本书系统地介绍了计算机安全领域中的各个方面,全面分析了计算机安全威胁、检测与防范安全攻击的技术方法以及软件安全问题和管理问题。本书重点介绍核心原理,揭示了这些原理是如何将计算机安全领域统一成一体的,并说明了它们在实际系统和网络中的应用。此外,本书还探讨了满足安全需求的各种设计方法,阐释了对于当前安全解决方案至关重要的标准。
本书思路清晰,结构严谨,并且提供了扩展的教学支持——数百个精心设计的实践问题,是高等院校计算机安全专业的理想教材,同时也可作为研究人员和专业技术人员的非常有价值的参考书。
本书主要内容
●安全技术和原理,包括密码编码技术、认证以及访问控制。
●威胁及其对策,从检测入侵者到应对DoS攻击。
●可信计算与多级安全。
●安全软件:避免缓冲区溢出、恶意输入和其他弱点。
●Linux和Windows安全模型。
●管理安全:物理安全、培训、审计和策略等。
●计算机犯罪、知识产权、隐私和道德。
●密码算法,包括公钥密码体制。
●Internet安全:SSL、TLS、IP安全、S/MIME、Kerberos、X.509以及联合身份管理。
本书的配套网站http://WilliamStallings.com/CompSec/CompSec1e.html上提供了有用的Web站点、勘误表、插图、表格、幻灯片等辅助资料。
无
背景
近年来,人们在高等教育中对计算机安全及相关主题的关注程度与日俱增。导致这一状况的因素很多,以下是其中两个突出的因素:
1. 随着信息系统、数据库以及基于Internet的分布式系统和通信广泛应用于商业领域,再加上愈演愈烈的各种与安全相关的攻击,各类组织机构开始意识到必须拥有一个全面的安全策略。这个策略包括使用特定的软硬件和培训专业人员等。
2. 计算机安全教育,也就是通常所说的信息安全教育(information security education)或者信息保障教育(information assurance education),与国防和国土安全密切相关,在美国和其他许多国家,它已经成为一个国家目标。许多组织,如信息系统安全教育委员会(the Colloquium for Information System Security Education)和美国国家安全局(the National Security Agency,NSA)的信息保障课件评估组织(Information Assurance Courseware Evaluation(IACE)Program),以政府的身份负责计算机安全教育标准的制定。
由此可预见,关于计算机安全的课程在大学、社区学院和其他与计算机安全领域相关的教育机构中会越来越多。
目标
本书的目标是概览计算机安全领域的最新发展状况。计算机安全设计者和安全管理者面临的中心问题主要包括:定义计算机和网络系统面临的威胁,评估这些威胁可能导致的风险,以及制定应对这些威胁的恰当的、便于使用的策略。
本书将就以下主题进行讨论:
·原理:虽然本书涉及的范围很广,但有一些基本原理会重复应用在一些领域中,比如,有关认证和访问控制的原理。本书重点介绍了这些基本原理并且探讨了这些原理在计算机安全的一些特定领域中的应用。
·设计方法:本书探讨了多种适合某一特定方面的计算机安全技术。
·标准:在计算机安全领域中,标准将越来越重要,甚至会处于主导地位。要想对某项技术当前的状况和未来的发展趋势有个正确的认识,需要充分理解与该项技术相关的标准。
·实例:书中的许多章中都包含一节来展示相关原理在真实环境中的应用情况。
读者对象
本书是为学术研究人员和专业技术人员编写的。作为教科书,它面向的对象主要是计算机科学、计算机工程和电子工程专业的本科生,授课时间可以是一个或两个学期。这本书包含了OS7 Security and Protection中的所有专题,还包含一些其他的专题。OS7 Security and Protection是IEEE/ACM Computer Curricula 2001的核心主题领域之一。这本书也涵盖了IAS Information Assurance and Security in the Computer Curricula 2005 Information Technology Volume和CE-OPS6 Security and Protection from the Computer Engineering Curriculum Guidelines(2004)的核心内容。
对于那些对计算机安全领域感兴趣的专业技术人员来说,这是一本基本的参考书,很适合于自学。
