網路安全（簡體書）

《普通高等教育信息安全類國家級特色專業系列規劃教材:網絡安全》系統地介紹了網絡安全問題。《普通高等教育信息安全類國家級特色專業系列規劃教材:網絡安全》共14章，內容包括網絡安全綜述、對稱密碼學、單向散列函數、公鑰密碼系統、因特網與TCP/IP安全、VPN和IPSec、SSL和TLS、身份認證及其應用、訪問控制與系統審計、防火墻技術、入侵檢測系統、安全編程、惡意代碼安全和無線局域網安全。《普通高等教育信息安全類國家級特色專業系列規劃教材:網絡安全》內容新穎、豐富，各章節都提供了參考資料和思考題，以供進一步學習研究。網絡安全和密碼學是當今通信與計算機領域的熱門課題。
《普通高等教育信息安全類國家級特色專業系列規劃教材:網絡安全》可作為信息對抗、通信、電子或計算機相關專業的教材，也可作為相關領域的研究人員和專業技術人員的參考書。

《普通高等教育信息安全類國家級特色專業系列規劃教材:網絡安全》以實踐能力為培養目標，以安全缺陷為教學實例，系統闡述網絡安全的核心概念及關鍵技術。以開放系統安全協議體系為框架，山淺入深，層層展開。概念闡述直觀，敘述簡練，圖文并茂，實例豐富。內容攻防兼備，理論實踐并重。可贈送電子課件給任課教師。

叢書序
前言
第1章 網絡安全綜述
1.1 安全概念和術語
1.2 網絡安全威脅
1.2.1 脆弱性、威脅和風險
1.2.2 網絡威脅的類型
1.3 網絡攻擊
1.3.1 網絡攻擊的定義
1.3.2 攻擊的一般過程
1.3.3 攻擊的主要方式
1.4 X.800安全體系結構
1.4.1 安全攻擊、安全機制和安全服務
1.4.2 安全服務
1.4.3 安全機制
1.4.4 服務和機制之間的關系
1.5 X.805安全體系框架
1.6 網絡安全模型
1.7 安全評估與風險管理
1.7.1 評估方法
1.7.2 評估標準
1.7.3 評估的作用
1.7.4 安全風險管理
思考題

第2章 對稱密碼學
2.1 密碼系統模型
2.2 古典密碼
2.2.1 替代密碼
2.2.2 置換密碼
2.3 數據加密標準
2.3.1 分組密碼簡介
2.3.2 DES算法的描述
2.3.3 DES密碼分析
2.3.4 DES工作模式
2.3.5 三重DES
2.4 高級加密標準
2.4.1 代數基礎
2.4.2 AES算法描述
2.4.3 字節代替
2.4.4 行移位
2.4.5 列混淆
2.4.6 輪密鑰加
2.4.7 密鑰調度
2.4.8 AES安全性分析
2.5 流密碼算法
2.5.1 列密碼簡介
2.5.2 A5算法
思考題

第3章 單向散列函數
3.1 MD5算法
3.1.1 算法
3.1.2 舉例
3.2 安全散列函數
3.2.1 算法
3.2.2 SHA-1與MD5的比較
3.2.3 舉例
3.3 消息認證碼
思考題

第4章 公鑰密碼系統
4.1 數論基礎
4.1.1 素數
4.1.2 費馬小定理
4.1.3 歐拉定理
4.2 RSA密碼系統
4.3 Diffie-Hellman密鑰交換
4.3.1 Diffie-Hellman算法
4.3.2 中間人攻擊
4.3.3 認證的Diffie-Hellman密鑰交換
4.3.4 三方或多方Diffie-Hellman
4.4 數字簽名
4.4.1 基本概念
4.4.2 數字簽名算法
4.4.3 RSA簽名方案
4.4.4 其他數字簽名方案
思考題

第5章 因特網與TCP/IP安全
5.1 TCP/IP協議棧
5.2 協議封裝
5.3 IP協議
5.4 TCP協議
5.4.1 TCP安全缺陷
5.4.2 IP欺騙攻擊
5.5 UDP協議
5.6 ARP/RARP協議
5.7 網絡服務的安全性
5.7.1 文件傳輸協議
5.7.2 域名系統
思考題

