安全協(xié)議，通過這兩個協(xié)議為IP協(xié)議提供基于無連接的數(shù)據(jù)完整性和數(shù)據(jù)機密性，加強IP協(xié)議的安全性。密鑰協(xié)商部分主要是因特網(wǎng)密鑰交換協(xié)議(IKE)，其用于動態(tài)建立安全關(guān)聯(lián)(SA)，為IPSec的AH 和ESP協(xié)議提供密鑰交換管理和安全關(guān)聯(lián)管理，同時也為ISAKMP提供密鑰管理和安全管理。

第10章 應(yīng)用層安全技術(shù)

1.應(yīng)用系統(tǒng)的安全技術(shù)是指在應(yīng)用層面上解決信息交換的機密性和完整性，防止在信息交換過程中數(shù)據(jù)被非法竊聽和篡改的技術(shù)。2.隨著用戶對Web服務(wù)的依賴性增長，特別是電子商務(wù)、電子政務(wù)等一系列網(wǎng)絡(luò)應(yīng)用服務(wù)的快速增長，Web的安全性越來越重要。Web安全技術(shù)主要包括Web服務(wù)器安全技術(shù)、Web應(yīng)用服務(wù)安全技術(shù)和Web瀏覽器安全技術(shù)。

3.電子郵件的安全問題備受人們關(guān)注，其安全目標包括郵件分發(fā)安全、郵件傳輸安全和郵件用戶安全。

4.身份認證是保護信息系統(tǒng)安全的第一道防線，它限制非法用戶訪問網(wǎng)絡(luò)資源。常用的身份認證方法包括口令、密鑰、記憶卡、智能卡、USB Key和生物特征認證。

5.PKI是能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理的密鑰管理平臺，是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心。PKI由認證中心(CA)、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)和應(yīng)用接口等部分組成。

第11章 網(wǎng)絡(luò)攻擊技術(shù)

1.網(wǎng)絡(luò)攻擊的過程分為三個階段: 信息收集、攻擊實施、隱身鞏固。

2.信息收集是指通過各種方式獲取所需要的信息。網(wǎng)絡(luò)攻擊的信息收集技術(shù)主要有網(wǎng)絡(luò)踩點、網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)監(jiān)聽。踩點就是攻擊者通過各種途徑對所要攻擊的目標進行多方面的調(diào)查和了解，摸清楚對方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時刻，為下一步入侵提供良好的策略。網(wǎng)絡(luò)掃描是一種自動檢測遠程或本地主機安全脆弱點的技術(shù)。網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視網(wǎng)絡(luò)狀況、監(jiān)測網(wǎng)絡(luò)中數(shù)據(jù)的技術(shù)。3.攻擊實施是網(wǎng)絡(luò)攻擊的第二階段。常見的攻擊實施技術(shù)有社會工程學(xué)攻擊、口令攻擊、漏洞攻擊、欺騙攻擊、拒絕服務(wù)攻擊等。所謂“社會工程學(xué)攻擊”，就是利用人們的心理特征，騙取用戶的信任，獲取機密信息、系統(tǒng)設(shè)置等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件。4.隱身鞏固是網(wǎng)絡(luò)攻擊的第三階段。網(wǎng)絡(luò)隱身技術(shù)是網(wǎng)絡(luò)攻擊者保護自身安全的手段，而鞏固技術(shù)則是為了長期占領(lǐng)攻擊戰(zhàn)果所做的工作。

第12章 網(wǎng)絡(luò)防御技術(shù)

1.網(wǎng)絡(luò)防御技術(shù)分為兩大類: 被動防御技術(shù)和主動防御技術(shù)。被動防御技術(shù)是基于特定特征的、靜態(tài)的、被動式的防御技術(shù)，主要有防火墻技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)和病毒掃描技術(shù)等。主動防御技術(shù)是基于自學(xué)習(xí)和預(yù)測技術(shù)的主動式防御技術(shù)，主要有入侵防御技術(shù)、計算機取證技術(shù)、蜜罐技術(shù)和網(wǎng)絡(luò)自生存技術(shù)等。

2.防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，其主要功能有: 限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶;防止入侵者接近其他防御設(shè)施;限定用戶訪問特殊站點;為監(jiān)視Internet的安全提供方便。3.入侵檢測技術(shù)是指通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象的技術(shù)。一個完整的入侵檢測過程包括3個階段: 信息收集、數(shù)據(jù)分析和入侵響應(yīng)。

4.計算機取證也稱數(shù)字取證、電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟、硬件技術(shù)，按照符合法律規(guī)范的方式，對能夠為法庭接受的、足夠可靠和有說服性的、存在于計算機、相關(guān)外設(shè)和網(wǎng)絡(luò)中的電子證據(jù)的識別、獲取、傳輸、保存、分析和提交認證的過程。計算機取證技術(shù)主要包括計算機證據(jù)獲取技術(shù)、計算機證據(jù)分析技術(shù)、計算機證據(jù)保存技術(shù)和計算機證據(jù)提交技術(shù)等。

5.蜜罐是一個資源，它的價值在于它會受到攻擊或威脅，這意味著一個蜜罐希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題，它們僅為我們提供額外的、有價值的信息。從應(yīng)用層面上分，蜜罐可以分為產(chǎn)品型蜜罐和研究型蜜罐;從技術(shù)層面上分，蜜罐可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。

第13章 計算機病毒

1.計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。傳染性是病毒的最基本的特征，此外病毒還具有破壞性、隱蔽性、潛伏性與可觸發(fā)性、誘惑欺騙性等特性。

2.計算機病毒的感染動作受到觸發(fā)機制的控制，病毒觸發(fā)機制還控制了病毒的破壞動作。病毒程序一般由主控模塊、感染模塊、觸發(fā)模塊和破壞模塊組成。其中主控模塊在總體上控制病毒程序的運行，協(xié)調(diào)其他模塊的運作。染毒程序運行時，首先運行的是病毒的主控模塊。 3.計算機病毒從其發(fā)展來看分為4個階段。早期病毒攻擊的目標較單一，病毒傳染目標以后的特征比較明顯，病毒程序容易被人們分析和解剖。網(wǎng)絡(luò)時代，病毒與黑客程序結(jié)合，傳播速度非?？?，破壞性更大，傳播渠道更多，實時檢測更困難。

4.引導(dǎo)型病毒和文件型病毒是典型的DOS時代的病毒,對它們工作機理的研究同樣具有重要的意義.宏病毒不感染EXE和COM文件,它是利用Microsoft Word的開放性專門制作的具有病毒特點的宏的集合.宏病毒在1997年非常流行,并且該年成為“宏病毒年”,網(wǎng)頁腳本病毒和蠕蟲病毒是隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展起來的,它們往往和木馬程序結(jié)合在一起侵入主機.5.反病毒技術(shù)因病毒的出現(xiàn)而出現(xiàn).并且必將伴隨著病毒的長期存在而長期存在下去.反病毒技術(shù)一般有特征值掃描技術(shù).啟發(fā)式分析技術(shù),完整性驗證技術(shù).虛擬機技術(shù),沙箱技術(shù)及計算機免疫技術(shù),動態(tài)陷阱技術(shù),軟件模擬技術(shù),數(shù)據(jù)挖掘技術(shù),預(yù)先掃描技術(shù)和安全操作系統(tǒng)技術(shù)等.第14章 信息安全法律與法規(guī)

1.計算機犯罪是指非法侵入受國家保護的重要計算機信息系統(tǒng)及破壞計算機信息系統(tǒng)并造成嚴重后果的應(yīng)受刑法處罰的危害社會的行為。計算機犯罪是一種新的社會犯罪現(xiàn)象，其犯罪技術(shù)具有專業(yè)性、犯罪手段具有隱蔽性、犯罪后果具有嚴重的危害性、犯罪空間具有廣泛性、犯罪類型具有新穎性、犯罪懲處具有困難性等明顯特點。

2.信息安全法律法規(guī)在信息時代起著重要的作用。它保護國家信息主權(quán)和社會公共利益;規(guī)范信息主體的信息活動;保護信息主體的信息權(quán)利;協(xié)調(diào)和解決信息社會產(chǎn)生的矛盾;打擊和懲治信息空間的違法行為。

3.從國外來看，信息安全立法的歷程也不久遠。美國1966年頒布的《聯(lián)邦計算機系統(tǒng)保護法案》首次將計算機系統(tǒng)納入法律的保護范疇。1987年頒布的《計算機安全法》是美國關(guān)于計算機安全的根本大法。我國1994年2月頒布了《計算機信息系統(tǒng)安全保護條例》，該條例是我國歷史上第一個規(guī)范計算機信息系統(tǒng)安全管理、懲治侵害計算機安全的違法犯罪的法規(guī)，在我國信息安全立法史上具有非常重要的意義。

4.我國在1997年修改《刑法》后，專門在第285條和第286條分別規(guī)定了非法入侵計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪等。