本书内容
本书分为以下六个部分(具体情况见第0章):
·计算机安全技术与原理
·软件安全
·管理问题
·密码编码算法
·Internet安全
·操作系统安全
有关操作系统安全的章节详细讨论了两个实例:Linux和Windows Vista。书后的附录部分用于补充相关的背景知识。此外,对一些选定的专题,本书的配套网站(http://WilliamStallings.com/ CompSec/CompSecle.html)上提供了更加详细的相关内容。
此外,每章均包括习题、思考题和关键术语表,以及推荐的读物和Web站点等内容。
黑客入侵练习
面向教师的辅助资料中包括两个与Web相关的黑客入侵练习:(1)跨网站脚本攻击;(2)服务器端SQL注入式攻击。这两个攻击都需要一个安装了Web服务器的Linux系统(Web服务器可以采用Apache,Apache服务器是免费的),此外还需要安装PHP(PHP也是免费的)。只要到教师的支持网站下载相关文件并保存到目录public_html中,解压缩后就可以在你的练习中使用了。当然,解压缩后需要改变文件夹和文件的访问权限,不过这很容易。文件夹中还包含一个简短的使用手册,手册很详细地告诉教师如何一步一步地利用解压后的文件为学生搭建练习环境。
黑客入侵练习项目已经在计算机安全课程中使用过,并且已经成为这些课程的亮点。学生们使用后非常兴奋,因为他们觉得这些课程确实使他们受益匪浅。
除此之外,还包括另一个黑客入侵练习项目:尝试用逆向工程方法分析一个应用层的协议。这是一个套接字编程练习。
要了解更加详细的信息,请参阅附录C。
其他项目和学生实践
对许多教师来说,计算机安全课程的一个重要组成部分是一个项目或一组项目。通过这些可以自己动手实践的项目,学生可以更好地理解课本中的概念。本书对项目的组成提供了不同程度的支持。教师辅助资料中不仅包括如何构思和指定这些项目,而且还包含不同类型的项目和作业的用户手册,这些都是专门为本书设计的。教师可以按照以下分类布置作业:
·编程项目(Programming projects):涵盖广泛主题的一系列编程项目。这些项目都可以用任何语言在任何平台上实现。
·研究项目(Research projects):一系列的研究型作业,引导学生就Internet的某个特定主题进行研究并撰写一份报告。
·实验室练习(Laboratory exercises):一系列涉及编程和书中概念训练的项目。
·实用安全评估(Practical security assessments):一组分析当前基础设施和现有机构安全性的实践活动。
·阅读/报告作业(Reading/report assignments):一组论文清单,分配给学生阅读,要求学生阅读后写出相应的报告,此外还有与教师布置的作业相关的关键词。
·写作作业(Writing assignments):一系列写作方面的练习,用来加强对书中内容的理解。
这一整套不同的项目和其他学生练习,不仅是本书的丰富多彩学习体验的一部分,而且从这些项目和练习出发,还可以方便地根据实际情况制定不同的教学计划,以满足不同的需求。更加详细的信息请参见附录C。
教学辅助材料
为了支持教师的教学,本书提供了以下材料:
·解决方案手册(Solutions Manual):每章章末的思考题和习题的答案或解决方案。
·PPT幻灯片(PowerPoint slides):涵盖本书所有章节的幻灯片,适合在教学中使用。
·PDF文件(PDF files):本书中所有的图片和表格。
·项目指南(Projects manual):各类项目建议的项目作业。
教师可以和Pearson教育出版集团联系(注:联系方式参见书后所附的Pearson公司教学支持资料申请表),以取得对这些材料的访问权限。
另外,本书的Web站点还为教师提供了下列支持:
·使用本书讲授其他课程的Web站点的链接。
·教师的Internet邮件列表的注册信息。
为教师和学生提供的Internet服务
有一个专为本书建立的Web站点,目的是为使用本书的学生和教师提供帮助。该网站提供到其他相关站点的链接,网址是WilliamStallings.com/CompSec/CompSecle.html,第0章有详细的介绍。网站设置了一个Internet邮件列表,这样,使用本书的教师之间、教师与本书的作者之间可以交换信息,交流对本书的建议,探讨其中的问题。一旦有印刷错误或其他错误被发现,相关错误信息也会及时出现在为本书所设计的勘误表中。
致谢
