信息安全产品体系概述1
随着信息化建设在我国的深入开展,信息网络安全已成为普遍关注的课题。基于国家政策的大力支持和信息安全行业的市场推动,我国的信息安全产品也逐步发展成为一个比较完善的产品体系。
本文着重介绍密码产品及由其构成的信息安全产品。
信息安全产品所依赖的的安全技术主要包括密码技术、身份认证、访问控制、虚拟专用网(VPN)、公共密钥基础设施(PKI)等。
信息安全产品分为四个层次:基础安全设备、终端安全设备、网络安全设备、系统安全设备等。
这些信息安全产品可以组成不同的行业安全解决方案。
信息安全产品体系见下图。
图1 安全产品体系结构
一基础安全设备
基础安全设备包括:密码芯片、加密卡、身份识别卡等。
密码芯片是信息安全产品的基础,为安全保密系统提供标准的通用安全保密模块,根据算法类型的不同可以分为对称算法芯片和非对称算法芯片。密码算法芯片作为通用安全模块可以配置在单机或网络环境中,应用于不同类型的密码设备。算法可以灵活配置。分为ASIC密码芯片和FPGA密码芯片两种形式。
奥地利Graz理工大学通信与应用研究所RSAγASIC密码芯片在200MHz时钟下,1024BIT模长,RSA签名速度为2000次/秒。
密码芯片作为安全技术的核心部分,可以为二次开发商、OEM商和用户提供丰富的安全开发途径。
加密卡分为加密服务器和加密插卡(简称加密卡),通常以应用程序接口(API)的方式提供安全保密服务。加密服务器是为局域网上的主机提供加密服务的专用整机式密码设备。加密卡是为PC机或主机等提供加密服务的插卡式密码设备。加密卡通常提供数据加密、数字签名、信息完整性验证、密钥管理等功能,应用于电子商务、企业业务系统和办公系统、VPN设备等应用环境中。
国内外厂商可以依据具体业务基于加密卡进行二次安全开发。
身份识别卡种类较多,主要有智能动态令牌、音频动态口令牌、电子钥匙等,用在单机、电话网、局域网及广域网中识别用户身份合法性的场合。其特点是用户用来验证身份的口令每次都不一样,避免了静态口令易被盗用和攻击情况的发生。主要用于用户接入控制方面,如门禁系统、电话炒股系统、电话抽彩系统、网络接入认证系统等。
智能动态令牌作为通用的简易型访问控制产品在世界上已形成较大的市场份额。SOFTPROTEC公司的数字钥具有微机启动控制和登陆限制功能。
二终端安全设备
终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。
电话密码机和传真密码机通常分为一体式和门卫式两种,用来对互相通信的两对电话或传真进行加解密,同时还具有身份认证的作用。
异步数据密码机用来对点对点异步拨号通信的微机或者其他设备进行通信加解密,用在公网中需要进行保密拨号通信的场合。
三网络安全设备
网络安全设备从数据网和网络层考虑,可以分为IP协议密码机、安全路由器、线路密码机、防火墙等。
IP协议密码机主要用于因特网或企业网的数据加密传输,如广域网上不同LAN间,或LAN内工作组间的IP 层保密通信。它提供透明的IP层数据加密传输服务,不影响原有网络结构,不影响原有网络功能,无须修改客户端或服务器端的软件,通信策略灵活,可支持保密通信和明通多条通道,具有高效、安全、用户透明等特点。
IP协议密码机常用来在广域网上为特定的用户构建一个安全的VPN系统。
安全路由器除了具备普通路由器的通信与路由功能外,还提供数据加密和防火墙等网络安全功能,集信道加密、异网互连和
网络管理于一身。用户可以选择实现密通和明通功能。
安全路由器可与IP协议密码机一起组建安全的VPN系统。
线路密码机根据数据网的不同可以分为FR/DDN/X.25/ISDN /ATM密码机,分别针对不同的网络环境在分组层、数据链路层对传输的数据实现加解密功能,抵御来自外部公网的攻击。
线路密码机不仅实现数据网上数据保密的功能,还具有线路保密设备相互认证身份的功效。
防火墙是一种有效的网络安全机制,它通常安装在被保护的内部网和外部网的连接点上,是在内部网与外部网之间实施安全防范的一个系统。从内部网和外部网之间产生的任何活动都必须经过防火墙。这样防火墙就可以确定这种活动(E-mail,ftp,telnet,http等)是否是符合站点的安全规则,决定哪些内部服务允许外部访问,哪些外部服务可以访问内部。防火墙不但可以实现基于网络访问的安全控制,还可对网络上流动的信息内容本身进行安全处理,对通过网络的数据进行分析,处理,限制,从而有效的保护网络内部的数据。防火墙技术可以归纳为包过滤型和应用代理型。
防火墙作为一种早期的网络安全产品,已被业内普遍接受。几乎任何一个大中型网络在建网时都会主动考虑采用防火墙来保护网内安全。国内自主产权防火墙已初具产业规模。
四系统安全设备
系统安全设备大致分为安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施(PKI)系统、授权证
书(CA)系统等。
安全服务器作为一个面向网络应用软件的加密代理系统,可以提供应用软件服务器端和客户端之间的加密通道,并且通过制定访问控制策略对用户的访问进行控制。其特点是不需对应用软件进行修改,实现基于策略的访问控制。支持常见的网络应用服务如DB、Notes、WWW、FTP等。
安全服务器作为一个新型的安全产品,在信息网络的访问控制和数据加密方面可以发挥积极的作用。
安全加密套件作为一个服务器/客户端安全代理软件,通过将网络应用软件的客户端封装在安全代理软件包中,采用各种访问控制策略,实现用户应用程序的安全加密功能。
金融加密机/卡是针对金融计算机网的业务安全现状而设计的应用层硬件加密设备,提供个人身份识别码(PIN)的安全和管理、报文鉴别、交易报文加密等功能。它可以实现交易的合法性、隐蔽性和正确性,防止伪交易和用户秘密信息的泄露,保障储户和金融机构的利益。