第15章 信息安全解決方案

1.安全體系結(jié)構(gòu)理論與技術(shù)主要包括: 安全體系模型的建立及其形式化描述與分析，安全策略和機制的研究，檢驗和評估系統(tǒng)安全性的科學(xué)方法和準則的建立，符合這些模型、策略和準則的系統(tǒng)的研制(比如安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)等)。

2.網(wǎng)絡(luò)安全研究內(nèi)容包括網(wǎng)絡(luò)安全整體解決方案的設(shè)計與分析以及網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。目前，在市場上比較流行的安全產(chǎn)品有防火墻、安全路由器、虛擬專用網(wǎng)(VPN)、安全服務(wù)器、PKI、用戶認證產(chǎn)品、安全管理中心、入侵檢測系統(tǒng)(IDS)、安全數(shù)據(jù)庫、安全操作系統(tǒng)等。

3.網(wǎng)絡(luò)安全需求包括物理安全需求、訪問控制需求、加密需求與CA系統(tǒng)構(gòu)建、入侵檢測系統(tǒng)需求、安全風(fēng)險評估系統(tǒng)需求、防病毒系統(tǒng)需求、漏洞掃描需求、電磁泄漏防護需求。網(wǎng)絡(luò)威脅一般包含邊界網(wǎng)絡(luò)設(shè)備安全威脅、信息基礎(chǔ)安全平臺威脅、內(nèi)部網(wǎng)絡(luò)的失誤操作行為、源自內(nèi)部網(wǎng)絡(luò)的惡意攻擊與破壞和網(wǎng)絡(luò)病毒威脅等。

4.根據(jù)網(wǎng)絡(luò)系統(tǒng)的實際安全需求，結(jié)合網(wǎng)絡(luò)安全體系模型，一般采用防火墻、入侵檢測、漏洞掃描、防病毒、VPN、物理隔離等網(wǎng)絡(luò)安全防護措施。

第三篇：信息安全考點總結(jié)

關(guān)于QQ、網(wǎng)銀、大師、360等討論題，你們有誰整理出答案來了 hmac是用hash函數(shù)做mac的技術(shù) 就是分解n啊,不分解n比分解n更難

大家都知道溢出現(xiàn)象一不小心就會發(fā)生，所以微軟和VC做了預(yù)先準備，在臨時變量之間設(shè)置了緩沖隔離帶，萬一有溢出，盡可能避免影響到別人，也盡早盡量發(fā)現(xiàn),在debug模式下才有此舉，在release模式下隔離帶就沒有餓了。緩沖區(qū)： 網(wǎng)銀安全;

1、Ssl加密，https

2、輸入銀行賬號和密碼時的控件：特殊機制

3、對抗口令監(jiān)聽的軟件（硬件對抗不了)

4、開通網(wǎng)銀時的那句話來鑒別這不是釣魚網(wǎng)

5、手機交易嗎

6、U盾

7、有沒有可能網(wǎng)站不存口令

8若是不可能，存了口令，認證期間不要在網(wǎng)上傳，傳的時候hash一下，傳hash值，用隨機數(shù)挑戰(zhàn)，隨機數(shù)和口令hash。

9、網(wǎng)銀ssl加密后給服務(wù)器

Qq 登陸方面。

重新設(shè)你的密保，復(fù)雜一點的，QQ密碼 也復(fù)雜一點，QQ盜號從單純的“偷窺”、“鍵盤鉤子”木馬、“屏幕快照”木馬，到聊天記錄監(jiān)視和“網(wǎng)絡(luò)釣魚”

輸入賬號密碼的時候可能網(wǎng)吧里面就雙黑色的眼睛正盯著你的鍵盤可能電腦里面還有你看不到的“眼睛”也監(jiān)控著你的鍵盤，然后把獲取的賬號信息發(fā)送出去，而這類木馬占了QQ盜號木馬的99％以上。

將賬號密碼加密，QQ賬號密碼信息本地存放，無須注冊。不用注冊的方式比較安全，不用擔(dān)心信息在傳遞過程中出現(xiàn)問題 在加密通道中輸入QQ賬號密碼后自動刪除所有臨時信息 注意電腦系統(tǒng)的清潔 檢測鍵盤鉤子程序和木馬

以及打開的qq是不是按照目錄下的qq.exe 聊天時可以進行身份認證

確定和你聊天的確實是那個人 所以現(xiàn)在比較高級的就是用二維碼登陸⊙.⊙ 手機確認一下

使用qq交換文件的話，服務(wù)器會不會有記錄？ QQ加密外掛 Pkcs5 密鑰分發(fā)： 1，公鑰

CA 2：對稱密鑰

diffie hellman 文件加密的慘?。?360加密： 無紙化辦公： 單表統(tǒng)計規(guī)律： 文件共享

密碼學(xué)和網(wǎng)絡(luò)信息安全能幫助我們干什么 通信安全 偷聽和保密

分組網(wǎng)絡(luò)的存儲-轉(zhuǎn)發(fā) 假冒和抵賴 無紙化支持 辦公和電子商務(wù)活動 簽章、支付安全和抵賴問題 數(shù)字簽名 系統(tǒng)安全 漏洞、病毒等問題 系統(tǒng)訪問安全體現(xiàn)

惡意代碼

病毒、木馬、攻擊程序 數(shù)據(jù)驅(qū)動 黑客

攻擊破壞(漏洞,引誘)未授權(quán)使用 系統(tǒng)和軟件漏洞 NOS 系統(tǒng)軟件

系統(tǒng)安全手段

硬件、NOS、系統(tǒng)軟件 防火墻 軟件、硬件 身份認證 訪問控制和授權(quán) kerberos 審計/入侵檢測 LOG，IDS 網(wǎng)絡(luò)管理員 關(guān)于簽名 手寫簽名 數(shù)字簽名

紙版文件 數(shù)字文件 手寫簽名 數(shù)字小文件 同一頁紙 如何綁定 必須的特性：

不可偽造 不可重用 不可改變 不可抵賴

四種技術(shù)手段 加密

鑒別/數(shù)字簽名 身份

消息來源和真實性 防抵賴 簽名和驗證 完整性 校驗 網(wǎng)絡(luò)安全模型 系統(tǒng)安全

病毒、木馬、漏洞、黑客、攻擊等 防火墻、信息過濾和入侵監(jiān)測等 傳輸安全 加密防信息泄密

鑒別和認證：消息來源、身份核認、防抵賴等 完整性 * 密碼學(xué)

加密算法、鑒別和簽名算法、安全協(xié)議等 * 安全系統(tǒng)

互操作、部署、運行、監(jiān)控等 密碼分析學(xué)

目標：恢復(fù)密鑰或明文 唯密文攻擊 只有一些密文 已知明文攻擊

知道一些過去的(明文及其密文)作參考和啟發(fā) 選擇密文攻擊

有一臺解密機（能解密選擇的密文）選擇明文攻擊

繳獲有一臺加密機（還能加密選擇的明文）

Feistel參數(shù)特性 分組大小 密鑰大小 循環(huán)次數(shù)

一般僅幾輪是不夠的，得十幾輪才好，如16輪 子鑰產(chǎn)生算法 越復(fù)雜越好 輪函數(shù)Round 關(guān)鍵 其他考慮

速度（尤其是軟件實現(xiàn)的速度）便于分析（使用簡潔的結(jié)構(gòu)）不是Feistel結(jié)構(gòu)的 AES、IDEA

* 絕大數(shù)分組密碼屬于或類似Feistel結(jié)構(gòu) 多輪

每輪有XOR（或能恢復(fù)的操作）輪函數(shù) DES 參數(shù)

Feistel體制分組密碼

分組大小 64bit，密鑰大小 56bit，輪數(shù) 16輪 S-Boxes

對DES的爭議集中在 密鑰空間太小

Key space 從Lucifer的2^128降到DES的2^56 DES Challenge III, 22 hours 15 minutes S盒 S-Boxes S盒的設(shè)計準則？

陷門？ trapdoors by NSA(?)“Form surprise to suspicion”

從驚喜(甚至能夠抵御很后來才發(fā)現(xiàn)的各種攻擊)到懷疑(n年前就如此厲害的NSA現(xiàn)在究竟有多厲害)DES總結(jié)

DES算法對個人用戶仍值得信賴 DES算法本身沒有大的缺陷 對DES攻擊方法復(fù)雜度為2^47 DES使用的2^56密鑰空間不夠大，蠻力攻擊目前已能夠奏效(DES Challenges III)，所以關(guān)鍵場合不能使用了 DES已經(jīng)不再是推薦標準

DES還是AES，或者RC4、RC5、IDEA、BF Free/Open DES模塊仍廣泛存在 保護和延續(xù)DES投資 對DES的改造

使用現(xiàn)存的軟件硬件在強度上提高

AES(=Rijndael)算法

基本參數(shù)

分組大小128bits，被分為4組×4字節(jié)處理 密鑰典型128、192、256bits 非Feistel結(jié)構(gòu) 設(shè)計出發(fā)點

