信息技术的飞速发展使人们的生产方式、生活方式和思想观念发生了巨大变化,信息安全问题也日益成为我们关注的焦点。本书源于作者在信息安全领域的多年研发经验与教学总结,涵盖信息安全的方方面面。本书第1版入选“教育部推荐研究生教材”,第2版不仅对原有内容进行更新,更增加了许多新的内容,使本书覆盖范围更加广泛。
本书特点
●本书从信息安全基本概念、信息安全体系和信息安全应用三个方面全方位论述信息安全的相关知识,读者既能掌握基本的理论知识,又能了解相关的实用技术。
●本书各章均包含大量习题,有助于读者掌握各章重要的知识点。
●本书已入选普通高等教育“十一五”国家级规划教材,并获得国家自然科学基金项目(60673071)、国家863项目计划(2006AA01z442)及军队“2110工程”(军事通信工程)等项目的支持。
●本书为教师配有教学课件和习题答案,有需要的教师可登录机工新阅读网站www.cmpreading.com下载。
无
本书第1版自2003年3月出版以来,已在全国多所高校使用。从教学反馈意见来看,本书对我国的信息安全普及教育和提高全民信息安全意识起到了积极的作用。承蒙中国工程院院士、国家信息化专家咨询委员会委员沈昌祥先生为本书第1版作序,对他提出的建议以及宝贵的修改意见,我们表示诚挚的谢意。
2003年7月,中办[2003]27号文转发的《国家信息化领导小组关于加强信息安全保障工作的意见》成为在经济全球化深入发展、社会信息化全面加快的新形势下加强中国信息安全保障工作的纲领性文件。
在这个大背景下,我们深感原教材的分量和内容均不足以适应信息安全如火如荼的发展需要。在机械工业出版社华章分社领导和编辑朋友们的大力支持下,我们提出了《信息安全学第2版》的选题申请,于2005年底通过机械工业出版社申报了普通高等教育“十一五”国家级规划教材并获得成功,在此,向机械工业出版社华章分社的领导和朋友们表示衷心的感谢。
本书第2版的编写工作得到了海军工程大学的大力支持,海军工程大学研究生院给予了热心资助,电子工程学院通信工程系以及信息安全系的同事们给予了真切的关心、指导和热情帮助,在此向各级机关以及所有关心、支持本书出版工作的朋友表示衷心的感谢。
在第2版的编写过程中,我们组织了专家型写作班子。武汉大学计算机学院信息安全专业博士生导师张焕国教授编写第4章和第8章;解放军信息工程大学电子技术学院张少武教授编写第9章;海军工程大学电子工程学院通信工程系主任周学军教授编写第5章;中原工学院长期从事信息工程开发的潘恒副教授编写第10章;海军指挥学院信息安全研究室薛丽敏副教授编写第6章;周学广教授编写本书第1章、第2章、第3章、第7章和第11章,并负责全书的统稿、定稿工作。参与本书编写的还有刘艺副教授(参与111节和112节的编写)、傅子奇处长(参与53节和54节的编写)、刘可工程师(参与64节和65节的编写)、田巧云硕士(参与41节的编写)。与本书第1版相比,第2版新增内容5章,新增和修改篇幅达到50%以上。
在本书编写过程中,许多领导和专家给予了关注和指导,他们是:郭立峰、周长海、高敬东、李敬辉、温莉芳、苗小伟、陈林根、陈少昌、王丽娜、潘正运、贺国、孙允标、李殿伟,在此一并表示感谢。另外,除书后的参考文献外,本书还参考了许多作者的论文、著作等,由于篇幅所限无法一一列出,在此也对他们表示衷心感谢。
本书是普通高等教育“十一五”国家级规划教材,获得国家自然科学基金项目(60673071)、国家863计划项目(2006AA01z442)、海军工程大学研究生教材建设基金和军队“2110工程”(军事通信工程)的资助,特此致谢。
周学广张焕国
2007年5月1日于武汉大学
信息社会的兴起,给全球带来了信息技术飞速发展的契机;信息技术的应用,引起了人们生产方式、生活方式和思想观念的巨大变化,极大地推动着人类社会的发展和人类文明的进步,把人类带入新时代;信息系统已逐渐成为社会各个领域不可或缺的基础设施;信息已成为社会发展的重要战略资源、决策之源和控制战场的灵魂;信息化水平已成为衡量一个国家现代化和综合国力的重要标志。争夺“制信息权”已成为国际竞争的重要内容。
党中央及时提出大力推进国民经济和社会信息化,做出“以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展”的重要决策,信息网络系统的建设和应用必将成为新世纪国家发展的重点。江泽民同志曾指出:各地各部门的领导干部,必须加紧学习网络化知识,高度重视网上斗争的问题。我们的党建工作、思想政治工作、组织工作、宣传工作、群众工作,都应适应信息网络化的特点,否则是很难做好的。总之,对信息网络化问题,我们的基本方针是积极发展,加强管理,趋利避害,为我所用,努力在全球信息网络化的发展中占据主动地位。
