本書系統(tǒng)全面地講述了信息安全的基本概念、基本理論、相關(guān)技術(shù)和應(yīng)用。全書共13章。本書首先在介紹信息安全的基本概念和技術(shù)體系基礎(chǔ)上,講述了數(shù)據(jù)加密、數(shù)字簽名、身份識別為代表的密碼保護技術(shù)和訪問控制技術(shù),詳細講述了怎樣用這些技術(shù)來保障系統(tǒng)安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全;然后選擇了一些重要的實用安全技術(shù)介紹事務(wù)安全與應(yīng)用安全;最后還對安全審計、安全評估與工程實現(xiàn)等內(nèi)容也給出了一個宏觀上的論述。
(1)全面性:信息安全從宏觀上包括的主要內(nèi)容有所涉略,從而為學(xué)生進一步學(xué)習(xí)研究專門的技術(shù)提供指導(dǎo)。
(2)基礎(chǔ)性:講述信息安全中通用的基礎(chǔ)知識,為學(xué)生進一步研究和技術(shù)實踐打下堅實的基礎(chǔ)。
(3)系統(tǒng)性:建立了恰當(dāng)?shù)捏w系結(jié)構(gòu),把相關(guān)知識進行合理的組織,而不是一些雜亂無章的知識堆砌。
(4)科學(xué)性:注重安全攻擊的原理分析和安全機制的科學(xué)分析,利于培養(yǎng)學(xué)生的思維邏輯。
徐茂智,北京大學(xué)安全與密碼工程研究中心主任,網(wǎng)絡(luò)與軟件安全保障教育部重點實驗室副主任。數(shù)學(xué)、密碼學(xué)及信息安全工程領(lǐng)域的知名專家。數(shù)學(xué)研究成果被國際著名數(shù)學(xué)家J.OLsson和J.Brundan等稱為"徐氏構(gòu)造法",受到1998年國際數(shù)學(xué)家大會的專門邀請,被收入1998和1999年的《世界名人錄》。 多次主持國家973課題、863課題、國家自然科學(xué)基金重大項目研究計劃、國防科學(xué)預(yù)研、國家科學(xué)數(shù)據(jù)共享工程信息安全關(guān)鍵技術(shù)項目等國家級重大科研項目的研究,并取得了一系列突破性的成果。先后發(fā)表學(xué)術(shù)論文100余篇、出版教材或?qū)V?部。現(xiàn)擔(dān)任中國密碼學(xué)會常務(wù)理事、中國工業(yè)與應(yīng)用數(shù)學(xué)學(xué)會理事等職。
第1章 信息安全簡介 1
1.1 信息安全的發(fā)展歷史 1
1.1.1 通信保密科學(xué)的誕生 1
1.1.2 公鑰密碼學(xué)革命 2
1.1.3 訪問控制技術(shù)與可信計算機評估準則 2
1.1.4 網(wǎng)絡(luò)環(huán)境下的信息安全 3
1.1.5 信息保障 3
1.2 信息安全的概念和目標 3
1.2.1 信息安全的定義 3
1.2.2 信息安全的目標和方法 4
1.3 安全威脅與技術(shù)防護知識體系 5
1.3.1 計算機系統(tǒng)中的安全威脅 6
1.3.2 網(wǎng)絡(luò)系統(tǒng)中的安全威脅 7
1.3.3 數(shù)據(jù)的安全威脅 8
1.3.4 事務(wù)安全 8
1.3.5 技術(shù)防護 9
1.4 信息安全中的非技術(shù)因素 10
1.4.1 人員、組織與管理 10
1.4.2 法規(guī)與道德 11
小結(jié) 12
習(xí)題1 12
第2章 信息安全體系結(jié)構(gòu) 14
2.1 技術(shù)體系結(jié)構(gòu)概述 15
2.1.1 物理環(huán)境安全體系 15
2.1.2 計算機系統(tǒng)平臺安全體系 15
2.1.3 網(wǎng)絡(luò)通信平臺安全體系 16
2.1.4 應(yīng)用平臺安全體系 16
2.2 安全機制 16
2.2.1 加密 16
2.2.2 數(shù)字簽名 17
2.2.3 訪問控制 17
2.2.4 數(shù)據(jù)完整性 18
2.2.5 身份識別 18
2.2.6 通信量填充與信息隱藏 19
2.2.7 路由控制 19
2.2.8 公證 19
2.2.9 事件檢測與安全審計 19
2.2.10 安全恢復(fù) 20
2.2.11 安全標記 20
2.2.12 保證 20
2.3 OSI安全體系結(jié)構(gòu) 20
2.3.1 OSI的7層網(wǎng)絡(luò)與TCP/IP模型 21
2.3.2 OSI的安全服務(wù) 22
2.3.3 OSI安全機制 23
2.3.4 安全服務(wù)與安全機制的關(guān)系 23
2.3.5 層次化結(jié)構(gòu)中服務(wù)的配置 24
2.4 應(yīng)用體系結(jié)構(gòu) 25
2.4.1 應(yīng)用層結(jié)構(gòu)與安全模型 25
