本教材以教育部《信息安全類專業(yè)指導(dǎo)性專業(yè)規(guī)范》所列知識(shí)點(diǎn)為基礎(chǔ),從信息系統(tǒng)體系結(jié)構(gòu)層面系統(tǒng)描述信息系統(tǒng)的安全問題及對(duì)策。全書共12章,第1章介紹信息系統(tǒng)安全的基本概念、發(fā)展歷史、主要目標(biāo)和技術(shù)體系;第2章介紹密碼學(xué)基本理論與應(yīng)用,具體包括對(duì)稱密碼體制和公鑰密碼體制,以及基于密碼學(xué)的消息認(rèn)證、數(shù)字簽名、公鑰基礎(chǔ)設(shè)施PKI;第3章、第4章分別介紹身份認(rèn)證和訪問控制技術(shù);第5章介紹物理安全技術(shù);第6章介紹操作系統(tǒng)安全機(jī)制;第7章介紹網(wǎng)絡(luò)安全技術(shù);第8章介紹數(shù)據(jù)庫(kù)安全技術(shù);第9章介紹了惡意代碼的檢測(cè)與防范技術(shù);第10章介紹應(yīng)用系統(tǒng)安全漏洞及防范措施,重點(diǎn)介紹了Web應(yīng)用安全機(jī)制;第11章介紹信息安全評(píng)估標(biāo)準(zhǔn)和我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;第12章介紹了信息安全風(fēng)險(xiǎn)評(píng)估的概念、工具、方法、流程。
陳萍,陸軍工程大學(xué)副教授,從教19年,承擔(dān)本科生信息系統(tǒng)安全課程教學(xué)和建設(shè)任務(wù),從事該方向的學(xué)術(shù)研究工作。參與編寫清華大學(xué)出版社出版的國(guó)家“十一五規(guī)劃”教材2部,主編《信息系統(tǒng)安全》教材一部,在《計(jì)算機(jī)教育》等雜志上撰寫教學(xué)研究論文8篇,在各類期刊和學(xué)術(shù)會(huì)議上發(fā)表學(xué)術(shù)論文15篇,被EI檢索4篇。參與多項(xiàng)重大科研項(xiàng)目,獲軍隊(duì)科技進(jìn)步二等獎(jiǎng)2項(xiàng),三等獎(jiǎng)2項(xiàng)。
第1章信息系統(tǒng)安全概述
1.1計(jì)算機(jī)信息系統(tǒng)安全問題
1.1.1飛速發(fā)展的信息化
1.1.2信息安全形勢(shì)嚴(yán)峻
1.1.3信息系統(tǒng)安全問題的根源
1.2信息系統(tǒng)安全的概念
1.2.1信息系統(tǒng)安全的定義
1.2.2信息系統(tǒng)安全的目標(biāo)
1.2.3信息安全的發(fā)展歷史
1.3信息系統(tǒng)安全防護(hù)基本原則
1.4信息系統(tǒng)安全技術(shù)體系
習(xí)題
第2章密碼學(xué)基礎(chǔ)
2.1密碼學(xué)的發(fā)展歷史
2.2密碼學(xué)基本概念
2.2.1密碼體制的組成
2.2.2密碼體制的分類
2.2.3密碼設(shè)計(jì)的兩個(gè)重要原則
2.2.4密碼分析
2.3古典密碼體制
2.3.1代換密碼
2.3.2置換密碼
2.4對(duì)稱密碼體制
2.4.1DES簡(jiǎn)介
2.4.2DES加解密原理
2.4.3DES的安全性
2.4.4三重DES
2.4.5高#級(jí)加密標(biāo)準(zhǔn)AES
2.5公鑰密碼體制
2.5.1公鑰密碼體制的產(chǎn)生
2.5.2公鑰密碼體制的基本原理
2.5.3RSA公鑰密碼體制
2.6消息認(rèn)證
2.6.1消息加密認(rèn)證
2.6.2消息認(rèn)證碼
2.6.3Hash函數(shù)
2.7數(shù)字簽名
2.7.1數(shù)字簽名的定義
2.7.2數(shù)字簽名的原理
2.7.3數(shù)字簽名的算法
2.8公鑰基礎(chǔ)設(shè)施
2.8.1公鑰的分配
2.8.2數(shù)字證書
2.8.3X.509證書
2.8.4公鑰基礎(chǔ)設(shè)施
習(xí)題
第3章身份認(rèn)證
3.1概述
3.2基于口令的認(rèn)證
3.2.1口令認(rèn)證過程
