3.1 網路安全概述
網路安全範疇極其廣泛，可以說是涉及多方面。

3.1.1 網路安全現狀及安全挑戰
因為計算機病毒層出不窮以及黑客的惡意攻擊勢頭攀升、技術設計的不完備以及等等原因，網路安全現狀十分嚴峻。資訊保安問題已成為影響社會穩定和國家安危的戰略性問題。
與此同時，敏感資訊設計的內容十分豐富，因此我們必須對相關安全工作進行全面的規劃和部署。相關資訊密級分為祕密級、機密級和絕密級，以確保每一密級的資訊僅能讓那些具有高於或等於該許可權的人使用。所謂機密資訊和絕密資訊，是指國家政府對軍事、經濟、外交等領域嚴加控制的一類資訊。軍事機構和國家政府部門應特別重視對資訊施加嚴格的保護，特別應對那些機密和絕密資訊施加嚴格的保護措施。一些認為敏感但是不是機密的資訊，也需要通過法律手段和技術手段加以保護，以防止資訊洩露或惡意修改。有的時候一些政府資訊是非機密的，但是是敏感的，不能洩露。網路安全呈現出很多新形式和特點。網路應用不斷髮展，如何保護這些應用的安全也是一個巨大的挑戰。

3.1.2 網路安全威脅與防護措施
3.1.2.1 基本概念
我們需要了解安全威脅、防護措施、風險等概念，然後還要知道安全威脅的分類——故意（黑客滲透）與偶然（資訊發往錯誤的地方）。故意的威脅又進一步分為被動攻擊和主動攻擊，被動攻擊只對資訊進行監聽，而不對其修改；主動攻擊卻對資訊進行故意的修改。總之，被動攻擊比主動攻擊更容易以更少的花費付諸實施。

3.1.2.2 安全威脅的來源
（1）基本威脅
①資訊洩露
②完整性破壞
③拒絕服務
④非法使用
（2）主要的可實現威脅
主要的可實現威脅包括滲入威脅和植入威脅
其中滲入威脅：①假冒②旁路控制③授權侵犯
而植入威脅：①特洛伊木馬②陷門
（3）潛在威脅
①竊聽
②流量分析
③ 操作人員的不慎導致的資訊洩露
④媒體廢棄物所導致的資訊洩露
安全威脅頻率從高至低是：
授權侵犯>假冒攻擊>旁路控制>特洛伊木馬或陷門>媒體廢棄物

3.1.2.3安全防護措施
①物理安全
②人員安全
③管理安全
④媒體安全
⑤輻射安全
⑥生命週期控制
一個安全系統的強度與其最弱鏈路的強度相同。

3.1.3 安全攻擊的分類及常見形式
被動攻擊與主動攻擊
1.被動攻擊
被動攻擊的特性是對所傳輸的資訊進行竊聽和檢測。攻擊者的目標是獲得線路上所傳輸的資訊。資訊洩露和流量分析就是兩種被動攻擊的例子。
竊聽攻擊、流量分析
2.主動攻擊
主動攻擊是指惡意篡改資料流或偽造資料流等攻擊行為。
①偽裝攻擊
②重放攻擊
③訊息篡改
④拒絕服務攻擊

3.網路攻擊的常見形式
（1）口令竊取
（2）欺騙攻擊
（3）缺陷和後門攻擊
（4）認證失效
（5）協議缺陷
（6）資訊洩露
（7）指數攻擊——病毒和蠕蟲
（8）拒絕服務攻擊

3.1.4 開放系統互連模型與安全體系結構
OS安全體系結構的研究始於1982年,當時1SO基本參考模型剛剛確立,這項工作是由ISO/ EC JTC1/SC21完成的。國際標準化組織(1sO)於1988年釋出了1S074982標準,作為OS1基本參考模型的新補充。1990年,國際電信聯盟決定採用1074982作為其X800推薦標準。因此,X.800和1SO7498-2標準基本相同。

我國的國家標準《資訊處理系統開放系統互連基本參考模型第二部分體系結構)(GBT9387.2-1995)(等同於1O7498-2)和《 nternet安全體系結構)RFC2401)中提到的安全體系結構是兩個普遍適用的安全體系結構,用於保證在開放系中程序與程序之間遠距離安全交換資訊,這些標準確立了與安全體系結構有關的骰要素,適用於開放系統之間需要通訊保護的各種場合,這些標準在參考模型的框架內建立起一些指導原則與約束條件,從而提供瞭解決開放互連繫統中安全問題的統一的方法。

