网络安全：网络安全硬件、网络安全软件、网络安全服务。

网络协议：为网络数据交换而建立的规则、标准或者约定。

它的三要素为语法、语义、同步。

语法：数据与控制信息的结构或格式。

语义需要发出何种控制信息、完成何种协议以及做出何种作答。

同步：事件实现顺序的详细说明。

网络体系结构：计算机网络的各层协议的集合。

OSI参考模型的分层原则：根据功能的需要分层；每一层应当实现一个定义明确的功能；每一层功能的选择应当有利于制定国际标准化协议；各层界面的选择应当尽量减少通过接口的信息量;层数应该足够多，以避免不同功能混扎在同一层中，但也不能过多，否则体系结构会过于庞大。

TCP—IP协议：是事实上的网络标准，由低到高分为网络接口层、网络层、传输层、应用层。

网络接口层：该层中的协议提供了一种数据传送的方法，使得系统可以通过直接的物理连接的网络，将数据传送到其他设备，并定义了如何利用网络来传送IP数据报。

网络层协议：网络层协议IP是TCP-IP的核心协议，IP 可提供基本的分组传输服务。

网络层还有地址转换协议（ARP）和网间控制报文协议（ICMP）。

还提供了虚拟专用网（VPN）。

传输层协议：有传输控制协议（TCP）和用户数据报协议（UDP）。

还提供了安全套接字服务（SSL）。

应用层协议：网络终端协议（Telnet）、文件传输协议（FTP）、简单邮件传输协议（SMTP）、邮件接收协议（POP）、超文本传输协议（HTTP）、域名服务（DNS）。

系统安全结构：物理层（防止物理通路的损坏、窃听、攻击）、数据链路层（保证网络链路传送的数据不被窃听）、网络层（保证网络路由正确，避免被拦截和监听）、操作系统（保证客户资料、操作系统访问控制的安全）、应用平台（利用SSL），应用系统（使用应用平台提供的安全服务来保证基本安全）。

网络层的安全性：一般使用IP封装技术（其本质是纯文本的包被加密，封装在外层的IP报头里。

用来对加密的包进行因特网上的路由选择，到达另一端时，外层的IP 头被拆开，报文被解密，然后送到收报地点），相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。

传输层安全性：安全套接层协议（SSL），此协议包括SSL 记录协议和SSL握手协议。

前者涉及应用程序提供的信息的分段、压缩、数据认证和加密。

后者用来交换版本号、加密算法、身份认证并交换密钥。

应用层的安全性：它实际上是最灵活的处理单个文件安全性的手段。

目前都是用PKI（公钥基础结构），此结构包括3个层次：顶层为网络层安全政策登记结构IPRA、第2层为安全政策证书颁发机构PCA、底层为证书颁发机构CA。

局域网的安全：局域网基本上都采用以广播为技术基础的以太网。

它的安全分为网络分段、以交换式集线器代替共享式集线器（可防止网络监听）、虚拟专网。

网络分段：物理分段（是指将网络从物理层和数据链路层上分为若干网段）和逻辑分段(在网络层上进行分段)。

虚拟专网VPN：以局域网交换技术（A TM和以太网交换）为基础的面向连接的技术，它的核心技术是采用隧道技术（将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃）。

广域网的安全：加密技术（通过对网络数据的加密来保障网络的安全）、VPN技术、身份认证技术（对拨号用户的身份进行验证并记录完备的登陆日志）。

网络安全的威胁：安全漏洞（是指资源容易遭受攻击的位置）、乘虚攻击（通过利用环境中的安全漏洞访问到计算机中的资源产生）。

19．乘虚攻击的方法：利用技术漏洞型攻击（强力攻击、缓冲区溢出、错误配置、重放攻击、会话劫持）；信息收集；拒绝服务（物理损坏、资源删除、资源修改、资源饱和）20．网络系统的安全体系：访问控制、检查安全漏洞、攻击监控、加密通信、备份和恢复、多层防御、隐藏内部信息、设立安全监控信息。

21．网络安全的主要攻击形式：信息收集（防范信息收集的关键技术就是限制外部对资源进行未经授权的访问）、利用技术漏洞型攻击、会话劫持、防止DNS毒化、URL字符串攻击、攻击安全账户管理器、文件缓冲区溢出、拒绝服务、攻击后门攻击、恶意代码。

22．网络安全的关键技术：防电磁辐射（分为对传导发射的防护和对辐射的防护）、访问控制技术、安全鉴别技术（a. 网络设备的鉴别，基于VPN设备和IP加密机的鉴别；b. 应用程序中的个人身份鉴别；c. 远程拨号访问中心加密设备（线路密码机）与远程加密设备（线路密码机）的鉴别；d. 密码设备对用户的鉴别）、权限控制（操作系统、数据库的访问、密码设备管理、应用业务软件操作的权限控制）、通信保密（a. 中心网络中采用IP加密机进行加密；b. 远程拨号网络中采用数据密码机进行线路加密）、数据完整性、实现身份鉴别（可利用：a. 数字签名机制；b. 消息鉴别码；c. 校验等；d. 口令字；e. 智能卡; f.身份验证服务：Kerberos和X.509目录身份验证）、安全审计、病毒防范及系统安全备份，加密方法、网络的入侵检测和漏洞扫描、应用系统安全、文件传送安全、邮件安全。

23．保证网络安全的措施：防火墙、身份认证（主要包括验证依据、验证系统和安全要求）、加密（数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种）、数字签名（密文和用来解码的密钥一起发送，而该密钥本身又被加密，还需要另一个密钥来解码）、内容检查、存取控制、安全协议（加密协议，身份验证协议，密钥管理协议，数据验证协议，安全审计协议，防护协议）、智能卡技术。

