第一篇：網(wǎng)絡(luò)安全總結(jié)（最終版）

第一章 網(wǎng)絡(luò)安全基礎(chǔ) ●信息安全的四個屬性

保密性（Confidentiality）：確保信息不被泄露或呈現(xiàn)給非授權(quán)的人。

完整性（Integrity）：確保數(shù)據(jù)的一致性；特別要防止未經(jīng)授權(quán)生成、修改或毀壞數(shù)據(jù)。

可用性（Availability）：確保合法用戶不會無緣無故地被拒絕訪問信息或資源。

合法使用（Legitimate Use）：確保資源不被非授權(quán)的人或以非授權(quán)的方式使用

●基本威脅

信息泄露：信息被泄露或透露給某個非授權(quán)的人或?qū)嶓w。這種成脅來自諸如竊聽、搭線或其他更加錯綜復(fù)雜的信息探測攻擊。

完整性破壞：數(shù)據(jù)的一致性通過非授權(quán)的增刪、修改或破壞而受到損壞。

拒絕服務(wù)：對信息或資源的訪問被無條件地阻止。這可能由以下攻擊所致：攻擊者通過對系統(tǒng)進(jìn)行非法的、根本無法成功的訪問嘗試使系統(tǒng)產(chǎn)生過量的負(fù)荷，從而導(dǎo)致系統(tǒng)的資源在合法用戶看來是不可使用的。拒絕服務(wù)也可能是因?yàn)橄到y(tǒng)在物理上，或邏輯上受到破壞而中斷服務(wù)。

非法使用：某一資源被某個非授權(quán)的人或以某種非授權(quán)的方式使用。例如，侵入某個計(jì)算機(jī)系統(tǒng)的攻擊者會利用此系統(tǒng)作為盜用電信服務(wù)的基點(diǎn)，或者作為侵入其他系統(tǒng)的“橋頭堡”

●安全防護(hù)措施的分類

物理安全：防火、防盜

人員安全：安全性培訓(xùn)、職責(zé)劃分 管理安全：有章可循

媒體安全：可控（銷毀、報道）輻射安全：二次發(fā)射 生命周期控制

●網(wǎng)絡(luò)安全策略

安全策略是指在某個安全域內(nèi)，施加給所有與安全活動相關(guān)活動的一套規(guī)則。分成三個等級：

安全策略目標(biāo)：訴求 憲法

機(jī)構(gòu)安全策略：大范圍

法律

系統(tǒng)安全策略：小范圍 規(guī)章

●安全攻擊的分類

被動攻擊（Passive attack）：試圖獲得或利用系統(tǒng)的信息，但不會對系統(tǒng)的資源造成破壞。（竊聽攻擊、流量分析------加密即可防止）主動攻擊（Active attack）：試圖破壞系統(tǒng)的資源，影響系統(tǒng)的正常工作 偽裝攻擊：某個實(shí)體假裝成其他實(shí)體，對目標(biāo)發(fā)起攻擊

重放攻擊：攻擊者為了達(dá)到某種目的，將獲得的信息再次發(fā)送，以在非授權(quán)的情況下進(jìn)行傳輸。

消息篡改：攻擊者對所獲得的合法消息中的一部分進(jìn)行修改或延遲消息的傳輸，以達(dá)到其非授權(quán)的目的。

拒絕服務(wù)：阻止人們正常使用網(wǎng)絡(luò)?！衲芊直嬉恍┚W(wǎng)絡(luò)攻擊

口令竊?。?/p>

口令登錄、口令猜測（利用已知或假定的口令嘗試；根據(jù)竊取的口令文件進(jìn)行猜測；竊取某次合法終端之間的會話。）、壞口令。（One time password 一次一密策略）欺騙攻擊：郵件、音頻、視頻 缺陷和后門攻擊

緩沖器溢出：堆棧粉碎

缺陷（Flaws）

Morris：

因而需要確保正確性： 編寫軟件時：內(nèi)存分配 輸入時：編譯工具 最小特權(quán)原則 認(rèn)證失效

是許多攻擊的根源、密碼鎖的作用 源地址有效性驗(yàn)證：重發(fā)請求 協(xié)議缺陷

現(xiàn)有Internet的限制——TCP三次握手 密碼學(xué)協(xié)議Sha1,DES WEP 與EAP 信息泄露 Finger 電話號碼

DNS：網(wǎng)絡(luò)拓?fù)?/p>

拒絕服務(wù)（過度使用服務(wù)，使軟硬件過度運(yùn)行）Ping of Death：ICMP包 Teardrop：IP碎片偏移重疊

UDP泛洪：chargen服務(wù)—echo服務(wù) SYN泛洪：

Land攻擊：源地址目的地址指向同一個位置 DOS：RST位

DDoS：分布式拒絕服務(wù) 指數(shù)攻擊---病毒和蠕蟲

●X.800的5類安全服務(wù)

認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性

●網(wǎng)絡(luò)安全模型通常由6部分組成：消息的發(fā)送方（信源）、消息的接收方（信宿）、安全變換、信息通道、可信的第三方和攻擊者。

第二章 TCP/IP協(xié)議族的安全性

●IP協(xié)議基本理解

一個 IP 數(shù)據(jù)報由首部和數(shù)據(jù)兩部分組成。首部的前一部分是固定長度，共 20 字節(jié)，是所有 IP 數(shù)據(jù)報必須具有的。在首部的固定部分的后面是一些可選字段，其長度是可變的。A.不能保證有序 B.不能保證完整性 ——源地址的有效性： 基于IP地址的認(rèn)證 IP source routing ——有效載荷的完整性

