網路安全密碼編碼教程

Ⅰ 密碼編碼學與網路安全

對課程期末考試的個人復習總結

定義：把明文分組當作整體，產生一個等長的密文分組，並且可逆
設計思想：擴散（通過置換），混淆（通過代換）

定義：是一項增強密碼演算法或者使演算法適應具體應用的技術。（分組密碼是加密固定長度的分組，而工作模式提供了加密任意數量的明文的方法）

CTR優點：硬體軟體效率高（並行加密）；基本加密解密不依靠明文密文，因此可以進行預處理；加密數據塊的隨機訪問；安全；簡單

關於密鑰K的計算本質上和DH協議是一樣的（即C ₁ 本質上就是Y _B ），Elgamal只是補充了對明文M的加密解密（C ₂ =KM mod q；M=(C ₂ K ^-1 ) mod q）
這樣還可以讓K作為一次性密鑰，用於加密解密信息（比如將信息分組，然後每個分塊用唯一的K，這樣可以防止攻擊者利用信息的某一分塊計算出其他分塊 ，若M ₁ 已知，則很容易計算出M ₂ ）

將 任意長報文 （一般會被填充為固定長度分組的整數倍）映射成一個較短的 定長輸出報文 的函數 h = H(M)（相對易於計算），為文件、報文或其他的分組數據產生 「數字指紋」 （Hash常被用於判斷數據是否被更改過，而 不是加密解密函數 ）

可以產生認證符的函數類型：Hash、消息加密、消息認證碼MAC
認證技術：報文認證：消息完整性；實體認證（用戶認證）：發送者非冒充
認證定義：防止主動攻擊的重要技術

MAC可以保護信息交換雙方不受第三方攻擊，但不能處理通信雙方自身發生的攻擊

重點協議！！！

Ⅱ 密碼編碼學與網路安全的內容簡介

《密碼編碼學與網路安全:原理與實踐(第5版)(英文版)》系統介紹了密碼編碼學與網路安全的基本原理和應用技術。全書主要包括五個部分，對稱密碼部分講解傳統加密技術、高級加密標准等；非對稱密碼部分講解數論、公鑰加密、RSA；第三部分討論了加密哈希函數、消息認證、數字簽名等主題；第四部分分析了密鑰管理、用戶認證協議；網路與Internet安全部分探討的是傳輸層安全、無線網路安全、電子郵件安全及IP安全的問題。最後，兩個附錄給出了各章的項目練習和一些例子。配套網站包含大量的延伸性內容。
《密碼編碼學與網路安全:原理與實踐(第5版)(英文版)》可作為高校計算機專業、網路安全專業、通信安全專業等相關專業的本科生和研究生的教材，也可供相關技術人員參考使用。

Ⅲ 如何查看電腦無線網路密碼兩種查看方法

方法一：直接查看電腦無線密碼

1、點擊桌面右下角的無線網路圖標，之後即可彈出，目前已經連接上的無線網路名稱，我們將滑鼠放置其上，然後點擊滑鼠右鍵，然後再選擇「屬性」，如下圖所示：

2、之後即可打開電腦無線網路屬性，我們在安全選項卡下，勾選上下方的「顯示字元」就立刻可以看到「網路安全密鑰」也就是電腦無線網路密碼了，如下圖所示：

註：以斗櫻族上我們演示的是Win7電腦查看無線網路，本方法僅適合Win7以上系統，對於XP不支持，如果是XP系統，那麼參考以下方法。

方法二：進入無線路由器設置查看電腦無線網路密碼

1、登錄無線路由器管理界面，然後在「無線設置」--「無線安全設置」里邊即可看到無線網路密碼了，如下圖所示：

無線網路

無線網路(wireless work)是採用無線通信技術實現的網路。

無線網路既包括允許用戶建立遠距離無線連接的全球語音和數據網路，也包括為近距離無線連接進行優化的紅外線技術及射頻技術，與有線網路的用途十分類似，最大的不同在於傳輸媒介的不同，利用無線電技術取代網線，可以和有線網路互為備份。

基本信息空弊

中文名稱：無線網路

外文名稱：wireless work

所屬領域：通訊

所屬學科:IT

無線網路技術

目前無線網路主要採用3種技術：微波通信、紅外線通信和激光通信。

這3種技術均以大氣作為傳輸介質，其中微波通信用途最廣，目前的衛星網就是一種特殊形式的微波網路，它利用地球同步衛星作為中繼站來轉發微波信號，一個同步衛星可以覆蓋地球1/3以上的表面，3個同步衛星就可以覆蓋地球表面上全部通信區域。

[6]

