网络安全是网络系统的硬件，软件以及系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏，更改，泄露，系统能连续，可靠和正常的运行，网络服务不中断。

保证安全性的所有机制包括以下两部分：

1 对被传送的信息进行与安全相关的转换。

2 两个主体共享不希望对手得知的保密信息。

安全威胁是某个人，物，事或概念对某个资源的机密性，完整性，可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。

安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。

中断是系统资源遭到破坏或变的不能使用。这是对可用性的攻击。

截取是未授权的实体得到了资源的访问权。这是对保密性的攻击。

修改是未授权的实体不仅得到了访问权，而且还篡改了资源。这是对完整性的攻击。

捏造是未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。

被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有：泄露信息内容和通信量分析等。

主动攻击涉及修改数据流或创建错误的数据流，它包括假冒，重放，修改信息和拒绝服务等。

假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放涉及被动捕获数据单元以及后来的重新发送，以产生未经授权的效果。

修改消息意味着改变了真实消息的部分内容，或将消息延迟或重新排序，导致未授权的操作。

拒绝服务的禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断，这可以通过使网络失效而实现，或通过消息过载使网络性能降低。

防止主动攻击的做法是对攻击进行检测，并从它引起的中断或延迟中恢复过来。

从网络高层协议角度看，攻击方法可以概括为：服务攻击与非服务攻击。

服务攻击是针对某种特定网络服务的攻击。

非服务攻击不针对某项具体应用服务，而是基于网络层等低层协议进行的。

非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的，是一种更有效的攻击手段。

网络安全的基本目标是实现信息的机密性，完整性，可用性和合法性。

主要的可实现威胁：

3 渗入威胁：假冒，旁路控制，授权侵犯。

4 植入威胁：特洛伊木马，陷门。

病毒是能够通过修改其他程序而感染它们的一种程序，修改后的程序里面包含了病毒程序的一个副本，这样它们就能继续感染其他程序。

网络反病毒技术包括预防病毒，检测病毒和消毒三种技术。

1 预防病毒技术。

它通过自身长驻系统内存，优先获得系统的控制权，监视和判断系统中是或有病毒存在，进而阻止计算机病毒进入计算机系统对系统进行破坏。这类技术有：加密可执行程序，引导区保护，系统监控与读写控制。

2．检测病毒技术。

通过对计算机病毒的特征来进行判断的技术。如自身效验，关键字，文件长度的变化等。

3．消毒技术。

通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原元件的软件。

网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和检测，在工作站上用防病毒芯片和对网络目录以及文件设置访问权限等。

网络信息系统安全管理三个原则：

1 多人负责原则。

2 任期有限原则。

3 职责分离原则。

保密学是研究密码系统或通信安全的科学，它包含两个分支：密码学和密码分析学。

需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫做加密。加密的逆过程叫组解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密钥控制下进行的，加密算法所采用的密钥成为加密密钥，解密算法所使用的密钥叫做解密密钥。

密码系统通常从3个独立的方面进行分类：

1 按将明文转化为密文的操作类型分为：置换密码和易位密码。

　　所有加密算法都是建立在两个通用原则之上：置换和易位。

2 按明文的处理方法可分为：分组密码（块密码）和序列密码（流密码）。

3 按密钥的使用个数分为：对称密码体制和非对称密码体制。

如果发送方使用的加密密钥和接受方使用的解密密钥相同，或从其中一个密钥易于的出另一个密钥，这样的系统叫做对称的，但密钥或常规加密系统。如果发送放使用的加密密钥和接受方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统就叫做不对称的，双密钥或公钥加密系统。

分组密码的加密方式是首先将明文序列以固定长度进行分组，每一组明文用相同的密钥和加密函数进行运算。

分组密码设计的核心上构造既具有可逆性又有很强的线性的算法。

序列密码的加密过程是将报文，话音，图象，数据等原始信息转化成明文数据序列，然后将它同密钥序列进行异或运算。生成密文序列发送给接受者。

数据加密技术可以分为3类：对称型加密，不对称型加密和不可逆加密。

对称加密使用单个密钥对数据进行加密或解密。

不对称加密算法也称为公开加密算法，其特点是有两个密钥，只有两者搭配使用才能完成加密和解密的全过程。

不对称加密的另一用法称为“数字签名”，既数据源使用其私有密钥对数据的效验和或其他与数据内容有关的变量进行加密，而数据接受方则用相应的公用密钥解读“数字签名”，并将解读结果用于对数据完整性的检验。