安全，抵抗已知的攻擊方法

代碼緊湊，速度夠快，適合軟硬件實現(xiàn) 結(jié)構(gòu)簡單/簡明/簡 對稱算法的應(yīng)用： 7.1 密碼功能的設(shè)置

7.2 傳輸保密性

7.3 密鑰分配

7.4 隨機數(shù)

↓ ↓ ↓

7.a 案例分析

隨機數(shù)的用途

用做會話密鑰 [需保密] 用來產(chǎn)生公鑰 [需保密] 如產(chǎn)生RSA密鑰時素數(shù)p和q 鑒別方案中用來避免重放攻擊 nonce [不需保密] 每次使用不同的隨機數(shù)

很多挑戰(zhàn)-應(yīng)答協(xié)議里的挑戰(zhàn)值 [不需保密] salt in /etc/passwd etc [不需保密] *

非對稱算法

密鑰：K ＝（Kd，Ke）

加密：E（P，Ke）＝ C 解密：D（C，Kd）＝ P 要求：從Ke

Kd 安全不僅依賴于密鑰的保密，也依賴于隨機數(shù)的質(zhì)量

Kd 稱為私鑰，Ke 稱為公鑰

公鑰加密算法： 加密（如果有人要給該用戶A發(fā)送消息P）

他先獲得該用戶的公開鑰Ke

加密

傳輸

解密

D（C，Kd）＝P

C = E（P，Ke）

除非擁有Kd，象該用戶A，否則不能解開

RSA算法參數(shù)建立： 找素數(shù)

選取兩個512bit的隨機素數(shù)p,q 計算模n 和Euler 函數(shù)φ(n)n ＝pq φ(n)=(p-1)(q-1)找ed≡1 mod φ(n)選取數(shù)e，用擴展Euclid 算法求數(shù)d 發(fā)布

發(fā)布(e,n)，這是公鑰ke d 保密，(d, n)是私鑰 kd

RSA加解密：

加密

明文分組m 做為整數(shù)須小于n

解密

m = cd mod n RSA的正確性 證明

依據(jù)Euler 定理，在mod n 的含義下

cd＝(me)d＝med

c = me mod n

mod n

＝mkφ(n)+1

mod n

＝(mφ(n))km1

mod n ＝m

mod n // 據(jù)Euler定理

RSA計算實例：

選p＝7，q＝17 則n＝pq＝119 且φ(n)＝(p-1)(q-1)＝6×16＝96 取e＝5 則d＝77(5×77 ＝385 ＝4×96 ＋1≡1 mod 96)公鑰（5，119），私鑰（77，119）

加密m ＝19 則c ＝me mod n= 195 mod 119 = 66 mod 119

解密c ＝66 m ＝cd mod n = 6677mod 119 ＝19 mod 119 程序功能：

用p和q為素數(shù)，則n＝pq且f(n)=(p-1)(q-1)e為加密指數(shù)，則求得解密指數(shù)d滿足ed=1 mod f(n)加密明文x，則得密文y=x^e mod n 解密密文y，則得解密明文x2＝y(tǒng)^d mod n 注意：e必須和fn互素 用法：pqex

p 和q 都是素數(shù)

e 和(p-1)(q-1)互素

x 小于pq 模冪乘：

97221 % 2003

（都在模2003意義下）

972

21＝ 97128+64+16+8+4+1

＝ 97128 9764 9716 978 974 971

依次計算971、972、974、978、一直平方下去即可，并保持模2003 如果某次方在1 式出現(xiàn)，則累乘

累積開始是1 *

乘法次數(shù)O(log2Y)攻擊RSA

9716… 97128 枚舉

枚舉所有可能明文m，用e加密和c比較 枚舉所有可能的私鑰d（已知明文）

數(shù)學(xué)方法

分解n=pq，就可以計算φ(n)，就可從e 求得d

不分解n，而直接求φ(n)，再求d

不求φ(n)，直接求d

對RSA的理解

形式簡單，易于理解，研究深入支持廣泛 既能用來加密，可以用來加密回話密鑰，又可簽名

它的對稱性使它可以可以用來加/解密，同時也可以用來做簽名/驗證。

安全性的模糊（疑為等價于因子分解的難度）隨機素數(shù)產(chǎn)生并不容易

運算量大，速度受局限，尤其在嵌入式設(shè)備中 對稱短發(fā)和公鑰算法的比較 安全性 速度

典型相差1000倍

密鑰管理

對稱算法需要額外安全信道

公鑰：證書中心CA 混合密碼體制

公鑰算法用于簽名和認證

用公鑰算法傳輸會話密鑰

用會話密鑰/ 對稱算法加密批量(bulk)數(shù)據(jù)

公鑰算法太慢

公鑰的分配方法：

臨時索要公鑰/自由的擴散/PGP的公鑰環(huán) 2.公開的目錄服務(wù)(在線方式)3.公鑰授權(quán)(在線中心方式)4.通過證書中心CA(離線中心方式

公鑰授權(quán)：在線中心 有在線中心幫助的公鑰交換

A 以帶時間戳的信息向中心請求B 的當前公鑰

中心用私鑰PRauth簽署的消息回復(fù)A，包括：

原始請求和原始時間戳，B 的公鑰PUb，A 用B 的公鑰加密：將自己的身份IDa 和會話標識號N1包含在加密的消息里 B 也如法取得A 的公鑰

B 用A 的公鑰加密：N1 和N2 A 用B 的公鑰加密N2，以最后確認會話

在線中心容易成為單點故障和性能瓶頸

Certificate Authentication

CA是受信任的權(quán)威機構(gòu)，有一對公鑰私鑰。

每個用戶自己產(chǎn)生一對公鑰和私鑰，并把公鑰提交給CA申請證書。CA以某種可靠的方式核對申請人的身份及其公鑰，并用自己的私鑰“簽發(fā)”證書。

證書主要內(nèi)容：用戶公鑰，持有人和簽發(fā)人的信息，用途，有效期間，簽名等。

證書在需要通信時臨時交換，并用CA的公鑰驗證。

有了經(jīng)CA簽名保證的用戶公鑰，則可進行下一步的身份驗證和交換會話密鑰等。

Diffie-Hellman密鑰

目的：使兩用戶能安全的交換密碼，以便在后續(xù)的通信中用改密碼對消息加密

算法的有效性是建立在計算離散對數(shù)是很困難這件事的基礎(chǔ)上 步驟

隨機 交換y 算k 選取大素數(shù)q 和它的一個生成元g，這些參數(shù)公開 A選擇隨機數(shù)Xa，B選擇隨機數(shù)Xb

A 計算Ya ＝g^Xa mod q，B 計算Yb ＝g^Xb mod q

交換Ya，Yb

A 計算K ＝Y(jié)b^Xa mod q，B 計算K' ＝Y(jié)a^Xb mod q

事實上，K ＝K'

舉例 q＝97，g＝5

A選Xa＝36，B選Xb＝58，則

Ya＝5^36％97＝50，Yb＝5^58％97＝44 交換50，44 A算K＝44^36％97＝75，B算K’＝50^58％97＝75 分析（別人怎么計算K?）

別人看到了Ya和Yb，但需要計算Xa或Xb，即要算離散對數(shù) Ya＝g^Xa mod q，或Yb＝g^Xb mod q.b ElGamal加密 準備

1素數(shù)p，Zp*中本原元g，公開參數(shù) 2私鑰a，公鑰b=ga mod p 加密

1對明文1<=m<=p-1，選隨機數(shù)k 2密文(c1, c2)c1=gk mod p, c2=mbk mod p 解密

1m＝c2(c1a)-1＝mbk((gk)a)-1

＝m(ga)k(g-ka)

＝m mod p C2和c1a 先求模再相處 ElGamal加密基于離散對數(shù)難題 缺點 需要隨機數(shù)

密文長度加倍

背景循環(huán)群: 從Zp* 到EC 點加群

認證和加密不同。

消息認證是驗證消息完整性的一種機制，能發(fā)現(xiàn)對消息的篡改或假冒。

使用對稱算法可產(chǎn)生消息鑒別碼MAC 使用公鑰算法可對消息進行簽名

身份認證是鑒別通信對方的身份是否屬實。

Hash函數(shù)是一個單向的消息摘要函數(shù)，在產(chǎn)生MAC、簽名中有重要用途。認證函數(shù)： 對稱加密

2.公鑰加密

3.消息認證碼（MAC）

4.散列函數(shù)（Hash）

認證需要給密文添加結(jié)構(gòu)特征 公鑰加密認證方法：

A可以先使用自己的私鑰加密消息（這是數(shù)字簽名），再用B的公鑰加密，這樣可以提供認證。亦需要給明文消息添加結(jié)構(gòu)特征 消息認證碼mac

利用密鑰來生成一個固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)附在消息之后（假定雙方共享密鑰）

發(fā)送方利用密鑰從明文產(chǎn)生一個固定長度的短數(shù)據(jù)塊(MAC)，和消息一起傳輸。

接收方考察是否一致，以判斷MAC和/或消息是否被改動過。

MAC：CBC模式最后一個分組 MAC函數(shù)