2.4.2 安全交換 27
2.4.3 安全變換 28
2.5 組織體系結(jié)構(gòu)與管理體系結(jié)構(gòu) 31
2.5.1 組織體系結(jié)構(gòu) 31
2.5.2 管理體系結(jié)構(gòu) 32
小結(jié) 32
習(xí)題2 32
第3章 數(shù)據(jù)加密 34
3.1 數(shù)據(jù)加密模型與安全性 34
3.1.1 數(shù)據(jù)加密模型 34
3.1.2 分析模型 36
3.2 對稱加密算法 36
3.2.1 分組密碼算法DES 36
3.2.2 三重DES 41
3.2.3 分組密碼算法AES 42
3.2.4 其他分組密碼算法 45
3.2.5 序列密碼算法A5 46
3.3 公鑰加密算法 47
3.3.1 RSA加密算法 47
3.3.2 有限域乘法群密碼與橢圓曲線密碼 49
3.3.3 公鑰密碼算法難度的比較 52
小結(jié) 53
習(xí)題3 54
第4章 數(shù)字簽名 55
4.1 數(shù)字簽名與安全性 55
4.1.1 數(shù)字簽名模型 56
4.1.2 攻擊模型 57
4.2 數(shù)字簽名算法 57
4.2.1 RSA簽名算法 58
4.2.2 ElGamal簽名算法 59
4.2.3 DSA簽名算法 60
4.3 Hash函數(shù) 62
4.3.1 安全Hash函數(shù)的定義 62
4.3.2 SHA-1算法 63
4.4 現(xiàn)實中的數(shù)字簽名方案的構(gòu)造 65
4.4.1 與Hash函數(shù)結(jié)合的簽名方案DSA 65
4.4.2 集成Hash函數(shù)的簽名方案 66
小結(jié) 66
習(xí)題4 67
第5章 身份識別與消息鑒別 68
5.1 身份識別 68
5.1.1 基于口令的身份識別技術(shù) 69
5.1.2 基于傳統(tǒng)密碼的身份識別技術(shù) 71
5.1.3 基于公鑰密碼的身份識別技術(shù) 73
5.1.4 基于生物特征的身份識別技術(shù) 74
5.2 消息鑒別 75
5.2.1 基于對稱加密的鑒別 76
5.2.2 消息鑒別碼 77
5.2.3 數(shù)字簽名機制 79
5.2.4 無條件安全鑒別碼 80
小結(jié) 81
習(xí)題5 81
第6章 訪問控制理論 83
6.1 訪問控制矩陣模型 83
6.2 Bell-LaPadula模型 84
6.2.1 模型介紹 84
6.2.2 Bell-LaPadula模型的形式化描述 87
6.3 RBAC模型 90
6.3.1 RBAC介紹 91
6.3.2 核心RBAC 92
6.3.3 角色層次 93
6.3.4 受約束的RBAC 94
6.3.5 NIST RBAC參考模型的應(yīng)用 95
6.4 授權(quán)與訪問控制實現(xiàn)框架 96
6.4.1 PMI模型 96
6.4.2 一般訪問控制實現(xiàn)框架 97
6.4.3 基于KDC和PMI的訪問控制框架 97
小結(jié) 99
習(xí)題6 99
第7 章 計算機系統(tǒng)安全 101
7.1 可信計算基 101
7.1.1 訪問監(jiān)視器 101
7.1.2 安全內(nèi)核方法 102
7.1.3 可信計算基 102
7.2 操作系統(tǒng)安全 104
7.2.1 操作系統(tǒng)安全概述 104
7.2.2 操作系統(tǒng)安全機制的設(shè)計原則 104
7.2.3 操作系統(tǒng)安全機制 105
7.2.4 UNIX操作系統(tǒng)的安全機制 109
7.3 數(shù)據(jù)庫安全 111
7.3.1 數(shù)據(jù)庫系統(tǒng)概念 111
7.3.2 數(shù)據(jù)庫安全技術(shù) 113
7.4 計算機病毒防護 118
7.4.1 惡意軟件簡介 118
7.4.2 計算機病毒概述 122
7.4.3 計算機病毒機理分析 126
7.4.4 計算機病毒防治 128
7.5 可信計算平臺 130
小結(jié) 132
習(xí)題7 133
第8章 網(wǎng)絡(luò)安全 134
8.1 網(wǎng)絡(luò)安全概述 134
8.1.1 網(wǎng)絡(luò)簡述 134
8.1.2 網(wǎng)絡(luò)安全措施 134
8.2 IPSec 136
8.2.1 IPSec體系結(jié)構(gòu) 136
8.2.2 IPSec提供的安全服務(wù) 137
8.2.3 安全關(guān)聯(lián) 137
8.2.4 IPSec的工作模式 138
8.2.5 封裝安全載荷 139
8.2.6 鑒別報頭 139
8.2.7 解釋域 140
8.2.8 密鑰管理 140
8.3 防火墻 140
8.3.1 防火墻概述 140
8.3.2 防火墻技術(shù)原理 143
8.3.3 防火墻的應(yīng)用 148