網路標准

無線網路常見標准有以下幾種：

1、IEEE802.11a：使用5GHz頻段，傳輸速度54Mbps，與802.11b不兼容

2、IEEE 802.11b：使用2.4GHz頻段，傳輸速度11Mbps

3、IEEE802.11g：使用2.4GHz頻段，傳輸速度主要有54Mbps、108Mbps，可向下兼容802.11b

4、IEEE802.11n草案：使用2.4GHz頻段，傳輸速度可達300Mbps，標准尚為草案，但產品已層出不窮。

目前IEEE802.11b最常用，但IEEE802.11g更具下一代標準的實力，802.11n也在快速發展中。

IEEE802.11b標准含有確保訪問控制頌旦和加密的兩個部分，這兩個部分必須在無線LAN中的每個設備上配置。

擁有成百上千台無線LAN用戶的公司需要可靠的安全解決方案，可以從一個控制中心進行有效的管理。

缺乏集中的安全控制是無線LAN只在一些相對較的小公司和特定應用中得到使用的根本原因。

IEEE802.11b標準定義了兩種機理來提供無線LAN的訪問控制和保密：服務配置標識符（SSID）和有線等效保密（WEP）。

還有一種加密的機制是通過透明運行在無線LAN上的虛擬專網（VPN）來進行的。

SSID ，無線LAN中經常用到的一個特性是稱為SSID的命名編號，它提供低級別上的訪問控制。

SSID通常是無線LAN子系統中設備的網路名稱；它用於在本地分割子系統。

WEP ，IEEE802.11b標准規定了一種稱為有線等效保密（或稱為WEP）的可選加密方案，提供了確保無線LAN數據流的機制。

WEP利用一個對稱的方案，在數據的加密和解密過程中使用相同的密鑰和演算法。

技術原理

無線區域網名詞解析。

網路按照區域分類可以分為區域網，城域網和廣域網。

調制方式

11MbpsDSSS物理層採用補碼鍵控(CCK)調制模式。

CCK與現有的IEEE802.11DSSS具有相同的信道方案，在2.4GHzISM頻段上有三個互不幹擾的獨立信道，每個信道約佔25MHz。

因此，CCK具有多信道工作特性。

接入准備

設備類型：在無線區域網里，常見的設備有無線網卡、無線網橋、無線天線等。

1、無線網卡

無線網路無線網卡的作用類似於乙太網中的網卡，作為無線區域網的介面，實現與無線區域網的連接。

無線網卡根據介面類型的不同，主要分為三種類型，即PCMCIA無線網卡、PCI無線網卡和USB無線網卡。

PCMCIA無線網卡僅適用於筆記本電腦，支持熱插拔，可以非常方便地實現移動無線接入。

只是它們適合筆記本型電腦的PC卡插槽。

同桌面計算機相似，你可以使用外部天線來加強PCMCIA無線網卡。

PCI無線網卡適用於普通的台式計算機使用。

其實PCI無線網卡只是在PCI轉接卡上插入一塊普通的PCMCIA卡。

可以不需要電纜而使你的微機和別的電腦在網路上通信。

無線NIC與其他的網卡相似，不同的是，它通過無線電波而不是物理電纜收發數據。

無線NIC為了擴大它們的有效范圍需要加上外部天線。

當AP變得負載過大或信號減弱時，NIC能更改與之連接的訪問點AP，自動轉換到最佳可用的AP，以提高性能。

USB介面無線網卡適用於筆記本和台式機，支持熱插拔，如果網卡外置有無線天線，那麼，USB介面就是一個比較好的選擇。

2、無線網橋

從作用上來理解無線網橋，它可以用於連接兩個或多個獨立的網路段，這些獨立的網路段通常位於不同的建築內，相距幾百米到幾十公里。

所以說它可以廣泛應用在不同建築物間的互聯。

同時，根據協議不同，無線網橋又可以分為2.4GHz頻段的802.11b、802.11g和802.11n以及採用5.8GHz頻段的802.11a和802.11n的無線網橋。

無線網橋有三種工作方式，點對點，點對多點，中繼橋接。

特別適用於城市中的遠距離通訊．

在無高大障礙（山峰或建築）的條件下，一對速組網和野外作業的臨時組網。

其作用距離取決於環境和天線，現7km的點對點微波互連。

一對27dbi的定向天線可以實現10km的點對點微波互連。

12dbi的定向天線可以實現2km的點對點微波互連；一對只實現到鏈路層功能的無線網橋是透明網橋，而具有路由等網路層功能、在網路24dbi的定向天線可以實層實現異種網路互聯的設備叫無線路由器，也可作為第三層網橋使用。

無線網橋通常是用於室外，主要用於連接兩個網路，使用無線網橋不可能只使用一個，必需兩個以上，而AP可以單獨使用。

無線網橋功率大，傳輸距離遠（最大可達約50km），抗干擾能力強等，不自帶天線，一般配備拋物面天線實現長距離的點對點連接；一些新的集成設備也都大都踴躍出來了，應有盡有。

AP接入點又稱無線區域網收發器，用於無線網路的無線HUB，是無線網路的核心。

它是移動計算機用戶進入有線乙太網骨乾的接入點，AP可以簡便地安裝在天花板或牆壁上，它在開放空間最大覆蓋范圍可達300米，無線傳輸速率可以高達11Mbps。

3、無線天線

無線區域網天線可以擴展無線網路的覆蓋范圍，把不同的辦公大樓連接起來。

這樣，用戶可以隨身攜帶筆記本電腦在大樓之間或在房間之間移動

當計算機與無線AP或其他計算機相距較遠時，隨著信號的減弱，或者傳輸速率明顯下降，或者根本無法實現與AP或其他計算機之間通訊，此時，就必須藉助於無線天線對所接收或發送的信號進行增益（放大）。

無線天線有多種類型，不過常見的有兩種，一種是室內天線，優點是方便靈活，缺點是增益小，傳輸距離短；一種是室外天線。

室外天線的類型比較多，例如：柵欄式、平板式、拋物狀等等。

室外天線的優點是傳輸距離遠。

比較適合遠距離傳輸。

接入方式

無線網路根據不同的應用環境，無線區域網採用的拓撲結構主要有網橋連接型、訪問節點連接型、HUB接入型和無中心型四種。

1、網橋連接型。

該結構主要用於無線或有線區域網之間的互連。

當兩個區域網無法實現有線連接或使用有線連接存在困難時，可使用網橋連接型實現點對點的連接。

在這種結構中區域網之間的通信是通過各自的無線網橋來實現的，無線網橋起到了網路路由選擇和協議轉換的作用。

2、訪問節點連接型。

這種結構採用移動蜂窩通信網接入方式，各移動站點間的通信是先通過就近的無線接收站（訪問節點：AP）將信息接收下來，然後將收到的信息通過有線網傳入到「移動交換中心」，再由移動交換中心傳送到所有無線接收站上。

這時在網路覆蓋范圍內的任何地方都可以接收到該信號，並可實現漫遊通信。

3、HUB接入型。

在有線區域網中利用HUB可組建星型網路結構。

同樣也可利用無線AP組建星型結構的無線區域網，其工作方式和有線星型結構很相似。

但在無線區域網中一般要求無線AP應具有簡單的網內交換功能。

4、無中心型結構。

該結構的工作原理類似於有線對等網的工作方式。

它要求網中任意兩個站點間均能直接進行信息交換。

每個站點即是工作站，也是伺服器。

主要功能

1、無線網路動態速率轉換

2、當射頻情況變差時，可將數據傳輸速率從11Mbps降低為5.5Mbps、2Mbps和1Mbps。

3、漫遊支持

當用戶在樓房或公司部門之間移動時，允許在訪問點之間進行無縫連接。

IEEE802.11無線網路標准允許無線網路用戶可以在不同的無線網橋網段中使用相同的信道或在不同的信道之間互相漫遊。

4、擴展頻譜技術

是一種在二十世紀四十年代發展起來的調制技術，它在無線電頻率的寬頻帶上發送傳輸信號。

包括跳頻擴譜(FHSS)和直接順序擴譜(DSSS)兩種。

跳頻擴譜被限制在2Mb/s數據傳輸率，並建議用在特定的應用中。

對於其他所有的無線區域網服務，直接順序擴譜是一個更好的選擇。

在IEEE802.11b標准中，允許採用DSSS的乙太網速率達到11Mb/s。

5、自動速率選擇功能

IEEE802.11無線網路標准允許移動用戶設置在自動速率選擇（ARS）模式下，ARS功能會根據信號的質量及與網橋接入點的距離自動為每個傳輸路徑選擇最佳的傳輸速率，該功能還可以根據用戶的不同應用環境設置成不同的固定應用速率。

6、電源消耗管理功能

IEEE802.11還定義了MAC層的信令方式，通過電源管理軟體的控制，使得移動用戶能具有最長的電池壽命。

電源管理會在無數據傳輸時使網路處於休眠（低電源或斷電）狀態，這樣就可能會丟失數據包。

為解決這一問題，IEEE802.11規定了AP應具有緩沖區去儲存信息，處於休眠的移動用戶會定期醒來恢復該信息。

7、保密功能

僅僅靠普通的直序列擴頻編碼調制技術不夠可靠，如使用無線寬頻掃描儀，其信息又容易被竊取。

最新的WLAN標准採用了一種載入保密位元組的方法，使得無線網路具有同有線乙太網相同等級的保密性。

此密碼編碼技術早期應用於美國軍方無線電機密通信中，無線網路設備的另一端必須使用同樣的密碼編碼方式才可以互相通信，當無線用戶利用AP接入點連入有線網路時還必須通過AP接入點的安全認證。