本书受益于很多人的评论,他们付出了大量宝贵的时间和精力来阅读本书,并毫不吝啬地提出了若干宝贵意见。以下是审阅了本书全部或者大部分手稿的教授和教师:James Bret Michael(海军研究生院)、Scott Campbell(迈阿密大学)、Jim Alves-Foss(爱达荷大学)、Gregory B. White(得克萨斯大学圣安东尼奥分校)、Corey D. Shou(爱达荷州立大学)、Weining zhang(得克萨斯大学圣安东尼奥分校)、Sreekanth Malladi(达科他州立大学)、Breno Fonseca De Medeiros(佛罗里达州立大学)、Kent E.Seamons(杨百翰大学)、Krishna M. Sivalingam(马里兰大学巴尔的摩分校)和Alec Yasinsac(佛罗里达州立大学)。
还要感谢那些审阅本书的一章或几章的技术问题的人,他们是:Pradeep Navalkar(TechTonics集团有限公司)、Manish Gupta(M&T银行布法罗分公司)、Scott W. DeVault(CISSP,MCP,神盾技术集团公司)、Arturo‘Buanzo’Busleiman(独立安全顾问,布宜诺斯艾利斯)、David Grant(MICDDS,Halcrow集团有限公司安全管理经理)、Spike Quatrone、Jaspreet Singh(安永公司高级顾问,印度)、Jean-Charles Demarque(法国IT顾问)、Steve Fletcher、David Gillett(CISSP,CCNP,CCSE,MCSE)、Robert Slade(多产的作家和书籍评论员)、Rob J. Meijer(荷兰国家警察局)、Marc Blitz(aacompsec.com)、Kevin Sanchez-Cherry(IT安全和审计专家)、Don Munro、Edward Lewis(新南威尔士大学澳大利亚国防学院)和Jerome Athias(独立安全研究者)。
达科他州立大学的Sreekanth Malladi开发了网络黑客入侵项目。Bradley大学的Arnold Patton开发了逆向工程黑客入侵项目。
我们也要感谢Fastennet Security的Ricky Magalhaes,他为本书开发了一系列Windows安全方面的项目。
下列人员提供了本书的习题:Zubair Baig(Monash大学)、Spike Quatrone、Edward Lewis(新南维尔士大学)和Rob J. Meijer。
Lawrie Brown博士首先感谢Bill Stallings,感谢在一起写作的过程中他所带来的快乐。也想感谢新南威尔士大学澳大利亚国防学院信息技术与电子工程系的同事们,感谢他们的鼓励和支持。特别感谢对本书提出深刻评论和批评的Ed Lewis和Don Munro,这些评论和批评使本书更加准确和简洁。
最后,我们也想感谢那些负责本书出版的人们,他们的工作都很完美。这些人包括Prentice Hall的员工,特别是编辑Tracy Dunkelberger及其助手Christianna Lee和Carole Snyder,以及出版经理Rose Kernan。也要感谢Patricia M. Daly,他负责本书的文字编辑工作。
William Stallings;Lawrie Brown:William Stallings: 拥有美国麻省理工学院计算机科学博士学位,现任教于澳大利亚新南威尔士大学国防学院(堪培拉)信息技术与电子工程系。他是世界知名计算机学者和畅销教材作者,已经撰写了17部著作,出版了40多本书籍,内容涉及计算机安全、计算机网络和计算机体系结构等方面,堪称计算机界的全才。他曾九次荣获美国“教材和学术专著作者协会”颁发的“年度最佳计算机科学教材”奖。
Lawrie Brown: 任教于澳大利亚新南威尔士大学国防学院(堪培拉)信息技术与电子工程系。他的专业兴趣涉及密码学、通信和计算机系统安全。
贾春福 刘春波 高敏芬 等:暂无简介
近年来,在全球信息化大潮的推动下,计算机与网络技术迅速发展起来并得到广泛的应用。计算机和网络已经渗透到了整个社会的各个领域,从根本上改变了人们的生活和工作方式,人们对计算机和网络的依赖程度日益增强。与此同时,由于计算机在政治、经济和国防等国家关键领域中的应用,使得计算机安全问题越来越受到人们的关注。计算机信息系统的脆弱性,必然会导致信息化社会的脆弱性。目前世界各国计算机犯罪案件的不断增加,就充分地说明了计算机安全问题的严重性。因此,人们对教育中计算机安全及相关主题的关注程度与日俱增。计算机安全理论和技术已经成为信息科学与技术中极为重要的研究领域之一。