3.2.2口令認(rèn)證安全增強(qiáng)機(jī)制
3.3一次性口令的認(rèn)證
3.4基于智能卡的認(rèn)證方式
3.5基于生物特征的認(rèn)證方式
3.6身份認(rèn)證協(xié)議
3.6.1單向認(rèn)證
3.6.2雙向認(rèn)證
3.6.3可信的第三方認(rèn)證
3.7零知識(shí)證明
習(xí)題
第4章訪問控制
4.1訪問控制概述
4.1.1訪問控制機(jī)制與系統(tǒng)安全模型
4.1.2訪問控制的基本概念
4.2訪問控制策略
4.2.1自主訪問控制
4.2.2強(qiáng)制訪問控制
4.2.3基于角色的訪問控制
習(xí)題
第5章信息系統(tǒng)的物理安全和可靠性
5.1物理安全概述
5.2環(huán)境安全
5.2.1環(huán)境安全面臨的威脅
5.2.2環(huán)境安全防護(hù)
5.3設(shè)備安全
5.3.1設(shè)備安全面臨的威脅
5.3.2設(shè)備安全防護(hù)
5.4媒體(介質(zhì))安全
5.4.1媒體安全面臨的威脅
5.4.2媒體安全防護(hù)
5.5系統(tǒng)安全和可靠性技術(shù)
5.6隔離網(wǎng)絡(luò)安全防護(hù)
5.6.1隔離網(wǎng)絡(luò)定義
5.6.2隔離網(wǎng)絡(luò)典型攻擊手段和案例
5.6.3隔離網(wǎng)絡(luò)安全防護(hù)技術(shù)
5.7容錯(cuò)技術(shù)
5.7.1硬件容錯(cuò)
5.7.2軟件容錯(cuò)
5.8信息系統(tǒng)災(zāi)難恢復(fù)技術(shù)
5.8.1概述
5.8.2災(zāi)難恢復(fù)的級(jí)別和指標(biāo)
5.8.3容災(zāi)系統(tǒng)關(guān)鍵技術(shù)
習(xí)題
第6章操作系統(tǒng)安全
6.1操作系統(tǒng)的安全問題
6.1.1操作系統(tǒng)安全的重要性
6.1.2操作系統(tǒng)面臨的安全問題
6.1.3操作系統(tǒng)的安全功能
6.2操作系統(tǒng)安全機(jī)制
6.2.1身份認(rèn)證和訪問控制
6.2.2審計(jì)
6.3Windows操作系統(tǒng)安全
6.3.1Windows認(rèn)證機(jī)制
6.3.2Windows訪問控制機(jī)制
6.3.3用戶賬戶管理
6.3.4加密文件系統(tǒng)EFS
6.3.5BitLocker機(jī)制
6.3.6Windows審計(jì)/日志機(jī)制
6.4Linux的安全機(jī)制
6.4.1標(biāo)識(shí)和鑒別
6.4.2訪問控制
6.4.3審計(jì)
6.5隱蔽信道
習(xí)題
第7章網(wǎng)絡(luò)安全防護(hù)
7.1防火墻
7.1.1防火墻概述
7.1.2防火墻技術(shù)
7.1.3防火墻的體系結(jié)構(gòu)
7.2入侵檢測(cè)系統(tǒng)
7.2.1入侵檢測(cè)的定義
7.2.2入侵檢測(cè)的方法
7.2.3入侵檢測(cè)系統(tǒng)的分類
習(xí)題
第8章數(shù)據(jù)庫(kù)系統(tǒng)安全
8.1數(shù)據(jù)庫(kù)安全概述
8.2數(shù)據(jù)庫(kù)安全機(jī)制
8.2.1數(shù)據(jù)庫(kù)系統(tǒng)的身份認(rèn)證
8.2.2數(shù)據(jù)庫(kù)系統(tǒng)的訪問控制
8.2.3數(shù)據(jù)庫(kù)系統(tǒng)的視圖機(jī)制
8.2.4數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)
8.2.5數(shù)據(jù)庫(kù)系統(tǒng)的加密
8.2.6數(shù)據(jù)庫(kù)系統(tǒng)的備份與恢復(fù)技術(shù)
8.3SQL Server安全機(jī)制
8.3.1SQL Server的用戶身份認(rèn)證機(jī)制
8.3.2SQL Server的訪問控制機(jī)制
8.3.3SQL Server數(shù)據(jù)加密