計算明文M在密鑰K的作用下的特征碼 M || MAC(M, K)

驗證時，判斷明文M 和MAC 碼是否一致

HMACK：帶key的HASH函數(shù)

利用HASH函數(shù)從報文和密鑰產(chǎn)生MAC碼

先計算特征，再把特征加密的思想，或 直接把散列函數(shù)和Key結(jié)合得MAC

HMAC = HashKey(Message)

一種實現(xiàn)，比如

HMAC = Hash(Key || Message)HMACK的含義和用途 HASH函數(shù)定義：

對于任意給定的報文，產(chǎn)生固定長度的摘要信息是消息認證的一種變形，輸入是大小可變的消息M，輸出固定大小的散列碼Ｈ（Ｍ），與MAC不同，HACH并不使用密鑰，它僅是輸入消息的函數(shù)，是所有消息位的函數(shù)。

Hash函數(shù)強調(diào)單向性和抗沖突特性

單向性質(zhì)：給定h，要找x 使H(x)＝h 是困難的

弱抗碰撞特性：

對于給定的y，找x，使H(x)＝H(y)是困難的

強抗碰撞特性（生日攻擊）：

* 如果碰撞則意味著數(shù)字簽名容易被偽造/欺騙 Hash函數(shù)的用途總結(jié)下先

Hash函數(shù)的用途總結(jié)下先 給明文增加結(jié)構(gòu)特征以保護密文 產(chǎn)生MAC碼（HMAC）找x 和y，使H(x)＝H(y)是困難的 數(shù)字簽名前HASH代表參與 從口令衍生密鑰 挑戰(zhàn)-應(yīng)答認證協(xié)議中 也用來產(chǎn)生隨機數(shù) PKCS5用口令到K

數(shù)字簽名：

是一種認證機制，使得消息的產(chǎn)生者可以添加一個起簽名作用的碼字。通過計算消息的散列值并用產(chǎn)生者的私鑰加密散列值來生成簽名。簽名保證了消息的來源個完整性。

兩種模式： 1私鑰簽名：

輸入

報文明文、私鑰

m^d = s 輸出

報文明文、報文密文(簽名)

(m, s)

驗證

不可偽造 不可改變

2散列簽名 討論

s^e =? M 私鑰(其實是公鑰)的管理: 和身份綁定、更新等 簽名過程太慢: 啟用散列函數(shù)

改進

對報文的散列值用私鑰加密得到和n 等寬的簽名值

使用證書的鑒別過程：例如ssl A要和B通信，A要弄清楚B是否是他所期望的真的B

A－>B：A向B請求證書 A<－B：B的證書

A

：A檢查B的證書是否是A所信任的中心簽發(fā)的 A－>B：A給B一個隨機報文，讓B簽個名來看看 B

：B簽名，在簽名之前可施加自己的影響成分 A<－B：B的簽名

A

：檢驗是否通過了B的證書里的公鑰的驗證

第四篇：國際技術(shù)貿(mào)易期末考點

一、單選10×2

二、多選5×2

三、簡答2×10

四、計算3×10

五、案例1×20

客觀題

1、技術(shù)的分類

（1）按技術(shù)形態(tài)劃分：軟件技術(shù)和硬件技術(shù)

（2）按公開程度劃分：公開技術(shù)、半公開技術(shù)和秘密技術(shù)

（3）按是否屬于工業(yè)產(chǎn)權(quán)劃分：工業(yè)產(chǎn)權(quán)技術(shù)和非工業(yè)產(chǎn)權(quán)技術(shù)（4）按技術(shù)的功能劃分：產(chǎn)品技術(shù)、生產(chǎn)技術(shù)和管理技術(shù)（5）按技術(shù)水平劃分：尖端技術(shù)、成熟技術(shù)和落后技術(shù)

2、知識產(chǎn)權(quán)的性質(zhì)、類型

性質(zhì)：

（1）客體的獨特性。無形性、創(chuàng)造性、可復(fù)制性和可傳播性（2）絕對性和支配性（3）法律授予性

（4）法律效力的時效性。地域性、時間性 類型：

《建立世界知識產(chǎn)權(quán)組織公約》：

1、與文學(xué)、藝術(shù)和科學(xué)作品有關(guān)的權(quán)利；

2、表演藝術(shù)家的演出、唱片和廣播節(jié)目；

3、人類一切活動領(lǐng)域內(nèi)的發(fā)明；

4、科學(xué)發(fā)現(xiàn)；

5、工業(yè)品外觀設(shè)計；

6、商標、服務(wù)標記以及商業(yè)名稱和標志；

7、制止不正當競爭的權(quán)利；

8、以及在工業(yè)、科學(xué)、文學(xué)或藝術(shù)領(lǐng)域里由于智力活動而產(chǎn)生的一切其他權(quán)利?！杜c貿(mào)易有關(guān)的知識產(chǎn)權(quán)協(xié)議》：

1、版權(quán)及相關(guān)權(quán)利；

2、商標；

3、地理標志；

4、工業(yè)品外觀設(shè)計；

5、專利；

6、集成電路布圖設(shè)計；

7、未披露信息的保護。

3、國際技術(shù)通行規(guī)則適用原則

選擇性適用，對于國際組織制定的具有普遍性和非限制性的規(guī)則、通則以及長期實踐中形成的習(xí)慣和做法，在國家法律沒有明確規(guī)定的情況下，有關(guān)當事人有自愿選擇適用的權(quán)利。一旦當事人確認并加以引用就對當事人有約束力。

強制性適用，凡以國家名義締結(jié)或參加、加入的國際公約，該國際條約具有強制適用性，作為國際條約成員國的當事人應(yīng)嚴格遵守。特別是國內(nèi)法規(guī)定與國際公約有矛盾時，國際公約的效力高于國內(nèi)法。

限制性適用，有兩種適用的除外：一是國家在締結(jié)或者參加國際條約時聲明保留的條款；而是國家明令限制的。

4、可行性研究各階段的任務(wù)

（一）機會研究（opportunity study）

指分析研究引進技術(shù)的可能性和鑒別投資機會。投資機會研究的精確度一般為70%。

①收集有關(guān)資料②進行行情分析③選擇優(yōu)勢地區(qū)、優(yōu)勢行業(yè)和優(yōu)勢資源④選擇適用技術(shù)、技術(shù)產(chǎn)品、引進方式和合作伙伴

（二）初步可行性研究（pre-feasibility study）

是機會研究認為可行的基礎(chǔ)上對項目進行的估算和進一步論證，從中篩選出2—3個較優(yōu)方案。初步可行性研究的精度要求達到80%。

①技術(shù)選擇②市場需求③工程條件④社會因素⑤政治法律⑥資金籌措⑦粗略的經(jīng)濟分析

注：在我國編制項目建議書就相當于初步可行性研究。根據(jù)我國技術(shù)引進項目的審批程序，只有在項目建議書批準以后，才能進行詳細可行性研究，同外商進行技術(shù)交流和非正式詢價及初步洽談，但在此階段技術(shù)引進方不得簽署任何對外承擔(dān)義務(wù)的合同。

（三）詳細可行性研究（detailed feasibility study）

是初步可行性研究的繼續(xù)和深入，是在已獲得批準的項目建議書的基礎(chǔ)上，對項目的各要素進行認真、全面的調(diào)查和詳細的預(yù)測分析，進行綜合評價。詳細可行性研究的精度一般應(yīng)為90%。

1、市場分析——是決定項目實施與否的關(guān)鍵

2、技術(shù)分析

（1）技術(shù)的性質(zhì)——資本密集還是勞動密集，技術(shù)所處的生命周期發(fā)展階段；（2）技術(shù)的來源——國內(nèi)采購還是從國外進口；

（3）技術(shù)的生產(chǎn)能力——主要考慮其產(chǎn)品的數(shù)量和質(zhì)量；（4）獲得技術(shù)的方式——許可貿(mào)易、購買或其他方式；（5）所需要的費用；

（6）設(shè)備應(yīng)包括生產(chǎn)、輔助和服務(wù)設(shè)備以及備件和工具，應(yīng)考慮設(shè)備的配套。

3、財務(wù)和經(jīng)濟分析

（四）編制評價報告（evaluation report）

即編制可行性研究報告，此報告應(yīng)對項目的必要性、可行性和效應(yīng)性三個方面全面論述。可行性研究報告的具體內(nèi)容：（1）總說明

（2）承辦企業(yè)的基本情況與條件（3）物料供應(yīng)規(guī)劃（4）廠址選擇（5）技術(shù)與設(shè)備

（6）生產(chǎn)組織、勞動定員和人員培訓(xùn)計劃（7）環(huán)境污染的防治（8）項目實施的綜合計劃（9）資金的概算和來源（10）經(jīng)濟分析