不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。

加密技术应用于网络安全通常有两种形式，既面向网络和面向应用程序服务。

面向网络服务的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送，认证网络路由及其其他网络协议所需的信息，从而保证网络的连通性和可用性不受侵害。

面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。

从通信网络的传输方面，数据加密技术可以分为3类：链路加密方式，节点到节点方式和端到端方式。

链路加密方式是一般网络通信安全主要采用的方式。

节点到节点加密方式是为了解决在节点中数据是明文的缺点，在中间节点里装有加，解密的保护装置，由这个装置来完成一个密钥向另一个密钥的变换。

在端到端机密方式中，由发送方加密的数据在没有到达最终目的节点之前是不被解密的。

试图发现明文或密钥的过程叫做密码分析。

算法实际进行的置换和转换由保密密钥决定。

密文由保密密钥和明文决定。

对称加密有两个安全要求：

1 需要强大的加密算法。

2 发送方和接受方必须用安全的方式来获得保密密钥的副本。

常规机密的安全性取决于密钥的保密性，而不是算法的保密性。

IDEA算法被认为是当今最好最安全的分组密码算法。

公开密钥加密又叫做非对称加密。

公钥密码体制有两个基本的模型，一种是加密模型，一种是认证模型。

通常公钥加密时候使用一个密钥，在解密时使用不同但相关的密钥。

常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。

RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。

密钥的生存周期是指授权使用该密钥的周期。

在实际中，存储密钥最安全的方法就是将其放在物理上安全的地方。

密钥登记包括将产生的密钥与特定的应用绑定在一起。

密钥管理的重要内容就是解决密钥的分发问题。

密钥销毁包括清除一个密钥的所有踪迹。

密钥分发技术是将密钥发送到数据交换的两方，而其他人无法看到的地方。

数字证书是一条数字签名的消息，它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构，具有一种公共的格式，它将某一个成员的识别符和一个公钥值绑定在一起。人们采用数字证书来分发公钥。

序列号：由证书颁发者分配的本证书的唯一标示符。

认证是防止主动攻击的重要技术，它对于开放环境中的各种信息系统的安全有重要作用。

认证是验证一个最终用户或设备的声明身份的过程。

主要目的为：

4 验证信息的发送者是真正的，而不是冒充的，这称为信源识别。

5 验证信息的完整性，保证信息在传送过程中未被窜改，重放或延迟等。

认证过程通常涉及加密和密钥交换。

帐户名和口令认证方式是最常用的一种认证方式。

授权是把访问权授予某一个用户，用户组或指定系统的过程。

访问控制是限制系统中的信息只能流到网络中的授权个人或系统。

有关认证使用的技术主要有：消息认证，身份认证和数字签名。

消息认证的内容包括为：

1 证实消息的信源和信宿。

2 消息内容是或曾受到偶然或有意的篡改。

3 消息的序号和时间性。

消息认证的一般方法为：产生一个附件。

身份认证大致分为3类：

1 个人知道的某种事物。

2 个人持证

3 个人特征。

口令或个人识别码机制是被广泛研究和使用的一种身份验证方法，也是最实用的认证系统所依赖的一种机制。

为了使口令更加安全，可以通过加密口令或修改加密方法来提供更强健的方法，这就是一次性口令方案，常见的有S/KEY和令牌口令认证方案。

持证为个人持有物。

数字签名的两种格式：

2 经过密码变换的被签名信息整体。

3 附加在被签消息之后或某个特定位置上的一段签名图样。

对与一个连接来说，维持认证的唯一办法是同时使用连接完整性服务。

防火墙总体上分为包过滤，应用级网关和代理服务等几大类型。

数据包过滤技术是在网络层对数据包进行选择。

应用级网关是在网络应用层上建立协议过滤和转发功能。

代理服务也称链路级网关或TCP通道，也有人将它归