C.非面向連接：不可靠數(shù)據(jù)業(yè)務(wù)

——不能保證是否傳送出去、僅傳送一次 D.不能保證可靠的鏈路

——數(shù)據(jù)包的丟棄，TCP擁塞控制 E.數(shù)據(jù)包的分片與重組

——中間節(jié)點(diǎn)不能對小數(shù)據(jù)包進(jìn)行拼裝組合 ——數(shù)據(jù)包重疊 G.無分類域間路由 ——IP頭部長度

——定向廣播:因?yàn)槊總€主機(jī)默認(rèn)都會響應(yīng)這個ping，導(dǎo)致鏈路流量過大而拒絕服務(wù) IPv4報文格式：

●@ARP的安全性缺陷

通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“man in the middle” 進(jìn)行ARP重定向和嗅探攻擊。

每個主機(jī)都用一個ARP高速緩存存放最近IP地址到MAC硬件地址之間的映射記錄。MS Windows高速緩存中的每一條記錄（條目）的生存時間一般為60秒，起始時間從被創(chuàng)建時開始算起。默認(rèn)情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動態(tài)變化的。因此，只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會更新ARP高速緩存中的IP-MAC條目。

控制報文協(xié)議ICMP的安全缺陷

介于網(wǎng)絡(luò)層和傳輸層的協(xié)議，它的主要功能是傳輸網(wǎng)絡(luò)診斷信息。

ICMP傳輸?shù)男畔⒖梢苑譃閮深?，一類是錯誤(error)信息，這一類信息可用來診斷網(wǎng)絡(luò)故障。ICMP只提供特定類型的錯誤匯報，它不能幫助IP協(xié)議成為“可靠”(reliable)的協(xié)議。

另一類信息是咨詢(Informational)性質(zhì)的，比如某臺計(jì)算機(jī)詢問路徑上的每個路由器都是誰，然后各個路由器同樣用ICMP包回答。重定向、Ping of death、Path MTU @傳輸控制協(xié)議TCP的安全性

IP數(shù)據(jù)包容易丟失、被復(fù)制和亂序傳遞，TCP用于提供可靠的鏈路。重傳重組

一般只有超級用戶才可創(chuàng)建1024以下端口 三次握手：SYN Flood 序號選擇：序號攻擊

@用戶數(shù)據(jù)報文協(xié)議UDP的安全缺陷 無糾錯和重傳

無數(shù)據(jù)包丟棄、復(fù)制或重排序 開銷比TCP小

●IPv6數(shù)據(jù)報格式

第三章 數(shù)字證書與公鑰基礎(chǔ)設(shè)施

●數(shù)字證書是一種具有權(quán)威性的電子文檔，其作用是證明證書中所列用戶身份與證書中所列公開密鑰合法且一致。是一個用戶的身份與其所持有的公鑰的結(jié)合。

●PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。是創(chuàng)建、管理、存儲、分發(fā)和撤銷基于公鑰加密數(shù)字證書所需要的一套硬件、軟件、策略和過程的集合。目的是從技術(shù)上解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問題。為網(wǎng)絡(luò)應(yīng)用提供可靠的安全服務(wù)。

PKI包括數(shù)字證書CA、注冊機(jī)構(gòu)RA、證書發(fā)布庫、密鑰備份與恢復(fù)、撤銷系統(tǒng)、PKI應(yīng)用接口。CA數(shù)字證書認(rèn)證中心，是PKI體系的核心構(gòu)建。負(fù)責(zé)發(fā)放和管理數(shù)字證書。注冊機(jī)構(gòu)RA是數(shù)字證書注冊審批機(jī)構(gòu)，是認(rèn)證中心的延伸，與CA在邏輯上是一個整體，執(zhí)行不同的功能。證書發(fā)布庫集中存放CA頒發(fā)的證書和撤銷列表CRL。

●認(rèn)證服務(wù)

身份識別與認(rèn)證、驗(yàn)證證書的真?zhèn)?、?yàn)證身份的真?zhèn)?/p>

●數(shù)據(jù)保密性服務(wù)（數(shù)字信封機(jī)制）

●數(shù)字證書基本字段：

●證書生成步驟：密鑰生成、注冊、驗(yàn)證、證書生成。

●數(shù)字證書管理參與方：最終用戶、注冊機(jī)構(gòu)RA、證書機(jī)構(gòu)CA

●密鑰證書鏈

●證書撤銷原因：私鑰被破解、CA發(fā)現(xiàn)簽發(fā)數(shù)字證書時出錯、證書持有者離職 ●證書撤銷列表CRL：

CRL僅列出在有效期內(nèi)被撤銷的證書，不包含過了有效期的失效證書。CRL包含CA的簽名

CRL包括CRL發(fā)布的日期、時間和下一個CRL發(fā)布的時間 CRL列出證書序號、撤銷日期和時間、撤銷原因

數(shù)字證書的安全性檢查操作步驟：證書有效期檢查、簽名檢查、證書撤銷狀態(tài)檢查

●PMI主要負(fù)責(zé)向業(yè)務(wù)應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能，實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的訪問控制機(jī)制，極大地簡化了應(yīng)用中訪問控制和權(quán)限管理系統(tǒng)的開發(fā)與維護(hù)，并減少了管理成本和復(fù)雜性。

