网络安全读书笔记

网络安全读书笔记【篇一：网络安全读后感】网络安全读后感随着网络的普及，我们已迈入了信息时代的21世纪，在大家的生活中计算机已经成为了必不可少的东西。人们足不出户就可以再计算机上了解社会上的一切信息。做到了吃在“计算机”，穿在“计算机”，购物在“计算机”，甚至可以在计算机上进行交友，计算机、网络简直成了万能的东西，给我们的生活带来了不少便捷，但是网络并不是没有风险的，在网络中也存在一些安全问题。当你在进行网络活动的时候，你的计算机有可能正在遭受着危险，你的个人信息遭到了泄露。因此在我们使用计算机的同时要注意自己的计算机是否遭到了危险。新世纪、新方法，信息化大大加快人们生活的节奏，同时也提高了人们办事的效率，就拿邮件来说，以往人们需要通过书信的方式，寄信才能向对方传达自己想要告诉对方的事。现在呢？可谓是大大地不同，Ｅ－mail的普及，形形色色的邮箱到处可见，你只要在计算机上打上你要发的内容，轻轻的点一下发送就可以将东西及时传到对方的手中，节省了大量的时间，同时工作效率也得到了提高。发邮件是如此，购物也不例外啊，随着电子商务的发展，网购成了生活中必不可少的东西，淘宝和京东商城大家一定不会陌生，人们不用为买东西跑到很远的地方而感到烦恼，打开计算机，轻轻的点几下货物就会送到家门口。十分的方便快捷。还有qq这个或许是人们最常用的交流平台，在这里你可以找到很多好友并一起分享自己的快乐，等等，总之网络给我们带来了很多好处，但是在你使用时你知道在这之中也存在危险，当你在购物时，需要通过网络从你的网银卡中扣除一定的金钱，但是如果出错或者是错误的网站，卡中的钱就悄悄的流失，你不知道是怎么回事，这种事情屡见不鲜，电视上经常有报导。qq上的被陌生人骗去金钱，感情用事更是常见的事，这些都是网络存在的问题，你不知道对方的信息。在网站注册都需要一些个人信息，这就导致了我们的信息容易外泄。不久前一个网站就遭受到了入侵，在这个网站注册的人的信息遭到了外泄，大家感到不安，各大网站虽然都有安全防护，但是现在的黑客都有很强的能力。现在“山寨版”的网站在网络上横行，在正版和山寨之间你根本分不清哪个是真的，山寨版达到了以假乱真的地步，被其欺骗的人不在少数。大家在浏览网页的同时要注意其网页排布，不要被欺骗。网络虽好但并不是万能的，在网络上有很多的陷阱，有很多的骗局，当你每打开一个网页的时候你应该注意其网页的是否正规，不要上了不法分子的当，被骗去钱物，注意自，己在网络上的信息公布，不要去打开那些不安全的网络，支付钱财等方式更要注意自己的账户的安全。黑客大家更要注意，熊猫烧香病毒入侵了不少人的电脑。网络虽好，大家也要注意自己的信息和自己的账户的安全，不要特意上别人的当，时刻关注与自己相关的事。注意自己的安全，了解网络存在的安全，为自己能健康上网打下基础，同时也为自己的安全提供保障。养成健康上网的好习惯，不要让那些有机分有可乘之机，这样不但加强了自身的安全保障，也让自己不在为自己在网络上的信息而担心。【篇二：网络安全学习笔记】计算机网络的不安全因素：一般来说，计算机网络本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。一方面，计算机网络的硬件和通信设施极易遭受自然环境的影响，以及自然灾害和人为的物理破坏；另一方面，计算机网络的软件资源和数据信息易受到非法的窃取、复制、篡改和毁坏；再有，计算机网络硬件的自然损耗和自然失效，以及软件的逻辑错误，同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。不安全的因素：偶发因素、自然灾害、人为因素。人为因素又分为被动攻击、主动攻击、邻近攻击、内部人员攻击。互联网的不安全性：互联网是开放的、国际的、自由性的网络。计算机网络安全，广义上说是凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域；具体上来说是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。计算机网络安全的目标：保密性、完整性、可用性、不可否认性、可控性。