第6章 VPN和IPSec
6.1 VPN定義
6.2 VPN優勢
6.3 VPN的安全考慮
6.4 常見VPN應用環境
6.5 VPN安全策略
6.6 VPN數據安全性
6.6.1 認證
6.6.2 加密
6.6.3 完整性
6.7 VPN協議
6.7.1 PPTP
6.7.2 L2TP
6.7.3 IPSec
6.8 IPSec協議
6.8.1 安全關聯
6.8.2 SA管理、創建、刪除
6.8.3 SA參數
6.8.4 安全策略
6.8.5 選擇符
6.8.6 IPSec模式
6.9 IPSec數據包信息格式
6.9.1 認證報頭
6.9.2 AH模式
6.9.3 封裝安全有效載荷
6.9.4 SA組合
6.10 因特網密鑰管理協議
6.10.1 IPSec的密鑰管理需求
6.10.2 認證方法
6.10.3 密鑰交換
6.10.4 IKE階段綜述
6.10.5 ISAKMP消息結構
6.10.6 IPSec/IKE系統處理
思考題

第7章 SSL和TLS
7.1 SSL協議體系結構
7.2 SSL/TLS記錄協議
7.2.1 SSL 3.0的MAC計算
7.2.2 TLS1.2的MAC計算
7.3 改變密碼規范協議
7.4 告警協議
7.5 握手協議
7.5.1 常規握手過程
7.5.2 支持客戶認證的握手過程
7.5.3 恢復SSL/TLS會話
7.5.4 SSL 2.0握手過程
7.6 密鑰計算
7.6.1 計算主密鑰
7.6.2 偽隨機函數
7.6.3 計算其他密鑰參數
7.6.4 安全HTTP通信
思考題

第8章 身份認證及其應用
8.1 引言
8.2 身份認證的方法
8.2.1 基于用戶知道什么的身份認證
8.2.2 基于用戶擁有什么的身份認證
8.2.3 基于用戶是誰的身份認證
8.2.4 指紋識別技術
8.2.5 擊鍵特征識別
8.3 第三方認證
8.3.1 Kerberos概述
8.3.2 Kerberos版本4認證消息對話
8.3.3 Kerberos基礎結構和交叉領域認證
8.3.4 Kerberos版本5
8.4 X.509
8.4.1 認證協議——簡單認證過程
8.4.2 認證協議——強認證程序
8.5 數字證書
8.5.1 證書的獲取
8.5.2 證書的吊銷
8.6 驗證證書
8.6.1 單向認證
8.6.2 雙向認證
8.6.3 三向認證
8.7 CA系統結構
8.7.1 CA服務器
8.7.2 RA服務器
8.7.3 證書目錄服務器
8.7.4 CA操作步驟
8.7.5 證書鏈構造
8.7.6 證書驗證過程
8.7.7 小結
思考題
附錄A:CA證書樣本——PEM格式
附錄B:CA證書樣本——TXT格式

第9章 訪問控制與系統審計
9.1 訪問控制
9.1.1 基本概念
9.1.2 自主訪問控制
9.1.3 強制訪問控制
9.1.4 訪問控制模型
9.1.5 基于角色的訪問控制
9.1.6 RBAC標準模型
9.1.7 總結
9.2 計算機安全等級的劃分
9.3 系統審計
9.3.1 審計及審計跟蹤
9.3.2 安全審計
思考題

第10章 防火墻技術
10.1 防火墻的基本概念
10.2 防火墻技術層次
10.2.1 包過濾防火墻
10.2.2 應用代理防火墻
10.2.3 電路級網關型防火墻
10.2.4 狀態包檢測
10.3 防火墻體系結構
10.3.1 雙重宿主主機體系結構
10.3.2 屏蔽主機體系結構
10.3.3 屏蔽子網結構
10.4 包過濾技術
10.4.1 創建包過濾規則
10.4.2 IP頭信息
10.4.3 TCP頭信息
10.4.4 UDP端口過濾
10.4.5 無狀態操作和有狀態檢查
10.5 堡壘主機
10.6 應用網關和代理服務器
10.6.1 網絡地址轉換器
10.6.2 內容屏蔽和阻塞
10.6.3 日志和報警措施
思考題