5、比價方法

（1）直觀法（簡易比較法）。是把各輸出方的報價折算為同一基礎(chǔ)進行比較。（2）類比法

①橫向比較：與國際市場上類似價格進行比較 ②縱向比較：與歷年類似轉(zhuǎn)讓價格進行比較

③直接比較：以同一技術(shù)輸出方與其他引進方所確定的該項技術(shù)的價格進行比較 ④間接比較：與其他類似技術(shù)的價格進行比較 ⑤總體比較：同類項目之間總的規(guī)模效應(yīng)的比較

⑥單體比較：把綜合性項目分解成單一項目進行比較

（3）經(jīng)濟效益評價法。將輸出方的報價與技術(shù)引進項目獲利能力進行比較，測算引進費在引進方利潤中所占份額的大小。

6、技術(shù)貿(mào)易合同的構(gòu)成部分

一、合同首部

（一）合同名稱

應(yīng)標明許可的技術(shù)名稱和許可的性質(zhì)。

（二）合同號碼

是識別合同的特定符號，標明技術(shù)許可方和被許可方的國別代號或公司代號、合同簽訂的年份和合同的序列?！?983CPIC002SR”

（三）簽約日期

1、簽約日期是履行審批程序的一個起算日期；

2、簽約日期與合同適用法律有密切關(guān)系。

（四）簽約地點

1、發(fā)生爭議時是推定合同適用法律的依據(jù)之一；

2、有些國家征收印花稅，也將簽約地點作為征稅的依據(jù)。

（五）當事人雙方的法定名稱和法定地址

二、序文

（一）說明當事人的職業(yè)背景

“鑒于許可方已在某國取得了**工藝方法的專利??”

（二）說明許可方擁有的權(quán)利

“鑒于許可方是**工藝方法專利的持有者，并有權(quán)進行許可??”

（三）說明被許可方的愿望

“鑒于被許可方希望利用許可方的工藝方法專利制造和銷售產(chǎn)品，并在許可的地域內(nèi)獲得對該工藝方法專利的獨占使用權(quán)”

（四）說明當事人雙方的態(tài)度

“雙方授權(quán)代表通過友好協(xié)商，同意就以下條款簽訂本合同”

三、合同主體

合同主體包括雙方當事人權(quán)利、義務(wù)的各項具體規(guī)定，以條款的形式分別敘述，是整個合同的核心部分。共性條款之一：定義條款

四、合同尾部

（一）合同的生效

“本合同于*年*月*日在中國*市經(jīng)雙方代表簽字確認，并需經(jīng)雙方政府批準，以最后批準一方的批準日期為本合同生效日期。彼此應(yīng)以電傳及時通知對方并用信件確認?！?/p>

（二）合同的有效期限

考慮合同有效期要注意的問題：

1、技術(shù)被許可方掌握所需要的時間

2、要考慮所轉(zhuǎn)讓技術(shù)的生命周期

3、工業(yè)產(chǎn)權(quán)技術(shù)的法律保護期限

4、注意法律、法規(guī)對合同有效期的規(guī)定

（三）合同的續(xù)展

合同續(xù)展需經(jīng)原審批合同機關(guān)的批準

（四）合同的終止

（五）合同文字及簽署

合同中必須明確合同正本應(yīng)使用哪一國的文字；兩種文本具有同等效力時，應(yīng)注意翻譯的正確性；要規(guī)定當兩種文字發(fā)生矛盾時，以其中哪一種文字為準。

（六）合同附件

要對合同附件的地位予以明確“所有合同附件均為合同正文不可分割的組成部分，與合同正文具有同等法律效力?！?/p>

7、發(fā)明專利、實用新型專利

（1）實用新型保護客體范圍小于發(fā)明（2）實用新型的創(chuàng)造性要求低于發(fā)明（3）實用新型專利的保護期短于發(fā)明

（4）實用新型專利的審批過程比發(fā)明專利簡單

8、專利的性質(zhì)

（1）發(fā)明人對專利發(fā)明的獨占使用權(quán)；（2）取得了專利權(quán)的發(fā)明；

（3）表示某項專利的文件，如專利證書與專利說明書等。

9、專利權(quán)的含義和特點

含義：是以技術(shù)發(fā)明為對象，其所有人所依法享有的財產(chǎn)獨占權(quán)，是一種具有財產(chǎn)性質(zhì)的權(quán)利。專利權(quán)這種財產(chǎn)權(quán)與一般財產(chǎn)權(quán)不同，它是一種無形的財產(chǎn)權(quán)。

特點：（1）合法性；（2）排他性（專有性）①一個國家的專利機關(guān)對相同內(nèi)容的技術(shù)發(fā)明只授予一項專利權(quán)②被授予專利權(quán)的單位或個人具有獨占使用權(quán)；（3）地域性；（4）時間性；（5）實施性

10、專有技術(shù)的特點

（1）具有實用性

（2）是以保密為條件的事實上的獨占權(quán)（3）具有可傳授性和可轉(zhuǎn)讓性（4）具有非獨占性（5）無時效性和地域性

11、專利和專有技術(shù)的區(qū)別和聯(lián)系

（一）專有技術(shù)和專利的聯(lián)系

①專有技術(shù)和專利都是非物質(zhì)形態(tài)的知識，通常共處于實施一項技術(shù)所需的知識總體中，即實施一項技術(shù)僅有專利技術(shù)是不能完全實施的，必須同時具有專有技術(shù)，才能使一項技術(shù)得以順利實施。

②在技術(shù)貿(mào)易中，一項技術(shù)轉(zhuǎn)讓合同往往同時包括專有技術(shù)與專利技術(shù)許可兩項內(nèi)容，他們相互依存，共同完成一項技術(shù)轉(zhuǎn)讓交易。

（二）專有技術(shù)和專利的區(qū)別 ①專有技術(shù)是不受專利法保護的；

②專有技術(shù)是保密的，而專利則是公開的； ③專有技術(shù)無地域性和保護期限

④專有技術(shù)可以通過文字、圖樣來表現(xiàn)，也可以是人們頭腦中掌握的知識技能，而專利必須通過書面說明書來體現(xiàn)；

⑤專有技術(shù)的內(nèi)容比專利廣泛；

⑥專有技術(shù)的內(nèi)容具有動態(tài)性，而專利技術(shù)的范圍是固定的。

（三）專有技術(shù)未申請取得專利的原因

（1）不符合取得專利的條件（技術(shù)所有人不能取得專利權(quán)）

①不在主題范圍；②不符合專利性：新穎性、創(chuàng)造性、實用性

（2）本可以取得專利，但因某些原因?qū)Ｓ屑夹g(shù)擁有人不員申請專利（技術(shù)所有人不愿申請專利）

①申請專利時有意保留；②發(fā)明人不申請專利

競爭對手難以仿制、競爭對手無法掌握、利益被侵犯時較難發(fā)現(xiàn)或較難制止、技術(shù)生命周期較短

（3）在某項發(fā)明申請取得專利實施過程中積累獲得的補充技術(shù)（4）作為專有技術(shù)的管理技術(shù)和商務(wù)技術(shù)

12、商標的類型

（1）按商標使用的對象可分為商品商標和服務(wù)商標；

（2）按是否注冊分為注冊商標和未注冊商標；（3）按商標使用的主體分為單個商標和集體商標；

（4）按商標的使用功能可分為聯(lián)合商標、防御商標和證明商標；（5）按商標的知名度可分為普通商標和馳名商標；

（6）從商標的構(gòu)成可分為文字商標、圖形商標和組合商標。

13、商標權(quán)的特點

（1）獨占性（2）時間性（3）地域性

14、計算機軟件的類型

（一）系統(tǒng)軟件。系統(tǒng)軟件主要是通過操作系統(tǒng)控制計算機的內(nèi)部功能，同時也監(jiān)控如監(jiān)視器、打印機和存儲設(shè)備等外部設(shè)備。

（1）作業(yè)系統(tǒng)（2）翻譯程序（3）連接程序（4）載入程序（5）公用程序（6）程序語言（7）資料庫管理系統(tǒng)（8）監(jiān)督程序

（二）應(yīng)用軟件。應(yīng)用軟件指揮計算機執(zhí)行用戶所給的命令，包括替用戶處理數(shù)據(jù)的任何程序。

（三）網(wǎng)絡(luò)軟件。網(wǎng)絡(luò)軟件協(xié)調(diào)連接在網(wǎng)內(nèi)的計算機之間的通信。

15、技術(shù)咨詢或技術(shù)服務(wù)中委托方的責(zé)任

（1）委托方應(yīng)依照合同約定為服務(wù)提供工作條件，完成配合事項。（2）委托方應(yīng)接受工作成果并支付報酬。

（3）依合同約定，委托方還可能負有下列義務(wù)：技術(shù)培訓(xùn)合同的委托方不得擅自將要求保密的培訓(xùn)內(nèi)容引用、發(fā)表和提供給第三方。技術(shù)輔助服務(wù)合同的委托方在驗收時，如發(fā)現(xiàn)工作成果不符合合同要求和規(guī)定的技術(shù)指標，應(yīng)當在約定的期限內(nèi)及時通知對方返工或改進等。