1.安全服務

（1）認證
①同等實體認證。 ②資料來源認證。

（2）訪問控制

（3）資料保密性
保密性是防止傳輸的資料遭到諸如竊聽、流量分析等被動攻擊。對於資料傳輸,可以提供多層的保護。最常使用的方法是在某個時間段內對兩個使用者之間所傳輸的所有使用者資料提供保護。例如,若兩個系統之間建立了TCP連線,這種最通用的保護措施可以防止在TCP連線上傳輸使用者資料的洩露。此外,還可以採用一種更特殊的保密性服務,它可以對單條訊息或對單條訊息中的某個特定的區域提供保護。這種特殊的保護措施與普通的保護措施相比,所使用的場合更少,而且實現起來更復雜、更昂貴。
保密性的另外一個用途是防止流量分析。它可以使攻擊者觀察不到訊息的信源和信宿、頻率、長度或通訊設施上的其他流量特徵。

（4）資料完整性
與資料的保密性相比,資料完整性可以應用於訊息流、單條訊息或訊息的選定部分同樣,最常用和直接的方法是對整個資料流提供保護。

(5)不可否認性

(6)可用性服務

2.安全機制
3.安全服務與安全機制的關係
4.在OSI層中的服務配置

3.1.5 網路安全模型
一個網路安全模型通常由6個功能實體組成，分別是訊息的傳送方、訊息的接收方、安全變換、資訊通道、可信的第三方和攻擊者。任何用來保證資訊保安的方法都包含如下兩個方面：

①對被髮送資訊進行安全相關的變換,例如對訊息加密,它打亂訊息使得攻擊者不能讀懂訊息，或者將基於訊息的編碼附於訊息後，用於驗證傳送方身份。

②使通訊雙方共享某些祕密資訊,而這些訊息不為攻擊者所知。例如加密和解密金鑰,在傳送端加密演算法採用加密金鑰對所傳送的訊息加密,而在接收端解密演算法採用解密金鑰對收到的密文解密。

網路安全模型說明,設計安全服務應包含以下4個方面內容:

①設計一個演算法,它執行與安全相關的變換,該演算法應是攻擊者無法攻破的

②產生演算法所使用的祕密資訊

③設計分配和共享祕密資訊的方法

④指明通訊雙方使用的協議,該協議利用安全演算法和祕密資訊實現安全服務。

3.2 網路安全防護技術
3.2.1 防火牆
防火牆是由軟體和硬體組成的系統，處於安全的網路和不安全的網路之間，根據由系統管理員設定的訪問控制規則，對資料流進行過濾。防火牆對資料流的處理方式有三種：
①允許資料流通過
②拒絕資料流通過
③將這些資料流丟棄
防火牆是Internet安全的最基本組成部分。但是對於防禦內部的攻擊，防火牆也無能為力；甚至有些繞過防火牆的連線，防火牆則毫無用武之地。
防火牆必須滿足：

所有進出網路的資料流必須經過防火牆。
只允許經過授權的資料流通過防火牆。
防火牆自身對入侵免疫。

防火牆由多個部分構成，閘道器則由幾臺機器構成。
安全性和易用性往往矛盾，我們要懂得取捨。
我們還要懂得防火牆的分類和原理。其中包括靜態包過濾防火牆的設計思想、過濾動作、特定域等知識。

3.2.2 入侵檢測系統
日親監測系統發展了多年，憑藉強大的功能起到了不可替代的作用。它通過資料來源可以分為三類，通過入侵檢測策略也可以分為三類。我們需要知道它的原理。

3.2.3虛擬專網
VPN具備費用低、安全保障、服務質量保證、可擴充性和靈活性、可管理性等特點，同時分為多種型別，我們需要知道大概的原理。同時比較一些相關內容。

3.2.4 計算機病毒防護技術
計算機病毒因為具有破壞性、傳染性、隱蔽性等特點，我們必須懂的防護。有木馬型病毒、感染性病毒、蠕蟲型病毒、後門型病毒、惡意軟體等，我們需要了解基本原理。

3.2.5 安全漏洞掃描技術
同樣，我們需要掌握分類以及相關原理。

3.3 網路安全工程與管理
3.3.1 等級保護概述
我們需要了解安全等級保護，知道第一二三四五級的分類，同時瞭解工作機制和相關法規標準，明白等級保護主要要求。

3.3.2 網路安全管理
我們還是要知道網路安全管理的大致概念，ISMS（即網路安全管理體系）以及風險管理的相關知識。

3.3.3 網路安全事件處置與災難恢復
我們要懂得網路安全事件的分類和分級，瞭解處理事件的關鍵過程和資訊系統災難恢復。

3.4 新興網路及安全技術
3.4.1 工業網際網路安全
3.4.2 移動網際網路安全
3.4.3 物聯網安全
我們需要掌握工業網際網路、移動網際網路、物聯網相關概念，瞭解新安全挑戰和防護技術，才更有可能保護我們的網路安全。