osi安全体系结构中定义了五大类安全服务，也称为安全防护措施，分别为鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务。保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。防火墙的功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。对网络攻击检测和告警的体现：一是控制不安全的服务；二是站点访问控制；三是集中安全服务；四是强化私有权；五是网络连接的日志记录及使用统计。防火墙的局限性：一是网络的安全性通常是以网络服务的开放性和灵活性为代价；二是防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。防火墙的体系结构：双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙，它们的实现技术主要有包过滤技术、代理服务技术、状态检测技术和nat技术等。包过滤技术工作在网络层，它的缺陷：一是【篇三：网络安全教程读书笔记】网络安全教程读书笔记第4章数据加密技术一、数据加密概述在信息时代，信息本身是把双刃剑，一方面它服务于我们的生产、生活、使我们受益；一方面,信息的泄露可能对我们构成巨大的威胁。因此，客观上就需要一种有力的安全措施来保护机密数据不被窃取或篡改。数据加密与解密从宏观上讲是非常简单的，很容易理解。加密与解密的一些方法也是非常直接的，而且非常容易掌握的，可以方便地对机密数据进行加密和解密。加密是指发送方将一个信息（或称为明文）经过加密钥匙及加密函数转换，变成无意义的密文，而接收方将此密文经过解密，解密密钥还原成明文。加密技术是网络安全技术的基石。任何一个加密系统至少包括以下4个部分：（1）明文（未加密的报文）（2）密文（加密后的报文）（3）加密解密设备或算法（4）加密解密的密钥计算机网络中的加密可以在不同层次上进行，最常见的是在应用层、链路层和网络层进行加密。数据加密可以分为两种途径：一种是通过硬件实现数据加密，另一种是通过软件实现数据加密。通常所说的数据加密是指通过软件对数据进行加密。通过硬件实现网络数据加密的方法有3种：；链路层加密、节点加密和端对端加密。常用软件加密算法分为对称加密和非对称加密。二、数据加密标准des(dataencryptionstandard数据加密标准)由ibm公司研制，并于1977年被美国国家标准局确定为联邦信息标准中的一项。iso也已将des定为数据加密标准。des是世界上最早被公认的实用密码算法标准，目前它已经受了长达20余年的实践考验。des使用相同的算法对数据进行加密和解密，所使用的加密密钥和解密密钥也是相同的。des采用56位长的密钥将64位长的数据加密成等长的密文。在des加密过程中，先对64位长的明文进行初始置换，然后将其分割成左右各32位长的字块，经过16次迭代，进行循环移位与变换，最后再进行逆变换得出64位长的密文。des的解密过程与解密过程很相似，只需将密钥的使用顺序进行颠倒。des算法采用了散布、混乱等基本技巧，构成其算法的基本单元是简单的置换、代替和模2加。des的整个算法结构是公开的，其安全性由密钥保证。三、国际数据加密标准国际数据加密算法（idea）是由瑞士的学者提出。在1990年正式公布并在以后得到增强与完善。这种算法是在des算法的基础上发展出来的，类似与三重des。idea也是针对des具有密钥太短的缺点而提出的。idea的密钥为128位，这么长的密钥在今后若干年内应该是安全的。类似于des，idea算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与des的不同之处在于，它采用软件实现，但与硬件实现的速度一样快。四、单向函数单向函数的概念是公开密钥密码的中心。尽管它本身并不是一个协议，但在本书中所讨论的大多数协议来说却是一个基本结构模块。单向函数是一类计算起来相对容易，但求逆却非常困难的函数。也就是说，已知x，我们很容易计算出f(x)。但已知f(x)，却难于计算出x.。