本书第1版评论
　 “对那些陷于计算机安全痛苦问题的人而言，这是一本非常有用的书，我把它推荐给我的学生。”　　　　　　　　　　　　　　　
　　——Antonia Jones，英国加地夫大学

　　如今，安全不再仅仅是专家们感兴趣的话题，对此感兴趣的还包括所有的终端用户、系统管理员以及软件开发者。
　　总有特殊的安全威胁会伴随着新的IT应用软件的开发而出现。面对永无休止的挑战，传统的解决办法也许不但不能解决问题，反而会恶化这些问题。因而，我们需要新的解决办法。
　　本书提出了与计算机安全有关的全面而简练的总的看法，帮助读者应对各个级别的安全问题。本书从基本的定义和概念开始，进而勾画出计算机系统的核心机制。本书覆盖了网络、操作系统以及数据库的安全问题，并显示了应该如何评估及解决安全问题。
　　本书第2版包括了有关软件安全的新章节、分布式系统的认证、访问控制中新的范例以及移动等方面的内容，同时还涵盖了对安全管理和密码学的简要介绍。
　　本书对计算机科学、工程学及相关学科下学习计算机或信息安全课程的本科生或研究生而言，是十分必要的读物。而对于技术和工程管理人员而言，这本书也会为解决复杂的安全难题提供很好的切入点。
　　本书既适合课堂教学，也适合自学。教学幻灯片、每章练习的解题方案等附加的资源都可以在www.wiley.com/go/gollmann上找到。

无

本书源于笔者的课程讲义，笔者曾在有关信息安全的为期一年的研究生项目中讲授。在这个项目头一年讨论产业配置的引用术语时，主管安全的管理者强调了阐明非项目目标的重要性。因此我们将非课程目标列举如下：
　　这不是一本计算机安全手册
　　这不是关于计算机安全的百科全书
　　这不是计算机安全的历史书
　　当然，本书会参考计算机安全中的历史事件，讲到很多背景知识。书中涵盖该领域中的众多材料，笔者希望安全实施人员会从中得到有用的观点和内容。不过，最初本书是作为计算机安全教科书而写的，主旨是为那些有计算机科学背景的学生提供一些评定和比较安全产品技术优势的基础。
　　本书第1版的前言也作了上述介绍，接着解释了笔者所选择的主题和书的结构。第1版的材料编于数年前，这段时间里因特网已经对商业用途开放，在此之前，万维网也早已经存在了，但这些事件带来的变化还没有广及今天的程度。回顾一下，从20世纪90年代中期至90年代末的这一段时间里，很多人都相信通信安全特别是强密码学可以保障因特网和万维网的安全访问。
　　如今，通过广泛部署令人满意的通信安全协议，这些问题已经得到解决。但是，安全仍然是一个难题。人们的关注又回到了终端系统。缓冲区溢出、一般性的代码漏洞引起了人们的注意。访问控制不再是主要由操作系统实施，中间层和应用层也都实施了访问控制。基于代码的访问控制已经替代了传统的基于用户身份的替代。
　　本书第2版试图客观评价计算机安全领域中的这些发展，并增加了分布式系统的认证、移动、软件安全以及访问控制中新的范例等章节。Unix安全、Windows 2000安全、网络安全等章节的内容都已经更新。另外，本书还重新安排了安全模型方面的材料，并将其分为两章。第8章讲述了如何构建一个形式化的安全模型，比如BellLaPadula模型，以及如何将它应用于计算机系统的分析。第9章说明其他重要安全模型的概况。时下流行的一些问题，比如可信计算，本书只略提一二。其他方面，如网络安全服务，在这一版中删掉了，因为（但不局限于此）这个领域仍在不断发展，技术细节很快就过时了！
　　与本书第1版一样，第2版也很关注计算机安全，如现在信息技术应用中使用的终端系统的技术安全问题。经过深思熟虑，笔者决定将重点放在技术方面。总的来说，这不是一本有关信息安全的书，虽然书中包括了风险分析和安全管理的概论性章节。这些章节可供那些教授信息安全课程的讲师作为背景教材使用。本书没有在这些章节上长篇大论并不意味着它们对计算机安全不重要。相反，没有技术安全应用的参考背景，就不能制定安全决策；如果管理不当，或者部署错误，即使最好的技术措施也会失效。在上面提到的研究生项目中，有关技术主题的课程就是与安全管理方面的课程一起讲授的，这些有关安全管理的课程会讲到围绕计算机安全的非技术安全问题。即使在关注技术问题时，如果在本书讲完后，读者在搞清系统目的前仍把“这个系统是安全的吗”这个问题当成一个有意义的问题，那么笔者会觉得自己很失败。
　　在整本书中，笔者始终尝试着从书中各方面的主题讨论中提取出通用的安全原则。在讲述具体的安全系统时，也展示了诸如Unix和Windows 2000中的安全特征。它们主要作为这些一般性观点的例证，而不作为对这些系统的全面介绍。其一，这是由于篇幅的限制，很多章节涉及的主题都可以单独写成一本书；再者是因为计算机安全系统的不断变化的特质，对技术细节的解释很快会过时；最后是因为这样一个经常会听到的抱怨：安全实施者已悉知系统是如何工作的，但是并不知道如何让它们更好地工作。因此，本书尝试提醒读者如何让系统工作得更出色。
　　本书的每一章都配置了练习，但笔者不能说对所有的练习都很满意。不能说计算机安全像一堆菜谱一样，可以在一本典型的教材练习限定的范围内逐一展示完全。在某些领域中，如密码安全或密码学，编写有精确答案的练习十分容易，而且只要执行正确的操作步骤即可找出准确答案。有些领域则更适合项目、论文或讨论。虽然，大家很自然地会联想到提供一个有实际系统实验的计算机安全课题，但笔者在本书中并没有提出实验环节的建议。操作系统、数据库管理系统或者防火墙是实践练习的主要来源。讲师可根据实际工作中使用的特定系统收集具体实例。针对具体的系统，还有很多优秀的讲解如何使用系统的安全机制的书籍。
　　由于这是一本教材，所以有时候我会在练习中收集一些很重要的材料，这些材料可能在一些计算机安全手册的主体部分有收录。
　　笔者很感谢那些鼓励本书出版并为第1版提供反馈意见的同事们，他们对本书中哪些地方很有用，哪些地方用处不大提出了合理建议。然而，并非所有的建议都被第2版采纳。笔者还要特别感谢Jason Crampton，他提了很多详细而有用的建议，并修正了很多章节。感谢Tuomas Aura 和Kai Rannenberg，笔者曾就一些章节中的专业技术问题向他们讨教过，他们提供了很详细的建议。