然而,人们在享受信息网络所带来的巨大利益的同时,也面临着信息安全的严峻考验。信息安全已成为世界性的现实问题,信息安全与国家安全、民族兴衰和战争胜负息息相关。没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。面对日益明显的经济、信息全球化趋势,我们既要看到它带给我们的发展机遇,也要正视它给我们带来的严峻挑战。国家“十五”国民经济发展计划决定要“强化信息网络的安全保障体系”。因此,加速信息安全的研究和发展,加强信息安全保障能力已成为我国信息化发展的当务之急,成为国民经济各领域电子化成败的关键,成为提高中华民族生存能力的头等大事。为了构筑21世纪的国家信息安全保障体系,有效地保障国家安全、社会稳定和经济发展,需要尽快并长期增强广大公众的信息安全意识,提升信息系统研究、开发、生产、使用、维护、教育管理人员的素质和能力。
当前,美国等发达国家十分重视信息安全保障,把信息争夺与对抗作为未来国与国之间斗争的主要方式。美国最早关注通信保密,1990年以后提出信息战及信息安全概念,1998年5月克林顿总统发布了《对关键基础设施保护政策第63号总统令》(PDD63),美国国家安全局于同年10月提出信息保障技术框架(IATF 11版)。这一系列举措表明了美国作为全球化浪潮的领导者,正在利用信息霸权谋求主宰世界,正在准备信息威慑及战略信息战。因此,要把我国的信息安全问题放在全球战略角度考虑,也就是放在政治角度来考虑。
当前,信息安全的概念正在与时俱进。它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,并进一步发展到如今的信息保障和信息保障体系。单纯的保密和静态的保护都已不能适应今天的需要。信息保障依赖人、操作和技术实现组织的任务/业务运作。针对技术/信息基础设施的管理活动同样依赖于这三个因素。稳健的信息保障状态意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
可以这样说,面向数据的安全概念是信息的保密性、完整性和可用性,而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及基于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务,而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。总之,从历史的人网大系统的概念出发,现代的信息安全涉及个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。
信息技术的发展与广泛应用,已经并还将深刻地改变人们的生活方式、生产方式与管理方式,对推进国家现代化、推进社会文明的发展产生日益重大的影响。由于信息技术本身的特殊性,在整个信息化进程中,必将带来巨大的信息安全风险。信息安全问题涉及国家安全、社会公共安全和公民个人安全的方方面面。要使我们的信息化、现代化的发展不受影响,就必须克服众多的信息安全问题,化解日益严峻的信息安全风险,因此,面对日益迫切的需要,唯一的出路就是尽快培养信息安全方面的专业人才,加大信息安全教育的普及力度,树立国民的信息安全意识,建设好国家的信息安全边防线。本书作为高等院校计算机教材,为培养信息安全专业人才,普及信息安全教育提供了有力的支持。
本书有以下几个特点:
1)内容翔实、覆盖面广,较完整地给出了信息安全的体系结构,有较强的系统性和实用性,能够满足军队和地方院校相关专业的教学需要。
2)选材精,技术新。本书既介绍密码学与密码分析学、信息安全测评认证和美国高级加密标准等先进技术和原理,也讨论了企业和个人信息安全、国家和军队信息安全等最新的信息安全技术综合应用。
3)图文并茂,深入浅出。本书包括大量的图片和阅读重点提示,并提供了指导读者进一步学习的参考文献。
本书的主编都是信息科学领域的年轻人,长期从事该领域的教学和科研工作,成绩斐然,特别是在编写计算机和信息专业教材和技术专著方面都积累了丰富的经验。本书主编之一周学广副教授是从事军事信息安全教学和科研的专家,已出版专业教材和教学用书5部,并多次获奖。本书另一位主编刘艺副教授是知名的计算机技术作家,编著和翻译了大量的计算机专著,目前已经正式出版的有10部。他还曾荣获过全军软件比赛一等奖。