各国研制的金融加密机/卡为保证各自金融业务系统的安全提供确实的保证。
安全中间件作为基础安全平台,介于基础安全部件和安全应用系统之间为用户提供设备驱动程序、动态连接库、基础API 等。
在信息安全系统中,由于用户电子身份的大量需求,公开密钥技术成为信息安全的一大核心技术,应用在SSL、SHTTP、
PGP、S/MIME/IPSec等安全协议中。PKI系统采用非对称密码技术,为用户应用系统提供可信赖的、有效的密钥与证书管理,实现信息保密、数据完整、身份认证和不可否认等安全机制。
CA系统是一个支持X.509、SSL、S/MIME、WTLS等多种国际标准协议的证书服务系统,可用于发放个人客户端数字证书和服务器数字证书,为电子商务应用系统、移动互联网应用系统和企业内部网应用系统的安全提供身份支持。
CA系统已经在国内外金融、电信、商务等行业逐步开始应用,将成为信息社会中的一个重要的身份凭证。
此外,安全操作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统也应归于信息安全产品之列。
将这些信息安全产品应用在不同行业的信息安全领域,就形成电子商务安全解决方案、电子金融安全解决方案、电子公务员安全解决方案、电子企业安全解决方案和电子公民安全解决方案等。
信息技术飞速发展,信息安全领域也在不断变化,信息安全产品的体系不可能一成不变,而将随着技术和市场的变化不断完善。
第六章信息安全管理 第一节信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理? 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径; 建设信息安全组织机构,设置岗位、配置人员并分配职责; 实施信息安全风险评估和管理;制定并实施信息安全策略; 为实现信息安全目标提供资源并实施管理; 信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。 3、信息安全管理的基本任务 (1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施 (4)信息安全工程项目管理(5)资源管理 ◆(1)组织机构建设 ★组织应建立专门信息安全组织机构,负责: ①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位,负责: ①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定 ③提出信息安全年度工作计划④总协调、联络 ◆(2)风险评估 ★信息系统的安全风险 信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是: 服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。 ★信息系统安全风险评估的目的是: 认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命:一个单位通过信息化实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。 威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、
第一章 信息安全保障概述 ??信息安全保障背景 ?什么是信息? 事物运行的状态和状态变化的方式。 ?信息技术发展的各个阶段? ??电讯技术的发明 ??计算机技术发展 ??互联网的使用 ?信息技术的消极影响? 信息泛滥、信息污染、信息犯罪。 ?信息安全发展阶段? ??信息保密 ??计算机安全 ??信息安全保障 ?信息安全保障的含义? 运行系统的安全、系统信息的安全 ?信息安全的基本属性? 机密性、完整性、可用性、可控性、不可否认性 信息安全保障体系框架? 保障因素:技术、管理、工程、人员 安全特征:保密性、完整性、可用性
生命周期:规划组织、开发采购、实施交付、运行维护、废弃 ?????模型? 策略?核心?、防护、监测、响应 ?????信息保障的指导性文件? 核心要素:人员、技术?重点?、操作 ???????中 个技术框架焦点域? ??保护本地计算环境 ??保护区域边界 ??保护网络及基础设施 ??保护支持性基础设施 ??信息安全保障工作的内容? ??确定安全需要 ??设计实施安全方案 ??进行信息安全评测 ??实施信息安全监控和维护 ??信息安全评测的流程? 见课本???图 ?? 受理申请、静态评测、现场评测、风险分析 ??信息监控的流程? 见课本???图 ?? 受理申请、非现场准备、现场准备、现场监控、综合分析
????信息技术及其发展阶段 信息技术两个方面:生产:信息技术产业;应用:信息技术扩散 信息技术核心:微电子技术,通信技术,计算机技术,网络技术 第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用 ????信息技术的影响 积极:社会发展,科技进步,人类生活 消极:信息泛滥,信息污染,信息犯罪 ??信息安全保障基础 ????信息安全发展阶段 通信保密阶段( ?世纪四十年代):机密性,密码学 计算机安全阶段( ?世纪六十和七十年代):机密性、访问控制与认证,公钥密码学( ????? ??●●???, ??),计算机安全标准化(安全评估标准) 信息安全保障阶段:信息安全保障体系(??), ???模型:保护(??????????)、检测(?????????)、响应??????????、恢复(???????),我国 ?????模型:保护、预警(???????)、监测、应急、恢复、反击(??◆???????????), ????? ????标准(有代表性的信息安全管理体系标准):信息安全管理实施细则、信息安全管理体系规范 ????信息安全的含义 一是运行系统的安全,二是系统信息的安全:口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等 信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性 ????信息系统面临的安全风险 ????信息安全问题产生的根源:信息系统的复杂性,人为和环境的威胁 ????信息安全的地位和作用
