本书从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性为原则,明确了注册信息安全专业人员应该掌握的信息安全技术方面的主体内容。
本书从密码基础及其应用谈起,详细解释了访问控制模型及技术、审计和监控技术等信息安全保障技术的原理和基本实现方法。介绍了网络安全协议,包括无线和移动通讯的安全以及网络安全设备和网络架构安全的基础知识。然后对windows和linux等常见操作系统和常见数据库的安全加固做了详细的讲解。接着对网络服务,包括web、ftp、电子邮件、即时通讯等的安全问题进行了描述,介绍了恶意代码基本原理及防范技巧和社会工程学的一些知识。接着,本书对信息安全漏洞和网络安全攻击常用的攻击手段和工具以及这些攻击带来的危害和保护办法进行了仔细讲解。最后,本书还就软件开发中的安全问题进行了一定的探讨。
封底没放文字
随着信息化不断深入,信息安全上升到关系社会稳定、经济发展和公民权益的地位,成为国家安全的重要组成部分。在整个信息安全保障工作中,人是最核心、最活跃的因素,信息安全保障工作最终也是通过人来落实的。因此,加快信息安全人才培养体系建设是发展我国信息安全保障体系必备的基础和先决条件。
多年来,国家高度重视我国信息安全人才队伍的培养和建设,明确提出要加强信息安全人才培养。2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号),提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。中国信息安全测评中心依据中央赋予的职能,自2002年起,积极推动我国信息安全专业人才培养工作。一方面支持并配合国内多所大学开办了信息安全专业,有力促进了信息安全学历教育的开展;另一方面在原国务院信息化办公室的支持下,开创性地开展了信息安全职业教育与能力认证工作,面向社会提供“注册信息安全专业人员(CISP)”培训服务,十余年来培养专业人才逾万名,为党政军机关和职能部门以及金融、交通、能源等行业和国有大型企业的信息安全保障工作填补了专业人才队伍的空白。
教材和知识体系是信息安全职业培训认证工作的核心要素。中国信息安全测评中心在全面考察国际知名信息安全职业教育知识体系的基础上,汇集国内诸多院士、专家和学者智慧,汲取教学实践体验,提出信息安全人才需要全面涵盖理论、技术、管理、工程、标准和法律法规等知识域,在此基础上编撰了《信息安全理论与技术》、《信息安全工程与管理》及《信息安全标准与法律法规》系列教材,于2003年由人民邮电出版社正式出版。该系列教材填补了国内空白,成为信息安全保障工作中的必备参考书。
信息安全是动态发展变化的。新技术不断推陈出新,信息安全态势不断演变,需要不断地更新知识。经过十余年的积累,我们编撰了《信息安全技术》和《信息安全保障》两本书,这是在原版本系列教材基础上的全面修订,经过了三年试用和多次完善。与上版相比,修订后的教材具有以下三个特点。
一是主线更清晰,内容更全面。《信息安全技术》增加了安全攻击与防护、软件安全开发等章节。《信息安全保障》新增了信息安全管理基础、信息安全风险管理、信息安全等级保护等章节,进一步充实了信息安全法律、法规和标准体系等方面的内容。整套教材系统地阐述了当前我国信息安全保障体系的主要工作,以及各项工作涵盖的关键技术。
二是知识进行了全面更新。在《信息安全技术》中,增加了云计算、物联网和工业控制系统等新领域的安全防护技术,以及主流安全管理平台、统一威胁管理系统、网络准入控制系统、Web应用安全防护产品的技术原理与应用。在《信息安全保障》中,信息安全战略、法律、法规、政策及标准更新截至2013年。本套教材全面体现了信息安全领域各方面的最新发展状况,与国外同类信息安全培训教材知识体系总体保持同步。
三是吸收了十余年来中国信息安全测评中心在漏洞分析与风险评估等领域的最新科研成果与工作积累,同时,汇聚了知名高校、科研院所、行业及产业信息安全专家的知识与经验。与国外同类信息安全培训教材相比,本套教材更加贴合我国信息安全保障的实际工作要求,技术理论、政策指导与实践应用相结合,满足国家对信息安全人才的深层次需求。
本套教材以知识体系的全面性和实用性为原则,涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识,为信息安全管理与技术人员解决实际工作问题提供参考。本套教材主要面向国家部委、重要行业、科研院所及企事业单位的信息安全从业人员,适用于信息技术产品研发测试、信息系统安全规划与建设运维、信息安全服务等方面的专业技术人员,以及信息安全总体规划、策略制度制定、风险评估和监督审计等方面的管理人员。
