标准化与知识产权 - 软考备战（五十六）

标准化与知识产权

一、标准化基础与代号识别

1. 标准的四级金字塔

在我国，标准从上到下分为四层。

记住一个核心原则：下层标准的技术要求，不得低于上层标准。

（如果国标规定插头必须防火，你企业标准绝不能做个易燃的）。

国家标准（代号：GB）

全国范围内统一。比如软件工程的基础规范。

行业标准（代号：各种字母）

SJ：电子行业标准

YD：通信行业标准

J：机械行业标准

地方标准（代号：DB）

省、直辖市级别。

通常带区号，如 DB11 代表北京，DB44 代表广东。

企业标准（代号：Q）

企业内部自己定的。

效力冲突解决规则

当不同层级的标准发生冲突时，“有法依法，没法依行，没行依企”。

即：有国标依国标，没国标依行标，没行标依企标。

但注意前提：低层级标准的要求必须 >= 高层级标准。

2. 核心代号拆解：强制性 vs 推荐性

标准代号的通用格式

级别代号 [/T]  顺序号 [-发布年份]（例如 GB/T 8566-2001）

这里的 /T 是整个标准化模块考得最多的一个字母。

没有 /T = 强制性标准

必须严格执行，违反可能面临法律制裁。

主要涉及人身健康、生命财产安全（如食品安全、药品、电子产品安全规范）。

带有 /T = 推荐性标准

T 是“推”的拼音首字母。国家鼓励企业自愿采用，你可以用，也可以不用更高级的标准替代它。

在计算机软件领域，除了极少数涉及底层安全的规范外，95%以上的软件工程标准、文档标准，代号里全带 /T。

3. 关于汉字编码标准，下列说法正确

A. GB2312 是强制性国家标准

B. GBK 是强制性国家标准

C. GB18030 是强制性国家标准  ✅

D. Unicode 是强制性国家标准

在软件领域，绝大多数标准都带 /T，是推荐的。

但是，GB18030（信息技术 中文编码字符集）是一个绝对的例外！

它不带 /T，它是国家强制性标准！ 原因是它涉及中文在计算机中的底层互通，事关国家文化安全和信息流转底线，所以强制推行。

4. 年代号的“新陈代谢”

标准是会更新的。

比如 GB/T 8566-2001 替代了 GB/T 8566-1995。

遇到题目问规范内容，永远以最新年份的版本为准。

如果题目给你一个 2001 年的标准，它不包含 2002 年以后发布的修改单（除非题目特别说明包含了某年修改单）。

被替代的旧标准自动作废，不能在正式文件中继续引用旧标准号来作为合规依据。

二、软件工程核心标准

1. 过程标准：GB/T 8566

全称：《信息技术 软件生存周期过程》

国际对标

它等同采用了国际标准 ISO/IEC 12207。（做题看到 12207 就要想到 8566）。

核心作用

它不管用什么编程语言（Java还是C++），不管用什么开发模型（瀑布还是敏捷），它只规定了一个软件从无到有、再到废弃的整个生命周期中，到底应该包含哪些“基本活动”（比如管理过程、获取过程、供应过程、开发过程、维护过程等）。

它是软件工程的“宪法”，定流程的。

2. 文档标准：GB/T 8567

它规定了软件开发过程中应该产生哪些文档。

老版本（GB 8567-1988）

规定了软件开发过程中必须编制 14 种文档。

新版本（GB/T 8567-2006）

不再死板规定14种，而是把文档分成了三大类：

开发文档（技术向）；

管理文档（进度/成本向）；

产品文档（给用户看的向）。

做题时要注意看题干问的是老版的“14种”还是新版的“三大类”。

经典14种文档的“阶段归属”