两位主编力邀我为本书作序,虽工作繁忙,但通读全书,得益不浅,欣然提笔,是为序。
中国工程院院士、国家信息化专家咨询委员会委员
2002年11月4日于武汉
作者介绍
序(第1版)
前言
第1章信息安全概述1
11 信息的定义与特征1
111信息的定义1
112信息的性质和特征2
12信息安全的基本概念2
121信息安全的定义3
122信息安全的属性3
123信息安全的分类3
124信息系统安全基本原则4
13OSI信息安全体系结构5
131ISO 74982标准5
132安全服务5
133安全机制6
134安全服务、安全机制和OSI参考
模型各层关系9
14信息安全管理体系10
141信息安全管理标准10
142信息安全管理范畴10
143信息安全管理体系的构建12
15信息安全测评认证体系13
151信息安全测评认证标准13
152国家信息安全测评认证体系17
153各国测评认证体系与发展现状……18
16信息安全与法律22
161中国信息安全立法现状与思考……22
162计算机记录的法律价值24
163普及信息安全教育25
17小结26
思考题26
第2章信息安全核心:密码技术28
21密码的起源和相关概念28
211密码的起源28
212密码学相关概念29
22古典密码体制31
221代替密码31
222置换密码36
23对称密码体制37
231DES37
232IDEA41
233高级加密标准43
24非对称密码体制48
241引言48
242公钥密码的基本思想48
243几个典型的公钥密码系统49
25小结52
思考题53
第3章密钥分配与管理技术54
31密钥分配技术54
311密钥分配中心方式54
312离散对数方法54
313智能卡方法55
314加密的密钥交换55
315Internet密钥交换56
32公钥基础设施58
321公钥基础设施的基本组件58
322公钥证书59
323信任模型及管理62
324基于X509证书的 PKI64
33密钥托管技术67
331密钥托管体制结构67
332托管加密标准EES71
333密钥托管系统的信息安全74
34密钥管理技术75
341密钥管理的原则75
342密钥生命周期各个环节的安全
管理75
343口令管理76
35小结76
思考题76
第4章信息安全认证78
41数字签名78
411数字签名的基本概念78
412数字签名的实现79
413数字签名的分类80
414ElGamal数字签名体制82
415数字签名算法83
416Schnorr数字签字84
42哈希函数85
421哈希函数基础85
422经典哈希函数88
43认证技术95
431站点认证95
432报文认证96
433身份认证99
44小结102
思考题102
第5章信息安全门户:网络安全
技术10451访问控制技术104
511访问控制模型104
512访问控制策略107
513访问控制的实施108
514授权的行政管理110
52防火墙技术111
521防火墙概述111
522防火墙安全设计策略114
523攻击防火墙118
53虚拟专用网技术120
531虚拟专用网的概念120
532虚拟专用网的关键技术121
533虚拟专用网的主要隧道协议122
54网络隔离技术127
541网络隔离的工作原理128
542网络隔离的优点131
55小结132
思考题132
第6章信息安全检测134
61入侵检测的概念134
611入侵检测基础134
612入侵检测系统分类135
613入侵检测技术的发展趋势137
62入侵检测系统模型137
621一种通用的入侵检测系统模型……137
622大规模分布式入侵检测系统的
体系结构模型138
623基于ART-2 神经网络的IDS
的新模型140
624基于Honeynet的网络入侵模式
挖掘142
63入侵响应144
631准备工作144
632入侵检测145
633针对入侵响应的建议149
64入侵检测150
641网络路由探测攻击150
642TCP SYN 洪泛攻击151
643事件查看151
65入侵检测工具152
651Swatch152
652Tcp Wrapper153
653Watcher157
654常见的商用入侵检测系统158
66小结159
思考题159