該技術不但可以防止空中****，而且也是無線網路認證有效移動用戶的一種方法。

8、信息包重整

當傳送幀受到嚴重干擾時，必定要重傳。

因此若一個信息包越大，所需重傳的耗費也就越大；這時，若減小幀尺寸，把大信息包分割為若干小信息包，即使重傳，也只是重傳一個小信息包，耗費相對小的多。

這樣就能大大提高無線網在雜訊干擾地區的抗干擾能力。

Ⅳ 密碼編碼學與網路安全 如何將分組密碼轉化為流密碼

Block ciphers 分組密碼
分組密碼轉換成另一種固定大小的數據塊（通常是64位）固定大小的塊（可能是64位長再次）使用由鍵選擇功能。
如果鍵，輸入模塊和輸出模塊都n位，基本上定義了分組密碼排列的n位整數n位的整數，一個從對一的映射。

流密碼
.甲流密碼由一個狀態機，在每個狀態轉換一個比特的信息輸出。 這種輸出位流俗稱運行的關鍵.國家機器只不過是一個偽隨機數發生器更多。 例如，我們可以構建一個分組密碼加密多次通過其自己的輸出之一。 通常情況下，更復雜的結構是用於流加密來獲得高的速度。 .加密可以實現只要完全或門運行的關鍵明文消息。

Ⅳ 自學 網路安全工程師，需要學習那些東西，介紹幾本書！

首先看你的基礎，如果零基礎，則1開始；如果會網路不會linux，則2開始；如果基礎完善從3開始。

1.謝希仁的《計算機網路》===》Andrew S.Tanenbaum 的《計算機網路》===》《TCP/IP協議》（只看第一卷就可以）===》

2.《鳥哥Linux私房菜》（這本包含大量網路安全方面的知識，且入門簡單）===》

3.石志國《計算機網路安全教程》（這本的特點就是大量的實踐，幾乎都是自己動手做的）===》《白帽子講Web安全》（阿里巴巴的天才少年編寫，了解黑客攻擊方式專用，實例豐富）===《密碼編碼學與網路安全》再往後基本就是不同方向更深入的書了。

對了，還有勸你同時看看思科的書，會很有幫助。

不明白可以追問，祝你好運

Ⅵ 計算機網路安全的一個問題 關於加密解密的

NTFS是WinNT以上版本支持的一種提供安全性、可靠性的高級文件系統。在Windows2000和WindowsXP中，NTFS還可以提供諸如文件和文件夾許可權、加密、磁碟配額和壓縮這樣的高級功能。

一、加密文件或文件夾

步驟一：打開Windows資源管理器。

步驟二：右鍵單擊要加密的文件或文件夾，然後單擊「屬性」。

步驟三：在「常規」選項卡上，單擊「高級」。選中「加密內容以便保護數據」復選框

在加密過程中還要注意以下五點：

1.要打開「Windows 資源管理器」，請單擊「開始→程序→附件」，然後單擊「Windows 資源管理器」。

2.只可以加密NTFS分區卷上的文件和文件夾，FAT分區卷上的文件和文件夾無效。

3.被壓縮的文件或文件夾也可以加密。如果要加密一個壓縮文件或文件夾，則該文件或文件夾將會被解壓。

4.無法加密標記為「系統」屬性的文件，並且位於systemroot目錄結構中的文件也無法加密。

5.在加密文件夾時，系統將詢問是否要同時加密它的子文件夾。如果選擇是，那它的子文件夾也會被加密，以後所有添加進文件夾中的文件和子文件夾都將在添加時自動加密。

二、解密文件或文件夾

步驟一：打開Windows資源管理器。

步驟二：右鍵單擊加密文件或文件夾，然後單擊「屬性」。

步驟三：在「常規」選項卡上，單擊「高級」。

步驟四：清除「加密內容以便保護數據」復選框。

同樣，我們在使用解密過程中要注意以下問題：

1.要打開「Windows資源管理器」，請單擊「開始→程序→附件」，然後單擊「Windows資源管理器」。

2.在對文件夾解密時，系統將詢問是否要同時將文件夾內的所有文件和子文件夾解密。如果選擇僅解密文件夾，則在要解密文件夾中的加密文件和子文件夾仍保持加密。但是，在已解密文件夾內創立的新文件和文件夾將不會被自動加密。

以上就是使用文件加、解密的方法！而在使用過程中我們也許會遇到以下一些問題，在此作以下說明：

1.高級按鈕不能用

原因：加密文件系統(EFS)只能處理NTFS文件系統卷上的文件和文件夾。如果試圖加密的文件或文件夾在FAT或FAT32卷上，則高級按鈕不會出現在該文件或文件夾的屬性中。

解決方案：

將卷轉換成帶轉換實用程序的NTFS卷。

打開命令提示符。鍵入：

Convert [drive]/fs:ntfs

(drive 是目標驅動器的驅動器號)

2.當打開加密文件時，顯示「拒絕訪問」消息

原因：加密文件系統(EFS)使用公鑰證書對文件加密，與該證書相關的私鑰在本計算機上不可用。

解決方案：

查找合適的證書的私鑰，並使用證書管理單元將私鑰導入計算機並在本機上使用。

3.用戶基於NTFS對文件加密，重裝系統後加密文件無法被訪問的問題的解決方案(注意：重裝Win2000/XP前一定要備份加密用戶的證書)：

步驟一：以加密用戶登錄計算機。

步驟二：單擊「開始→運行」，鍵入「mmc」，然後單擊「確定」。

步驟三：在「控制台」菜單上，單擊「添加/刪除管理單元」，然後單擊「添加」。

步驟四：在「單獨管理單元」下，單擊「證書」，然後單擊「添加」。

步驟五：單擊「我的用戶賬戶」，然後單擊「完成」(如圖2，如果你加密用戶不是管理員就不會出現這個窗口，直接到下一步) 。

步驟六：單擊「關閉」，然後單擊「確定」。

步驟七：雙擊「證書——當前用戶」，雙擊「個人」，然後雙擊「證書」。

步驟八：單擊「預期目的」欄中顯示「加密文件」字樣的證書。

步驟九：右鍵單擊該證書，指向「所有任務」，然後單擊「導出」。

步驟十：按照證書導出向導的指示將證書及相關的私鑰以PFX文件格式導出(注意：推薦使用「導出私鑰」方式導出，這樣可以保證證書受密碼保護，以防別人盜用。另外，證書只能保存到你有讀寫許可權的目錄下)。