16、我國成套設(shè)備引進過程中存在的問題

（一）重復(fù)引進

重復(fù)引進主要表現(xiàn)在時間上的重復(fù)引進和地域上的重復(fù)引進。

（二）重引進，輕消化

（三）引進來源過于集中

目前我國最主要的技術(shù)貿(mào)易伙伴仍然集中在歐盟、美國、日本和香港等地，一旦貿(mào)易伙伴對我國進行出口管制，將影響到我國產(chǎn)業(yè)技術(shù)及社會的全面發(fā)展。

（四）技術(shù)輸出方的問題

①通過外商直接投資引進技術(shù)效果尚有待改進。

雖然利用外商直接投資已經(jīng)成為我國技術(shù)引進的最主要方式，而且這一方式確實也滿足了目前我國技術(shù)引進中的許多需要，但是這種引進方式仍有以下弊端：一是引進的技術(shù)整體水平不高，二是跨國公司技術(shù)轉(zhuǎn)讓與我國技術(shù)引進在動機上并不一致，三是跨國公司封鎖核心技術(shù)的散播，四是投資產(chǎn)業(yè)仍以勞動密集型產(chǎn)業(yè)為主。②技術(shù)輸出國的官方出口管制。目前，世界各國對我國都存在不同程度上的技術(shù)出口管制，尤其是美國對華出口持不信任態(tài)度，管制最為嚴格。這些管制政策都會阻礙我國對先進技術(shù)和關(guān)鍵設(shè)備的引進。

17、技術(shù)資本化的形式

（一）技術(shù)入股

是指不把技術(shù)作為商品出售，而是作為資金、實物一樣的投資列入企業(yè)注冊資金中，投資者與企業(yè)在合同規(guī)定的期限內(nèi)共擔(dān)風(fēng)險、共享利潤分成。技術(shù)入股是最常見的技術(shù)資本化方式。

（二）技術(shù)抵押

是指技術(shù)既不作為商品進行流通，也不作為技術(shù)投資和入股，而是在技術(shù)可以作為資本的前提下，以擁有先進技術(shù)作為財產(chǎn)保證，取得貸款或組建風(fēng)險企業(yè)。

（三）補償貿(mào)易 是在信貸基礎(chǔ)上，一方向另一方輸出技術(shù)，然后在一定時期用產(chǎn)品和雙方商定的商品清償貸款的一種貿(mào)易方式。實質(zhì)是一種技術(shù)商品信貸關(guān)系。

18、從技術(shù)供方和技術(shù)購方看技術(shù)費的構(gòu)成

（一）從供方角度考慮技術(shù)使用費的構(gòu)成

1、技術(shù)轉(zhuǎn)讓的直接成本（Transfer Costs）

是指技術(shù)許可方為進行一項具體的技術(shù)許可交易而花費的實際費用，不包括技術(shù)開發(fā)成本。直接成本包括：（1）技術(shù)資料費用（2）技術(shù)服務(wù)費（3）談判過程的差旅費和管理費（4）特別設(shè)計費（5）有關(guān)的法律費用（6）其他與執(zhí)行技術(shù)合同相關(guān)費用

2、沉入成本（Sunk Costs）或開發(fā)成本

是指研究和開發(fā)這項技術(shù)的成本，包括所投入的人力、財力和物力。開發(fā)成本在確定技術(shù)使用費時一般只能分攤一部分的原因：

（1）技術(shù)開發(fā)者在自己使用新技術(shù)生產(chǎn)和銷售時，開發(fā)費用已逐步分攤到產(chǎn)品上，并且還可以繼續(xù)為其帶來經(jīng)濟效益；

（2）技術(shù)的開發(fā)費用不能由其中的一個技術(shù)被許可方全部承擔(dān)。

3、機會成本（Opportunity Costs）

是指技術(shù)許可方因為轉(zhuǎn)讓技術(shù)而失去在被許可方所在國或地區(qū)部分銷售市場或其技術(shù)的再轉(zhuǎn)讓受到限制等而導(dǎo)致的利潤損失。

技術(shù)許可方的機會成本包括：

（1）由于轉(zhuǎn)讓技術(shù)而使自己產(chǎn)品的市場份額縮小造成的損失；

（2）技術(shù)被許可方有可能對引進的技術(shù)進行發(fā)展和改進，從而縮短了原技術(shù)的壽命，從而給技術(shù)許可方造成的損失；

（3）如果技術(shù)被許可方限制技術(shù)許可方將技術(shù)再轉(zhuǎn)讓給第三方從而給技術(shù)許可方造成的損失；（4）技術(shù)在進行轉(zhuǎn)讓時，可能發(fā)生技術(shù)泄密而造成技術(shù)許可方的損失。

（二）從受方角度考慮技術(shù)使用費的構(gòu)成

1、自主開發(fā)擬引進技術(shù)的成本

2、對使用新技術(shù)所產(chǎn)生的新增利潤的估算（1）由于生產(chǎn)成本降低而產(chǎn)生的新增利潤

（2）由于提高產(chǎn)品性能和質(zhì)量導(dǎo)致售價提高而增加的利潤（3）由于提高產(chǎn)品的年產(chǎn)量而增加的利潤

19、技術(shù)使用費的支付方式

（1）總付（2）提成支付（3）入門費加提成支付

20、總付的特點

（1）技術(shù)使用費總額在合同生效后不能改變；

（2）技術(shù)受方未來利用引進技術(shù)的效果如何，與技術(shù)使用費金額無關(guān)。

21、限制性商業(yè)慣例的特點

（一）非法性

（二）限制性規(guī)定或行為具有隱蔽性

（三）限制性商業(yè)慣例受到法律法規(guī)的明確管制

（四）限制性商業(yè)慣例實施的主體是企業(yè)

（五）限制性商業(yè)慣例來源于壟斷

22、稅收管轄權(quán)的劃分

（1）稅收管轄權(quán)基本上屬于技術(shù)或資本輸出國——西歐諸國實行

（2）稅收管轄權(quán)屬于技術(shù)輸入國，輸出國放棄稅收管轄權(quán)——法國等少數(shù)幾個國家，且有條件（如納稅后全部收入要匯回本國）

（3）技術(shù)輸出國和技術(shù)輸入國共同行使稅收管轄權(quán)（稅收抵免法）——國際上普遍采用

23、雙重征稅的影響和解決辦法

影響：

（一）雙重征稅阻礙了國際技術(shù)貿(mào)易的發(fā)展

（二）雙重征稅加重了被許可方的經(jīng)濟負擔(dān)

（三）雙重征稅削弱了技術(shù)許可方的競爭力

（四）雙重征稅誘發(fā)了國際避稅和國際逃稅行為的發(fā)生 解決辦法：

1、自然抵免（全額抵免）

在技術(shù)輸出國和技術(shù)輸入國的所得稅率完全相同的情況下，技術(shù)輸出國允許該進行跨國經(jīng)營的居民把已經(jīng)向輸入國政府繳納的所得稅全額抵免，不再向技術(shù)輸出國繳納所得稅。

2、申請抵免

當技術(shù)輸出國所得稅率高于技術(shù)輸入國所得稅率時，可申請抵免，經(jīng)本國稅務(wù)部門核準后可辦理一次性抵免（一年一次）。

3、最高限額抵免

當技術(shù)輸出國的所得稅率比技術(shù)輸入國的所得稅率低時，該國居民向本國政府申請抵免的最高限額只能是其國外所得按本國稅率計算的那一部分稅款。

4、費用扣除法

是指跨國納稅人將其國外已繳納的所得稅作為已開支費用，從其總所得收入中扣除，匯回本國，按本國所得稅率進行納稅。

24、包稅條款

目前在經(jīng)濟合同的簽訂環(huán)節(jié)，締約雙方通常對交易行為應(yīng)負擔(dān)的稅費進行書面約定，即由非納稅義人負擔(dān)繳納稅款的情形的條款

簡答

1、國際技術(shù)貿(mào)易的特點

（1）所有權(quán)的壟斷性（2）技術(shù)信息的不對稱性（3）交易價格的不確定性（4）技術(shù)價值的時效性

（5）涉及問題和法律的廣泛性（6）政府干預(yù)程度的強硬性

2、許可方進行專利許可的原因有哪些

（1）專利權(quán)人為發(fā)明人個人時，往往缺乏實施的條件，只得通過專利許可讓具備條件的企業(yè)去實施；（2）專利權(quán)人自己雖然有實施的能力，但由于產(chǎn)品市場廣闊。單靠自己實施不能滿足市場需求，因而希望在自己制造銷售產(chǎn)品的同時，有更多人實施其專利，這樣能使專利權(quán)人獲得額外的使用費收入；（3）因生產(chǎn)經(jīng)營領(lǐng)域不同，有些專利權(quán)人不打算自己直接實施其專利而希望許可他人實施；（4）專利權(quán)人想通過交叉許可與他人交換專利使用權(quán)，以取得和使用他人的專利。

