前言
前??言
(一)
信息系统是重要的,重要的系统需要特别保护;计算机信息系统是复杂的,复杂的系统是脆弱的,脆弱的系统也需要特别保护;计算机信息系统是虚拟的,虚拟的系统给安全保护带来很大困难;现代信息系统是开放的,开放的系统会带来更多的风险。重要、复杂、虚拟和开放,也给人们带来研究的乐趣和商业机会。现在信息系统安全技术和产品已经大量涌现,并且还在不断发展。
本书主要介绍计算机信息系统的安全原理。作为一本原理类的教材,关键的问题是要梳理成合理而又容易理解和掌握的体系。在教学实践中,笔者反复探索,将安全理论梳理成如下3大类。
(1)攻防技术。恶意程序、网络攻击(黑客)、隔离(逻辑隔离——防火墙、物理隔离和电磁防护)、安全监控(IDS、网络诱骗和审计)、紧急响应和取证。
(2)安全信任体系。加密与信息隐藏、认证、安全协议。
(3)安全体系结构和评估标准。
这样的梳理基本上囊括了几乎所有的安全技术。
在内容的安排上,考虑了如下原则。
(1)尽量把与其他技术或概念相关的内容排在后面,即与其他内容相关*少的排在*前面。
(2)将能引起兴趣的内容排在前面,以使读者能有成就感。
(3)把安全体系结构和安全等级放在*后,这样不仅使其内容容易理解,而且也是对前面内容的总结和提高。
在内容的取舍上采取的原则是:重点内容详细介绍,次要内容只做一般介绍。
本书每章*后都配备了较多的习题,这些习题有如下不同的类型。
(1)有些要思考、总结。
(2)有些要进一步理解。
(3)有些要自己想象。
(4)有些要查找资料。
(5)有些要动手实验。
本书的第1版正是基于这些考虑而形成的。
(二)
常言道:“道高一尺,魔高一丈。”信息系统安全是针对入侵和攻击采取的一系列安全策略和技术。然而,按照木桶原理,当一块短的木板被加长后,另一块次短的木板就变成*短的木板了;而一种攻击被防御之后,新的攻击又会出现。在这个充满竞争的世界里,攻击与防御相伴而生并且永远不会完结,攻与防的博弈将在竞争中永无止境。一般说来,防御往往要比攻击付出更多的代价,其原因如下。
(1)攻击可以择机发起,防御必须随时警惕。
(2)攻击可以选择一个薄弱点实施,防御必须全线设防。
(3)攻击一般使用一种或几种技术,防御则需要考虑已知的所有技术。
(4)攻击可以肆意进行,防御必须遵循一定的规则。
社会总在发展,技术总在进步,攻击与防御也在博弈中相互促进。信息系统安全作为一门新兴的技术和学科,在本书第1版出版后的近7年间,又有了长足的发展。在读者和出版社的不断呼吁下,笔者下大力气进行全面修订,并在内容上进行了增删,删除了已经不再使用的技术,如DES加密算法等;增添了新技术的内容,如AES密码、流密码、僵尸网络等,使本书第2版于2015年出版。
教材不是一般的科技书,在编写过程中首先要考虑如何教的问题。为了更适应教学,第2版按照“威胁(第1章)—防护(第2~4章)—管理(第5章)”的体系进行组织。这相当于“提出问题—解决问题—总结提高”的思路。经过本人一个学期的试讲,效果不错。
本书第3版在第2版的基础上增加了近两年内引起人们注意的内容。
(三)
本书的修订永远是进行时。在本书第3版即将出版之际,衷心地希望读者和有关专家能不吝指正,以便适当的时候再进一步修订。
在本书(包括第1版和第2版)的编写过程中,栾英姿、赵忠孝、张秋菊、董兆军、张展为、张友明、史林娟、张展赫、戴璐以及我的研究生陶利民、蒋中云、王玉斐、魏士婧、董瑜参与了部分编写工作,在此谨表谢意。
本书在编写过程中还参考了大量文献资料。这些资料有的引自国内外论文,有的引自其他著作,有的引自网站。虽本人尽心在参考文献中予以列出,但仍会有许多疏漏,同时也受篇幅所限,未能将所有参考资料一一列出。在此谨向有关作者致谢。
张基温?
2017年6月??