PMI與PKI的區(qū)別：PKI 你是誰、PMI 你能做什么

●PMI模型 包括三部分：目標(biāo)、權(quán)限持有者、權(quán)限驗(yàn)證者。

第四章 網(wǎng)絡(luò)加密與密鑰管理 ●鏈路加密：鏈路加密對網(wǎng)絡(luò)中兩個相鄰節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)加密保護(hù)；任意一對節(jié)點(diǎn)和相應(yīng)調(diào)制解調(diào)器之間都裝有相同的密碼機(jī)，并配置相同的密鑰；不同節(jié)點(diǎn)之間的密碼機(jī)和密鑰不一定相同。

加密優(yōu)點(diǎn)：網(wǎng)絡(luò)中傳輸?shù)南⒂蓤箢^和報文組成。鏈路加密，報文和報頭同時加密；掩蓋了傳輸?shù)钠瘘c(diǎn)和終點(diǎn)。鏈路上的信息均以密文形式存在。填充技術(shù)可以掩蓋消息的頻率和長度特性。

加密缺點(diǎn)：在中間傳輸節(jié)點(diǎn)上存在明文。對鏈路兩端的設(shè)備進(jìn)行同步，影響網(wǎng)絡(luò)性能。當(dāng)通過衛(wèi)星網(wǎng)絡(luò)等極端環(huán)境下，同步等問題更為嚴(yán)峻。對稱密鑰帶來的密鑰分發(fā)、密鑰管理和密鑰更新問題。

節(jié)點(diǎn)加密：鏈路上的信息均以密文形式存在，在中間傳輸節(jié)點(diǎn)上不存在明文。

缺點(diǎn)：節(jié)點(diǎn)加密，僅對報文加密，報頭和路由信息以明文形式傳輸；暴露了傳輸?shù)钠瘘c(diǎn)和終點(diǎn)。對鏈路兩端的設(shè)備進(jìn)行同步，影響網(wǎng)絡(luò)性能。對稱密鑰帶來的密鑰分發(fā)、密鑰管理和密鑰更新問題。

端到端加密：對一對用戶（不是節(jié)點(diǎn)）之間的數(shù)據(jù)連續(xù)地提供保護(hù)，解決在消息交換過程中由于錯誤路由帶來的泄密。優(yōu)點(diǎn)：從原點(diǎn)到終點(diǎn)始終以密文形式存在，傳輸過程中不解密。有節(jié)點(diǎn)損壞也不會帶來泄密。系統(tǒng)開銷小。避免了同步問題。不影響其他用戶。缺點(diǎn)：不對目的地址加密。

混合加密：端到端和鏈路混合加密：報文將被兩次加密，報頭由鏈路方式加密。鏈路加密與端到端加密各自的優(yōu)點(diǎn)。

●好壞密鑰區(qū)分：

基本密鑰：基本密鑰、用戶密鑰

存在較長時間，能與會話密鑰一起控制密鑰產(chǎn)生器 會話密鑰：數(shù)據(jù)加密密鑰 短期的；

可事先約定或協(xié)議分配；

限制了同一密鑰加密的密文量。密鑰加密密鑰：次主密鑰

對密鑰加密的密鑰，各節(jié)點(diǎn)應(yīng)該互不相同。主機(jī)主密鑰 好密鑰：

(1)真正隨機(jī)、等概率，如擲硬幣、擲骰子等；(2)避免使用特定算法的弱密鑰；

(3)雙鑰系統(tǒng)的密鑰更難以產(chǎn)生，因?yàn)楸仨殱M足一定的數(shù)學(xué)關(guān)系；

(4)為了便于記憶，密鑰不能選得過長，而且不可能選完全隨機(jī)的數(shù)串，要選用易記而難猜中的密鑰；

(5)采用密鑰揉搓或雜湊技術(shù)，將易記的長句子(10～15個英文字的通行短語)，經(jīng)單向雜湊函數(shù)變換成偽隨機(jī)數(shù)串(64 bit)。

●密鑰分配的三種方式：

一是利用安全信道實(shí)現(xiàn)密鑰傳遞；

二是利用雙鑰體制建立安全信道傳遞：

三是利用特定的物理現(xiàn)象(如量子技術(shù))實(shí)現(xiàn)密鑰傳遞

●可信第三方TTP三種參與方式：協(xié)調(diào)（In line）、聯(lián)機(jī)（On line）和脫機(jī)（Off line）

在協(xié)調(diào)方式下，T足一個中間人，為A與B之間通信提供實(shí)時服務(wù)；在聯(lián)機(jī)方式下，T實(shí)時參與A和B每次協(xié)議的執(zhí)行，但A和B之間的通信不必經(jīng)過T；在脫機(jī)方式下，T不實(shí)時參與A和B的協(xié)議，而是預(yù)先向A和B提供雙方執(zhí)行協(xié)議所需的信息。