网络的安全策略：它是纵深防御策略，包括物理安全、数据防御、应用程序防御、主机防御、网络防御、周边防御。

网络攻击常用工具：任何攻击都需要进行嗅探或端口扫描。

网络嗅探的常用工具为Ethereal（它是开放源代码的软件，免费的网络协议程序，支持UNIX、Windows）、端口扫描是主动的，常用攻击是nmap（它基于Linus和UNIX）。

1、信息安全性表现在以下的四个特性：保密性、完整性、可用性、可控性2、一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法3、密码算法主要分为3类：对称密钥算法、公钥加密算法（非对称加密）、单项函数算法。

4、对称密钥算法：这种技术使用单一的密钥加密信息，加密和解密共用一把密钥。

5、公钥加密算法（非对称加密）：这种技术使用两个密钥，一个公钥用于加密信息，一个私钥用于解密信息。

这两把密钥之间具有数学关系，所以用一个密钥加密过的资料只能用相应的另一个密钥来解密。

6、单项函数算法：这个函数对信息加密产生原始信息的一个“签名”，即数字签名，该签名被在以后证明它的权威性。

7、DES算法：它是最著名的对称密钥加密算法。

DES使用56位密钥和64位的数据块进行加密，并对64位数据块进行16轮编码。

在每轮编码时，一个48位的“每轮”密钥值由56位的完整密钥的出来。

8、三重DES算法：这种方法用两个密钥对明文进行了3次加密，但不是加密了3次，而是加密、解密、加密的过程。

用密钥1进行DES加密，用密钥2对步骤1的结果进行DES解密，对步骤2的结果使用密钥1进行DES加密。

9、RSA算法：是非对称加密算法，RSA是用两个密钥，用公钥加密，私钥解密。

加密时吧明文分成块，块的大小可变，但不能超过密钥的长度。

密钥越长，加密效果越好，加密解密的开销也大，一般64位较合适。

RSA比较知名的应用是SSL。

10、公共密钥算法的2种用途：数据加密和身份认证。

11、数据加密：发送者用接收者的公钥对要发送的数据加密，接收者用自己的私钥对接收到的数据解密。

第三者由于不知道接收者的私钥而无法破译该数据。

12、身份认证：发送者可以用自己的私钥对要发送的数据加上“数字签名”，接收者可以通过验证“数字签名”来确定数据的来源。

13、DES和RSA算法的比较：一是在加密解密的处理效率方面，DES优于RSA；二是理方面，RSA比DES更优越;；三是在安全性方面，两者都较好；四是在签名和认证方面，RSA算法更容易。

总之，DES加密解密速度快，适用用于数据量大、需要在网上传播的信息。

RSA算法于数据量小但非常重要的数据，以及数字签名和DES算法的密钥。

14、认证机构CA：它是证书的签发机构。

他的职责是验证并标识申请者的身份；确保CA用于签名证书的非对称密钥的质量；确保整个签名过程的安全，确保签名私钥的安全性；管理证书材料信息；确定并检查证书的有效期限；确保证书主题标识的唯一性，防止重名；发布并维护作废证书表；对整个证书签发过程做日志记录及向申请人发通知等。

CA也拥有一个证书，也有剖自己的私钥，所以也有签字能力。

15、认证中心：是一个负责发放和管理数字证书的权威机构。

16. 通用的加密标准分为：对称加密算法、非对称加密算法、散列算法。

对称加密算法：DES、Triple-DES、RC2、RC4、CAST。

非对称加密算法：RSA、DSA、Diffie-Hellman。

散列算法：SHA-1、MD5。

17、数字证书：是一种能在完全开放系统中使用的证书（例如互联网络），它的用户群绝不是几个人互相信任的小集体。

在这个用户群中，从法律度讲彼此之间都不能轻易信任。

所以公钥加密体系采用了将公钥和公钥主人的名字联系在一起，再请一个大家都信任的权威机构确认，并加上全球为机构的签名，就形成了证书。

18、通用的证书标准是X.509，目录服务标准X.500及LDAP19、数字签名：私钥拥有者用私钥加密数据，任何拥有公钥的人都能解除开。

信息发送者用其私钥对从所传报文中提取的特征数据或称数字指纹进行RSA算法解密运算操作得到发电者对数字指纹的签名函数H（m）。

数字签名具有不可抵赖性和完整性。

20、数字证书应具备的信息：版本号、序列号、签名算法、发出该证书的认证机构、有效期限、主题信息、公钥信息、认证机构的数字签名。

21、证书的管理功能：用户能方便地查找各种证书及已经撤销的证书，能根据用户请求或其它相关信息撤销用户的证书，能根据证书的有效期限自动地撤销证书，能完成证书数据库的备份工作22、认证机构发放的证书主要应用有：使用S/MIME协议实现安全的电子邮件系统；使用SSL协议实现浏览器与Web服务器之间的安全通信；使用SET协议实现信用卡网上安全支付23、智能卡：是当前国际上公认的商业网络安全通信中最好的用户端解决方案，它的外形与普通信用卡相同，内部有微处理器（CPU）和可重写存储单元（EEPROM），并有文件管理系统和保护算法不怀还以的人获得智能卡必须还要得到卡的密码PIN，否则几次输入不成功，卡会被锁定。

24、使用智能卡的优点：可把用户重要信息安全存在卡中；加密处理可在卡内完成、每张卡存放的内容都是独立的、不可代替的；便于携带。

第三章Windows 2000操作系统的安全管理1、Windows 2000的安全特性主要体现在：对Internet上的新型服务的支持、便于安全性框架、实现对WindowsNT4.0的网络支持。