4.保存好證書

注意將PFX文件保存好。以後重裝系統之後無論在哪個用戶下只要雙擊這個證書文件，導入這個私人證書就可以訪問NTFS系統下由該證書的原用戶加密的文件夾(注意：使用備份恢復功能備份的NTFS分區上的加密文件夾是不能恢復到非NTFS分區的)。

最後要提一下，這個證書還可以實現下述用途：

(1)給予不同用戶訪問加密文件夾的許可權

將我的證書按「導出私鑰」方式導出，將該證書發給需要訪問這個文件夾的本機其他用戶。然後由他登錄，導入該證書，實現對這個文件夾的訪問。

(2)在其也WinXP機器上對用「備份恢復」程序備份的以前的加密文件夾的恢復訪問許可權

將加密文件夾用「備份恢復」程序備份，然後把生成的Backup.bkf連同這個證書拷貝到另外一台WinXP機器上，用「備份恢復」程序將它恢復出來(注意：只能恢復到NTFS分區)。然後導入證書，即可訪問恢復出來的文件了。

WindowsXP中的文件加密功能及其使用

作者：lvvl 來源：賽迪網安全社區

Windows XP文件加密功能強大並且簡單易用，因而許多用戶都使用它來保護自己的重要文件。但由於大部分用戶對該功能了解不足，在使用過程中經常出現問題，在本刊「電腦醫院」中我們也頻繁地收到讀者的求助信，為此，CHIP在這里將特意為您詳細介紹有關該功能的使用技巧。

微軟在Windows2000中內建了文件加密功能，該功能後來被移植到WinXP中。使用該功能，我們只需簡單地單擊幾下滑鼠就可以將指定的文件或者文件夾進行加密，而且在加密後我們依然可以和沒加密前一樣方便地訪問和使用它們，非常方便。而且加密後即使黑客侵入系統，完全掌握了文件的存取權，依然無法讀取這些文件與文件夾。

但簡單強大的文件加密功能也給許多用戶帶來了困擾。由於使用簡單，許多用戶都樂於使用它來保護自己的重要文件，但大部分用戶由於缺乏對該功能的真正了解，在使用時泄密、無法解密等問題頻繁發生，恰恰被加密的文件往往是重要的文件，影響非常大。為此，筆者特意整理了有關該功能的一些相關知識和使用技巧與您分享。

加密和解密文件與文件夾

Windows2000系列和WinXP專業版及Windows2003的用戶都可使用內建的文件加密功能，但前提是准備加密的文件與文件夾所在的磁碟必須採用NTFS文件系統。同時要注意，由於加密解密功能在啟動時還不能夠起作用，因此系統文件或在系統目錄中的文件是不能被加密的，如果操作系統安裝目錄中的文件被加密了，系統就無法啟動。另外，NTFS文件系統還提供一種壓縮後用戶可以和沒壓縮前一樣方便訪問文件與文件夾的文件壓縮功能，但該功能不能與文件加密功能同時使用，使用ZIP、RAR等其他壓縮軟體壓縮的文件不在此限。

加密時，只需使用滑鼠右鍵單擊要加密的文件或者文件夾，然後選擇「屬性」，在「屬性」對話框的「常規」選項卡上單擊「高級」按鈕，在「高級屬性」對話框上選中「加密內容以保護數據」復選框並確認即可對文件進行加密，如果加密的是文件夾，系統將進一步彈出「確認屬性更改」對話框要求您確認是加密選中的文件夾，還是加密選中的文件夾、子文件夾以及其中的文件。而解密的步驟與加密相反，您只需在「高級屬性」對話框中清除「加密內容以保護數據」復選框上的選中標記即可（如圖1），而在解密文件夾時將同樣彈出「確認屬性更改」對話框要求您確認解密操作應用的范圍。

圖1

加密後，用戶可以像使用普通文件一樣直接打開和編輯，又或者執行復制、粘貼等操作，而且用戶在加密文件夾內創建的新文件或從其他文件夾拷貝過來的文件都將自動被加密。被加密的文件和文件夾的名稱將默認顯示為淡綠色，如您的電腦上被加密的文件和文件夾的名稱不是彩色顯示，您可以單擊「我的電腦|工具|文件夾選項」，然後在「文件夾選項」對話框中單擊「查看」選項卡，選中「以彩色顯示加密或壓縮的NTFS文件」復選框即可。

賦予或撤銷其他用戶的許可權

如果需要，您可賦予其他用戶對加密文件的完全訪問許可權，但要明白，Windows所採用的是基於密鑰的加密方案，並且是在用戶第一次使用該功能時才為用戶創建用於加密的密鑰，因此您准備賦予許可權的用戶也必須曾經使用過系統的加密功能，否則將無法成功賦予對方許可權。Windows內建的文件加密功能只允許賦予其他用戶訪問加密文件的完全許可權，而不允許將加密文件夾的許可權賦予給其他用戶。
要賦予或撤銷其他用戶對加密文件的訪問許可權，可用滑鼠右鍵單擊已加密的文件，選擇「屬性」，在「屬性」對話框的「常規」選項卡上單擊「高級」按鈕，在「高級屬性」對話框中單擊「詳細信息」按鈕，即可通過「添加」和「刪除」按鈕添加或刪除其他可以訪問該文件的用戶。

備份密鑰

有許多讀者在系統發生故障或重新安裝系統以後，無法再訪問之前他們加密過的文件與文件夾而向本刊「電腦醫院」求助。但此時為時已晚，Windows內建的加密功能與用戶的賬戶關系非常密切，同時用於解密的用戶密鑰也存儲在系統內，任何導致用戶賬戶改變的操作和故障都有可能帶來災難，要避免這種情況的發生，您必須未雨綢繆，在使用加密功能後馬上備份加密密鑰。

備份密鑰的操作並不復雜，您只需單擊「開始|運行」，鍵入「certmgr.msc」打開證書管理器，在左邊窗口中依次單擊控制台，打開「證書-當前用戶」下的「個人」中的「證書」，然後在右邊窗口中用滑鼠右鍵單擊「預期目的」是「加密文件系統」的證書，指向「所有任務|導出」，系統將打開「證書導出向導」指引您進行操作，向導將詢問您是否需要導出私鑰，您應該選擇「導出私鑰」，並按照向導的要求輸入密碼保護導出的私鑰，然後選擇存儲導出後文件的位置即可完成。

建議您將導出的證書存儲在系統盤以外的其他磁碟上，以避免在使用磁碟鏡像之類的軟體恢復系統時將備份的證書覆蓋掉。備份後，當加密文件的賬戶出現問題或重新安裝了系統後需要訪問或解密以前加密的文件時，您只需要使用滑鼠右鍵單擊備份的證書，選擇「安裝PFX」，系統將彈出「證書導入向導」指引您的操作，您只需要鍵入當初導出證書時輸入用於保護備份證書的密碼，然後選擇讓向導「根據證書類型，自動選擇證書存儲區」即可完成，完成後就可以訪問以前的加密文件了。