●密鑰認(rèn)證（確保自己是在和安全的一方通信，而不是和中間人通信）的三種方式： 隱式密鑰認(rèn)證 密鑰確證 顯式密鑰認(rèn)證

●采用雙鑰體制的中間人攻擊

(1)A1ice將其公鑰發(fā)送給Bob。Mallorv截獲這公鑰，并將他自己的公鑰發(fā)送給Bob。(2)Bob將其公鑰發(fā)送給A1ice。Mallorv截獲這一公鑰，并將他自己的公鑰發(fā)送給Alice。(3)當(dāng)Alice采用“Bob”的公鑰對消息加密并發(fā)送給Bob時，Mallorv會將其截獲。由于這條消息實(shí)際上采用了Mallory的公鑰進(jìn)行加密，因此Mallory可以采用其私鑰對密文解密，并采用Bob的公鑰對消息重新加密后發(fā)送給Bob。

(4)當(dāng)Bob采用“Alice”的公鑰對消息加密并發(fā)送給A1ice時，Mallory會將其截獲。由于這條消息實(shí)際上采用了Mallory的公鑰進(jìn)行加密，因此Mallory可以采用其私鑰對密文解密，并采用Alice的公鑰對消息重新加密后發(fā)送給Alice。

即使Bob和Alice的公鑰存儲在數(shù)據(jù)庫中，這一攻擊形式仍然有效。截獲數(shù)據(jù)庫查詢指令。進(jìn)入數(shù)據(jù)庫修改Alice和Bob的公鑰。

●聯(lián)鎖協(xié)議

(1)Alice發(fā)送她的公鑰給Bob；(2)Bob發(fā)送他的公鑰給Alice；

(3)A1ice用Bob的公鑰對消息加密，此后，她將一半密文發(fā)送給Bob；(4)Bob用Alice的公鑰對消息加密，此后，他將一半密文發(fā)送給A1ice；(5)Alice發(fā)送另一半密文給Bob；

(6)Bob將A1ice的兩部分密文組合在一起，并采用其私鑰解密，Bob發(fā)送他的另一半密文給Alice；

(7)Alice將Bob的兩部分密文組合在一起，并采用其私鑰解密。優(yōu)點(diǎn)：一半密文既不可以解密，又不可以重新加密

第五章 防火墻原理與設(shè)計(jì)

●防火墻是由軟件和硬件組成的系統(tǒng)，處于安全的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間，根據(jù)系統(tǒng)管理員設(shè)置的訪問控制規(guī)則，對數(shù)據(jù)流進(jìn)行過濾。

防火墻對數(shù)據(jù)流的處理有三種：允許、拒絕、丟棄

●對防火墻功能的理解（判斷）

防火墻的不足：防外不防內(nèi)；繞過防火墻的連接無效；必須允許重要的服務(wù)通過，也為攻擊預(yù)留了通道。

●防火墻基本類型及工作網(wǎng)絡(luò)層次 包過濾、電路級、應(yīng)用級防火墻

●靜態(tài)包過濾防火墻（工作于網(wǎng)絡(luò)層）可以采用路由器上的過濾模塊實(shí)現(xiàn)。無需采用專門設(shè)備，低開銷。每個網(wǎng)絡(luò)的入口都可以配備 工作原理：采用一組過濾規(guī)則，對每個數(shù)據(jù)包進(jìn)行檢查，根據(jù)檢查結(jié)果確定是否丟棄或轉(zhuǎn)發(fā)，這種防火墻對從內(nèi)網(wǎng)到外網(wǎng)和從外網(wǎng)到內(nèi)網(wǎng)兩個方向的數(shù)據(jù)包進(jìn)行過濾。

●檢查的字段

數(shù)據(jù)源地址、目的地址、源端口號、目的端口號、應(yīng)用或協(xié)議

●訪問控制規(guī)則庫

將特定域與規(guī)則逐條比較；

默認(rèn)規(guī)則：允許一切、拒絕一切；

拒絕或接收發(fā)往/來自某個特定IP地址或者IP地址范圍； 拒絕和接收發(fā)往/來自某個特定服務(wù)端口。

第六章 入侵檢測系統(tǒng)

●入侵檢測模型四個部分：數(shù)據(jù)收集器、檢測器、知識庫、控制器

●IDS三個主要任務(wù)：信息收集（系統(tǒng)日志目錄及文件中的異常改變，程序執(zhí)行中的異常行為，物理形式的入侵信息）、信息分析、安全響應(yīng)

●按數(shù)據(jù)來源分類：

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS

偵測速度快、不容易受到攻擊、主機(jī)資源消耗少 來自服務(wù)其本身的攻擊不經(jīng)過網(wǎng)絡(luò)，誤報率高 基于主機(jī)的入侵檢測系統(tǒng)HIDS 日志和審計(jì)記錄

不同操作系統(tǒng)的應(yīng)用層，誤報少 依賴于主機(jī)及其子系統(tǒng)，實(shí)時性差 分布式入侵檢測系統(tǒng)DIDS

●按入侵檢測策略分類：

濫用監(jiān)測 減少系統(tǒng)負(fù)擔(dān)