本套教材在修订完善的过程中得到社会各界人士的关心与支持,特别是中国信息安全测评中心刘晖、郭涛、彭勇、张涛、班晓芳、姚轶崭、郭颖、戴忠华、任望、王庆、王星、邹静,上海信息安全工程技术研究中心谢安明,清华大学叶晓俊,北京交通大学李勇,中国科学院软件研究所苏璞睿,华东师范大学张雪芹,北京信息科技大学刘凯,北京江南天安科技有限公司陈冠直、胡杰,北京时代新威信息技术有限公司王连强,上海三零卫士信息安全有限公司邬敏华、陈锡军、陈长松,北京奇虎测腾科技有限公司张,南京翰海源信息技术有限公司方兴,在此表示衷心的感谢。
教材中不妥或错误之处恳请广大读者批评指正。
计算机\安全
吴世忠 李斌 张晓菲 沈传宁 李淼 编著:暂无简介
前 言
第1章 密码学基础 1
1.1 密码学发展简史 1
1.2 密码学基本概念 2
1.2.1 概述 2
1.2.2 密码系统安全性 3
1.2.3 古典密码 4
1.2.4 密码体制的分类 5
1.2.5 密钥管理 6
1.2.6 密码协议 7
1.3 对称密码算法 10
1.3.1 概述 10
1.3.2 DES算法 10
1.3.3 3DES算法 12
1.3.4 AES算法 13
1.3.5 IDEA算法 14
1.4 非对称密码算法 14
1.4.1 概述 14
1.4.2 RSA公钥密码体制 15
1.4.3 其他非对称密码算法 16
1.5 哈希函数和数字签名 17
1.5.1 哈希函数 17
1.5.2 消息鉴别码 19
1.5.3 数字签名 20
参考文献 22
思考题 23
第2章 密码学应用 24
2.1 概述 24
2.2 密码学应用基础 24
2.2.1 使用密码技术保护应用安全 24
2.2.2 典型密码应用产品 26
2.3 公钥基础设施 27
2.3.1 基本概念 27
2.3.2 数字证书 28
2.3.3 CA 29
2.3.4 PKI互操作模型 31
2.3.5 PKI的应用与发展 33
2.4 虚拟专用网络 34
2.4.1 概述 34
2.4.2 IPSec 36
2.4.3 SSL 41
2.5 特权管理基础设施 44
2.5.1 概述 44
2.5.2 架构 44
2.5.3 属性证书 45
2.5.4 应用结构 46
2.6 其他密码学应用介绍 47
2.6.1 动态口令认证 47
2.6.2 PGP 51
2.6.3 OpenSSL 52
参考文献 54
思考题 54
第3章 鉴别与访问控制 55
3.1 鉴别 55
3.1.1 鉴别的类型 55
3.1.2 鉴别的方法 56
3.2 访问控制模型 58
3.2.1 基本概念 58
3.2.2 自主访问控制 60
3.2.3 强制访问控制 62
3.2.4 基于角色的访问控制 66
3.3 访问控制技术 69
3.3.1 集中访问控制 69
3.3.2 非集中访问控制 73
参考文献 73
思考题 74
第4章 操作系统安全 75
4.1 概述 75
4.1.1 操作系统的作用与功能 75
4.1.2 操作系统安全机制设计 76
4.1.3 操作系统安全配置要点 81
4.2 Windows系统安全机制 82
4.2.1 标识与鉴别 83
4.2.2 访问控制 84
4.2.3 用户账户控制 85
4.2.4 安全审计 86
4.2.5 文件系统 86
4.2.6 Windows XP安全设置参考 87
4.3 Linux系统安全机制 90
4.3.1 标识与鉴别 90
4.3.2 访问控制 92
4.3.3 安全审计 93
4.3.4 文件系统 94
4.3.5 特权管理 95
4.3.6 Linux安全设置参考 95
4.4 安全操作系统 102
4.4.1 安全操作系统研究概况 102
4.4.2 安全操作系统设计的原则 103
4.4.3 SELinux简介 103
参考文献 104
思考题 104
第5章 网络安全 105
5.1 网络协议安全 105
5.1.1 OSI七层模型及安全架构 105
5.1.2 TCP/IP安全 109
5.1.3 无线局域网协议安全 114
5.1.4 移动通信网络安全 119
5.2 网络安全设备 123
5.2.1 防火墙 123
5.2.2 入侵检测系统 131
5.2.3 其他网络安全设备 137
5.3 网络架构安全 142
5.3.1 网络架构安全的含义 142
5.3.2 网络架构安全设计 143
参考文献 148
思考题 148
第6章 数据库安全 149
6.1 数据库系统概述 149
6.2 数据库安全概述 151
6.2.1 数据库安全要求 152
6.2.2 数据库安全措施 153
6.2.3 数据库完整性 158
6.2.4 数据库备份和恢复 161
6.3 数据库运行安全防护 162
6.3.1 数据库安全防护 162