信息安全管理条例第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。 改善信息安全水平的主要手段有: 1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全; 3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险; 5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限; 8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期; 9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式; 10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故 障或灾害的影响; 11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。 1.2、信息安全建设的原则 1)领导重视,全员参与; 2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与; 3)技术不是绝对的; 4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“二、八”原则; 6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部; 7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
产品演示,是为了让我们更加清晰的了解和认识南方李锦记公司系列产品的优越性能,掌握演示方法,为消费者提供更全面的服务,对产品进行有效的推广和销售。 1、“三不做原则” ◆信心不足不做:必须事先做好充分演练准备,并要进行模拟演示。准备不充分或信心不足,必须再练习,宁可先不做公开演示。每次正式演示都必须成功。 ◆步骤不一不做:一定要完全按照演示步骤进行,缺漏一个环节或改变一个步骤都是不允许的,而且所有步骤的前后关联性要清晰明了。 ◆表达不清不做:要非常熟悉产品特性,能清晰介绍有关专业名词,对于演示的道具和手法都需要理解透彻,语言可以生活化,但必须做到表达自如准确。 2、演示注意事项 演示前的准备: ◆演示人员着装得体,简洁大方,展示自己专业的形象; ◆演示工具要准备充足;工具器皿要保持清洁,最好事先用盖子盖好; ◆演示台要保持干净;在演示的主桌上铺上一块干净的白布,做吸水和装饰用;主桌旁安置一张副桌,用来陈列演示要用到的示范工具和产品。主桌旁要有清洁用的水源。 ◆将演示产品品牌正面面向朋友,并保持外观美观清洁; ◆将我司产品摆在演示桌的显眼位置,且在演示者左手边位置,以便给观看者一定欲了解产品视觉冲击; ◆同类产品对比演示前要出去对方标记,也可用白纸包装起来; ◆将对照品尽可能放在不起眼的地方,等到需要演示或演示正式开始后再取出展示,且在演示者右边位置,以免演示前造成观看者不必要的议论和反感; ◆建议上所有观看者围成一个半圆,靠近演示台,以便更清晰直观地看到演示效果,但也不宜太近,以免干扰演示操作; ◆灯光尽可能要明亮一些,活动场地要清洁干净,尽量收走烟灰缸,保持通风; ◆如在家中举办,要提醒朋友让儿童和宠物尽量不要接触产品。 演示过程中: ◆注意介绍产品特点和本次演示的重点;过程中在配音,一边做一边讲; ◆注意演示工具和产品的摆放; ◆展示公司产品时需用手托住; ◆不能攻击同行业其他产品; ◆注意演示说辞的前后逻辑性,并称对照样品为“同类产品”; ◆注意动作的说明; ◆注意放下产品再拿工具; ◆切忌信口开河,夸大产品功效; ◆演示结束前都不要让现场观众触碰演示工具; ◆演示过程中时刻保持用具清洁,多准备一些洁白的抹布或纸巾;合理安排演示工具的使用,特别是演示瓶; ◆作产品示范解说时,要和观众进行眼神交流,可走进新朋友,鼓励他们参与示范、操作体验。演示结束后: ◆当一个演示结束后,尽量预留1~2分钟给观看者体验效果和提问,同时请主持人帮助清洗演 示工具;注意彻底的清洗演示工具,特别是演示瓶及瓶盖。
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