需要不斷升級

異常檢測

統(tǒng)計(jì)描述、統(tǒng)計(jì)正常使用時的一些測量屬性

可檢測未知入侵

漏報、誤報，用戶行為突然改變

完整性分析:采用批處理，實(shí)時響應(yīng)性差

●NIDS特點(diǎn)：

擁有成本低、攻擊者轉(zhuǎn)移證據(jù)困難、實(shí)時檢測和響應(yīng)、能夠檢測未成功的攻擊和企圖、操作系統(tǒng)獨(dú)立。

關(guān)鍵技術(shù)：IP碎片重組技術(shù)、TCP流重組技術(shù)、TCP狀態(tài)檢測技術(shù)、協(xié)議分析技術(shù)、零復(fù)制技術(shù)、蜜罐技術(shù)

●HIDS特點(diǎn)：監(jiān)視特定的系統(tǒng)活動、非常適用于加密和文件交換、近實(shí)時的檢測和應(yīng)答 不需要額外的硬件

●DIDS產(chǎn)生的驅(qū)動力（選擇）

(1)系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)的各個主機(jī)上，這些弱點(diǎn)有可能被入侵者起用來攻擊網(wǎng)絡(luò)，而依靠唯一的主機(jī)或網(wǎng)絡(luò)，IDs不能發(fā)現(xiàn)入侵行為。

(2)入侵行為不再是單一的行為，而表現(xiàn)出協(xié)作入侵的特點(diǎn)，如分布式拒絕服務(wù)攻擊(DDoS)。

(3)入侵檢測所依靠的數(shù)據(jù)來源分散化，收集原始數(shù)據(jù)變得困難，如交換網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。

(4)網(wǎng)絡(luò)傳輸速度加快，網(wǎng)絡(luò)的流量大，集中處理原始數(shù)據(jù)的方式往往造成檢測瓶頸，從而導(dǎo)致漏檢。

● IDS控制臺的設(shè)計(jì) 日志檢索、探測器管理、規(guī)則管理、日志報表、用戶管理

第七章 VPN技術(shù)

●VPN（將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)連接而構(gòu)成邏輯上的虛擬子網(wǎng)）的特點(diǎn) ：費(fèi)用低、安全保障、服務(wù)質(zhì)量保證、可擴(kuò)充性和靈活性、可管理性

●VPN的分類：移動用戶遠(yuǎn)程訪問VPN連接(鏈路上的第一個數(shù)據(jù)包總是有遠(yuǎn)程訪問客戶機(jī)提出。)、網(wǎng)關(guān)-網(wǎng)關(guān)VPN連接(鏈路的兩端分別是專用網(wǎng)絡(luò)的兩個不同部分)

●VPN的隧道 隧道是通過一個公用網(wǎng)絡(luò)建立的一條穿過公共網(wǎng)絡(luò)的安全的、邏輯上的隧道.第二層隧道協(xié)議：PPTP、L2F、L2TP 第二層隧道協(xié)議的缺點(diǎn)

簡單易行，但是擴(kuò)展性不好，沒有提供內(nèi)在的安全機(jī)制，不能提供企業(yè)和企業(yè)外部客戶及供應(yīng)商之間會話的保密性要求。第三層隧道協(xié)議：GRE、VTP、IPsec、MPLS

●VPN傳輸模式及隧道模式

●VPN主要構(gòu)成部分：管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加/解密模塊、數(shù)據(jù)分組封裝/分解模塊、加密函數(shù)庫

●IPsec VPN與TLS VPN比較 傳輸層安全協(xié)議VPN---TLS VPN TLS VPN的特點(diǎn):用戶不需要安裝和配置客戶端軟件，只需在客戶端安裝一個瀏覽器。IPSec需要復(fù)雜的配置。允許使用數(shù)字簽名和證書，提供強(qiáng)大地認(rèn)證功能。

第八章 身份認(rèn)證

●身份證明基本分類：身份驗(yàn)證、身份識別

●實(shí)現(xiàn)身份證明的基本途徑：所知、所有、個人基本特征

●口令控制基本措施：系統(tǒng)消息、限制試探次數(shù)、口令有效期、雙口令系統(tǒng)、最小長度、封鎖用戶系統(tǒng)、根口令的保護(hù)、系統(tǒng)生成口令。

●UNIX系統(tǒng)口令存儲過程

口令為8個字符，采用7 bit ASCII碼，即56 bit串，加上12 bit填充(一般為用戶輸入口令的時間信息)。第一次輸入64 bit全“0”數(shù)據(jù)進(jìn)行加密，第二次則以第一次加密結(jié)果作為輸入數(shù)據(jù)，迭代25次，將最后一次輸出變換成11個字符(其中，每個字符是A～Z，a～z，0～9，“0”，“1”等共64個字符之一)作為口令的密文。

檢驗(yàn)時，用戶發(fā)送口令和ID，系統(tǒng)將由ID檢索出相應(yīng)的填充值，并與口令一起送入加密裝置算出相應(yīng)密文，然后與檢索出的密文進(jìn)行比對。

●舉例說明個人特征的身份驗(yàn)證

手書簽字驗(yàn)證、指紋驗(yàn)證、語音驗(yàn)證、視網(wǎng)膜圖樣驗(yàn)證、虹膜圖樣驗(yàn)證、臉型驗(yàn)證、●一次性口令：一次性口令是在登錄過程中加入不確定性因素，通過某種運(yùn)算，使每次登陸時用戶所使用的密碼都不相同。實(shí)現(xiàn)機(jī)制：挑戰(zhàn)/響應(yīng)機(jī)制、口令序列機(jī)制（S/key）、時間同步機(jī)制、事件同步機(jī)制。實(shí)現(xiàn)機(jī)制的對比：

