1.网络安全服务基本功能

        网络安全服务应该提供以下基本保障。
        （1）可用性：可用性是指，尽管存在可能的突发事件（例如停电、自然灾害、事故或攻击等）情况下，网络仍然可处于正常运转状态，用户可使用各种网络服务。
        （2）机密性：机密性是指，保证网络中的数据不被非法截获或被非授权访问，保护敏感数据和涉及个入隐私信息的安全。
        （3）完整性：完整性是指，保证数据在网络中传输、存储的完整，数据没有被修改、插入或删除。
        （4）不可否认性：不可否认性是指，确认通信参与者的身份真实性，防止对已发送或已接收的信息否认现象的出现。
        （5）可控性：可控性是指，能够控制与限定网络用户对主机系统、网络服务与网络信息资源的访问和使用，防止非授权用户读取、写入、删除数据。

2.可信计算机系统评估准则（TESEC）

        美国国防部公布了《可信计算机系统评估准则》TCSEC，将计算机系统的安全可信度从低到高分为D、C、B、A 四类共七个级别：D 级，C1 级，C2 级，B1 级，B2 级，B3 级，A1 级。
        （最小保护）D 级：该级的计算机系统除了物理上的安全设施外没有任何安全措施，任何入只要启动系统就可以访问系统的资源和数据，如DOS，Windows 的低版本和DBASE 均是这一类（指不符合安全要求的系统，不能在多用户环境中处理敏感信息）。
        （自主保护类）C1 级：具有自主访问控制机制、用户登录时需要进行身份鉴别。
        （自主保护类）C2 级：具有审计和验证机制（（对TCB）可信计算机基进行建立和维护操作，防止外部入员修改）。如多用户的UNIX 和ORACLE 等系统大多具有C 类的安全设施。
        （强制安全保护类）B1 级：引入强制访问控制机制，能够对主体和客体的安全标记进行管理。
        B2 级：具有形式化的安全模型，着重强凋实际评价的手段，能够对隐通道进行限制。（主要是对存储隐通道）
        B3 级：具有硬件支持的安全域分离措施，从而保证安全域中软件和硬件的完整性，提供可信通道。对时间
隐通道的限制。
        A1 级：要求对安全模型作形式化的证明，对隐通道作形式化的分析，有可靠的发行安装过程。（其安全功能，依次后面包含前面的）

3.信息传输安全

        信息传输安全是指保证信息在网络传输过程中不被泄露、篡改与伪造。
        ①截获信息。信息从源结点开始传输，中途被攻击者非法截获，目的结点没有接收到该信息，因而造成信息在传输途中丢失。
        ②窃听信息。信息从源结点传输到目的结点，但是中途被攻击者非法窃听。
        ③篡改信息。信息从源结点传输到目的结点的途中被攻击者非法截获，攻击者修改信息或插入欺骗性的信息，并将篡改后的信息发送给目的结点。
        ④伪造信息。在这种情况下，源结点并没有信息要传送到目的结点。攻击者冒充源结点用户，将伪造的信息发送给目的结点。

4.网络攻击的分类

        网络攻击可以有两种分类方法：主动攻击与被动攻击、服务攻击与非服务攻击。

4.1 主动攻击与被动攻击

        被动攻击主要以收集信息为目的，信息的合法用户难以察觉这种活动，例如嗔探、漏洞扫描、信息收集等。主动攻击不但进入对方系统搜集信息，同时要进行破坏活动，例如拒绝服务、信息算改、窃取信息、欺骗攻击等。无论是主动攻击还是被动攻击，后果的严重程度有所区别，但是都是属于非法入侵的行为。

4.2 服务攻击与非服务攻击

        服务攻击是指攻击者对E-mail、FTP、Web 或DNS 服务器发起攻击，造成服务器工作不正常，甚至造成服务器瘫痪。非服务攻击不针对某项具体应用服务，而是针对网络设备或通信线路。攻击者可能使用各种方法对网络设备（例如路由器、交换机、网关、防火墙等）与通信线路发起攻击，使得网络设备出现严重阻塞甚至瘫痪，或者造成线路阻塞，最终使网络通信中断。