8.3.4 防火墻的發(fā)展趨勢 150
8.4 VPN 151
8.4.1 VPN概述 151
8.4.2 VPN技術(shù)原理 151
8.4.3 VPN的應(yīng)用 155
8.5 入侵檢測 157
8.5.1 入侵檢測的基本原理 157
8.5.2 入侵檢測的主要分析模型和方法 160
8.5.3 入侵檢測系統(tǒng)的體系結(jié)構(gòu) 162
8.5.4 入侵檢測的發(fā)展趨勢 164
小結(jié) 165
習(xí)題8 166
第9章 數(shù)據(jù)安全 167
9.1 數(shù)據(jù)安全概述 167
9.1.1 計算機系統(tǒng)中的數(shù)據(jù)安全 167
9.1.2 網(wǎng)絡(luò)中的數(shù)據(jù)安全 167
9.1.3 其他載體的數(shù)據(jù)安全 168
9.2 數(shù)據(jù)的機密性 168
9.2.1 安全等級的確定與變化 169
9.2.2 數(shù)據(jù)集的機密性 169
9.2.3 機密性保護的安全機制 169
9.2.4 木桶原理與全生命期管理 169
9.3 數(shù)據(jù)的完整性與備份 170
9.3.1 數(shù)據(jù)完整性 170
9.3.2 數(shù)據(jù)完整性喪失原因 170
9.3.3 數(shù)據(jù)完整性保障技術(shù) 171
9.3.4 數(shù)據(jù)備份系統(tǒng) 172
9.3.5 容錯系統(tǒng) 174
9.3.6 災(zāi)難恢復(fù)計劃 175
9.4 隱私保護 177
9.4.1 隱私的概念 177
9.4.2 個人檔案與隱私 178
9.4.3 鑒別與隱私 179
9.4.4 數(shù)據(jù)分析與隱私 181
9.4.5 隱私保護技術(shù) 181
9.4.6 隱私保護的相關(guān)法律 181
小結(jié) 184
習(xí)題9 184
第10 章 事務(wù)安全與多方安全計算 185
10.1 安全多方計算 185
10.2 百萬富翁問題的計算協(xié)議 186
10.3 平均薪水問題的計算協(xié)議 188
10.4 數(shù)字貨幣與區(qū)塊鏈 189
10.4.1 貨幣的屬性與第一代數(shù)字貨幣 189
10.4.2 比特幣與區(qū)塊鏈技術(shù) 190
10.4.3 其他區(qū)塊鏈技術(shù) 192
10.4.4 區(qū)塊鏈中的安全問題 193
小結(jié) 193
習(xí)題10 194
第11 章 應(yīng)用安全 195
11.1 應(yīng)用安全基礎(chǔ)設(shè)施 195
11.1.1 對稱密鑰設(shè)施 195
11.1.2 公鑰基礎(chǔ)設(shè)施 197
11.1.3 授權(quán)設(shè)施 202
11.2 Web安全 204
11.2.1 Web的安全問題 204
11.2.2 安全協(xié)議 205
11.2.3 SET協(xié)議 209
11.3 郵件安全 210
11.3.1 電子郵件系統(tǒng)概述 210
11.3.2 電子郵件的安全問題 211
11.3.3 安全郵件 213
11.3.4 垃圾郵件與病毒過濾 215
小結(jié) 217
習(xí)題11 218
第12 章 安全審計 219
12.1 審計日志 219
12.1.1 日志概述 219
12.1.2 UNIX/Linux操作系統(tǒng)日志 221
12.1.3 Windows操作系統(tǒng)日志 224
12.1.4 日志分析工具 226
12.2 安全審計 227
12.2.1 安全審計的定義 227
12.2.2 安全審計的作用 227
12.2.3 基于主機的安全審計系統(tǒng) 228
12.2.4 基于網(wǎng)絡(luò)的安全審計系統(tǒng) 229
12.3 計算機取證 230
12.3.1 計算機取證的基本概念 231
12.3.2 計算機取證的原則與步驟 231
12.3.3 電子證據(jù)的真實性 233
12.3.4 取證工具的法律效力 234
12.3.5 計算機取證工具軟件 236
小結(jié) 238
習(xí)題12 238
第13 章 信息安全評估與工程實現(xiàn) 239
13.1 信息安全評估 239
13.1.1 計算機信息系統(tǒng)安全保護等級劃分準則 239
13.1.2 可信計算機系統(tǒng)評估準則 243
13.1.3 通用安全準則 246
13.2 信息安全工程 255
13.2.1 安全工程概述 255
13.2.2 SSE-CMM概述 256
13.2.3 SSE-CMM體系結(jié)構(gòu) 259
13.2.4 SSE-CMM的應(yīng)用 264
小結(jié) 264
習(xí)題13 264
參考文獻 266