千万别死记硬背名字列表，要按软件生命周期的阶段来记，这样做题能秒选：

第一阶段：可行性研究与计划

可行性研究报告

项目开发计划

第二阶段：需求分析

软件需求规格说明书（SRS，重中之重，测试用例的依据）

数据要求说明书（现在通常合并到SRS里了）

数据库设计说明书（有时候也放在这个阶段）

第三阶段：设计

概要设计说明书（HLD，也叫系统架构设计）

详细设计说明书（LLD，也叫模块内部设计）

第四阶段：实现（编码）

模块开发卷宗（记录每个模块的源代码清单、测试结果等，现在多用配置管理工具替代）

第五阶段：测试

测试计划（测试前写）

测试分析报告（测试后写）

第六阶段：交付与维护

用户手册（教最终用户怎么用软件）

操作手册（教系统管理员怎么装、怎么日常维护）

开发进度月报（项目管理用的）

项目开发总结报告（项目结项时复盘用的）

“需求” vs “设计”

题目说“描述系统要‘做什么’（功能需求）” ➡️ 选需求规格说明书；

题目说“描述系统‘怎么做’（类图、算法、表结构）” ➡️ 选设计说明书。

“用户手册” vs “操作手册”

一般两者差别不大，但“用户手册”侧重业务功能操作（如怎么下单），“操作手册”侧重系统级运维（如怎么备份数据库、怎么配置网络参数）。

3. 其他被合并/边缘化的标准

GB/T 12504

《计算机软件质量保证计划规范》。（规定怎么写 SQA 计划的）

GB/T 12505

《计算机软件配置管理计划规范》。

（规定怎么写 SCM 计划的，比如怎么管版本号、怎么发基线）

三、信息编码标准演进

1. 汉字编码的“容量扩容史”