　　Dieter Gollmann
　　2005年8月于汉堡

本书第1版评论 “对那些陷于计算机安全痛苦问题的人而言，这是一本非常有用的书，我把它推荐给我的学生。” ——Antonia Jones，英国加地夫大学 如今，安全不再仅仅是专家们感兴趣的话题，对此感兴趣的还包括所有的终端用户、系统管理员以及软件开发者。 总有特殊的安全威胁会伴随着新的IT应用软件的开发而出现。面对永无休止的挑战，传统的解决办法也许不但不能解决问题，反而会恶化这些问题。因而，我们需要新的解决办法。 本书提出了与计算机安全有关的全面而简练的总的看法，帮助读者应对各个级别的安全问题。本书从基本的定义和概念开始，进而勾画出计算机系统的核心机制。本书覆盖了网络、操作系统以及数据库的安全问题，并显示了应该如何评估及解决安全问题。 本书第2版包括了有关软件安全的新章节、分布式系统的认证、访问控制中新的范例以及移动等方面的内容，同时还涵盖了对安全管理和密码学的简要介绍。 本书对计算机科学、工程学及相关学科下学习计算机或信息安全课程的本科生或研究生而言，是十分必要的读物。而对于技术和工程管理人员而言，这本书也会为解决复杂的安全难题提供很好的切入点。 本书既适合课堂教学，也适合自学。教学幻灯片、每章练习的解题方案等附加的资源都可以在www.wiley.com/go/gollmann上找到。

Dieter Gollmann：Dieter Gollmann: 汉堡科技大学分布式应用软件安全的教授，曾做过伦敦大学皇家豪乐威学院的访问教授、丹麦技术大学副教授。另外，他曾在剑桥大学微软研究中心担任研究信息安全的研究员。

