网络安全重点总结
计算机网络安全定义
保护网路系统中的软件硬件以及信息资源，使之免遭受到偶然或恶意的破坏、篡改和泄露。

保证网络系统正常运行、服务不中断。

网络实体的安全性即网络设备及其设备上运行的网络软件的安全性使得网络设备能够正常提供网络服务。

网络系统的安全性网络系统的安全性即网络存储的安全性和网络传输的安全性。

存储安全是指信息在网络节点上静态存放状态下的安全性。

传输安全是指信息在网络中动态传输过程中的安全性。

计算机网络安全一般目标（信息安全基本要素）完整性：指信息在存储或传输过程
中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。

对信息安全发动攻击主要是为了破坏信息的完整性。

可用性：指信息可被合法用户访问并按要求顺序使用的特性，即指当需要时可以使用所需信息。

对可用性的攻击就是阻断信息的可用性。

机密性：指信息不泄露给未经授权的个人和实体，或被未经授权的个人和实体利用
5
6
储威胁是指信息在网络结点上静态存放状态下受到的威胁，主要是网络内部或外部对信息的非法访问。

网络传输威胁是指信息在动态传输过程中受到的威胁。

截获：攻击者从网络上窃听他人的通信内容。

中断：攻击者有意中断他人在网络上的通信。

篡改：攻击者故意篡改网络上传送的报文。

伪造：攻击者伪造信息在网络上传送
恶意程序威胁
计算机病毒，计算机蠕虫，特洛伊木马，逻辑炸弹
7、影响网络安全的因素
自然因素自然灾害的影响；环境的影响；辅助保障系统的影响
技术因素网络硬件存在安全方面的缺陷；网络软件存在的安全漏洞；系统配置不当
8
P2DR
PDRR
安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。

安全策略从本质上说是描述组织具有哪些重要的信息资产，并说明如何对这些资产进行保护的一个计划
制定安全策略目的
制定安全策略的目的是对组织成员阐明如何使用系统资源，如何处理敏感信息，如
何采用安全技术产品，用户应该具有什么样的安全意识，掌握什么样的技能要求，承担什么样的责任等。

安全策略制定的原则
目的性原则安全策略是为组织完成自己的信息安全使命而制定的，策略应该反映组织的整体利益和可持续发展的要求。

核。

可信计算机系统评估准则
《可信计算机系统评估准则》分成D，C，B和A四类：D级：最小保护；C级:自主保护；C1级：自主型安全保护；C2级：可控访问保护；B级:强制安全保护；B1级：标记安全保护；B2级：结构化保护；B3级：安全域；A级：验证设计；A1：经过验证的设计A2：A1级以外的系统。

最低商用操作系统是C2.
安全评估的国内通用准则
国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础。

此标准将信息系统分成5个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。

根据
交流工作接地，接地电阻不应大于45Ω。

安全工作接地，接地电阻不应大于45Ω。

直流工作接地，接地电阻不应大于10Ω。

防雷接地，应按现行国家标准《建筑防雷设计规范》执行。

通常采用的接地体有地桩、水平栅网、金属接地板、建筑物基础钢筋等。

产生静电的原因
部分机房内铺设的地毯是产生静电的根源，其最易产生静电积累。

工作人员穿着的化纤类衣物，也是静电产生的原因。

静电的产生也与气候有关，比如冬季气候干燥，气温低，空气能累积大量电荷，因此静电产生与释放在冬天更明显。

静电的防范措施：@保证计算机的外壳接触良好，一些电路板不使用时应包装在传导
当加湿@
紧急情况下供电UPS：正常供电时，UPS可使交流电源整流并不间断地使电池充电。

在断电时，由电池组通过逆变器向机房设备提供交流电。

从而有效地保护系统及数据。

在特别重要的场合，应考虑此种措施。

应急电源：主要通过汽油机或柴油机带动发电机，在断电时启动，为系统提供较长时间的紧急供电。

安全管理的定义
安全管理是通过维护数据的保密性、完整性和可用性等来管理和保护信息资产的一项体制，是对网络安全进行指导、规范和管理的一系列活动和过程。

安全管理原则
（1
（2
（3
传输层安全通信协议：SSL/TSL协议簇
应用层安全通信协议：电子邮件安全协议；SET协议；SNMP协议；S-HTTP协议;PGP;PEM;KERBEROS;SSH.
PPP协议是“点对点”协议，PPP的建链过程主要包括3个阶段：链路层协商阶段（LCP）；认证阶段(AP)，包括口令验证协议（PAP）和挑战握手验证协议（CHAP）；
网络层协商阶段（NCP）.特点：(1)快，没有流量控制和差错控制（2）安全，支持身份验证。

PPTP为“点到点隧道协议”，使用一种增强的GRE封装机制使PPP数据包按隧道方式穿越IP网络，并对传送的PPP数据流进行流量控制和拥塞控制。

PPTP具有两种不同的工作模式：被动模式和主动模式
L2TP
（1）
（2
包进行L2TP
IPSec
IPSec包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的安全保护机制；密钥协商部分定义了如何为安全协议协商保护参数以及如何对通信实体的身份进行鉴别。

IPSec安全协议部分给出了封装安全载荷ESP和鉴别头AH两种通信保护机制。

其中ESP机制为通信提供机密性和完整性保护，AH机制为通信提供完整性保护。

安全关联SA是构成IPSec的基础，安全策略SP是IPSec结构中非常重要的组
件。

IPSec中的主要协议
AH协议为IP报文提供数据完整性、数据源验证以及可选择的抗重放攻击保护，但不提供数据加密服务。

AH封装划分为两种模式：传输模式和隧道模式
ESP
SSL
SSL
PGP
PGP
进行签名，以保证邮件体无法修改，使用对称和非对称密码相结合的技术保证邮件体保密且不可否认。

SET协议
SET协议是一种电子商务协议，它被设计为开放的电子交易信息加密和安全的规范，可为Internet公网上的电子交易提供整套安全解决方案：确保交易信息的保密性和
完整性；确保交易参与方身份的合法性；确保交易的不可抵赖性。

SET本身不是一个支付系统，它是一个安全协议和格式规范的集合。

SET提供了三种服务
在参与交易的各方之间建立安全的通信信道。

通过使用符合X.509规定的数字证书来提供身份认证和信任。

SET
SNMPv1
1）对称密码体制（双方密钥相同）和非对称密码体制（密钥不同）
2）序列密码体制和分组密码体制
公钥密码体制
所谓公钥密钥密码技术就是加密和解密使用不同的密钥的密码技术，又称为非对称
密钥密码技术。

它使用一对密钥，一个归发送者，一个归接收者。

密钥对中的一个是公开密钥(可以让所有通信的人知道)，简称公钥，用于加密；另一个必须保持秘密状态，是私人密钥(一个专门为自己使用的密钥)，用于解密，简称私钥。

三种工作模式
通讯双方先交换公钥，（1）加密：用对方公钥加密，接收方用私钥解密。

（2）验证：
（3
攻击。

放、注销及验证。

数字证书既能分配公钥，又实现了身份认证。

认证协议基本技术
1.挑战-应答机制，
2.时戳/序列号机制，
3.Diffie-Hellman密钥协商
4.基于口令的认证
数字签名：只有信息发送者才能产生的别人无法伪造的一段数据串。

也称电子签名，
是公钥密码系统的一种重要应用方式。

特点(1)签名是可信的。

(2)签名不可伪造。

(3)签名不可重用。

(4)被签名的文件是不可改变的。

(5)签名是不可抵赖的。