指定恢復代理

如果您同時使用多個賬戶或者與其他用戶共用一台電腦，擔心更換賬戶或者其他賬戶加密的文件出問題，那麼您可以考慮指定一個文件故障恢復代理，恢復代理可以解密系統內所有通過內建加密功能加密的文件，一般用於網路管理員在網路上處理文件故障，並能使管理員在職員離職後解密職員加密的工作資料。在Win2000中，默認Administrator為恢復代理，而在WinXP上，如果需要恢復代理則必須自行指定。但需要注意，恢復代理只能夠解密指定恢復代理後被加密的文件，所以您應該在所有人開始使用加密功能前先指定恢復代理。

如果您所使用的電腦是企業網路中的，那麼您需要聯系管理員查詢是否已經制定了故障恢復策略，而如果您只是在使用一台單獨的電腦，那麼您可以按照下面的步驟指定恢復代理。首先，您需要使用准備指定為恢復代理的用戶賬戶登錄，申請一份故障恢復證書，該用戶必須是管理員或者擁有管理員許可權的管理組成員。對於企業網路上的電腦，登錄後可以通過上面介紹過的「證書管理器」，在「使用任務」中的「申請新證書」中向伺服器申請。而在個人電腦上，您必須單擊「開始|附件|命令提示符」，在命令行窗口中鍵入「cipher /r:c:\efs.txt」（efs.txt可以是任一文件），命令行窗口將提示您輸入保護證書的密碼並生成我們需要的證書。生成的證書一個是PFX文件，一個是CER文件，先使用滑鼠右鍵單擊PFX文件，選擇「安裝PFX」，通過彈出的「證書導入向導」選擇「根據證書類型，自動選擇證書存儲區」 導入證書。

接下來再單擊「開始|運行」，鍵入「gpedit.msc」打開組策略編輯器，在左邊控制台上依次單擊「本地計算機策略|計算機配置|Windows 設置|安全設置|公鑰策略|加密文件系統」，然後在右邊窗口中用滑鼠右鍵單擊選擇「添加數據恢復代理」（如圖2），然後在彈出的「添加數據恢復代理向導」中瀏覽並選擇剛才生成的證書中的CER文件，在鍵入保護證書的密碼後，向導將導入證書，完成指定恢復代理的工作。完成後，在以後需要的時候，只需使用被指定為恢復代理的賬戶登錄，就可以解密系統內所有在指定恢復代理後被加密的文件。

圖2

禁止加密功能

在多用戶共用電腦的環境下，我們往往通過將其他用戶指定為普通用戶許可權，限制他們使用某些功能，但由於普通用戶賬戶默認允許使用加密功能，因此在一些多用戶共用的電腦上經常會帶來一些困擾。如果擔心電腦上其他用戶亂加密磁碟上的文件，您可以設置特定的文件夾禁止被加密，也可以完全禁止文件加密功能。

如果您希望將某個文件夾設置為禁止加密，可以編輯一個文本文件，內容包括「[Encryption]」和「Disable=1」兩行，然後命名為「Desktop.ini」，將其放到不希望被加密的文件夾中即可。當其他用戶試圖加密該文件夾時，系統將提示用戶該文件夾加密功能被禁止。但需要注意，您只能使用這種方法禁止其他用戶加密該文件夾，文件夾中的子文件夾將不受保護。

如果需要，您也可以完全禁止文件加密功能，在Win2000中，只需使用Administrator登錄並運行「secpol.msc」打開策略編輯器，用滑鼠右鍵單擊左邊控制台上的「安全設置|公鑰策略|加密文件系統」，選擇「屬性」，在屬性對話框上清除「允許用戶使用文件加密系統（EFS）來加密文件」復選框上的選中標記，然後重新啟動電腦即可。而在WinXP上雖然也有相應的選項，但實際上並不能夠起作用，您需要通過編輯注冊表來禁止文件加密功能。首先單擊「開始|運行」，鍵入「regedit.exe」打開注冊表編輯器，依次單擊 「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EFS」，再用滑鼠右鍵單擊建立一個「DWORD」值，雙擊新建的值並賦值為「1」，關閉注冊表後重新啟動電腦。這樣，當其他用戶試圖使用文件加密功能時，系統將提示加密功能已被禁止（如圖3）。

圖3

防止泄密

由於對文件加密功能缺乏了解，許多讀者對該功能是否能夠真正發揮作用抱有懷疑態度，而另外一些用戶卻又因為過分地放心而導致泄密事件頻繁發生。首先，對於該功能的加密效果您大可放心，不必因為在您使用加密文件時不需要輸入密碼而懷疑加密效果，在加密後能夠透明地使用恰恰正是該功能的優點。雖然有一些第三方軟體曾經成功地破解使用該功能加密的文件，但這種軟體暫時對於Windows XP是無效的，而且即使在其他版本的Windows 操作系統上，也是可以避免的。

但您需要小心由於自己的失誤引起加密失效，也需要了解該功能的特點。Windows XP內建的文件加密功能與用戶的賬戶是聯系在一起的，換言之，如果您的Windows賬戶沒有保護好，密碼被其他人獲得，那麼對方也就可以像您一樣登錄系統訪問加密的文件。另外，當已加密的文件被拷貝或者移動到非NTFS文件系統磁碟上時，文件將被解密。在文件通過網路傳輸時，也是以明文方式進行傳輸的。這些您都需要清楚，避免錯誤操作引起泄密。而最主要的是加密後的文件並不是絕對安全的，雖然可以確保不被讀取，但卻無法避免被刪除。

此外，在加密文件的過程中，系統將把原來的文件存儲到緩沖區，然後在加密後將原文件刪除。這些被刪除掉的文件在系統上並不是不可能恢復的，通過磁碟文件恢復工具很有可能被恢復過來而造成泄密，此時您需要考慮通過其他磁碟安全工具，或者使用系統內建的「cipher」命令對磁碟上的已刪除文件進行清除，具體的步驟是，單擊「開始|附件|命令提示符」，在命令行窗口中鍵入「cipher /w C:\foldername」即可清除C盤foldername文件夾中已刪除文件殘留的碎片，如果不輸入文件夾名稱則將對整個磁碟進行清理。

疑難排解

當您的Windows登錄賬戶變更而無法訪問已加密的文件時，由於用戶的賬戶名稱或者密碼變更時將無法與原來的加密證書聯繫上，因而您需要考慮是否在使用其他賬戶時更改了當前賬戶的名稱或者密碼？又或者是管理員進行了這樣的操作？如果的確如此，您可以嘗試將自己的賬戶名稱和密碼更改成原來的，問題應該能夠解決。但需要注意，根據微軟的說法，改回賬戶名稱與密碼的方法在管理員賬戶上可能無效，而且如果您的賬戶並不是改變而是被刪除後重建，也就是說是一個全新的賬戶，那麼您只能夠求助於恢復代理或者導入備份的證書。