【书摘与插画】
商品简介
本书从应用的角度介绍计算机信息系统安全技术。全书按照“威胁—防护—管理”的思路组织为5章,内容包括信息系统安全威胁、数据安全保护、身份认证与访问控制、网络安全保护和信息系统安全管理。 本书深入浅出,结构新颖,紧扣本质,适合教学,可以激发读者的求知欲。书中还配有丰富的实验和习题,供读者验证和自测。本书适合作为计算机科学与技术专业、信息管理与信息系统专业、网络专业和信息安全专业的“信息系统安全概论”课程的教材或教学参考书,也可供有关技术人员参考。
作者简介
张基温,先后担任名古屋大学访问学者,山西财经大学、江南大学、华东政法大学、常熟理工学院、福建工程学院、广西职业技术学院、晋城学院等多所大学、华南农业大学珠江学院的专职、客座或兼职教授,北京大学博雅方略城市发展与信息化研究中心研究员,南京大学出版社总编顾问,太原高新技术区IT研究院实验室主任,山西省紧缺人才专家委员会副主任,中国信息经济学会常务理事,全国高等院校计算机基础教育研究会常务理事兼课程建设委员会副主任,中国计算机学会教育专业委员会委员,国家NIT考试委员会委员,江苏省计算机基础教学指导委员会委员,山西省新世纪专家学者协会副会长;为清华大学出版社、电子工业出版社、中国水利水电出版社、南京大学出版社、中国铁道出版社等主编了信息管理与信息系统专业、计算机实验与实践、大学生信息素养等多个系列教材;研究和教学领域涉及计算机科学与技术、信息安全、信息经济学、电子政务与电子商务、服务科学、新媒体,已发表学术论文一百余篇。出版著作百余种。
目录
目??录
第1章 信息系统安全威胁 1
1.1 恶意代码攻击 1
1.1.1 病毒 2
1.1.2 蠕虫 15
1.1.3 特洛伊木马 19
实验1 判断并清除木马 27
1.1.4 陷门与黑客攻击 28
1.1.5 其他恶意代码 32
1.1.6 信息系统安全卫士 33
1.2 窃听型攻击 36
1.2.1 世界著名监听案例 36
1.2.2 声波窃听 41
1.2.3 电磁波窃听 44
1.2.4 光缆窃听 45
1.2.5 共享网络中的窃听 47
1.2.6 手机监听 48
1.2.7 NFC泄露 51
1.3 系统扫描型攻击 51
1.3.1 网络扫描 52
1.3.2 漏洞扫描 59
实验2 系统扫描 62
1.3.3 口令破解 63
1.4 欺骗型攻击 66
1.4.1 ARP欺骗——交换网络监听 66
实验3 监听器工具的使用 69
1.4.2 IP源地址欺骗 70
1.4.3 路由欺骗 72
1.4.4 TCP会话劫持 73
1.4.5 DNS欺骗 74
1.4.6 Web欺骗与钓鱼网站 76
1.4.7 伪基站攻击 80
1.5 数据驱动型攻击 82
1.5.1 缓冲区溢出攻击 82
1.5.2 格式化字符串攻击 84
1.6 拒绝服务攻击 86
1.6.1 拒绝服务攻击及其基本方法 86
1.6.2 分布式拒绝服务攻击 89
实验4 拒绝服务攻击演示 93
1.6.3 僵尸网络 95
1.7 信息系统风险与安全策略 99
1.7.1 风险=脆弱性+威胁 99
1.7.2 信息系统安全策略 102
1.7.3 信息系统安全防御原则 103
习题 105
第2章 数据安全保护 111
2.1 数据的机密性保护 111
2.1.1 数据加密基础 111
实验5 加密博弈 114
2.1.2 数据加密体制 114
2.1.3 AES算法 116
2.1.4 公开密钥算法RSA 121
2.1.5 密钥管理 123
2.1.6 流密码 128
2.1.7 量子加密 130
2.1.8 信息隐藏 133
2.2 消息认证——完整性保护 134
2.2.1 数据完整性保护与消息认证 134
2.2.2 MAC函数 136
2.2.3 哈希函数 138
实验6 实现报文认证算法 141
2.3 数字签名 141
2.3.1 数字签名及其特征 141
2.3.2 直接数字签名 142
2.3.3 有仲裁的数字签名 143
2.3.4 数字签名标准DSA 144
2.3.5 认证协议实例——SET 145
实验7 加密软件PGP的使用 149
习题 151
第3章 身份认证与访问控制 155
3.1 基于凭证比对的身份认证 155
3.1.1 生物特征身份认证 155
3.1.2 静态口令 157
3.1.3 动态口令 160
3.2 基于密钥分发的身份认证 162
3.2.1 公钥加密认证协议 162
3.2.2 单钥加密认证协议 163
3.2.3 Kerberos认证系统 165
3.3 基于数字证书的身份认证 169
3.3.1 数字证书 169
3.3.2 X.509证书标准 170
3.3.3 公开密钥基础设施 174
实验8 证书制作及CA系统配置 175
3.4 信息系统访问授权 176
3.4.1 访问控制的二元关系描述 176
3.4.2 自主访问控制与强制访问控制 179
3.4.3 基于角色的访问控制策略 181
实验9 用户账户管理与访问权限设置 181
习题 187
第4章 网络安全防护 190
4.1 网络防火墙 190
4.1.1 网络防火墙概述 190
4.1.2 防火墙技术之一——网络地址转换 193