1国家宏观信息安全管理方面,主要有以下几方面问题: (1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线. (2)管理问题。(包括三个层次:组织建设、制度建设和人员意识) (3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目. 2微观信息安全管理方面存在的主要问题为: (1)缺乏信息安全意识与明确的信息安全方针。 (2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的. (3)安全管理缺乏系统管理的思想。 3信息安全的基本概念(重点CIA) 信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同. I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性. A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等 4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要 c.信息安全是保护个人隐私与财产的需要 5如何确定组织信息安全的要求:a.法律法规与合同要求b.风险评估的结果(保护程度与控制 方式)c.组织的原则、目标与要求 6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。 7 图1-1信息安全管理PDCA持续改进模式:.doc 系统的信息安全管理原则: (1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上 (3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受 (4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然 (5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理 (7)全员参与的原则: (8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。PDCA模式,如图
无限极(中国)有限公司是李锦记健康产品集团成员,成立于1992年,是香港百年民族品牌“李锦记”旗下的全资子公司。 无限极(中国)以弘扬中华优秀养生文化,创造平衡、富足、和谐的健康人生为使命,创造了独特的企业文化以及独特的健康理念,坚持务实诚信、守法经营,业务持续发展。现已在全国范围内设立了35家分公司,28家服务中心,以及四千多家专卖店,取得了可喜的经营成绩,得到了广大消费者和社会的认同。 公司在广东新会累计投资超过30亿元人民币设立占地面积300亩的现代化生产基地(含建设中的三期工程),已通过ISO9001:2008、ISO22000:2005、HACCP、保健食品GMP四项认证,生产设备与技术均达到国内领先水平,多款产品获得权威清真认证,生产基地的年生产能力超过100亿元人民币。公司的第二个生产基地于2011年9月在辽宁省营口市签约,初步规划占地面积约500亩,首阶段总投资15亿元人民币,预计全面投产后头五年产值将达180亿元人民币。 公司多年来不断加大自主研发力度,并与国内外多家权威科研机构、知名学府紧密合作,现已成功研发生产出5大系列6大品牌70多款产品, 包括:无限极健康食品、维雅护肤品、萃雅护肤品、植雅个人护理品、帮得佳家居用品、享优乐养生用品。 经过20年的发展,公司在质量、品牌、社会责任、企业文化等方面赢得了消费者和社会的广泛认同: ◆2003~2011年,连续九年获“全国食品安全示范单位”称号; ◆2005年,“无限极”品牌获由世界品牌实验室颁发的“中国500最具价值品牌”荣誉,品牌价值达80.83亿元人民币; ◆2005、2007年,连续两届获“亚洲最佳雇主”和“中国最佳雇主”殊荣; ◆“无限极”品牌蝉联中国保健协会主办的2005年和2007年“十大最具公信力品牌”奖项; ◆2006年,获中国质量的最高荣誉“中国质量鼎”和“中国用户满意鼎”; ◆2008年,获“国家高新技术企业”认定; ◆2009年,李惠森董事长获“2009中国企业最具创新力十大领军人物”称号; ◆2010年,获科技部、农业部等部委授予“中国食品安全十强企业”称号; ◆2011年,获“2010’CSR(中国)领袖总评榜-最佳践行企业奖”; ◆2011年,第九次被授予“中国食品安全示范企业”称号; ◆2011年,“无限极”品牌再获由世界品牌实验室颁发的“中国500最具价值品牌”荣誉,品牌价值达195.58亿元人民币,品牌排名第49位。 公司在发展的同时热心公益慈善事业,强调“短期”与“长期”的平衡发展,“硬件”与“软件”的平衡建设;“输血”与“造血”的平衡慈善。至今,公司已累计向社会捐赠现金和物资价值超过一亿元人民币。其中,“思利及人基金”从2007年成立至今,已向社会捐款、捐物近2000万人民币。 公司在救助、扶贫、赈灾方面主动承担企业社会责任:1998年,捐赠3000万元产品用于抗洪救灾;2008年四川特大地震中,持续向灾区捐赠现金和物资超过1685万元人民币;2010年,向青海玉树灾区捐赠价值300万元人民币的物资,并积极参与西南抗旱、慈善情暖万家、持续关爱福利院儿童等公益活动。至2010年,集团已在中国内地捐建“无限极希望小学”、“无限极海联小学”、“无限极侨爱小学”共20所,并连续4年发布了共4本企业社会责任报告。
【秋实老师】无限极产品最全示范讲解 拥有健康不等于拥有一切,但是失去健康等于失去一切。关注健康应列入我们生活的首位。秋实老师是健康产业的专家,是一位非常成功的网商创业的导师,我最近和秋实老师联系,秋实老师在百忙当中抽出一点时间和大家分享一些产品的知识,无限极属于直销的范畴,其实直销公司的产品都不错,但是如果使用不当是适得其反的。大家可以根据秋实老师的产品示范讲解,更全面的了解产品知识,便于大家正确的使用。祝大家健康快乐! 秋实老师扣扣:叁零柒伍陆叁柒贰壹玖 一﹑增健 1 酚酞烟灰 酚酞检测烟碱,模仿被污染的内环境,证明增健能够清除体内垃圾 2 碘酒阵痛片(普通)北京曙光宝康阵痛片 碘酒模仿被西药、农药氧化的内环境 阵痛片粉末会更加氧化内脏,增健可以迅速还原 结论:增健可以帮助肝肾解毒 二﹑灵芝皇 两个小瓶都放等量的白酒,放灵芝皇的酒味会迅速变淡 结论:灵芝皇能帮助肝脏解毒,可以解酒,有保肝的作用 三﹑钙液体钙(对比) 把两种钙都泡在醋里,液体钙(挤出)不溶化。无限极的很快溶解。 结论:液体钙不易吸收,并容易造成肾结石。 无限极钙片颗粒小,极易吸收