为了满足教育中人们对计算机安全知识的需求,近年来国内出版了许多有关密码学和计算机网络安全方面的专业书籍、教材和普及读物等,特别是随着许多高校中信息安全专业的创建,国内还出版了多套信息安全专业教材系列丛书。这无疑对计算机安全教育起到了非常重要的作用。但很少有这样的一本参考书:它完全涵盖了计算机安全领域中的各个方面,不但包括相关的技术和应用方面的内容,同时还包括管理方面的内容,使得任何一个从事计算机安全领域研究和学习的人,都能从中获取自己关心的知识;它深入浅出,无论初涉计算机安全领域的学生,还是专业技术人员或者学术研究人员,通过阅读都会受益匪浅;它内容最新,反映了计算机安全领域技术与管理的发展现状。本书就是这样一本具备了上述特点的非常有价值的参考书,也可以通过精选其中的内容作为教材使用。
很多阅读过数据通信与网络领域相关书籍的读者,可能早已知道了威廉·斯托林斯(William Stallings)的名字,本书是威廉·斯托林斯的又一力作。威廉·斯托林斯早年获得了麻省理工学院计算机科学博士学位。他是世界知名计算机学者和畅销教材作者,已经撰写了17部著作,出版了40多本书籍,内容涉及计算机安全、计算机网络和计算机体系结构等方面,堪称计算机界的全才。在过去的20多年中,威廉·斯托林斯博士曾经九次获得由美国“教材和学术专著作者协会”颁发的“年度最佳计算机科学教材”奖。目前,威廉·斯托林斯博士还创建并维护着网站http://WilliamStallings.com/StudentSupport.html。这个网站为学习计算机科学的学生以及专业技术人员提供了感兴趣的各种主题的相关文档和链接,供学生在学习和研究过程中参考。
本书内容详尽、覆盖面广,阐述条理清晰、深入浅出、易于理解,系统地概览了计算机安全领域的最新发展状况和趋势。通过阅读本书,读者可以全面深入地了解计算机安全领域中涉及的绝大部分内容。
全书共包含以下六个部分:第一部分计算机安全技术与原理,概述支持有效安全策略所必需的所有技术领域;第二部分软件安全,包括软件开发和运行中的安全问题;第三部分管理问题,主要讨论信息与计算机安全在管理方面的问题;第四部分密码编码算法,包括各种类型的加密算法和其他类型的密码算法;第五部分Internet安全,关注的是为在Internet上进行通信提供安全保障的协议和标准;第六部分操作系统安全,详细讨论两种广泛使用的操作系统Windows(包含最新的Vista)与Linux的安全方法。此外,各章后面都有一定数量的习题和思考题供读者练习,以加深对书中内容的理解。同时,各章后面还附上了一些极有价值的参考文献和Web站点,通过这些网上资源,有兴趣的读者可以进一步对计算机安全方面的一些技术细节进行深入学习和研究。
本书由贾春福、刘春波和高敏芬组织翻译,参加翻译的人员还包括:付占亮、王璐璐、马昊玉、陈德强、段雪涛、张静、王志、付玉冰。古力、胡紫、林楷、马勇、鲁凯、翁臣、张文新、陈吉荣、钟安鸣、石乐义、梁生吉和邢伟明也参与了部分翻译工作或者校对和通读工作。在翻译过程中,我们对书中明显的错误作了修改,对印刷错误作了更正。全书最后由贾春福、刘春波和高敏芬统稿和审校。在本书的翻译过程中,得到了机械工业出版社华章分社的大力支持和帮助,在此表示感谢。
翻译国外著名作家的经典书籍是极具挑战性的,因为经典书籍不仅具有深度,在内容上也是各具特色,常常是引经据典,这对我们的翻译工作产生了不小的压力。我们本着对读者认真负责的宗旨,力求做到技术内涵的准确无误以及专业术语的规范统一,力求将翻译的“信达雅”发挥到淋漓尽致。但是,限于译者水平,加之时间仓促,翻译不妥和疏漏之处在所难免,敬请阅读本书的读者予以批评指正。
译者
于天津南开园
出版者的话
译者序
前言
作者简介
符号
第0章 阅读指南 1
0.1 本书概览 1
0.2 阅读方案 1
0.3 Internet和Web资源 2
0.4 标准 3
第1章 概述 4
1.1 计算机安全概念 4
1.2 威胁、攻击和资产 8
1.3 安全功能需求 12
1.4 开放系统的安全体系结构 14
1.5 计算机安全范畴 17
1.6 计算机安全发展趋势 18
1.7 计算机安全策略 21
1.8 推荐的读物和Web站点 22
1.9 关键术语、思考题和习题 24
附录1A 重要的安全标准和文献 25
第一部分 计算机安全技术与原理
第2章 密码编码工具 27