在这里，“难”定义为：即使世界上所有的计算机都用来计算，从f(x)计算出x也要花费数百万年的时间。五、单向hash函数单项hash函数有：压缩函数、缩短函数、消息摘要、指纹、密码校验和、信息完整性检验（dic）和操作检验码（mdc）。单向hash函数是现代密码学的核心。单向hash函数是许多协议的另一结构模块。hash函数长期以来一直在计算机科学中使用，无论是从数学角度还是从别的角度看，hash函数就是把可变输入长度串（叫做预映射，pre-image）转换成固定长度（经常更短）输出串（叫做hash值）的一种函数。简单的hash函数就是对预映射的处理，并且返回由所有入字节转换成的单一字节。六、公开密钥密码体制传统的加密方法是加密、解密使用相同的密钥，由发送者和接收者分别保存，在加密和解密时使用。采用这种方法的主要问题是密钥的生成、注入、存储、管理及分发等过程很复杂，特别是随着用户的增加，密钥的需求量成倍增加。在网络通信中，大量密钥的分配是一个难以解决的问题。在公开密钥密码体制下，加密密钥不等于解密密钥。加密密钥可对外公开，使任何用户都可将传送次用户的信息公开密钥加密发送，而解密密钥是对外保密的。虽然解密密钥理论上可以由加密密钥公开不会危害密钥的安全。七、rsa算法数学上的单向陷门函数的特点是在一个方向上求值很容易，但其逆向计算却很困难。许多形式为y=f(x)的函数，对于给定的自变量x值，很容易计算出函数y的值；而由给定y值，在很多情况下依照函数关系f(x)计算x值则十分困难。rsa（rivest-shamir-adelman）与1978年出现，目前已被iso推荐为公钥数据加密标准。rsa算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是分解它们的乘积却非常困难，因此可以将乘积公开做为加密密钥。des并不能取代rsa，它们的优缺点正好互补。rsa的密钥很长，加密速度慢，而采用des，正好弥补了rsa的缺点。即des用于明文加密，rsa用于des密钥加密。八、密钥管理密钥管理是密码学领域中最困难的部分。设计安全的密钥算法和协议是困难的，但可以依靠大量的深入研究来解决。但是，对密钥进行保密更为困难。密码分析者经常通过密码管理来破译对称密钥和公钥体制。1．密钥生成（1）减少的密钥空间（2）弱密钥选择人们选择自己的密钥时，常常喜欢选择更容易记忆的密钥。这就是所谓的弱密钥。（3）随机密钥好密钥是指那些由自动处理设备生成的随机的位串。如果密钥为64位长，每一个可能的64位密钥必须具有相等的可能性。这些密钥要么从可靠的随机源中产生，要么从安全的伪随机发生器中产生（4）x9.17密钥生成ansix9.17标准规定了一种密钥生成方法。并不生成容易记忆的密钥，更适合在一个系统中产生会话密钥或伪机数。用来生成密钥的加密算法是三重des，就像其他算法一样容易。2．非对称密钥空间假设有一批加密设备，并且使用了一个安全的算法，但又怕这些设备落入敌手，破坏了加密，为此他们可以将算法加入到一个防篡改模块中。防篡改模块就是能够从特殊保密形式的密钥进行解密的模块，而其他的密钥都会引起模块用非常弱的算法解密。这样做可以使那些不知道这个特殊形式的攻击者几乎无法获取密钥。3．发送密钥4．验证密钥在实际应用中，对于接受者如何判断受到的密钥确实来字发送者，仍存在着许多需要解决的问题。例如，恶意的主动攻击者可以传送一个加密和签名的消息而将它伪装成来自发送者，当接收者试图访问公钥数据库验证发送者的签名时，恶意的主动攻击者可以用他自己的公钥来代替。他可以发明自己的假kdc，并把真正的kdc公钥换成他自己产生的公钥，从而达到欺骗接收者的目的。(1)密钥传输中的错误检测(2)密钥在解密过程中的错误检测5．使用密钥软件加密是不可靠的。无法预测什么时候操作系统将会中止加密的运行，将一些东西写在磁盘上，或处理另一些急需的工作。当操作系统再次返回被中止的加密任务时，操作系统已把加密程序写在磁盘上，并同时将密钥也写了下来。这些密钥未被加密，在计算机重新覆盖那个存储区之前，一直留在磁盘上。当攻击者采用好的工具彻底搜索该硬盘驱动器时，密钥可能还放在那里。在一个可抢先的多任务环境中，可以给加密操作设置足够高的优先权可以防止被中断。