张小松：暂无简介

计算机的安全问题已经成为世界性关注的问题，计算机用户在使用计算机的过程中几乎无一幸免地受到过各种病毒、恶意软件、流氓软件的骚扰或攻击。这些攻击轻则造成系统的工作不稳定，影响工作的正常进行；重则造成系统崩溃，保密资料被窃。据统计，电脑病毒对全世界企业造成的损失呈逐年上升趋势。2001年造成的损失为110亿美元，但到了2003年造成的损失已达到550亿美元。新病毒，新攻击的破坏方式层出不穷。无论反病毒公司的动作有多快，他们始终滞后于病毒发展的速度，可见，解决计算机安全问题已经迫在眉睫。从普通用户的角度讲，树立计算机安全使用意识是必须解决的问题；从计算机安全专业技术人员的角度讲，设计并实现更加安全的计算机系统架构也是目前安全现状提出的进一步要求。而这两者都必须从源头入手，即需要了解计算机安全的基本概念和原理，本书即是从技术原理的角度介绍了计算机安全领域最基本和最重要的原理，对于希望全面掌握了解计算机安全原理的人而言，这是一本非常有用的书。
　　全书分为17章，从计算机安全的基本的定义和概念开始，覆盖了网络安全、操作系统安全以及数据库安全等方面的主题，内容几乎涉及了目前计算机安全领域的所有方面，从基于口令访问控制的基本模型到操作系统完整性和内存访问控制保护机制，从计算机安全模型到计算机安全评估，从密码学和密钥管理协议到网络安全，从软件漏洞到基于代码的访问控制，从移动服务安全机制到数据库安全，内容丰富，深入浅出。
　　本书适合作为高等学校信息安全专业本科或工程硕士的《信息安全概论》、《计算机安全》等基础课程的参考教材，也可作为其他学科在安全类课程方面的参考教材，还可以作为信息专业技术人员的参考用书，是信息安全方面较理想的教学参考书籍。
　　本书的翻译工作由潘小会、邵林、王巧、谢飞、刘飞、陈亮、刘智、王东、龙小书、姜毅完成，最终由张小松统稿。
　　在翻译过程中，译者在不偏离作者原意的原则下，尽量运用流畅、准确的文句表达原书内容。由于译者水平有限，难免存在译误，敬请读者指正。