如果您已經重新格式化了硬碟、重新安裝了系統又或者使用尚未加密文件時的系統盤鏡像恢復了系統而導致無法訪問加密文件，那麼您只能夠通過導入自己的證書或者恢復代理的方法來解決問題，這時基本上已經沒有其他方法可以幫助您取迴文件。另外，Windows XP SP1版後使用了新的加密演算法，如果您加密時使用的是Windows XP SP1版本，那麼當您嘗試挽救數據時也應該使用該版本，或者未來的更新版本，否則在其他版本上亂試，加密文件可能會損毀。

系統安全 深入理解加密文件系統EFS

微軟在NTFS4.0及後續版本的文件系統中，捆綁了兩個功能強大的工具：壓縮文件系統和加密文件系統。這個選項在文件夾的屬性-高級裡面。是一個單選框。壓縮文件系統在這里就不多提了，不過有一點，可能有心的朋友注意得到，就是這兩個選項不可以同時選。這個原因很簡單，因為不論是加密文件還是壓縮文件，我們都是在改變文件，我們通過改變他們的讀碼框架來加密或者壓縮文件。這里可能有人要問，WinRAR為什麼可以及加密文件又壓縮文件。其實WinRAR加密的方法是在基於WinRAR這個文件壓縮系統，而不是基於文件本身。我們還是言歸正傳。

這裡面要提到的一點叫做加密方式。相信有些朋友對Alice和Bob這兩個名字非常熟悉，這兩個名字最早用於IBM出版的一本圖書中，用來解釋對稱加密和非對稱加密。對稱加密，簡單一點說就是加密所使用的密碼和解密所使用的密碼是同一個密碼。非對稱呢，加密使用的和解密是不同的密碼。這個不同的密碼，一個被稱為私鑰，另一個就是公鑰。從名字上面可以看出來，私鑰，是無論如何不會公開的，公鑰，則是發布出去的。

詳細解釋一下，熟悉非對稱加密的朋友可以跳過這一段。e.g.Alice要發送一份敏感數據給BOB，顯然需要加密。非對稱加密，使用兩個不同的密碼加密和解密。就是說，如果alice的公鑰和私鑰為一組密碼，分別是alice的公鑰和alice的私鑰。那麼，用alice公鑰加密的東西只有使用alice的私鑰可以解密，對應的，如果使用alice公鑰加密的東西，只有alice的私鑰可以解開。那麼對於bob也是一樣。如果我們採用對稱加密的方法，也就是加密和解密的過程使用的是一個密碼，那麼這個密碼是無論如何不能被第三方截獲的。互聯網路，可以截獲；電話，可以監聽；甚至當面交換，都可以被竊聽。所以這是對稱加密的一個重大缺陷。如果採用非對稱加密，alice和bob都不公開自己的私鑰，然後他們在交換信息前，互相交換公鑰。這樣，alice使用bob的公鑰加密alice要給bob的文件，這個使用bob公鑰加密過的文件，僅有bob的私鑰可以解開。而bob從來沒有公開過他的私鑰，所以，我們看到，這樣的加密，是安全的。這個信息加密解密，交換公鑰的過程，就是非對稱加密。

解釋過非對稱加密，我們也可以簡單的比較出兩者在安全性上的優越性。不過非對稱加密一個重要的缺陷，就是運算時間很長，對稱加密在工作效率上可能是非對稱加密的100-1000倍。所以微軟也是在看到這一點後，在EFS中集成了兩者的優點。EFS使用了對稱加密和非對稱加密結合的工作方式，即先生成一個字元串作為密鑰採用對稱加密方法加密文件，然後，再使用非對稱加密加密這個密鑰。這個密鑰具體位數我記不得了，大約在70位。這里出現一個問題，實際在操作系統中，公鑰和私鑰是怎麼獲得的？為什麼管理員可以解開所有用戶的加密文件？

依照微軟的白皮書中解釋，加密文件系統中的用戶證書的獲得，有兩種途徑，一個是從CA(CertificationAuthority)獲得，另一種是在企業級CA失效的時候由本機為自己頒發一個數字證書。這里需要解釋的是證書和密鑰的關系，證書是密鑰的載體，在證書中包含了密鑰。這里可能又有人要問，用戶的私鑰是存放在什麼地方？用戶的私鑰是通過另外一種驗證機制實現的，這個在系統層面，日後我會寫文章加以闡釋。除了這兩個密鑰，還有一個用於直接加密文件的密鑰，這個根據用戶自己的SID計算出來的，微軟沒有公開這方面的信息，還請有心人共同嘗試理解其中的工作原理。管理員之所以可以管理所有用戶的加密文件，是為了保證系統的穩定，如果每一個用戶的文件都只有創建者可以修改，那麼計算機可能因此陷入混亂的狀態。

近日聽聞有些軟體可以破解微軟的EFS，我本為之興奮，結果下載後研究了一下，這種軟體的工作原理是備份出管理員的帳戶信息，通過ERA(緊急恢復代理)實現加密文件的恢復。事實上，如果用戶不慎在重新安裝系統的時候忘記備份出相應的密鑰，那麼這個加密過的文件可能永遠打不開。這一點不難理解，因為每一次安裝操作系統，操作系統會隨即生成一個SID號，當然，如果用戶的人品足夠好，還是可能生成一樣的SID號的（開個玩笑）。關於備份管理員賬號和密碼，可以通過Windows2000及後續版本中內建的忘記密碼向導來幫助備份密碼。希望可以給大家一些幫助

