An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) .

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng cácyêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng.

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách và phương pháp đề phòng cần thiết.

Trên trường quốc tế tiêu chuẩn Anh BS 7799 "Hướng dẫn về quản lý an toàn thông tin", được công bố lần đầu tiên vào năm 1995, đã được chấp nhận. Xuất phát từ phần 1 của Tiêu chuẩn Anh BS 77999 là tiêu chuẩn ISO/IEC 17799:2000 mà hiện nay tồn tại dưới phiên bản được sửa đổi ISO/IEC 17799:2005.

Nội dung ISO/IEC 17799:2005 bao gồm 134 biện pháp cho an toàn thông tin và được chia thành 11 nhóm:

- Chính sách an toàn thông tin (Information security policy): chỉ thị và hướng dẫn về an toàn thông tin

- Tổ chức an toàn thông tin (Organization of information security): tổ chức biện pháp an tòan và qui trình quản lý.

- Quản lý tài sản (Asset managemen): trách nhiệm và phân loại giá trị thông tin

- An ninh cá nhân (Human resource security)

- An toàn vật chất và môi trường (Physical and environmental security)

- Quản lý vận hành và trao đổi thông tin (Communications and operations management)

- Kiểm tra truy cập (Access control)

- Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance)

- Xử lý sự cố an toàn thông tin (Information security incident Mnagement)

- Phương án cho trường hợp khẩn cấp (Business continuity management)

- Theo đúng các quy định pháp luật (Compliance)

Tiêu chuẩn ISO/IEC 27001:2005 phát triển từ phần 2 của BS 7799. Tiêu chuẩn này quy định các yêu cầu đối với một hệ thống quản lý an toàn thông tin và tương tự như ISO 9001 là một tiêu chuẩn về quản lý có thể được cấp giấy chứng nhận.

CHƯƠNG I GIỚI THIỆU TỔNG QUAN VỀ BẢO MẬT VÀ CÁC GIAO THỨC XÁC THỰC

CHƯƠNG II TỔNG QUAN VỀ GIAO THỨC KERBEROS

CHƯƠNG III XÂY DỰNG HỆ THỐNG MÔ PHỎNG HOẠT ĐỘNG GIAO THỨC KERBERO