6.3.2 事前安全检测 164
6.3.3 事中运行监控 166
6.3.4 事后安全审计 168
参考文献 169
思考题 169
第7章 应用安全 170
7.1 应用安全概述 170
7.1.1 什么是应用安全 170
7.1.2 常见应用安全威胁 171
7.1.3 OSI通信协议应用安全防护要点 173
7.1.4 等级保护规范应用安全防护要点 174
7.2 Web应用安全 175
7.2.1 Web应用安全问题产生的原因 176
7.2.2 Web程序安全开发要点 179
7.2.3 Web服务运行平台安全配置 179
7.2.4 IE浏览器安全配置参考 182
7.2.5 Web安全防护产品介绍 183
7.3 常用互联网服务安全 185
7.3.1 电子邮件安全 185
7.3.2 FTP安全 186
7.3.3 远程管理安全 187
7.3.4 域名应用安全 187
7.4 办公软件使用安全 187
7.4.1 Office字处理程序安全防护要点 187
7.4.2 即时通信软件安全防护要点 188
参考文献 189
思考题 189
第8章 安全漏洞与恶意代码 190
8.1 安全漏洞的产生与发展 190
8.1.1 安全漏洞的含义 190
8.1.2 安全漏洞的产生 192
8.1.3 安全漏洞的分类 194
8.1.4 安全漏洞的发展趋势 195
8.2 安全漏洞的发现与修复 195
8.2.1 安全漏洞的发现 195
8.2.2 安全漏洞的修复 198
8.3 恶意代码的产生与发展 199
8.3.1 恶意代码的产生 199
8.3.2 恶意代码的分类 202
8.3.3 恶意代码的传播方式 203
8.4 恶意代码的实现技术 204
8.4.1 恶意代码的加载 204
8.4.2 恶意代码的隐藏 204
8.4.3 恶意代码的自我保护 207
8.5 恶意代码的防御技术 208
8.5.1 恶意代码的预防 208
8.5.2 恶意代码的检测 210
8.5.3 恶意代码的分析 211
8.5.4 恶意代码的清除 211
参考文献 212
思考题 213
第9章 安全攻击与防护 214
9.1 信息收集与分析 214
9.1.1 信息收集与分析的作用 214
9.1.2 信息收集与分析的方法 214
9.1.3 信息收集与分析的防范 217
9.2 常见攻击与防范 217
9.2.1 口令破解 217
9.2.2 社会工程学 218
9.2.3 欺骗攻击 220
9.2.4 拒绝服务攻击 222
9.2.5 缓冲区溢出攻击 225
9.2.6 SQL注入攻击 226
9.2.7 跨站脚本攻击 227
9.3 后门设置与防范 228
9.4 痕迹清除与防范 230
参考文献 231
思考题 231
第10章 软件安全开发 232
10.1 软件安全开发背景 232
10.1.1 软件的发展和安全问题 232
10.1.2 软件安全问题产生的原因 234
10.2 软件安全开发的必要性 235
10.2.1 软件安全保障 235
10.2.2 传统软件开发的局限性 236
10.2.3 软件安全开发生命周期 237
10.3 软件安全开发模型及研究 238
10.3.1 安全开发生命周期 238
10.3.2 BSI系列模型 240
10.3.3 综合的轻量级应用安全过程 241
10.3.4 软件保障成熟度模型 242
10.3.5 特点分析 243
10.4 软件安全需求和设计 245
10.4.1 软件安全设计原则 245
10.4.2 威胁建模 247
10.5 软件安全编码 250
10.5.1 通用安全编码准则 250
10.5.2 安全编译 254
10.5.3 源代码审核 255
10.6 软件安全测试 256
10.6.1 概述 256
10.6.2 模糊测试 256
10.6.3 渗透测试 257
参考文献 259
思考题 260
第11章 新技术安全 261
11.1 云计算安全 261
11.1.1 云计算概述 261
11.1.2 云计算安全体系 262
11.1.3 云计算安全关键技术 265
11.1.4 云计算安全标准 270
11.2 物联网安全 272
11.2.1 物联网概述 272
11.2.2 物联网安全体系 274
11.2.3 物联网安全的关键技术 277
11.2.4 物联网安全标准 280
11.3 工业控制系统安全 283
11.3.1 工业控制系统的基本结构 283
11.3.2 工业控制系统的主要安全威胁 285
11.3.3 工业控制系统安全架构 286
11.3.4 工业控制系统安全标准 290
参考文献 291
思考题 292
附录 缩略语 293