尽管这样可以减轻危险度，但仍存在一定风险。6．更新密钥为了确保密钥的安全性每天都需要改变加密的数据链路的密钥，但这样做十分费时。更好的解决办法是直接从旧的密钥中产生新密钥，这又称为密钥更新。7．存储密钥最简单的密钥存储是单用户的密钥存储，一些系统采用简单方法：密钥存放于发送者的脑子中，而决不能放在系统中，发送者记住密钥，并只在对文件加密或解密时才输入密钥。8.公开密钥的密钥管理公开密钥密码使密钥容易管理，但也存在着问题。无论网络上有多少人，每个人只有一个公开密钥。如果发送者给接收者传送一段信息，就必须知道接收者的公开密钥。（1）公钥证书（2）分布式密钥管理九、通信加密在计算机网络中，通信加密（在传输过程中的数据加密）分为链路加密、节点加密和端到端加密。（1）链路加密（2）节点加密（3）端到端加密十、加密数据存储1．非关联化密钥对硬盘进行加密有两种方法：用一个单独的密钥对所有数据进行加密。但这给分析者提供了大量用于分析的密文，并使多个用户只查看硬盘的一部分的操作成为不可能；用不同的密钥对各个文件单独进行加密，这迫使用户记住每个文件的密钥。2．驱动级与文件级加密有两种级别的硬盘加密：文件级和驱动器级，3．加密驱动器的随机存取十一、硬件加密与加密芯片1．硬件加密目前，所有加密产品都是以特定的硬件形式出现的。这些加/解密盒子被嵌入到通信线路中，然后对所有通过的数据进行加密。虽然软件加密在今天日趋流行，但是在商业和军事方面的应用中，硬件加密仍是主流。它速度快，安全性高，易于安装。市场上有3种基本的加密硬件：自带加密模块，用于通信链路的专用加密盒以及可插入个人计算机的插卡。2．加密芯片密码虽然可为私人提供信息保密服务，但是它首先是维护国家利益的工具。正是基于这个出发点，考虑到des算法公开后带来的种种问题，美国国家保密局从19085年开起开始着手考虑制定新的商用数据加密标准，以取代des。1990年开始试用，1993年正式使用，主要用于通信系统中电话，传真和计算机通信的安全保护。十二、加密技术的应用1．数字签名数字签名是指只有发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对发送者发送的信息真实性的一个证明。2．数字时间戳在电子交易中，需要对交易文件的日期和时间信息采取安全措施，而数字时间戳（dts），可对电子文件发表时间提供安全保护和证明。3．数字证书和认证系统（1）数字证书数字证书可以用于电子邮件、电子商务等各方面。数字证书的内部格式是由ccittx.509国际标准所制定的。（2）认证系统在电子交易中，无论是数字时间戳服务还是数字凭证的发放，都不是靠交易双方自己来完成（无法保证公正性），而需要有一个具有权威性和公正性的第三方来完成。认证中心ca就是承担网上安全电子交易认证服务，能签发数字证书并能确认用户身份的服务机构。认证中心的主要任务是受理数字凭证的申请，签发数字证书及对数字证书进行管理。4．电子商务（1）支付网关支付网关与支付型电子商务业务相关，位于公网和传统的银行网络之间，其主要功能为：将公网传来的数据包解密，并按照银行系统内部通信协议将数据重打包；接收银行系统内部传来的相应消息，将数据转换为公网传送的数据格式，并对其进行加密。（2）信用卡服务系统pos系统并不仅仅指消费者在商场中常见的eos收款机或电子算盘，真正的pos系统是指经过优化的一种销售解决反案，它具有强大的财力和技术后盾的信息管理系统。（3）电子柜员机支付型电子商务是通过电子柜员机软件系统接入公网，其主要任务是负责处理用户的申请，并和银行（通过支付网关）进行通信，发送和接收加密信息，存储签名钥匙和交换钥匙，申请和接受认证等。并随时与数据库进行通信以便存储和填写订单及保留和处理记录。（4）电子数据交换（edi）edi是电子商务环节（如pos系统）的作业能够顺利实现的基础。edi包括硬件和软件两大部分，硬件主要是计算机网络，软件包括计算机软件和edi标准。从硬件方面，出于安全考虑，以前的edi一般在专用网络（即van）上实现的，但目前互联网作为一个费用更低，服务更好的系统，正在逐渐成为edi的另一种更为合适的硬件载体。第五章