Ⅶ 計算機網路安全教程的目錄

前言
第1章緒論1
1.1計算機網路面臨的主要威脅1
1.1.1計算機網路實體面臨威脅1
1.1.2計算機網路系統面臨威脅2
對計算機信息構成不安全的因素很多，其中包括人為的因素、自然的因素和偶發的因素。其中，人為因素是指，一些不法之徒利用計算機網路存在的漏洞，或者潛入計算機房，盜用計算機系統資源，非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素。
1.1.3惡意程序的威脅2
1.1.4計算機網路威脅的潛在對手和動機3
1.2計算機網路不安全因素4
1.2.1不安全的主要因素4
互聯網是對全世界都開放的網路，任何單位或個人都可以在網上方便地傳輸和獲取各種信息，互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項： 大多數的網路對用戶的使用沒有技術上的約束，用戶可以自由的上網，發布和獲取各類信息。
防範間諜軟體之危害的對策
1、公開安裝的間諜軟體
對於那些公開安裝的間諜軟體，你無需費多大工夫去研究他，因為你可以輕而易舉的將之卸載，除此之外，你還可以知道他們的大至功能所在。換句話說，對於這些公開安裝的間諜軟體，你有很多措施保護你的隱私不受侵犯。例如，從不在辦公室計算機里檢查私有的電子郵件。公開安裝的間諜軟體一般都是合法的，他們有特定的使用人群和用途。
公司和學院：他們也許使用間諜軟體監測他們雇員的計算機和網路使用。
父母：他們也許使用間諜軟體監測家庭電腦和網路使用。防止他們的孩子受到有害信息的毒害。許多父母希望間諜軟體可能幫助他們。
政府:他們也許為公開安全或信息戰爭而使用間諜軟體監測網路。
2、秘密侵入的間諜軟體
真正的危險來自那些秘密侵入到你計算機里的間諜軟體，因為你不知道他究竟想做什麼。所有間諜軟體的安裝都利用了兩種弱點。一種是PC機的應用軟體，另一種是你自己。
由於現代計算機軟體是極端復雜的,現有的很多應用軟體和操作系統都存在各種各樣的漏洞。間諜軟體可以利用這些漏洞侵入到你的計算機。理論上你不可能防止這種侵入，當你沖浪網頁,一張小圖片可能給你帶來可怕的間諜軟體。除給你的操作系統打上必要的補丁，盡可能不去不安全或不熟悉的站點是減少這種侵入的有效方法。
很顯然,這種利用應用軟體漏洞的侵入方式需要較高的技術水平。而絕大多數間諜軟體的侵入是採用簡單的欺詐方式。例如,他們免費給你提供一個可以清除間諜軟體的軟體，而他們真正的目的是將你計算機里原有的間諜軟體去除，用他們的取而代之。
如果你習慣在網上下載免費軟體，你的計算機里可能有一大堆間諜軟體。
所以我們有兩種方法對付這些秘密侵入的間諜軟體：盡量不去不熟悉或不安全的站點，盡量不從網上下載免費軟體。
這種秘密的侵入也有他特定的用戶群和用途。論防範間諜軟體之危害
1.2.2不安全的主要原因6
1.3計算機網路安全的概念7
計算機網路安全是指利用網路管理控制和技術措施，保證在一個網路環境里，數據的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免於破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。
1.3.1計算機網路安全的定義8
1.3.2計算機網路安全的目標8
1.3.3計算機網路安全的層次10
1.3.4計算機網路安全所涉及的內容10
1.4計算機網路安全體系結構11
1.4.1網路安全模型11
1.4.2OSI安全體系結構11
1.4.3P2DR模型14
1.4.4網路安全技術16
網路安全技術指致力於解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網路結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平台.我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高。
網路安全產品有以下幾大特點:第一,網路安全來源於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了;第二,網路的安全機制與技術要不斷地變化;第三,隨著網路在社會各方面的延伸,進入網路的手段也越來越多,因此,網路安全技術是一個十分復雜的系統工程.為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
網路安全產品的自身安全的防護技術網路安全設備安全防護的關鍵，一個自身不安全的設備不僅不能保護被保護的網路而且一旦被入侵，反而會變為入侵者進一步入侵的平台。
信息安全是國家發展所面臨的一個重要問題.對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上,產業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用。
1.5計算機網路安全管理18
1.5.1網路安全管理的法律法規18
1.5.2計算機網路安全評價標准18
1.5.3網路安全管理措施18
1.6計算機網路安全技術發展趨勢18
1.6.1網路安全威脅發展趨勢19
1.6.2網路安全主要實用技術的發展19
1.7小結20
1.8習題21
第2章物理安全22
2.1機房安全技術和標准22
2.1.1機房安全技術22
2.1.2機房安全技術標准29
2.2通信線路安全30
2.3設備安全31
2.3.1硬體設備的維護和管理31
2.3.2電磁兼容和電磁輻射的防護31
2.3.3信息存儲媒體的安全管理33
2.4電源系統安全33
2.5小結36
2.6習題36
第3章信息加密與PKI38
3.1密碼學概述38
3.1.1密碼學的發展38
密碼學是在編碼與破譯的斗爭實踐中逐步發展起來的，並隨著先進科學技術的應用，已成為一門綜合性的尖端技術科學。它與語言學、數學、電子學、聲學、資訊理論、計算機科學等有著廣泛而密切的聯系。它的現實研究成果，特別是各國政府現用的密碼編制及破譯手段都具有高度的機密性。
進行明密變換的法則，稱為密碼的體制。指示這種變換的參數，稱為密鑰。它們是密碼編制的重要組成部分。密碼體制的基本類型可以分為四種：錯亂－－按照規定的圖形和線路，改變明文字母或數碼等的位置成為密文；代替－－用一個或多個代替表將明文字母或數碼等代替為密文；密本－－用預先編定的字母或數字密碼組，代替一定的片語單詞等變明文為密文；加亂－－用有限元素組成的一串序列作為亂數，按規定的演算法，同明文序列相結合變成密文。以上四種密碼體制，既可單獨使用，也可混合使用 ，以編制出各種復雜度很高的實用密碼。
20世紀70年代以來，一些學者提出了公開密鑰體制，即運用單向函數的數學原理，以實現加、脫密密鑰的分離。加密密鑰是公開的，脫密密鑰是保密的。這種新的密碼體制，引起了密碼學界的廣泛注意和探討。
利用文字和密碼的規律，在一定條件下，採取各種技術手段，通過對截取密文的分析，以求得明文，還原密碼編制，即破譯密碼。破譯不同強度的密碼，對條件的要求也不相同，甚至很不相同。
3.1.2密碼學基本概念40
密碼學是研究編制密碼和破譯密碼的技術科學。研究密碼變化的客觀規律，應用於編制密碼以保守通信秘密的，稱為編碼學；應用於破譯密碼以獲取通信情報的，稱為破譯學，總稱密碼學。
密碼學是研究編制密碼和破譯密碼的技術科學。研究密碼變化的客觀規律，應用於編制密碼以保守通信秘密的，稱為編碼學；應用於破譯密碼以獲取通信情報的，稱為破譯學。總稱密碼學。
密碼學（在西歐語文中，源於希臘語kryptós「隱藏的」，和gráphein「書寫」）是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究，常被認為是數學和計算機科學的分支，和資訊理論也密切相關。著名的密碼學者Ron Rivest解釋道：「密碼學是關於如何在敵人存在的環境中通訊」，自工程學的角度，這相當於密碼學與純數學的異同。密碼學是信息安全等相關議題，如認證、訪問控制的核心。密碼學的首要目的是隱藏信息的涵義，並不是隱藏信息的存在。密碼學也促進了計算機科學，特別是在於電腦與網路安全所使用的技術，如訪問控制與信息的機密性。密碼學已被應用在日常生活：包括自動櫃員機的晶元卡、電腦使用者存取密碼、電子商務等等。