早期的计算机是老外发明的，只认英文（ASCII码，1个字节）。

中国人要用，就必须搞自己的编码，随着时代发展，字不够用了，就一直扩容。

第一代：GB2312（1980年）

容量：

收录了 6763 个汉字（一级汉字3755个，二级汉字3008个）。

地位：

满足绝大多数日常汉字使用。

但缺点是：生僻字、人名（如“㼆”）、繁体字打不出来。

第二代：GBK（1995年）（K 代表“扩展”）

容量：收录了 21003 个汉字。

特点：

完全向下兼容 GB2312。

也就是说，用 GB2312 写的文档，用 GBK 打开绝对不乱码；

反之则会乱码。

Windows 中文版默认用的就是 GBK。

第三代：GB18030（2000年发布，最新版2022年）

容量：

收录了 70000+ 个字符，不仅包含所有汉字，还把我国少数民族文字（蒙、藏、维等）全部收进去了。

特点：

完全向下兼容 GBK 和 GB2312。它是目前国内最全面的中文字符集。

前面说过，软件标准大多带 /T（推荐）。

但 GB18030 是一个绝对的异类，它的代号是 GB 18030，没有 /T，它是国家强制性标准！只要是在中国境内销售的计算机系统，必须支持 GB18030。

2. 国际统一编码：Unicode 与 UTF

中国人搞国标，老外也在搞统一。

为了彻底解决全球各种语言乱码的问题，诞生了 Unicode。

Unicode（万国码/统一码）

它是一个“字符集”（相当于一本超大的世界字典）。

它给世界上所有的文字（包括emoji表情）都分配了一个唯一的数字编号（称为“码点”）。

对应的国际标准是 ISO 10646，两者在字形上是一一对应的。

UTF（Unicode Transformation Format，Unicode转换格式）

Unicode 只规定了“这个字对应的数字是几”，但没有规定这个数字在计算机内存或硬盘里怎么存（存成几个字节？大端还是小端？）。

负责规定“怎么存”的，就是 UTF。

UTF-8

目前互联网的绝对霸主。

它是一种“变长编码”，英文字母用1个字节存，汉字通常用3个字节存。

好处是极其节省网络带宽，且完全兼容纯英文的 ASCII 码。

UTF-16

大部分字符用2个字节存，极少生僻字用4个字节。

早期 Windows 系统内部常用，但现在也逐渐向 UTF-8 靠拢。

UTF-32

所有字符统统用4个字节存。

处理速度最快（不用算偏移量），但极其浪费空间，基本不用。

“解决了全球字符乱码问题” ➡️ 选 Unicode / ISO 10646。

“互联网网页最常用的编码方式/变长编码” ➡️ 选 UTF-8。

“与 ASCII 码完全兼容的中文编码扩展” ➡️ 选 UTF-8 或 GBK。

四、信息安全标准评估

1. 美国老标准：TCSEC

可信计算机系统评估准则。

因为最初出版时封面是橘色的，所以在业内赫赫有名，常被称为“橘皮书”。

分级逻辑（4类7级，从低到高）：

D 类（最小保护）

D1 级：没有任何安全防护。

比如早期的 DOS、Windows 95/98，谁坐到电脑前谁就是超级管理员。

C 类（自主保护 - Discretionary）

“自主”的意思是：资源所有者自己决定把权限给谁。

C1 级

初级的自主安全。

C2 级

受控的访问环境。

引入了“审计日志”的概念，能查出谁干了什么。

典型的代表系统就是传统的 Unix 和 Linux 系统！ （Unix 属于 TCSEC 的哪一级？答 C2）。

B 类（强制保护 - Mandatory）

“强制”的意思是：系统带着“安全标签”（如绝密、机密、秘密），不管你同不同意，系统强制按标签规则控制访问（常用于军方）。

B1 级

标签安全保护。

B2 级

结构化保护。

B3 级

安全域。

A 类（验证保护 - Verified）

A1 级：最高级。

不仅要有 B3 的所有功能，还必须有数学证明，从数学逻辑上证明这个系统是绝对安全的（现实中几乎做不到）。

2. 国际新标准：CC

信息技术安全评估通用准则。

TCSEC 退居历史后，现在全球通用的标准是 CC，对应国际标准编号 ISO/IEC 15408。

分级逻辑（EAL1 ~ EAL7）：

CC 不像 TCSEC 那样用字母分类，它直接用 EAL（评估保证级） 打分。

EAL1 到 EAL7，数字越大，安全等级越高，测试越严格，成本越高。

如果说“该系统要求最高级别的安全保证，通过 CC 认证”，选项里有 EAL7 就选 EAL7，不需要管它具体叫什么名字。

五、知名标准化机构

1. 传统“老牌三巨头”

ISO（国际标准化组织）

地位：最大的非政府性标准化专门机构，像“联合国”。

除了电工、电子以外的所有领域。

ISO 9001（质量管理体系）、ISO/IEC 12207（软件生命周期）。

IEC（国际电工委员会）

地位：专门管“电”的。硬件、电气设备、元器件。

现在 IT 行业软硬件不分家，所以 ISO 和 IEC 经常联合发布标准（你看到 ISO/IEC 开头的标准号，这是他俩合伙搞的，比如 ISO/IEC 12207）。

ITU（国际电信联盟）

地位：专门管“通信”的。联合国下属机构。

制定全球电信网络标准（比如以前的电话网、现在的 5G 标准）。★★看到以 X. 开头的协议（如 X.25 分组交换网）或 H. 开头的协议（如 H.264 视频编码），就是 ITU 搞的。

2. 互联网“新贵双雄”

IETF（互联网工程任务组）

地位：互联网协议事实上的霸主。它是一个松散的民间技术大牛联盟，不开会，全靠邮件列表讨论，但全世界的路由器、操作系统都得听它的。

TCP/IP 协议族（如 IP、TCP、UDP、HTTP、SMTP、DNS）的标准是谁定的？毫不犹豫选 IETF！

IETF 发布的标准不叫 ISO 也不叫 GB，叫 RFC（请求意见稿）。

看到 RFC XXXX，就是 IETF 的杰作。

W3C（万维网联盟）

地位：只管“网页”这一亩三分地。创始人是“万维网之父”蒂姆·伯纳斯·李。

HTML、XML、CSS 这些网页标记语言的标准是谁定的？毫不犹豫选 W3C！

3. 其他补充机构

IEEE（电气与电子工程师协会）

学术组织极强。

制定了底层局域网/广域网的 802 系列标准（如 IEEE 802.3 是以太网，IEEE 802.11 是 WiFi）。

ANSI（美国国家标准学会）

美国的国家标准“总代理”。（ASCII 码就是它定的）。

SAC（国家标准化管理委员会）

中国的“国家标准局”，中国的 GB 标准都是它批的。

问 TCP/IP 协议 ➡️ IETF (看 RFC 文档)