第二篇：網(wǎng)絡(luò)安全總結(jié)

XXX網(wǎng)絡(luò)安全總結(jié)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會焦點(diǎn)中的焦點(diǎn)，幾乎沒有人不在談?wù)摼W(wǎng)絡(luò)上的安全問題，病毒、黑客程序、郵件炸彈、遠(yuǎn)程偵聽等這一切都無不讓人膽戰(zhàn)心驚。病毒、黑客的猖獗使身處今日網(wǎng)絡(luò)社會的人們感覺到談網(wǎng)色變，無所適從。

一、成立網(wǎng)絡(luò)與信息安全小組

為進(jìn)一步加強(qiáng)信息安全工作，XXX組建了信息安全小組 組長：XXX

副組長：XXX

成員：XXXXXXXXXXXXXXXXXXXXXXXXX

二、加強(qiáng)理論知識武裝頭腦

通過此次培訓(xùn)，了解了很多有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)。首先網(wǎng)絡(luò)安全理論知識讓XXX根本上了解了網(wǎng)絡(luò)安全的意義，雖然理論知識有點(diǎn)枯燥，但我們清楚的知道這是基礎(chǔ)，通過不斷學(xué)習(xí)要重視網(wǎng)絡(luò)安全的重要性，而對于XXX則要充分認(rèn)識XXX的網(wǎng)絡(luò)安全管理問題，正視問題，解決落實(shí)網(wǎng)絡(luò)安全，使XXX的日常工作有條不紊的進(jìn)行。其次網(wǎng)絡(luò)安全問題要靠集體的努力，不能就靠某一個人，XXX本身就是一個團(tuán)隊(duì)，一個集體，當(dāng)然需要全體同志們的共同努力，首先每位職工都要有網(wǎng)絡(luò)安全意識，其次才能通過技術(shù)手段使網(wǎng)

絡(luò)更穩(wěn)定。

三、嚴(yán)防計(jì)算機(jī)涉密信息對外泄漏

經(jīng)過學(xué)習(xí)，XXX加強(qiáng)組織領(lǐng)導(dǎo)，強(qiáng)化宣傳教育，落實(shí)工作責(zé)任，加強(qiáng)日常監(jiān)督檢查，將涉密計(jì)算機(jī)管理為重點(diǎn)，對于U盤、移動硬盤，采取專人保管，涉密文件單獨(dú)存放，禁止公、私混用，對XXX的計(jì)算機(jī)全部進(jìn)行了審查，統(tǒng)一安裝上殺毒軟件，并派專人定期維護(hù)更新，嚴(yán)防重要信息泄漏。

四、明確責(zé)任，落實(shí)網(wǎng)絡(luò)信息安全責(zé)任制

按照XXX有關(guān)信息系統(tǒng)安全等級保護(hù)工作的要求，XXX認(rèn)真貫徹“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，把安全責(zé)任制落實(shí)到每一個崗位，建立起了網(wǎng)絡(luò)信息安全長效機(jī)制。

五、XXXX的網(wǎng)絡(luò)系統(tǒng)配置

XXXX所使用的各種網(wǎng)絡(luò)設(shè)備、軟件都是從XXX工作平臺內(nèi)下載，經(jīng)過殺毒軟件檢驗(yàn)、鑒定合格后才投入使用的，自安裝以來運(yùn)行基本正常，并且所有的計(jì)算機(jī)都安裝了軟件防火墻和殺毒軟件，由防火墻軟件自動掃描系統(tǒng)漏洞，自動升級補(bǔ)丁，自動進(jìn)行木馬病毒檢測。

六、提高操作人員的技術(shù)水平

由于計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)專業(yè)性較強(qiáng)，XXX將不斷提高操作人員的技術(shù)水平，通過強(qiáng)化培訓(xùn)，提高專業(yè)技

能，做到人防與技防相結(jié)合，讓計(jì)算機(jī)安全保護(hù)的技術(shù)水平作為保護(hù)信息安全的一道看不見的屏障。

XXX

2012年X月

第三篇：網(wǎng)絡(luò)安全總結(jié)

夏孜蓋鄉(xiāng)中心校網(wǎng)絡(luò)安全講座總結(jié)

為積極推進(jìn)學(xué)校網(wǎng)絡(luò)信息安全建設(shè)，努力營造“安全、健康、文明、和諧”的網(wǎng)絡(luò)環(huán)境，根據(jù)學(xué)校的統(tǒng)一安排部署，我校于9月20日下午開展網(wǎng)絡(luò)安全講座主題教育。

本次活動由劉波老師主講，劉波老師從個人信息保護(hù)法、網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全政策等方面進(jìn)行講解，讓老師們了解如何正確的使用網(wǎng)絡(luò)、網(wǎng)絡(luò)安全相關(guān)知識，以及網(wǎng)絡(luò)安全在日常生活中的重要作用。劉波老師從實(shí)際應(yīng)用中講解如何安全使用網(wǎng)絡(luò)，如何避免網(wǎng)絡(luò)詐騙等相關(guān)知識。講座活動結(jié)束后老師們紛紛表示，本次講座活動使之受益匪淺，劉波老師的講解幫助其加深了對網(wǎng)絡(luò)安全的理解，同時學(xué)到了更多保護(hù)個人信息、維護(hù)自身利益的方法。