第11章 入侵檢測系統
11.1 引言
11.2 入侵檢測基本原理
11.2.1 入侵檢測的基本概念
11.2.2 入侵檢測系統
11.3 入侵檢測系統分類
11.3.1 按數據來源的分類
11.3.2 按分析技術的分類
11.3.3 其他的分類
11.4 入侵檢測系統模型
11.4.1 入侵檢測系統的CIDF模型
11.4.2 Denning的通用入侵檢測系統模型
11.5 分布式入侵檢測系統
11.6 小結

第12章 安全編程
12.1 緩沖區溢出
12.1.1 背景知識
12.1.2 緩沖區溢出基本原理
12.1.3 緩沖區溢出攻擊方式
12.1.4 有關Shellcode
12.1.5 安全建議
12.2 格式化字符串
12.2.1 格式化函數和格式化字符串
12.2.2 格式化字符串漏洞基本原理
12.2.3 格式化字符串攻擊
12.2.4 安全建議
12.3 整數安全
12.3.1 整數
12.3.2 整數類型轉換
12.3.3 整數溢出漏洞
12.3.4 安全建議
12.4 條件競爭
12.4.1 用戶ID
12.4.2 條件競爭
12.4.3 安全建議
12.5 臨時文件
12.6 動態內存分配和釋放
12.6.1 背景知識
12.6.2 安全隱患
思考題

第13章 惡意代碼安全
13.1 惡意代碼
13.2 惡意代碼的命名規則
13.3 惡意代碼工作機理
13.3.1 惡意代碼自我保護技術
13.3.2 惡意代碼入侵技術
13.3.3 惡意代碼隱藏技術
13.3.4 惡意代碼防范
13.4 惡意代碼分析技術
13.4.1 靜態分析技術
13.4.2 文件類型分析
13.4.3 字符串提取分析
13.5 動態分析
13.5.1 注冊表監視
13.5.2 監控文件變動
13.5.3 網絡行為分析
思考題

第14章 無線局域網安全
14.1 無線和有線的區別
14.1.1 物理安全
14.1.2 設備局限性
14.2 安全威脅
14.2.1 竊聽和網絡通信流分析
14.2.2 信任傳遞
14.2.3 基礎結構
14.2.4 拒絕服務
14.3 WLAN概述
14.3.1 協議堆棧
14.3.2 無線拓撲結構
14.3.3 基本和擴展服務集
14.3.4 WLAN網絡服務
14.4 無線局域網的安全機制
14.4.1 SSID匹配
14.4.2 MAC地址過濾
14.4.3 認證和關聯
14.4.4 WEP協議
14.4.5 WEP加密機制存在的安全問題
14.5 IEEE 802.1x協議
14.6 WPA規范
14.6.1 WPA認證
14.6.2 WPA加密
14.6.3 WPA完整性
14.7 IEEE 802.11i
14.8 WAPI——中國的WLAN安全標準
思考題
參考文獻

威脅可能是主動性的（當系統狀態可被改變時），也可能是被動性的（不改變系統狀態但非法泄露信息）。偽裝成合法主體和拒絕服務是主動性威脅的例子，竊聽獲取口令是被動性威脅的例子。威脅可能是由黑客、恐怖分子、破壞分子、有組織犯罪或政府發起的，但相當數量的威脅來自組織內部人員。
安全風險來源于安全脆弱性與安全威脅的結合。例如，操作系統應用的溢出漏洞（即脆弱性）加上黑客的知識、合適的工具和訪問（即威脅）可產生萬維網服務器攻擊的風險。安全風險的後果是數據丟失、數據損壞、隱私失竊、詐騙、宕機及失去公共信任。
1.2.2 網絡威脅的類型
威脅定義為對脆弱性的潛在利用，這些脆弱性可能導致非授權訪問、信息泄露、資源耗盡、資源被盜或者被破壞。網絡安全與保密所面，臨的威脅可以來自很多方面，并且是隨著時間的變化而變化。網絡安全的威脅可以是來自內部網或者外部網的，根據不同的研究結果表明，有80％-95％的安全事故來自內部網。顯然只有少數網絡攻擊來自互聯網。一般而言，主要的威脅種類有以下10種。