2.1 用对称加密实现机密性 27
2.2 消息认证和散列函数 31
2.3 公钥加密 36
2.4 数字签名和密钥管理 40
2.5 随机数和伪随机数 42
2.6 实际应用:存储数据的加密 43
2.7 推荐的读物和Web站点 44
2.8 关键术语、思考题和习题 45
第3章 用户认证 49
3.1 认证方法 49
3.2 基于口令的认证 49
3.3 基于令牌的认证 58
3.4 生物特征认证 61
3.5 远程用户认证 64
3.6 用户认证中的安全问题 65
3.7 实际应用:虹膜生物特征认证系统 67
3.8 案例学习:ATM系统的安全问题 68
3.9 推荐的读物和Web站点 70
3.10 关键术语、思考题和习题 71
第4章 访问控制 73
4.1 访问控制原理 73
4.2 主体、客体和访问权 75
4.3 自主访问控制 76
4.4 实例:UNIX文件访问控制 81
4.5 基于角色的访问控制 83
4.6 案例学习:银行的RBAC系统 88
4.7 推荐的读物和Web站点 90
4.8 关键术语、思考题和习题 91
第5章 数据库安全 94
5.1 数据库管理系统 94
5.2 关系数据库 95
5.3 数据库访问控制 97
5.4 推理 101
5.5 统计数据库 103
5.6 数据库加密 109
5.7 推荐的读物 112
5.8 关键术语、思考题和习题 112
第6章 入侵检测 116
6.1 入侵者 116
6.2 入侵检测 119
6.3 基于主机的入侵检测 120
6.4 分布式基于主机的入侵检测 125
6.5 基于网络的入侵检测 126
6.6 分布式自适应入侵检测 129
6.7 入侵检测交换格式 131
6.8 蜜罐 133
6.9 实例系统:Snort 134
6.10 推荐的读物和Web站点 137
6.11 关键术语、思考题和习题 138
附录6A 基率谬误 139
第7章 恶意软件 142
7.1 恶意软件的类型 142
7.2 病毒 145
7.3 病毒防范措施 149
7.4 蠕虫 152
7.5 bot 158
7.6 rootkit 160
7.7 推荐的读物和Web站点 162
7.8 关键术语、思考题和习题 163
第8章 拒绝服务攻击 166
8.1 拒绝服务攻击 166
8.2 洪泛攻击 171
8.3 分布式拒绝服务攻击 172
8.4 反射攻击与放大攻击 173
8.5 拒绝服务攻击防范 176
8.6 对拒绝服务攻击的响应 179
8.7 推荐的读物和Web站点 179
8.8 关键术语、思考题和习题 180
第9章 防火墙与入侵防护系统 183
9.1 防火墙的必要性 183
9.2 防火墙特征 183
9.3 防火墙类型 184
9.4 防火墙的布置 189
9.5 防火墙的部署和配置 191
9.6 入侵防护系统 195
9.7 一个例子:一体化威胁管理产品 197
9.8 推荐的读物和Web站点 200
9.9 关键术语、思考题和习题 201
第10章 可信计算与多级安全 204
10.1 计算机安全的Bell-LaPadula模型 204
10.2 其他计算机安全形式化模型 210
10.3 可信系统概念 214
10.4 多级安全的应用 217
10.5 可信计算与可信平台模块 221
10.6 信息技术安全评估通用准则 223
10.7 保证与评估 226
10.8 推荐的读物和Web站点 229
10.9 关键术语、思考题和习题 230
第二部分 软件安全
第11章 缓冲区溢出 233
11.1 栈溢出 233
11.2 防御缓冲区溢出 248
11.3 其他形式的溢出攻击 253
11.4 推荐的读物和Web站点 257
11.5 关键术语、思考题和习题 258
第12章 软件安全 260
12.1 软件安全问题 260
12.2 处理程序输入 262
12.3 编写安全程序代码 270
12.4 与操作系统和其他程序进行交互 273
12.5 处理程序输出 281
12.6 推荐的读物和Web站点 283
12.7 关键术语、思考题和习题 284
第三部分 管理问题
第13章 物理和基础设施安全 287
13.1 概述 287
13.2 物理安全威胁 288
13.3 物理安全的防御和减缓措施 292
13.4 物理安全破坏的恢复 294
13.5 威胁评估、计划和计划的实施 294
13.6 实例:某公司的物理安全策略 295
13.7 物理安全和逻辑安全的集成 297
13.8 推荐的读物和Web站点 299