3、國際技術(shù)服務(wù)的特點

（1）利用專門機構(gòu)和專門人才，可以在更短時間內(nèi)找到更好、更有成效的解決實際技術(shù)問題的建議和辦法。同時，與依靠自己的人才和技術(shù)裝備解決問題相比，節(jié)省大量投資和費用。

（2）技術(shù)服務(wù)中所提供的技術(shù)通常不是獲得工業(yè)產(chǎn)權(quán)的專利技術(shù)和需要保密的專有技術(shù)，因而其所得報酬要比許可合同中的價格低。

（3）用技術(shù)服務(wù)解決本企業(yè)的問題，可不受本企業(yè)種種因素的影響，更加公正、客觀地解決問題。（4）在各種技術(shù)服務(wù)活動中可以學(xué)到許多專門知識和技巧。

4、發(fā)展中國家管制限制性商業(yè)慣例的立法特點

（一）發(fā)展中國家制定針對性強的專門技術(shù)轉(zhuǎn)讓單行法規(guī)

（二）這些法律的管制程序更明確和具體

（三）在對限制性商業(yè)行為的界定上以列舉方式為主

（四）采用發(fā)展標準認定限制性商業(yè)慣例

（五）設(shè)立專門的行政管理機構(gòu)并賦予它一定的自主權(quán)

計算

1、比價

例1：某技術(shù)輸出方A的報價為80萬美元，分四年付清，每年年初支付20萬美元；另一輸出方B的報價采取入門費加提成的方法，先付入門費10萬美元，其余按銷售額提成，每年年末支付，預(yù)計每年提成金額為10萬美元，提成年限與合同期相同。假定合同期（n）均為七年，年利率（i）為10%，試比較兩者的報價。解：A的報價為：

n

i3124?????t0123總（1?i）（1?i）（1?i）（1?i）（1?i）t?0 202020?20????69.75(萬美元）1.11.211.331B的報價為： n

i?入門費?t總（1?i）t?1 10101010101010???????58.66(萬美元）?10?1.11.211.3311.461.611.771.95 從報價來看，B公司的報價低一些。

例2：引進方和上例中的B公司談判，假定引進方目前每年生產(chǎn)產(chǎn)品成本為10萬美元，引進B公司技術(shù)后每年單位成本可降低5美元，如年產(chǎn)量10萬件，每年可增加利潤50萬美元，B公司的報價是否合理呢？

解：技術(shù)輸出方：每年可分得金額10萬美元，輸出方輸出技術(shù)7年共可獲得技術(shù)轉(zhuǎn)讓費（按現(xiàn)值）為58.69萬美元。

技術(shù)引進方：每年可獲得新增利潤50萬美元，7年共可獲得（按現(xiàn)值）

n50 P總??t（1?i）t?1P?AAAAAP?B

50505050505050??????1.11.211.311.461.611.771.95?243.（萬美元）3?58.69/243.3=24.1%

按照慣例，這一比率在10%~30%之間。因此，B公司的報價是合理的。

2、新增利潤、入門費和提成率的轉(zhuǎn)換

例一：技術(shù)輸入方原希望不付入門費，以6%的提成率支付，但輸出方要求入門費30萬美元，則應(yīng)降低提成率為多少？假設(shè)提成期內(nèi)總銷售產(chǎn)品為3萬臺，每臺產(chǎn)品的凈銷售價為2000美元。解：入門費相當于提成率：（30÷3÷2000）×100%＝0.5%

所以，提成率應(yīng)從6%降為5.5% 例二：我國一家企業(yè)在引進技術(shù)之前，每件產(chǎn)品的生產(chǎn)成本為9美元，利用引進的技術(shù)后可以使每件產(chǎn)品的生產(chǎn)成本降為6.5美元。如果產(chǎn)品的銷售價格仍是11美元，年產(chǎn)量仍保持1萬件，合同為普通許可，期限為6年。問：如果技術(shù)許可方要求技術(shù)被許可方，以銷售額為提成基礎(chǔ)按提成率R為5%來支付技術(shù)使用費，問技術(shù)被許可方是否可以接受？

新增利潤?（C0-C1）QN?（9-6.5）?1?6?15萬美元銷售額?PQN?11?1?6?66萬美元則5%?LSLP?得LSLP?22%計算結(jié)果標明許可方的報價是在合理范圍之內(nèi)，所以可以接受對方的報價。15?100%663、已知一定的提成率計算LSLP，被許可方是否可以接受報價

利潤分配率（LSLP）=（技術(shù)使用費/受方利潤）×100% 使用費總額=LSLP×受方利潤

注：

聯(lián)合國工業(yè)發(fā)展組織（UNIDO）分析，LSLP在16%~27%之間。

1972年國際許可貿(mào)易執(zhí)行人挪威會議上，多數(shù)國家代表認為LSLP為20%。美國有關(guān)法院的判例中LSLP在10%~30%之間。

4、雙重征稅的抵免

例1： 居住在某國的居民在某一納稅期間，來自本國的所得8000美元，來自外國所得為2000美元，全部所得合計為10000美元，在本國稅率和外國稅率均為30%情況下，則其在國外繳納的所得稅為：2000*30%=600美元

如在居住國可以得到全額抵免，納稅額具體計算為：（8000+2000）*30%-（2000*30%）=2400美元

例2：某居民國內(nèi)所得8000美元，國外所得2000美元。國內(nèi)稅率40%，國外稅率30%，則該居民向本國繳稅額度為：（8000+2000）*40%-2000*30%=3400美元

例3：某居民國內(nèi)所得8000美元，國外所得2000美元。國內(nèi)稅率20%，國外稅率50%，則該居民向本國繳稅額度為：（8000+2000）*20%-2000*20%=1600美元

例4：美國一公司從日本取得10000美元技術(shù)使用費，美國所得稅率為48%，日本所得稅率為20%，則該公司在美國應(yīng)納所得稅額為：10000*（1-20%）*48%=3840美元

該公司納稅總計：2000+3840=5840美元

案例 1、2002年，H公司將其對《A》唱盤合法享有的錄音制作者權(quán)轉(zhuǎn)讓給了J出版社。J出版社獲得這項權(quán)利后，出版了《A》唱盤。

一年之后，J發(fā)現(xiàn)在市場上有《B》唱盤出售，其中有15首歌的曲名和內(nèi)容均與《A》唱盤相同。J委托相關(guān)的技術(shù)鑒定機構(gòu)對《B》唱盤的這些歌曲做音源鑒定。結(jié)果表明來自同一音源，據(jù)此可以斷定《B》唱盤的這部分內(nèi)容復(fù)制自《A》唱盤。由于《B》唱盤上印有Y音像出版社的名稱和版號，內(nèi)圈印有屬于音像復(fù)制企業(yè)N公司的識別碼。出版社便起訴Y音像出版社和N公司。

庭審過程中，N公司承認《B》唱盤確實是受Y音像出版社的委托而復(fù)制的，共計復(fù)制3萬張。但是，N公司認為自己在整個過程中的操作室合乎規(guī)范的，并無過錯，不應(yīng)承擔(dān)侵權(quán)責(zé)任。N公司向法院提交了由Y音像出版社加蓋公章、并由該社社長簽名的《錄音錄像制品復(fù)制委托書》以及《銷售委托書》。

Y出版社辯稱：雖然唱盤上印有該社的名稱和編碼，但這是被他人盜用的；Y從未出版，也從未委托N公司復(fù)制涉案唱盤；N公司提交的《錄音錄像制品復(fù)制委托書》以及《銷售委托書》都不是真實的。但Y未能提供相應(yīng)的證據(jù)，也不主張對N公司提供的證據(jù)做司法鑒定。問題：（1）J出版社為什么可以起訴Y音像出版社和N公司侵權(quán)？

因為原錄音制作權(quán)人H公司將其權(quán)利轉(zhuǎn)讓給了J出版社、權(quán)利的受讓人，不僅獲得有關(guān)各項權(quán)利的獨占使用權(quán)，而且是這些權(quán)利的所有人，有權(quán)允許或禁止他人使用這些權(quán)利，并且在這些權(quán)利受到侵犯時能夠以自己的名義提起訴訟

（2）Y音像出版社是否應(yīng)該承擔(dān)責(zé)任？

Y音像出版社應(yīng)承擔(dān)侵權(quán)責(zé)任。因為Y出版社發(fā)行的《B》唱盤中有15首歌的曲名和內(nèi)容均與《A》唱

盤相同，而且J出版社的鑒定結(jié)果表明兩者來自同一音源，N公司提交的《錄音錄像制品復(fù)制委托書》以及《銷售委托書》，Y出版社未能提供證明其是偽造的證據(jù)，Y出版社未取得錄音制作權(quán)人J出版社的許可擅自出版唱盤侵犯了J出版社的權(quán)利故應(yīng)承擔(dān)責(zé)任。（3）N公司是否應(yīng)該承擔(dān)責(zé)任？