四﹑海豹油口香糖 口香糖模仿血管壁上的垃圾,很快被海豹油溶化 结论:海豹油能够和血管里的垃圾并保证血管畅通,就能够降低高血压 还可以和任何50元以下的鱼油比较 放在勺子里烧,鱼油会变黑,海豹油还是一滴纯净的油 结论:海豹油中没有污染,鱼油是出自被污染的海域,并且在加工过程中会有二次污染 五﹑维康素碘酒大米 在两个杯里各放大米30粒左右,等量的水,碘酒三滴 结论:维康素可以还原被氧化的内环境,五味子素是清除自由基的成分 六﹑润和酚酞烟灰 酚酞检测烟碱,模仿被污染的肺内环境,证明润和能够清除肺里的烟碱残留和空气中的 微小灰尘颗粒 七﹑洗发露飘*蓝瓶9、9元 鸡蛋黄分两半放在两个碗里,滴两种洗发露。 它牌一分钟变黑,植雅不变色 结论:它牌会破坏头发的蛋白和链接,使头发开叉断裂。植雅可以更好的保护发丝,修复 受损的蛋白连接 八﹑沐浴露六神盐
第一章信息安全管理概述 一、判断题 1.根据ISO 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。 3.只要投资充足,技术措施完备,就能够保证百分之百的信息安全。 4.我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。 5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。 6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。 7.信息安全等同于网络安全。 8.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。
9.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。 二、单选题 1.下列关于信息的说法是错误的。 A.信息是人类社会发展的重要支柱 B.信息本身是无形的 C.信息具有价值,需要保护 D.信息可以以独立形态存在 2.信息安全经历了三个发展阶段,以下不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 3.信息安全在通信保密阶段对信息安全的关注局限在安全属性。 A.不可否认性 B.可用性 C.保密性 D.完整性 4.信息安全在通信保密阶段中主要应用于领域。 A.军事 B.商业 C.科研
1基本概念 1.1信息安全的要素 ●性:指网络中的信息不被非授权实体获取与使用。 的信息包括: 1.存储在计算机系统中的信息:使用访问控制机制,也可以进行加密增加安全性。 2.网络中传输的信息:应用加密机制。 ●完整性:指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、 不被破坏和丢失的特性,还要求数据的来源具有正确性和可信性,数据是真实可信的。 解决手段:数据完整性机制。 ●真实性:保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操 作者的物理身份与数字身份相对应。 解决手段:身份认证机制。 ●不可否认性:或不可抵赖性。发送信息方不能否认发送过信息,信息的接收方不能否认接收 过信息。 解决手段:数字签名机制。 1.2信息技术 ●明文(Message):指待加密的信息,用M或P表示。 ●密文(Ciphertext):指明文经过加密处理后的形式,用C表示。 ●密钥(Key):指用于加密或解密的参数,用K表示。 ●加密(Encryption):指用某种方法伪装消息以隐藏它的容的过程。 ●加密算法(EncryptionAlgorithm):指将明文变换为密文的变换函数,用E表示。 ●解密(Decryption):指把密文转换成明文的过程。 ●解密算法(DecryptionAlgorithm):指将密文变换为明文的变换函数,用D表示。 ●密码分析(Cryptanalysis):指截获密文者试图通过分析截获的密文从而推断出原来的明文 或密钥的过程。 ●密码分析员(Crytanalyst):指从事密码分析的人。 ●被动攻击(PassiveAttack):指对一个系统采取截获密文并对其进行分析和攻击,这种攻 击对密文没有破坏作用。 ●主动攻击(ActiveAttack):指攻击者非法入侵一个密码系统,采用伪造、修改、删除等手 段向系统注入假消息进行欺骗,这种攻击对密文具有破坏作用。 ●密码体制(密码方案):由明文空间、密文空间、密钥空间、加密算法、解密算法构成的五 元组。 分类: 1.对称密码体制:单钥密码体制,加密密钥和解密密钥相同。 2.非对称密码体制:双钥密码体制、公开密码体制,加密密钥和解密密钥不同。 ●密码系统(Cryptosystem):指用于加密和解密的系统,通常应当是一个包含软、硬件的系 统。 ●柯克霍夫原则:密码系统的安全性取决于密钥,而不是密码算法,即密码算法要公开。