问 网页制作标准(HTML) ➡️ W3C

问 局域网底层(802.3/WiFi) ➡️ IEEE

问 通信电话/视频编码 ➡️ ITU

六、软件知识产权

1. 著作权（版权）

计算机软件在法律上默认视为“文字作品”，受《著作权法》保护，不需要像专利那样去申请，写完就自动拥有（虽然可以去登记，但登记只是为了打官司时有个证据，不登记也有著作权）。

霸王条款一：委托开发的归属

场景：甲方花钱雇乙方写软件。

规定：著作权归属看合同。

坑点：如果合同里没写清楚归谁，或者根本没签合同，著作权默认归“受托方”（也就是写代码的乙方/开发者）！甲方花了钱，如果不写进合同，拿到的只是使用权，不是著作权！

霸王条款二：职务开发的归属

场景：张三在A公司上班，用公司的电脑，领公司的工资，写了段代码。

规定：著作权完全归 A 公司（单位）所有。

单位虽然拿走所有权利，但张三作为开发者，永远拥有署名权（也就是软件说明书上可以写“开发人：张三”），这个权利单位不能剥夺。

霸王条款三：合作开发的归属

场景：两人合写一个软件。

规定：著作权共享。

如果要卖或者发表，必须双方同意；

如果一方不同意，另一方不能硬卖。

如果一方死活联系不上，且没有正当理由，另一方可以转让，但收益要分给失踪者。

霸王条款四：保护期限（两类截然不同）

公民个人开发的软件

保护期为作者终生 + 死后 50 年（截止到第50年的12月31日）。

单位（企业/机构）开发的软件

保护期为 50 年（从软件首次发表之日算起，如果写完50年都没发表，就不保护了）。

2. 专利权

专利权保护的是“发明创造”，它的保护力度比著作权大得多

（别人就算自己独立想出来的，只要和你专利一样，就算侵权）。但代价是门槛极高。

专利的三种类型：

发明专利

门槛最高，保护前所未有的技术方案（比如一种新的压缩算法）。

保护期 20年。

实用新型专利

门槛中等，保护产品的形状/构造（比如一种新型折叠手机铰链）。

保护期 10年。

外观设计专利

门槛最低，保护好看的外观（比如APP的图标UI设计、饮料瓶形状）。

保护期 15年（注：2020年新专利法从10年改成了15年，做题以15年为准）。

软件能申请专利吗？

规定：纯粹的软件算法、数学公式、游戏规则、商业方法，绝对不能申请专利！

变通：如果软件和硬件结合，形成了一个“技术方案”（比如：一种基于某软件算法的智能心脏起搏器），那么这个“软硬件结合的整体”可以申请发明专利。但纯软件不行！！

3. 商标权与商业秘密（

商标权：保护品牌名字/Logo。

必须去国家商标局主动注册才有效（谁先申请归谁，不看谁先用）。

保护期 10年，但可以无限次续展（所以理论上商标可以永久属于你）。

商业秘密：不公开的技术或信息

（比如可口可乐的配方、腾讯的底层源码核心部分）。

构成三要件

秘密性（没公开）

实用性（能带来经济利益）

保密措施（签了保密协议、上了密码锁）

优势

不用申请，没有期限限制（只要不泄露，永远受保护）。

缺点是一旦被反向工程破解或者泄露，权利就没了。

4.对比

“保护门槛最低的知识产权是？” ➡️ 著作权。

“不需要经过国家行政部门审批就能获得的是？” ➡️ 著作权 / 商业秘密。

“保护期限可以无限延长的是？” ➡️ 商标权 / 商业秘密。