密碼是通信雙方按約定的法則進行信息特殊變換的一種重要保密手段。依照這些法則，變明文為密文，稱為加密變換；變密文為明文，稱為脫密變換。密碼在早期僅對文字或數碼進行加、脫密變換，隨著通信技術的發展，對語音、圖像、數據等都可實施加、脫密變換。
3.1.3加密體制分類40
3.2加密演算法43
3.2.1古典密碼演算法43
3.2.2單鑰加密演算法44
3.2.3雙鑰加密演算法51
3.3信息加密技術應用53
3.3.1鏈路加密54
3.3.2節點加密54
3.3.3端到端加密55
3.4認證技術56
3.4.1認證技術的分層模型56
3.4.2認證體制的要求與模型56
3.4.3數字簽名技術57
3.4.4身份認證技術57
3.4.5消息認證技術59
3.4.6數字簽名與消息認證61
3.5公開密鑰基礎設施（PKI）61
3.5.1PKI的基本概念62
3.5.2PKI認證技術的組成63
3.5.3PKI的特點70
3.6常用加密軟體介紹70
3.6.1PGP70
3.6.2GnuPG74
3.7小結77
3.8習題78
第4章防火牆技術79
4.1概述79
4.1.1防火牆的概念79
4.1.2防火牆的功能79
4.1.3防火牆的局限性81
4.2防火牆體系結構82
4.2.1雙重宿主主機體系結構82
4.2.2屏蔽主機體系結構83
4.2.3屏蔽子網體系結構84
4.2.4防火牆體系結構的組合形式86
4.3防火牆技術86
4.3.1包過濾技術86
4.3.2代理服務技術92
4.3.3狀態檢測技術96
4.3.4NAT技術97
4.4防火牆的安全防護技術99
4.4.1防止防火牆標識被獲取99
4.4.2防止穿透防火牆進行掃描101
4.4.3克服分組過濾脆的弱點103
4.4.4克服應用代理的脆弱點104
4.5防火牆應用示例105
4.5.1網路衛士防火牆3000系統組成105
4.5.2網路衛士防火牆3000典型應用拓撲圖105
4.5.3典型應用配置示例106
4.6個人防火牆111
4.6.1個人防火牆概述111
4.6.2個人防火牆的主要功能112
4.6.3個人防火牆的特點113
4.6.4主流個人防火牆簡介113
4.7防火牆發展動態和趨勢118
4.8小結120
4.9習題121
第5章入侵檢測技術122
5.1入侵檢測概述122
5.1.1入侵檢測原理123
5.1.2系統結構123
5.1.3系統分類124
5.2入侵檢測的技術實現127
5.2.1入侵檢測分析模型127
5.2.2誤用檢測128
5.2.3異常檢測131
5.2.4其他檢測技術135
5.3分布式入侵檢測138
5.3.1分布式入侵檢測的優勢138
5.3.2分布式入侵檢測的技術難點139
5.3.3分布式入侵檢測現狀140
5.4入侵檢測系統的標准141
5.4.1IETF/IDWG142
5.4.2CIDF144
5.5入侵檢測系統示例145
5.5.1Snort簡介146
5.5.2Snort的體系結構146
5.5.2Snort的安裝與使用148
5.5.2Snort的安全防護151
5.6小結152
5.7習題153
第6章操作系統與資料庫安全技術154
6.1訪問控制技術154
6.1.1認證、審計與訪問控制154
6.1.2傳統訪問控制技術156
6.1.3新型訪問控制技術158
6.1.4訪問控制的實現技術160
6.1.5安全訪問規則（授權）的管理162
6.2操作系統安全技術163
6.2.1操作系統安全准則163
6.2.2操作系統安全防護的一般方法165
6.2.3操作系統資源防護技術166
6.2.4操作系統的安全模型168
6.3UNIX/Linux系統安全技術171
6.3.1UNIX/Linux安全基礎171
6.3.2UNIX/Linux安全機制172
6.3.3UNIX/Linux安全措施173
6.4Windows2000/XP系統安全技術175
6.4.1Windows2000/XP安全基礎175
6.4.2Windows2000/XP安全機制177
6.4.3Windows2000/XP安全措施179
6.5資料庫安全概述186
6.5.1資料庫安全的基本概念186
6.5.2資料庫管理系統簡介187
6.5.3資料庫系統的缺陷與威脅188
6.6資料庫安全機制189
6.6.1資料庫安全的層次分布189
6.6.2安全DBMS體系結構189
6.6.3資料庫安全機制191
6.6.4Oracle的安全機制196
6.7資料庫安全技術197
6.8小結198
6.9習題198
第7章網路安全檢測與評估技術200
7.1網路安全漏洞200
7.1.1網路安全漏洞威脅200
7.1.2網路安全漏洞的分類201
7.2網路安全漏洞檢測技術203
7.2.1埠掃描技術203
7.2.2操作系統探測技術204
7.2.3安全漏洞探測技術205
7.3網路安全評估標准206
7.3.1網路安全評估標準的發展歷程206
7.3.2TCSEC、ITSEC和CC的基本構成209
7.4網路安全評估方法213
7.4.1基於通用評估方法（CEM）的網路安全評估模型213
7.4.2基於指標分析的網路安全綜合評估模型215
7.4.3基於模糊評價的網路安全狀況評估模型220
7.5網路安全檢測評估系統簡介221
7.5.1InternetScanner221
7.5.2Nessus225
7.6小結231
7.7習題231
第8章計算機病毒與惡意代碼防範技術232
8.1計算機病毒概述232
8.1.1計算機病毒的定義232
8.1.2計算機病毒簡史233
8.1.3計算機病毒的特徵234
8.1.4計算機病毒的危害235
8.2計算機病毒的工作原理和分類237
8.2.1計算機病毒的工作原理237
8.2.2計算機病毒的分類241
8.2.3病毒實例分析244
8.3計算機病毒的檢測與防範248
8.3.1計算機病毒的檢測248
8.3.2計算機病毒的防範251
8.3.3計算機病毒的發展方向和趨勢253
8.4惡意代碼255
8.4.1惡意代碼的特徵與分類255
8.4.2惡意代碼的關鍵技術256
8.4.3網路蠕蟲258
8.4.4Rootkit技術259
8.4.5惡意代碼的防範261
8.5小結262
8.6習題263
第9章數據備份技術264
9.1數據備份概述264
9.1.1產生數據失效的主要原因264
9.1.2備份及其相關概念266
9.1.3備份的誤區267
9.1.4選擇理想的備份介質267
9.1.5備份技術和備份方法268
9.2數據備份方案269
9.2.1磁碟備份269
9.2.2雙機備份276
9.2.3網路備份280
9.3數據備份與數據恢復策略283
9.3.1數據備份策略283
9.3.2災難恢復策略286
9.4備份軟體簡介286
9.4.1NortonGhost286
9.4.2SecondCopy288
9.5小結290
9.6習題291
第10章網路安全解決方案292
10.1網路安全體系結構292
10.1.1網路信息安全的基本問題292
10.1.2網路安全設計的基本原則294
10.2網路安全解決方案295
10.2.1網路安全解決方案的基本概念295
10.2.2網路安全解決方案的層次劃分296
10.2.3網路安全解決方案的框架297
10.3網路安全解決方案設計299
10.3.1網路系統狀況299
10.3.2安全需求分析299
10.3.3網路安全解決方案302
10.4單機用戶網路安全解決方案304
10.4.1單機用戶面臨的安全威脅304
10.4.2單機用戶網路安全解決方案305
10.5內部網路安全管理制度306
10.6小結308
10.7習題308
附錄309
附錄A彩虹系列309
附錄B安全風險分析一覽表310
參考文獻316
……