70.润红胭口服液的主要功效及作用是什么? 答:改善和预防营养性贫血。 71.什么是贫血? 答:贫血是指循环血液单位容积内血红蛋白浓度、红细胞计数以及红细胞压积低于正常值的现象。 72.如何通过体检报告确知是否贫血? 血红蛋白:成年男性低于120g/升,成年女性低于110g/升,妊娠期妇女低于105g/升; 红细胞:成年男性红细胞数<400万/立方毫米; 成年女性红细胞数<350万/立方毫米。 73.润红胭口服液以中预铁为铁强化剂有何特点? ●高效吸收,是传统铁营养强化剂吸收率的2—3倍。 ●属络合铁剂,无胃肠刺激。米对锌的吸收有促进作用。 ●可延长铁强化食品的保质期。 ●稳定性好。 ●口感好,无铁锈味。 74.润红胭口服液适用人群有哪些? ●15—45岁女性 ●处于快速生长期的青少年 ●有相应营养性贫血症状的男性 75.引发人体“上火”的主要原因有哪些? “上火”印主要表现有哪些? 答:日常生活中,容易引发人体出现“上火”现象的主要原因有: ●干燥的季节或气候 ●不良饮食习惯因素,如:嗜酒,或由于饮食不节,过多进食辛辣、肥腻等食品 ●生活习惯因素,如工作繁忙、精神紧张、应酬多、烟酒多、睡眠不佳等 ●长期食用滋补品等 一般情况下,我们“上火”时会出现以下身体状况:口干舌燥、喉咙于痛、口腔溃疡、两眼红赤、鼻腔热烘、牙痛、烂嘴角、流鼻血、便秘等严重者可引起多种疾病如:糖尿病等。 76.为什么饮用红果清露能帮助减缓上火现象? 答:红果清露含有具有清热、解毒、润燥等食疗两用中草药,具有明显清热降火和润肠排毒作用,需要时饮用,会明显感到肠道通润,燥热上火现象随之减缓。 77.没有出现“上火”现象,是否可以饮用红果清露? 答:红果清露既具有“清热降火,润肠排毒”作用,又是“酸甜可口的中草药果汁饮品”,具浓郁山楂风味,各人可根据口味需要自行调整稀释兑水比例,经常饮用,可帮助预防上火燥热等现象。 78.儿童是否适合饮用红果清露? 答:红果清露适合儿童饮用: 1)红果清露可帮助孩子健脾开胃、消食化积、促进消化。 2)可提供给孩子丰富的维生素C,一杯约240毫升已稀释的红果清露(稀释比例1:5),可提供儿童约47—67%每日所需维生素 C,即23.2毫克,适合儿童及青少年经常饮用。 备注:资料来源《中国膳食营养指导》 (1一10岁)每日所需维生素c,的推荐摄食量为35-50毫克 (1l—18岁)每日所需维生素c的推荐摄食量为50-60毫克 79.糖尿病患者是否可以饮用 答:蜂蜜是红果清露的主要原料之一,请糖尿病患者根据自身情况或在医生指导下选用。 80.润和津露护肺产品的卖点在哪里? 1.季节变化易引发肺躁; 2.现代生活环境影响肺脏健康:办公设备(如:打印机、复印机等)会释放有害人体健康的臭氧。城市污浊的空气,
第一章信息安全保障概述 1.信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性 2.信息安全保障体系框架 生命周期:规划组织、开发采购、实施交付、运行维护、废弃 保障要素:技术、管理、工程、人员 安全特征:保密性、完整性、可用性 3.信息系统安全模型P2DR安全模型:策略、防护、检测、响应 4.信息保障技术框架IATF 核心思想是纵深防御战略 三个主要核心要素:人、技术和操作。 四个技术框架焦点区域:保护本地计算机环境、保护区域边界、保护网络及基础设施、保护 支撑性基础设施 5.信息安全保障工作内容:确定安全需求、设计和实施安全方案、进行信息安全评测、实施 信息安全监控 第二章信息安全基础技术与原理 密码技术、认证技术、访问控制技术、审计和监控技术 A、密码技术 明文、密文、加密、解密 信息空间M、密文空间C、密钥空间K、加密算法E、解密算法 D 加密密钥、解密密钥 密码体系分为对称密钥体系、非对称密钥体系 对称密钥体系 1 对称密钥优点:加解密处理速度快和保密度高。 缺点:密钥管理和分发负责、代价高,数字签名困难 2.对称密钥体系分类:分组(块)密码(DES/IDEA/AES)和序列密码(RC4/SEAL) 3.传统的加密方法:代换法、置换法 5、攻击密码体系的方法:穷举攻击法(128位以上不再有效)和密码分析法 6.针对加密系统的密码分析攻击类型分为以下四种: ①惟密文攻击在惟密文攻击中,密码分析者知道密码算法,但仅能根据截获的 密文进行分析,以得出明文或密钥。由于密码分析者所能利用的数据资源仅为密文, 这是对密码分析者最不利的情况。 ②已知明文攻击已知明文攻击是指密码分析者除了有截获的密文外,还有一些已知的“明文—密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或 某种算法,这种算法可以对用该密钥加密的任何新的消息进行解密。 ③选择明文攻击选择明文攻击是指密码分析者不仅可得到一些“明文—密文 对”,还可以选择被加密的明文,并获得相应的密文。这时密码分析者能够选择特定
常见疾病与无限极产品的调理 1、亚健康(10亿):增健+钙片 2、肥胖(2-3亿):增健+海豹油+钙片 3、贫血(2亿):(增健+儿童+海豹油)+润红胭 4、高血压(1.3亿):增健+海豹油+钙片 5、高血脂(9000万):增健+海豹油+钙片 6、糖尿病(4000万):增健+桑唐饮+女仕(海豹油) 7、冠心病(1000万):增健+海豹油+钙片 8、脑中风(600万):增健+海豹油+钙片 9、心肌梗塞(200万):增健+海豹油+钙片 1、系统:心脏疾病 疾病名:心律不齐(心律过速、心律过缓)、心脏肥大、心力衰竭、心悸、高血压性心脏病、风湿性心脏病、甲亢性心脏病、心内膜炎、动脉硬化性心脏病、冠心病、心肌炎、心绞痛、动脉硬化、心肌劳损、心肌梗塞 治疗原则: 强化免疫系统、血液循环系统、心肌功能 常用西药: 硝酸甘油、三磷酸腺苷 无限极: 增健+海豹油+钙片 2、疾病名:肺心病 治疗原则: 强化免疫系统、血液循环系统、心肌功能及肺肾功能 常用西药: 抗生素、氨茶碱、利尿剂 无限极: 增健+男仕+海豹油+钙片 3、系统:脑及中枢神经系统 疾病名:神经衰弱、忧郁症、精神失常、失眠(多梦)、紧张、头痛、偏头痛 治疗原则: 强化免疫系统、血液循环系统 常用西药: 谷维素、安宝、VB 无限极: 增健+灵芝皇+钙片 4、疾病名:脑瘫神经根炎、脑外伤、脑萎缩、脑震荡 治疗原则: 强化血液循环系统、注意骨骼保养 常用西药: 脑活素、ATP、VB 无限极: 增健+儿童+钙片