N公司由于疏于審查也應(yīng)該承擔(dān)責(zé)任。因為法律要求音像復(fù)制企業(yè)也要承擔(dān)相應(yīng)的合理審查義務(wù)，N公司只提交了《錄音錄像制品復(fù)制委托書》以及《銷售委托書》，不能證明其已經(jīng)盡了合理審查義務(wù)

2、我國某地引進了一條填補國內(nèi)空白的一種新型包裝材料的生產(chǎn)線。這種包裝材料具有很多優(yōu)點，在國外被譽為“包裝皇后”，有著廣泛的用途。該項目引進的設(shè)備和技術(shù)在世界上同類裝置中處于領(lǐng)先水平。整個項目籌建工作只用了一年多時間，工程質(zhì)量、產(chǎn)品質(zhì)量和工廠規(guī)模都達到國際先進水平。該技術(shù)是靠貸款購買的，可行性研究報告根據(jù)國際市場近年的資料，預(yù)測了今后產(chǎn)品的國際市場價格。此外，報告還落實了原料來源和產(chǎn)品銷路：原料由我國香港的一家外貿(mào)公司以向外招標的方式采購，產(chǎn)品出口部分包銷給外商。最后可行性研究報告得出結(jié)論：項目建成后只要4年就可以還本付息，經(jīng)濟效益理想。此報告還分析了產(chǎn)品內(nèi)銷問題，認為國際市場產(chǎn)量不大，我國市場此類包裝材料供給不足，內(nèi)銷問題不大。但實際由于國際市場產(chǎn)品價格大幅下降，而原料價格下降幅度卻不大。此項目本該盈利，卻變得無利可圖。試分析：

（1）評價該企業(yè)的可行性研究報告。

該可行性研究報告預(yù)測了今后產(chǎn)品的國際市場價格，找到了原料來源和產(chǎn)品銷路，得出了相關(guān)結(jié)論，結(jié)構(gòu)較完整和全面

不足之處，可行性報告主要是在市場研究這一環(huán)節(jié)出現(xiàn)了較大失誤，同時缺乏不確定性分析、對市場的預(yù)測過于理想化，導(dǎo)致實際市場價格和可行性研究報告預(yù)測的價格相差較大，產(chǎn)品銷路出現(xiàn)問題

①國際市場變動不能僅僅根據(jù)今年的市場情況簡單推斷，除非供求狀況以及投入產(chǎn)出的市場價格較為穩(wěn)定，②國際市場競爭激烈以及原材料價格波動頻繁的情況下不能從今年市場情形推斷的出項目值得建設(shè)的結(jié)論，③市場研究不僅要了解市場的需求，還要了解未來市場供求和競爭對手的優(yōu)缺點。

（2）為什么該項目會出現(xiàn)問題？

①新產(chǎn)品的需求不能用國外的需求預(yù)測來類推國內(nèi)的需求②新產(chǎn)品本身被需求者接受也需要時間③通過香港公司采購原材料需要使用大量外匯，且存在原材料供應(yīng)的風(fēng)險，容易影響正常生產(chǎn)

第五篇：信息安全測評期末總結(jié)

信息安全工程與測評實踐報告

（總結(jié)報告）

姓 名 班 級 學(xué) 號 完成日期

一、實驗?zāi)康?/p>

1． 使用各種工具對目標網(wǎng)頁進行漏洞掃描和滲透測試。

2． 了解掃描原來，熟悉掃描操作，掌握各種工具的特點和不足。3． 學(xué)會在不同場合使用最適合的工具。

二、實驗工具

本學(xué)期的實驗中，我使用了多種不同風(fēng)格掃描工具，其中包括了Nmap、PortScan、X-Scan、SuperScan等端口掃描工具，Wireshark等抓包軟件以及百度殺毒這種針對本機的保護軟件。

三、實驗內(nèi)容

實驗中，我更傾向于掃描目標網(wǎng)站的端口信息，其中，我最為喜歡的是Nmap掃描工具，它的功能應(yīng)當是我所使用的掃描工具中最為強大的，可以使用不同的命令使用不同的掃描方式以得到自己所需要的掃描結(jié)果。它的主界面如下所示：

在該圖片中，我已經(jīng)使用了 –sS –sU –T4 –top-ports 61.135.169.125 命令對IP地址61.135.169.125進行端口掃描，也得出了該IP的2個開放端口80和443，以及它們所提供的服務(wù)即它們的作用。同時，這個命令中，-sS表示使用TCP SYN方式掃描TCP端口，-sU表示掃描UDP端口。-T4指定掃描過程使用的時序，可以使用的時序共有6個級別即0-5，級別越高，掃描速度越快，但是也容易被防火墻或IDS檢測到并屏蔽掉。另外，61.135.169.125即百度。

而在我使用的掃描工具中，有一款老而彌堅的，那就是PortScan，在使用它同樣對百度網(wǎng)站進行掃描的過程中，它的操作比Nmap簡單了很多。

這是它的主界面：

很明顯，這款工具還有其他一些功能，但我們在這里只要使用它的端口掃描功能，也就是Scan Ports標簽下的內(nèi)容。很明顯的看出來，只需要輸入目標IP就能對其進行掃描。另外提一句，PortScan的默認掃描端口是從1到65535。掃描結(jié)果是這樣的：

同樣可以掃描出2個開放的端口即80和443。然而在實際使用中，我也明顯的發(fā)現(xiàn)了它的不足，它的掃描速度相對于Nmap而言差距是十分明顯的，而且掃描結(jié)果的驚喜程度上是遠遜于Nmap的。

在實驗使用的所有端口掃描工具中，Nmap的表現(xiàn)無疑是十分突出的，但是還有一款掃描工具也是十分的強大，那就是X-Scan。

X-Scan是國內(nèi)最著名的綜合掃描器之一，它完全免費，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內(nèi)著名的民間黑客組織“安全焦點”完成，從2000年的內(nèi)部測試版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了國內(nèi)眾多黑客的心血。最值得一提的是，X-Scan把掃描報告和安全焦點網(wǎng)站相連接，對掃描到的每個漏洞進行“風(fēng)險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補漏洞。

在實際使用中，它給出的風(fēng)險評估等級報告是最震撼我的，它把掃描的結(jié)果直接進行了分析，并給出了結(jié)果，令人一眼就能看懂，下面是我對我自己的電腦進行掃描獲得的掃描報告：

而這只是詳盡的報告中的一部分，因而我認為，X-Scan是一款十分值得推薦的工具，它強大的性能、多種多樣的功能以及詳盡的報告分析都決定了它將成為收人歡迎的掃描工具，也更適合網(wǎng)絡(luò)安全管理員使用。

另外，SuperScan也是一款性能強大的掃描工具，但是它的主界面的確是有點復(fù)雜了：

幸好在執(zhí)行簡單的掃描任務(wù)時，所需要使用到的模塊并不太多，只要IP、Scan type模塊就可以了，在無視其他模塊的情況下，它的操作還是畢竟簡單的。就同樣對百度進行掃描而言，在IP模塊輸入IP地址后，再在Scan type模塊下改變掃描模式到All list ports from 1 65535。最后單擊Start也就可以開始掃描了，當然了，這只是這款軟件的簡單使用，在今后若有需要也應(yīng)當對它進行更深入的了解和學(xué)習(xí)。

總而言之，SuperScan功能強大，但是，在掃描的時候，一定要考慮到網(wǎng)絡(luò)的承受能力和對目標計算機的影響。

最后在這里介紹下對百度殺毒的使用感覺，總而言之就是傻瓜式操作，它只會告訴你存在什么危險，并提供選擇是否解決這個問題。雖然這十分的方便，也非常適合電腦小白的使用，也能完成它應(yīng)當完成的任務(wù)，但是對于我們這些從事或者正在學(xué)習(xí)這方面的人而言，是不適合的，我們應(yīng)當去了解而非傻瓜式的解決。

這也就說明上面這些掃描工具的強大性，畢竟它們還能對本機進行掃描，能加深對自己電腦的了解，并及時了解存在的安全隱患并通過自己的努力去解決這些安全隱患，也能完善自己在這方面的技巧。

四、實驗總結(jié)

在使用過這么多的掃描軟件完成作業(yè)之后，我也用他們對自己的電腦進行了掃描，主要是使用X-Scan，通過它給出的風(fēng)險評估報告上看到的結(jié)果真的是嚇了我一跳，平常使用360安全衛(wèi)士等進行掃描時給出的結(jié)果總是不存在風(fēng)險，但是通過專業(yè)掃描軟件的所掃描出來的危險因素真是多到嚇人。這也展現(xiàn)了這些掃描軟件的強大之處，然而我們應(yīng)當使用它們進行安全測試，防范于未然，而非將它們當作一種工具手段。也就是正確的使用它們。