13.9 关键术语、思考题和习题 300
第14章 人为因素 302
14.1 安全意识、培训和教育 302
14.2 机构安全策略 305
14.3 雇用实践和策略 309
14.4 电子邮件和因特网使用策略 311
14.5 实例:某公司的安全策略文档 312
14.6 推荐的读物和Web站点 313
14.7 关键术语、思考题和习题 314
附录14A 良好实践的安全意识标准 314
附录14B 良好实践的安全策略标准 318
第15章 安全审计 319
15.1 安全审计体系结构 319
15.2 安全审计迹 323
15.3 实现日志功能 326
15.4 审计迹分析 334
15.5 实例:一种集成的方法 336
15.6 推荐的读物和Web站点 338
15.7 关键术语、思考题和习题 339
第16章 IT安全管理与风险评估 341
16.1 IT安全管理 341
16.2 机构环境与安全策略 343
16.3 安全风险评估 344
16.4 细节化安全风险分析 346
16.5 案例研究:银星矿业 354
16.6 推荐的读物和Web站点 357
16.7 关键术语、思考题和习题 358
第17章 IT安全控制、计划和实施程序 360
17.1 IT安全管理的实施 360
17.2 安全控制或者保障措施 360
17.3 IT安全计划 364
17.4 安全控制的实施 365
17.5 实施的后续工作 367
17.6 案例分析:银星矿业 371
17.7 推荐的读物 373
17.8 关键术语、思考题和习题 374
第18章 IT安全中的法律与道德问题 376
18.1 网络犯罪和计算机犯罪 376
18.2 知识产权 379
18.3 隐私 383
18.4 道德问题 387
18.5 推荐的读物和Web站点 391
18.6 关键术语、思考题和习题 392
附录18A 良好实践的信息隐私权标准 394
第四部分 密码编码算法
第19章 对称加密和消息认证 397
19.1 对称加密原理 397
19.2 数据加密标准 400
19.3 高级加密标准 401
19.4 流密码和RC4 405
19.5 分组密码的工作模式 408
19.6 对称加密设备的位置 412
19.7 密钥分发 413
19.8 推荐的读物和Web站点 414
19.9 关键术语、思考题和习题 414
第20章 公钥密码和消息认证 418
20.1 安全散列函数 418
20.2 HMAC 422
20.3 RSA公钥加密算法 424
20.4 Diffie-Hellman算法和其他
非对称算法 428
20.5 推荐的读物和Web站点 430
20.6 关键术语、思考题和习题 431
第五部分 Internet安全
第21章 Internet安全协议和标准 435
21.1 安全套接层(SSL)和传输
层安全(TLS) 435
21.2 IPv4和IPv6的安全性 438
21.3 安全E-mail和S/MIME 442
21.4 推荐的读物和Web站点 444
21.5 关键术语、思考题和习题 444
附录21A Radix-64转换 446
第22章 Internet认证应用 448
22.1 Kerberos 448
22.2 X.509 452
22.3 公钥基础设施 454
22.4 联合身份管理 456
22.5 推荐的读物和Web站点 459
22.6 关键术语、思考题和习题 459
第六部分 操作系统安全
第23章 Linux安全 461
23.1 概述 461
23.2 Linux安全模型 461
23.3 深入Linux自主访问控制:
文件系统安全 462
23.4 Linux漏洞 467
23.5 Linux系统加固 468
23.6 应用程序安全 473
23.7 强制访问控制 475
23.8 推荐的读物和Web站点 479
23.9 关键术语、思考题和习题 479
第24章 Windows和Windows Vista安全 482
24.1 Windows安全体系结构 482
24.2 Windows漏洞 487
24.3 Windows安全防御 487
24.4 浏览器防御 493
24.5 加密服务 493
24.6 通用标准 494
24.7 推荐的读物和Web站点 494
24.8 关键术语、思考题、习题和项目 495
附 录
附录A 数论的相关内容 497
附录B 随机数与伪随机数的生成 503
附录C 密码学和网络安全教学项目 508