5、疾病名:脑中风、三叉神经痛、病毒性脑炎、帕金森氏症、老年痴呆 治疗原则: 强化血液循环系统 常用西药: 抗生素、脑复康 无限极: 增健+儿童+海豹油+钙片+灵芝皇 6、疾病名:癫痫、吸毒、面肌痉挛 治疗原则: 强化免疫系统 常用西药: 卡马西平 无限极: 增健+钙片 7、系统:血管疾病 疾病名:高血压、低血压、动脉硬化、脑供血不足、脑血栓、脑溢血、眼底出血、中风、半身不遂、半身麻木、静脉曲张、脉管炎、痔疮 治疗原则: 强化免疫系统、血液循环系统 常用西药: 尼莫地平、VC、维脑路通、脑路通、654-2 无限极: 增健+海豹油+钙片 8、系统:血液或淋巴疾病 疾病名贫血、溶血、红血球过多或不足、血小板减少、血友病 治疗原则: 强化免疫系统、补充维生素和微量元素 常用西药: VC、VB4、VB12、VK 无限极: (增健+儿童+海豹油)润红胭 高血脂、高胆固醇、血栓 治疗原则: 强化免疫系统、血液循环系统 常用西药: PSS、脉通 无限极: 增健+海豹油+灵芝皇 9、疾病名:白血球过低或过高 治疗原则: 强化免疫系统、调理肝肾及 常用西药: 抗生素、转移因子 无限极: 增健+男仕+钙片+灵芝皇 10、疾病名:淋巴肿大、脾肿大(脾亢进) 治疗原则: 强化免疫系统 无限极: 增健+灵芝皇+钙片
信息安全及其体系建设概述
目录 1 信息安全的相关概念 (4) 1.1 计算机网络安全 (4) 1.2 信息安全 (4) 2 信息安全技术 (5) 2.1物理安全技术 (5) 2.2系统安全技术 (6) 2.3防火墙技术 (6) 2.3.1 防火墙的作用 (7) 2.3.2 防火墙一般采取的技术措施 (7) 2.4认证技术 (8) 2.4.1 口令认证 (8) 2.4.2 智能卡令牌卡认证 (10) 2.4.3 生物特征认证 (10) 2.4.4数字证书 (10) 2.4.5单点登录(SSO) (12) 2.5 访问控制技术 (12) 2.6数据加密技术 (15) 2.7扫描评估技术 (17) 2.8入侵检测技术 (17) 2.9审计跟踪技术 (19) 2.10病毒防护技术 (20)
1.11备份恢复技术 (22) 1.12 安全管理技术 (23) 3 信息安全体系的建设 (23) 3.1基本概念 (23) 3.2静态防护体系 (24) 3.3 P2DR、PDRR动态安全模型 (26) 3.4信息保障技术框架(IATF) (28) 3.5 信息安全管理体系(ISMS) (30) 4 信息安全的发展趋势 (32) 4.1动态、立体的安全体系框架 (32) 4.2信息安全统一管理平台 (34) 4.3全生命管理的安全系统工程 (35) 4.4无线网络安全与云计算安全 (35) 4 信息安全的相关军用产品 (35) 5 关于“xx网”信息安全保障的思考 (35)
1 信息安全的相关概念 1.1 计算机网络安全 国际标准化组织(ISO )将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。”该定义着重于动态意义描述。 1.2 信息安全 信息安全是一个广泛而抽象的概念,不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统,其安全定义与计算机网络安全基本一致。 信息安全通常强调所谓 CIA 三 元组的目标,即保密性、完整性和可 用性,如图1-1所示。CIA 概念的阐 述源自信息技术安全评估标准 (Information Technology Security Evaluation Criteria ,ITSEC ),它也是 信息安全的基本要素和安全建设所 应遵循的基本原则。 ● 保密性(Confidentiality ):确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 ● 完整性(Integrity ):确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 ● 可用性(Availability ): 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。 图1-1 信息安全基本原则
信息安全专业简介 随着计算机技术与网络通信技术的广泛应用,社会对计算机的依赖越来越大,而计算机系统的安全一旦受到破坏,不仅会导致严重的社会混乱,也会带来巨大的经济损失。因此,信息安全已成为信息科学的热点课题,信息安全专业也受到了社会各界的普遍关注。 信息安全学科是由数学、计算机科学与技术、信息与通信工程和电子科学与技术等学科交叉而成的一门综合性学科。目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全等。 信息安全专业的主干学科为:计算机科学与技术、信息与通信工程、电子科学与技术、数学。相关学科专业包括:计算机科学与技术(080605) 、电子信息科学与技术(071201)、电子信息工程(080603) 、通信工程(080604)等。 信息安全专业的主干课程包括信息安全数学基础、计算机组成原理、操作系统原理、数据库系统原理、计算机网络、数字系统与逻辑设计、通信原理、现代密码学、信息安全理论与技术、信息安全工程、信息安全管理、信息安全标准与法律法规等。 目前信息安全方面的人才还十分稀少,尤其是政府、国防、金融、公安和商业等部门对信息安全人才的需求很大。目前国内从事信息安全的专业人才人数并不多,并且大多分布在高校和研究院所,按照目前信息化发展的状况,社会对信息安全专业的人才需求量达几十万人。要解决供需矛盾,必须加快信息安全人才的培养。 信息安全专业培养具有扎实的数理基础,较好的外语和计算机技术运用能力,掌握信息安全的基本理论与技术、计算机与网络通信及其安全技术以及信息安全法律法规等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题,具有较高的综合业务素质、较强的实践、创新与知识更新能力,可以在政府、国防、金融、公安和商业等部门从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询与评估服务、信息安全教育、信息安全管理与执法等工作的高级专业人才。