第7章计算机取证160
71计算机取证的概念160
711计算机犯罪与电子证据160
712什么是计算机取证161
713计算机取证与法律问题162
72计算机取证技术165
721计算机取证技术基础165
722电子证据获取技术166
723电子证据数据保全技术169
724电子证据数据分析技术169
725电子证据数据鉴定技术174
73计算机取证工具177
731常用的取证工具177
732重要的取证软件178
74计算机反取证技术179
741数据擦除179
742数据隐藏181
743计算机反取证工具183
75小结183
思考题184
第8章可信计算平台186
81可信计算概述186
811可信计算的历史186
812可信计算的概念188
813可信计算的基本特征190
814可信计算的应用191
82可信计算技术192
821可信电路与系统失效192
822可信计算基193
823可信计算平台194
83一种可信安全计算机196
831可信安全计算机系统关键技术…197
832可信安全计算机的应用198
84一种可信嵌入式安全模块199
841嵌入式安全模块199
842ESM CPU的安全设计200
843嵌入式操作系统JetOS200
844一种典型应用:USB-Key201
85可信计算的未来202
851可信计算的未来工业平台202
852可信计算待研究的领域202
853可信计算的问题与思考203
86小结204
思考题204
第9章密码协议设计与分析206
91密码协议概述206
92协议设计的原则207
921协议设计的一般原则207
922几条更直观的设计准则210
93密码协议的安全性分析210
94Kerberos认证协议211
941术语212
942符号212
943Kerberos V5协议描述212
944Kerberos协议的安全缺陷214
95基于PGP的电子邮件安全协议的设计
与实现214
951PGP的符号表示215
952PGP内容介绍215
953密钥和密钥环217
954公钥管理221
96BAN逻辑222
961BAN逻辑构件的语法和语义…222
962BAN逻辑的推理规则223
963BAN逻辑的推理步骤224
964BAN类逻辑225
97应用BAN逻辑分析原始的NSSK
协议227
971NSSK协议227
972BAN逻辑分析228
98小结230
思考题230
第10章信息安全系统工程232
101信息安全系统工程概述232
1011信息安全系统工程的起源和
发展232
1012信息安全系统的生命周期233
1013信息安全系统设计工作的组织
和管理235
1014描述信息安全系统组织结构
的工具236
102信息安全系统的系统规划237
1021信息安全系统的系统规划
概述237
1022信息安全系统的需求调查和
分析239
1023信息安全系统的规划设计242
1024信息安全系统可行性研究
报告244
103信息安全系统的系统分析245
1031系统分析方法概述245
1032现有系统的详细调查247
1033逻辑模型设计247
1034系统分析说明书249
104信息安全系统的系统设计249
1041系统设计概述249
1042系统概要设计250
1043系统详细设计250
1044系统设计说明书254
105信息安全系统的系统实施254
1051系统实施阶段的任务255
1052设备的选购与系统集成255
1053非采购件的设计与实现255
1054软件测试256
1055系统转换257
1056系统验收258
106信息安全系统的维护和管理259
1061系统维护259
1062系统管理259
1063信息安全系统的报废处置260
107小结261
思考题261
第11章个人、企业及国家信息
安全263111个人信息安全263
1111个人信息安全隐患263
1112个人信息安全防护技术264
1113个人信息安全策略266
112企业信息安全268
1121企业信息安全风险268
1122企业信息安全解决方案269
1123企业信息安全典型应用
案例274
1124企业防黑客攻击的策略275
113国家信息安全279
1131国家信息安全的意义279
1132国家信息安全的作用280
1133我国的信息安全281
114信息安全的发展283
1141信息安全内容的发展283
1142信息安全模型的发展285
115小结286
思考题286
参考文献288