此次活動，學(xué)校積極引導(dǎo)老師們弘揚(yáng)網(wǎng)絡(luò)正能量，主動投身網(wǎng)絡(luò)安全建設(shè)。普及網(wǎng)絡(luò)安全知識，提升網(wǎng)絡(luò)安全意識和防護(hù)技能，營造健康文明的網(wǎng)絡(luò)環(huán)境，共同維護(hù)國家網(wǎng)絡(luò)安全。

夏孜蓋鄉(xiāng)中心校 2018年9月21日

第四篇：網(wǎng)絡(luò)安全總結(jié)

（一）本信息安全工作主要情況

今年以來，全市從落實(shí)各項(xiàng)安全管理制度和規(guī)范入手，積極有效地開展了政府信息安全工作，主要完成了以下五項(xiàng)工作：

1．落實(shí)信息安全規(guī)范。全市范圍內(nèi)逐步推行《蘇州市電子政務(wù)網(wǎng)信息安全規(guī)范（試行）》，所有接入蘇州電子政務(wù)網(wǎng)的系統(tǒng)嚴(yán)格遵照規(guī)范實(shí)施，按照七個區(qū)、五個下屬市、市級機(jī)關(guān)的順序，我委定期組織開展安全檢查，確保各項(xiàng)安全保障措施落實(shí)到位。

2．組織信息安全培訓(xùn)。面向全市政府部門CIO及信息安全技術(shù)人員進(jìn)行了網(wǎng)站滲透攻擊與防護(hù)、病毒原理與防護(hù)等專題培訓(xùn)，提高了信息安全保障技能。

3．加強(qiáng)政府門戶網(wǎng)站巡檢。定期對政府部門網(wǎng)站進(jìn)行外部web安全檢查，出具安全風(fēng)險掃描報告，并協(xié)助、督促相關(guān)部門進(jìn)行安全加固。

4．狠抓信息安全事件整改。今年，省通信管理局通報了幾起我市政府部門主機(jī)感染“飛客”蠕蟲病毒、木馬受控的安全事件，我市高度重視，立即部署相關(guān)工作，向涉及政府部門發(fā)出安全通報，責(zé)令采取有力措施迅速處置，并向全市政府部門發(fā)文，要求進(jìn)一步加強(qiáng)政府門戶網(wǎng)站安全管理。

5．做好重要時期信息安全保障。采取一系列有效措施，實(shí)行24小時值班制及安全日報制，與重點(diǎn)部門簽訂信息安全保障承諾書，加強(qiáng)互聯(lián)網(wǎng)出口訪問的實(shí)時監(jiān)控，確保世博會期間信息系統(tǒng)安全。

（二）信息系統(tǒng)安全檢查工作開展情況及檢查效果

按照省網(wǎng)安辦的統(tǒng)一部署，我市及時制定了《2010蘇州市政府信息系統(tǒng)安全檢查工作方案》，五市七區(qū)及市級機(jī)關(guān)各部門迅速展開了自查工作，**家單位上報了書面檢查報告，較好地完成了自查工作。在認(rèn)真分析、總結(jié)前期各單位自查工作的基礎(chǔ)上，9月中旬，市發(fā)改委會同市國密局、市公安局和信息安全服務(wù)公司抽調(diào)21名同志組成聯(lián)合檢查組，分成三個檢查小組，對部分市（區(qū)）和市級機(jī)關(guān)的重要信息系統(tǒng)安全情況進(jìn)行抽查。檢查組共掃描了**個單位的門戶網(wǎng)站，采用自動和人工相結(jié)合的方式對**臺重要業(yè)務(wù)系統(tǒng)服務(wù)器、**臺客戶端、**臺交換機(jī)和**臺防火墻進(jìn)行了安全檢查。

檢查組認(rèn)真貫徹“檢查就是服務(wù)”的理念，按照《工作方案》對抽查單位進(jìn)行了細(xì)致周到的安全巡檢，提供了一次全面的安全風(fēng)險評估服務(wù)，受到了服務(wù)單位的歡迎和肯定。檢查從自查情況核實(shí)到管理制度落實(shí)，從網(wǎng)站外部安全掃描到重要業(yè)務(wù)系統(tǒng)安全檢測，從整體網(wǎng)絡(luò)安全評測到機(jī)房物理環(huán)境實(shí)地勘查，全面了解了各單位信息安全現(xiàn)狀，發(fā)現(xiàn)了一些安全問題，及時消除了一些安全隱患，有針對性地提出了整改建議，并出具了18份書面檢查報告，督促有關(guān)單位對照報告認(rèn)真落實(shí)整改。通過信息安全檢查，使各單位進(jìn)一步提高了思想認(rèn)識，完善了安全管理制度，強(qiáng)化了安全防范措施，落實(shí)了安全問題的整改，全市安全保障能力顯著提高。