无限极最新奖金制度 “无限极”是无限极(中国)有限公司——原“南方李锦记有限公司” 的核心品牌、香港李锦记集团旗下专门从事中草药健康产品开发与销售的独资子公司。自1992 年成立以来,以“思利及人”为核心价值观,秉承“永远关怀、永远合作、永远创业”的企业精神和务实稳健的经营作风,以弘扬中华优秀养生文化,创造平衡、富足、和谐的健康人生为历史使命。 无限极十项奖金制度 1. 零售利润20% 2. 销售折让2—10 % 3. 培训奖金12.5 % 4. 业绩红利6 % 5. 公司分红10.5 % 6. 稳健奖0.5 % 7. 优秀奖0.3 % 8. 卓越奖0.2 % 9. 杰出贡献奖0.1 % 10. 旅游培训
无限极奖金制度 一.零售利润20 %零售利润指公司产品零售价与优惠价之间的价额。如:沐浴露: 38 (零售价)-30 (优惠价)=8 (零售利润)。 二.销售折让(2—10% ) 营业额1000 2000 4000 6000 10000 折让率2% 4% 6% 8% 10% 两个特点:两月累加,只升不降(也包括职称)备注:以小组业绩总额考核比率,以产品销售点数计算业绩(1 元=1 点) 计算方法:以小组业绩分别考核比率,按劳分配奖金例一:假设当月你自用无限极产品加上分享给亲友的产品达10000 元(点),即获得10% 的销售折让,10000*10%=1000 元。 例二:假设你自己试用无限极产品,从用产品的过程中证实效果确实挺好,向亲朋好友分享。你从原来不知道无限极制度,渐渐明白它的公平保障,继而去告诉别人,别人也和你一样从不了解到了解,经过你的举荐也成为业务员。假设你举荐了9 位,每个人和你一样分享及自用了1000 元产品。 当月的销售折扣计算如下: 10 人整组售货10000 元 整组折让:10000*10%=1000 元
“信息安全技术”第一章概述的课后作业 1、现代信息安全的内涵包括哪两个方面的内容? 答:现代信息安全的内涵包括面向数据的安全和面向用户的安全。 面向数据的安全,即对信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保护(即通常所说的CIA 三元组)。 面向用户的安全,即鉴别、授权、访问控制、抗否认性和可服务性,以及对于内容的个人隐私、知识产权等的保护。 2、ISO 所定义的5 种安全服务和8 种安全机制各是哪些? 答:ISO所定义的5种安全服务:认证,访问控制,数据保密性,数据完整性和不可否认。 ISO所定义的8种安全机制:加密机制,数字签名机制,访问控制机制,数据完整性机制,鉴别交换机制,业务填充机制,路由控制机制和公正机制。 3、计算机病毒的定义是什么?其触发条件主要有哪些? 答:计算机病毒的广义上的定义:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。 《中华人民共和国计算机信息系统安全保护条例》对计算机病毒的定义为:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。 计算机病毒的触发条件有:时间(特定日期或累计时间),击键次数或特定组合键,运行文件个数或感染文件的个数,启动次数,感染失败和CPU型号/主板型号等。 4、请列举计算机病毒的传播途径? 答:第一种,通过不可移动的计算机硬件设备进行传播;第二种,通过移动存储设备来传播;第三种,通过计算机网络进行传播;第四种,通过点对点通信系统
和无线通道(如手机)来传播。 5、黑客的主要攻击方法有哪些? 答:主要有: ①信息采集:主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。 ②漏洞利用:利用系统、协议或应用软件本身存在的安全缺陷进行的攻击。 ③资源控制:以获得目标系统控制权为目的的攻击。 ④信息欺骗:通过冒充合法网络主机(或用户)骗取信任或获取敏感信息,或者通过配置、设置一些假信息来实施欺骗攻击。 ⑤拒绝服务:通过强行占有信道资源、网络连接资源、存储空间资源和计算资源,使服务器崩溃或资源耗尽无法继续对外提供服务。 6、什么是安全策略?主要包含哪些方面的内容? 答:安全策略是指在特定环境里,为保证提供一定级别的安全保护所必须遵守的规则。是网络安全技术集成的基础。 主要包括: ①物理安全策略:保护计算机系统、网络服务器、打印机等硬件设备和通讯链路免受自然灾害、人为破坏和搭线攻击。 ②访问控制策略:保证网络资源不被非法使用和访问,网络信息安全的核心策略之一。 ③防火墙控制:控制进出双向通信,在网络边界通过监控机制来隔离内外网,从而抵御来自外部的攻击。 ④信息加密策略:保护网内的数据、文件、口令和控制信息,保护网上传输的数据。 ⑤网络安全管理策略:确定安全管理的等级和范围,制定有关网络使用规程和人员管理制度,制定网络系统的维护和应急措施等。 7、网络信息安全的基本特征包括哪几个方面?各是什么含义?