4.1.3 防火墙技术之二——代理服务 196
4.1.4 防火墙技术之三——包过滤 199
4.1.5 防火墙技术之四——状态检测 204
4.1.6 网络防火墙部署 207
4.2 网络的物理隔离技术 210
4.2.1 物理隔离的概念 210
4.2.2 网络安全隔离卡 213
4.2.3 隔离集线器技术 214
4.2.4 网闸 215
4.3 Internet安全协议 219
4.3.1 IPSec 219
4.3.2 SSL 223
4.3.3 VPN 227
实验10 实现一个VPN连接 228
4.4 入侵检测系统 229
4.4.1 入侵检测及其模型 229
4.4.2 信息收集与数据分析 231
4.4.3 响应与报警策略 236
4.4.4 入侵检测器的部署与设置 237
4.5 网络诱骗 239
4.5.1 蜜罐主机技术 239
4.5.2 蜜网技术 240
4.5.3 常见网络诱骗工具及产品 241
习题 242
第5章 信息系统安全管理 246
5.1 信息系统应急响应 246
5.1.1 应急响应组织 246
5.1.2 信息系统安全保护制度 247
5.1.3 信息系统应急预案 249
5.1.4 灾难恢复 250
5.1.5 信息系统应急演练 254
5.2 数据备份、数据容错与数据容灾 256
5.2.1 数据备份 256
5.2.2 数据容错技术 261
5.2.3 数据容灾系统 263
5.3 数字证据获取 267
5.3.1 数字证据的特点与数字取证的基本原则 268
5.3.2 数字取证的一般步骤 269
5.3.3 数字取证的基本技术和工具 271
5.3.4 数字证据的法律问题 273
5.3.5 日志 274
5.4 信息系统安全风险评估与审计 277
5.4.1 信息系统安全风险评估及其目的 277
5.4.2 信息系统安全风险评估的准则与模式 278
5.4.3 信息系统安全风险评估过程 280
5.4.4 信息系统渗透测试 285
5.4.5 信息系统安全审计 289
5.5 信息系统安全测评准则 292
5.5.1 国际信息安全测评准则 292
5.5.2 中国信息系统安全保护等级划分准则 296
5.5.3 信息安全测评认证体系 299
5.6 开放系统互连安全体系结构 300
5.6.1 开放系统互连安全体系结构概述 301
5.6.2 OSI安全体系结构的安全服务 302
5.6.3 OSI七层中的安全服务配置 303
5.6.4 OSI安全体系结构的安全机制 304
5.6.5 OSI安全体系的安全管理 307
习题 310
参考文献 313
·III·
内容摘要
本书从应用的角度介绍计算机信息系统安全技术。全书按照“威胁—防护—管理”的思路组织为5章,内容包括信息系统安全威胁、数据安全保护、身份认证与访问控制、网络安全保护和信息系统安全管理。
本书深入浅出,结构新颖,紧扣本质,适合教学,可以激发读者的求知欲。书中还配有丰富的实验和习题,供读者验证和自测。本书适合作为计算机科学与技术专业、信息管理与信息系统专业、网络专业和信息安全专业的“信息系统安全概论”课程的教材或教学参考书,也可供有关技术人员参考。
主编推荐
面向系统能力培养,贴近应用,贴近现代。贯穿知识建构、启发思维、注重本质层面讨论的教学理念。按照“威胁—防护—管理”的线索组织。结构严谨、内容充实、思路清晰、容易复习、便于梳理。习题丰富、实验覆盖面广。
【内容简介】
精彩内容
第5章信息系统安全管理 信息系统是复杂的系统,其安全的运行不仅与技术有关,还涉及人和制度。因此,从用户的角度看,更需要强调三分技术、七分管理。
经过多年的实践和研究,各个国家以及组织,都已形成完善的信息安全管理体系和方法。本章介绍信息系统管理中的一些主要环节。
5.1信息系统应急响应 “智者千虑,必有一失。”尽管人们已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手。
系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安全的不正当行为就称为事件。事件响应就是事件发生后所采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进化,使得入侵不可避免。因此,安全事件响应就成为一个与防火墙技术、入侵检测技术等同样重要的安全保障策略和手段。
1988年,莫里斯蠕虫以迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失。这突如其来的灾难给人们敲响了警钟:面对人类对信息系统依赖程度的不断增强,对付入侵不仅需要防御,还要能够在事件发生后进行紧急处理和援助。1989年,在美国国防部的资助下,计算机紧急响应组/呼叫中心(ComputerEmergencyTeam/CallCenter,CERT/CC)成立。从此紧急响应被摆到了人们的议事桌上。
一般说来,每个使用信息系统的组织都应当有一套应急响应机制。该机制应包括4个基本环节。
(1)信息系统应急响应组织。
(2)信息系统安全保护制度。
(3)信息系统应急预案。
(4)信息系统应急演练。
以下为对购买帮助不大的评价