（三）全市信息狀況總體評價

綜合信息系統(tǒng)安全自查和抽查情況看，我市信息系統(tǒng)安全工作整體情況良好，尤其在組織機(jī)構(gòu)、制度建設(shè)和日常管理方面，比較完善規(guī)范，個別單位還通過了ISO 9001質(zhì)量管理認(rèn)證，采取了有效的安全防護(hù)措施，信息安全工作得到了各單位領(lǐng)導(dǎo)的普遍重視。但在風(fēng)險評估、等級保護(hù)、應(yīng)急演練以及經(jīng)費(fèi)保障上面都有待于加強(qiáng)。

二、主要問題及整改情況

（一）主要存在的問題

經(jīng)過本次信息安全自查，對照檢查標(biāo)準(zhǔn)，主要存在以下一些問題：

1．部分單位規(guī)章制度不夠完善，未能覆蓋信息系統(tǒng)安全的所有方面。轉(zhuǎn)載自百分網(wǎng)http://轉(zhuǎn)載請注明出處，謝謝！

第五篇：網(wǎng)絡(luò)安全活動總結(jié)

安岳縣岳陽鎮(zhèn)小學(xué)

開展2017年網(wǎng)絡(luò)安全宣傳周活動總結(jié)

為迎接“十九大”順利召開，根據(jù)《安岳縣教育系統(tǒng)2017網(wǎng)絡(luò)安全宣傳周活動實(shí)施方案》精神，學(xué)習(xí)貫徹總書記關(guān)于網(wǎng)絡(luò)安全和信息化系列重要講話精神，結(jié)合學(xué)校實(shí)際情況，緊緊圍繞“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”這一主題開展宣傳教育活動，增強(qiáng)青少年學(xué)生網(wǎng)絡(luò)安全意識，提高網(wǎng)絡(luò)安全技能，營造網(wǎng)絡(luò)安全人人有責(zé)，人人參與的良好氛圍，保障用戶合法權(quán)益，共同維護(hù)國家網(wǎng)絡(luò)安全?，F(xiàn)將此次活動簡要總結(jié)如下。

一、學(xué)校高度重視，后勤保障有力

學(xué)校積極召開行政領(lǐng)導(dǎo)班子專題會，安排部署宣傳活動周內(nèi)容。明確了分管領(lǐng)導(dǎo)和責(zé)任科室，會同學(xué)校德育、少先隊(duì)制定活動方案，后勤出動專用資金給予強(qiáng)有力的保障。

二、開展“網(wǎng)絡(luò)安全知識進(jìn)校園”知識普及活動

9月18日，學(xué)校利用集體朝會向全校師生闡明網(wǎng)絡(luò)安全宣傳的重要性，同時積極向?qū)W生印發(fā)“網(wǎng)絡(luò)安全基礎(chǔ)知識手冊”，讓學(xué)生與家長一起學(xué)習(xí)網(wǎng)絡(luò)安全的基礎(chǔ)知識，讓學(xué)生與家長了解當(dāng)前網(wǎng)絡(luò)安全的常見問題，掌握網(wǎng)絡(luò)安全的一些基本技能，提高網(wǎng)絡(luò)安全的防范意識，自覺遵守網(wǎng)絡(luò)安全法規(guī)，共同營造網(wǎng)絡(luò)安全在我身的良好氛圍。

三、開展“網(wǎng)絡(luò)安全精彩一課”教育活動

9月20日，我校在電教室對四—六年級學(xué)生上了一節(jié)“網(wǎng)絡(luò)安全精彩一課”，老師先通過深入淺出的教學(xué)方法與視頻演示，向?qū)W生講解網(wǎng)絡(luò)組成結(jié)構(gòu)與基本原理。然后師生互動，通過交流讓學(xué)生了解到身邊的網(wǎng)絡(luò)安全隱患，懂得如何去識別這些網(wǎng)絡(luò)陷阱，提高網(wǎng)絡(luò)安全的防范能力。

四、開展“網(wǎng)安啟明星”青少年體驗(yàn)活動

9月24日，我校在多媒體網(wǎng)絡(luò)電腦室對三年級學(xué)生進(jìn)行了“網(wǎng)安啟明星”青少年體驗(yàn)活動，學(xué)生登錄體驗(yàn)網(wǎng)站，親身體驗(yàn)網(wǎng)絡(luò)陷阱與網(wǎng)絡(luò)病毒的危害性，進(jìn)一步培養(yǎng)小學(xué)生健康上網(wǎng)、依法用網(wǎng)、文明護(hù)網(wǎng)良好意識，懂得“人人為我，我為人人”的道理。我校通過網(wǎng)絡(luò)安全教育，讓青少年了解、感知身邊的網(wǎng)絡(luò)安全風(fēng)險，增強(qiáng)網(wǎng)絡(luò)安全防范意識，提高網(wǎng)絡(luò)安全的防護(hù)技能，保障網(wǎng)民的合法權(quán)益，共同維護(hù)網(wǎng)絡(luò)安全，傳遞正能量，助力“中國夢”。

五、開展“網(wǎng)絡(luò)安全宣傳講座”

9月20日下午，利用教師大會聘請計(jì)算機(jī)專業(yè)教師在教師隊(duì)伍中全面開展網(wǎng)絡(luò)安全宣講，宣講會上教師們積極參與互動，積極提出以往疑惑的問題，通過宣講教師們知道了一些基本病毒識別和處理方法。

安岳縣岳陽鎮(zhèn)小學(xué)

2017年9月25日