8.3.4SQL Server的數(shù)據(jù)庫(kù)備份與恢復(fù)
習(xí)題
第9章惡意代碼檢測(cè)與防范技術(shù)
9.1計(jì)算機(jī)病毒
9.1.1定義
9.1.2計(jì)算機(jī)病毒的結(jié)構(gòu)
9.1.3計(jì)算機(jī)病毒的檢測(cè)
9.1.4病毒防御
9.2特洛伊木馬
9.2.1木馬的功能與特點(diǎn)
9.2.2木馬工作機(jī)理分析
9.2.3木馬實(shí)例——冰河木馬
9.2.4木馬的檢測(cè)與防范技術(shù)
9.3蠕蟲
9.3.1定義
9.3.2蠕蟲的結(jié)構(gòu)和工作機(jī)制
9.3.3蠕蟲的防范
習(xí)題
第10章應(yīng)用系統(tǒng)安全
10.1緩沖區(qū)溢出
10.1.1緩沖區(qū)溢出的概念
10.1.2緩沖區(qū)溢出攻擊原理及防范措施
10.2格式化字符串漏洞
10.3整數(shù)溢出漏洞
10.4Web應(yīng)用系統(tǒng)安全
10.4.1Web應(yīng)用系統(tǒng)基礎(chǔ)
10.4.2SQL注入漏洞及防御機(jī)制
10.4.3XSS注入漏洞及防御機(jī)制
習(xí)題
第11章信息系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn)和等級(jí)保護(hù)
11.1信息安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展
11.2可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)
11.2.1TCSEC的主要概念
11.2.2TCSEC的安全等級(jí)
11.2.3TCSEC的不足
11.3通用評(píng)估標(biāo)準(zhǔn)
11.3.1CC的組成
11.3.2評(píng)估保證級(jí)別
11.4我國(guó)的信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)
11.5網(wǎng)絡(luò)安全等級(jí)保護(hù)
11.5.1網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本概念
11.5.2等級(jí)保護(hù)的定級(jí)要素及級(jí)別劃分
11.5.3等級(jí)保護(hù)定級(jí)的一般流程
11.5.4等級(jí)保護(hù)工作的環(huán)節(jié)
習(xí)題
第12章信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估
12.1風(fēng)險(xiǎn)評(píng)估簡(jiǎn)介
12.2風(fēng)險(xiǎn)評(píng)估的方法
12.2.1定量評(píng)估方法
12.2.2定性評(píng)估方法
12.2.3定性與定量相結(jié)合的綜合評(píng)估方法
12.2.4典型的風(fēng)險(xiǎn)評(píng)估方法
12.3風(fēng)險(xiǎn)評(píng)估的工具
12.3.1SAFESuite 套件
12.3.2WebTrends Security Analyzer 套件
12.3.3Cobra
12.3.4CC tools
12.4風(fēng)險(xiǎn)評(píng)估的過程
12.4.1風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備
12.4.2資產(chǎn)識(shí)別
12.4.3威脅識(shí)別
12.4.4脆弱性識(shí)別
12.4.5已有安全措施確認(rèn)
12.4.6風(fēng)險(xiǎn)分析
12.4.7風(fēng)險(xiǎn)處理計(jì)劃
12.4.8殘余風(fēng)險(xiǎn)的評(píng)估
12.4.9風(fēng)險(xiǎn)評(píng)估文檔
12.5信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估發(fā)展存在的問題
習(xí)題
參考文獻(xiàn)