　　译者
　　2007年12月

目录
出版者的话
专家指导委员会
译者序
前言第1章绪论
11攻击与攻击者
12安全
13安全管理
131安全策略
132测量安全
133标准
14风险与威胁分析
141资产
142漏洞
143威胁
144风险
145对策——减轻风险
15深层阅读
16练习
第2章计算机安全基础
21定义
211安全
212计算机安全
213机密性
214完整性
215可用性
216问责性
217不可否认性
218可靠性
219计算机安全定义
22计算机安全进退两难的困境
23数据与信息
24计算机安全原则
241控制重点
242人—机标尺
243复杂性与保证性
244集中控制或分布控制
25下层
26深层阅读
27练习
第3章身份识别与认证
31用户名与口令
32口令管理
33选择口令
34欺骗攻击
35保护口令文件
36一次签到
37可供选择的方法
38深层阅读
39练习
第4章访问控制
41背景
42认证和授权
43访问操作
431访问模式
432BellLaPadula模型的访问权限
433当前的操作系统
44所有权
45访问控制结构
451访问控制矩阵
452能力
453访问控制列表
46中间控制
461组和否定的许可
462特权
463基于角色的访问控制
464保护环
47偏序
471VSTa微内核中的能力
472安全级别的格
473多级安全
48深层阅读
49练习
第5章引用监控器
51引言
511部署引用监控器
512执行监控器
52操作系统完整性
521操作模式
522受控调用
53硬件安全特性
531安全基本原理
532计算机体系结构的简单概述
533进程和线程
534受控调用——中断
535Intel 80386/80486上的保护
54存储器保护
55深层阅读
56练习
第6章UNIX安全
61引言
62主角
621用户账户
622超级用户（根）
623组
63主体
631登录和口令
632影子口令文件
64对象
641i节点
642默认许可位
643目录的许可
65访问控制
651设置UID和GID
652更改许可
653UNIX访问控制的不足
66一般安全原则的实例
661受控调用的应用
662删除文件
663设备保护
664改变文件系统的根
665挂接文件系统
666环境变量
667搜索路径
668包裹层
67管理问题
671管理超级用户
672可信主机
673审计日志与入侵检测
674安装与配置
68深层阅读
69练习
第7章Windows 2000安全
71引言
711体系结构
712注册表
713域
714活动目录
72访问控制——组件
721主角
722主体
723对象
724访问掩码
725扩展权限
73访问决策
731DACL
732决策算法
733ACE继承
74受限上下文
75管理
751用户账户
752默认用户账户
753审计
754小结
76深层阅读
77练习
第8章BellLaPadula模型
81状态机模型
82BellLaPadula模型
821状态集
822安全策略
823基本安全定理
824稳定性
825BLP的各个方面及其局限性
83BLP的Multics阐述
831Multics中的主体和对象
832转换BLP策略
833检查内核原语
84深层阅读
85练习
第9章安全模型
91Biba模型
911静态完整性级别
912动态完整性级别
913调用的策略
92中国墙模型
93ClarkWilson模型
94HarrisonRuzzoUllman模型
95信息流模型
951熵和平均值
952基于格的模型
96执行监控器
961执行属性
962安全性和活动性
97深层阅读
98练习
第10章安全评估
101引言
102橘皮书
103虹系列
104信息技术安全评估标准
105联邦标准
106共同标准
1061保护配置文件
1062评估保证级别（EAL）
1063评估方法
107质量标准
108成果是否得到充分利用
109深层阅读
1010练习
第11章密码学
111引言
1111旧的范例
1112新的范例
1113密钥
1114密码机制
112模运算
113完整性检查功能
1131冲突和生日悖论
1132操作检测码
1133消息认证码
1134安全哈希算法
114数字签名
1141一次性签名
1142ElGamal签名和DSA
1143RSA签名
115加密
1151数据加密标准
1152块加密器模式
1153RSA加密
1154EIGamal加密
116密码机制的强度
117演示
118深层阅读
119练习
第12章分布式系统中的认证
121引言
122密钥建立和认证
1221远程认证
1222密钥建立
123密钥建立协议
1231认证密钥交换协议
1232DiffieHellman协议
1233NeedhamSchroeder协议
1234基于口令的passwordbased
协议
124Kerberos
1241领域
1242Kerberos和Windows
1243委派
1244撤销
1245小结
125公钥基础设施
1251证书
1252证书权威
1253X509/PKIX证书
1254证书链
1255撤销
1256电子签名
126可信计算—证明
127深层阅读
128练习
第13章网络安全
131引言
1311威胁模型
1312通信模型
1313TCP会话劫持
1314TCPSYN洪泛攻击
132协议设计原则
133IP安全
1331认证报头
1332封装安全有效载荷
1333安全关联
1334因特网密钥交换协议
1335IPsec策略
1336小结
134SSL/TLS
135域名系统DNS
136防火墙
1361包过滤
1362状态包过滤器
1363电路级代理
1364应用层代理
1365防火墙策略
1366边界网络
1367局限性和问题
137入侵检测
1371漏洞评估
1372误用检测
1373异常检测
1374基于网络的入侵检测系统
1375基于主机的入侵检测系统
1376蜜罐
138深层阅读
139练习
第14章软件安全
141引言
1411安全性和可靠性
1412恶意程序分类
1413黑客
1414环境的改动
142字符和数字
1421字符（UTF8编码）
1422整数溢出
1423数组
143规范表示
144内存管理
1441缓冲区溢出
1442虚拟内存系统（VMS）登录
1443finger漏洞
1444栈溢出
1445不可执行的栈
1446堆溢出
1447类型混淆
1448疯狂的电脑黑客
1449AS/400机器接口模板
145数据和代码
1451远程登录漏洞
1452脚本
1453SQL插入
146竞争条件
147防御
1471防止：硬件
1472防止：类型安全
1473预防：更安全的函数
1474检测：代码检查
1475检测：测试
1476缓和：最低权限
1477反应：紧跟时代步伐
148深层阅读
149练习
第15章新的访问控制范例
151引言
1511访问控制范例的改变
1512修订的有关访问控制的术语
152基于代码的访问控制
1521堆栈检查
1522基于历史的访问控制
153Java安全
1531执行模型
1532Java 1安全模型
1533Java 2安全模型
1534字节码校验器
1535类加载器
1536策略
1537安全管理器
1538小结
154NET安全框架
1541通用语言运行库
1542基于代码身份的安全
1543证据
1544强名称
1545许可
1546安全策略
1547堆栈遍历
1548小结
155cookie
156简单公钥基础设施
157信任管理
158数字版权管理
159深层阅读
1510练习
第16章移动
161引言
162GSM
1621部件
1622临时移动用户标识
1623加密算法
1624用户身份认证
1625加密
1626基于位置的服务
1627小结
163通用移动通信系统
1631假基站攻击
1632加密算法
1633UMTS认证和密钥协议
164移动IPv6的安全性
1641移动IPv61642安全绑定更新
1643地址所有权
165无线局域网
1651无线对等加密
1652WPA
1653IEEE 80211iWPA2
166蓝牙
167深层阅读
168练习
第17章数据库安全
171引言
172关系数据库
1721数据库的关键字
1722完整性规则
173访问控制
1731SQL安全模型
1732特权的授予和撤销
1733通过视图的访问控制
174统计数据库的安全
1741聚集和推断
1742跟踪攻击
1743对策
175操作系统的完整性
176隐私
177深层阅读
178习题
参考文献