5.DDoS 攻击的特征

        主要有以下几点：①被攻击主机上可能有大量等待应答的TCP 连接。②网络中充斥着大量的无用数据包，并且数据包的源地址是伪造的。③大量无用数据包造成网络拥塞，使得网络工作不正常，甚至瘫痪。④被攻击主机可能在攻击发起之后的短短几秒钟后就处于瘫痪状态。⑤攻击服务器与傀儡机都是在不知情的情况下参与攻击行动，而真正的攻击者早已消失。

6.对称加密与非对称加密

        常用的加密技术可以分为两类：对称加密（Symmetric Cryptography）与非对称加密（Asymmetric Cryptography）。在传统的对称密码系统中，加密用的密钥与解密用的密钥相同，密钥在通信中需要严格保密。在非对称加密系统中，加密用的公钥与解密用的私钥不同，加密用的公钥可以向大家公开，而解密用的私钥需要保密。

7.典型的对称加密算法

7.1 数据加密标准

        数据加密标准（Data Encryption Standard，DES）是最典型的对称加密算法，它是由IBM 公同提出、经ISO认定的国际标准。

7.2 DES

        DES 是一种典型的分组密码，它将数据分解成固定大小的分组，以分组为单位进行加密或解密。DES 每次处理一个64 位的明文分组，并且每次生成一个64 位的密文分组。DES 算法采用64 位密钥长度，其中8 位用于奇偶校验，用户可使用其余的56 位。

7.3 三重DES

        三重DES（triple DES，3DES）是针对DES 安全问题的改进方案。

7.4 高级加密标准

        高级加密标准（Advanced Encryption Standard，AES）是后来出现的一种对称加密算法。AES 将数据分解成固定大小的分组，以分组为单位进行加密或解密。AES 的主要参数是：分组长度、密钥长度与计算轮数。分组长度与密钥长度可以是32 位的整数倍，范围是128〜256位。AES规定分组长度为 128位，密钥长度可以为128、192或256位，根据密钥长度分别称为：AES-128、AES-192或AES-256。

7.5 其他对称加密算法

        主要包括IDEA、Blowfish、RC2、RC4、RC5、CAST 等。

8.公钥密码基本特征

        公钥密码的基本特征是加密密钥与解密密钥不同，并且无法由加密密钥推导出解密密钥。公钥密码技术提供了两个密钥：公钥与私钥。其中，公钥是可以公开的密钥；私钥是需要严格保密的密钥。公钥密码技术使用的加密与解密算法公开。公钥密码的加密与解密算法是基于数学函数，而不是像对称密码那样地基于位模式的简单操作。公钥密码的出现对保密性、密钥分发与认证等都有深远的影响。

9.公钥密码的应用领域

公钥密码技术	主要应用领域
RSA	数据加密、数字签名与密钥交换
EGG	数据加密、数字签名与密钥交换
DSS	数字签名
ElGamal	数字签名
Diffie-Heilman	密钥交换

10.典型的非对称加密算法

10.1 RSA

        1977年，Ron Rivest、Adi Shamir与Leonard Adleman 设计了一种加密算法，并用3 人的姓氏首字母命名该算法。RSA 的理论基础是寻找大素数相对容易，而分解两个大素数的积在计算上不可行。RSA 算法的安全性建立在大素数分解极其困难的基础上。

10.2 椭圆曲线密码（ECC）

        1985 年，椭圆曲线密码由Neal Koblitz 和Victor Miller 分别提出；其安全性建立在求解椭圆曲线离散对数的困难性上。在同等密钥长度的情况下，ECC 算法的安全性要远高于RSA 算法等。

10.3 其他非对称加密算法

        主要包括DSS、ElGamal 与Diffie-Hellman 等。