本書從信息安全基礎理論入手,按照網(wǎng)絡空間安全大類的基本知識點由淺入深地介紹了信息安全的基礎理論、原理和技術。本書分為12章,內(nèi)容包括密碼學的基本概念、原理和技術,系統(tǒng)地介紹了網(wǎng)絡安全技術的基礎知識體系,涵蓋了網(wǎng)絡安全攻擊與防御等方面的內(nèi)容(前一部分是以理論知識為主,后一部分是以實踐為主),每一章附有課后習題。本書內(nèi)容翔實,可以作為信息安全、計算機、信息管理及其他相關專業(yè)的教學用書或教學參考資料,也可以作為從事信息技術應用工程人員的參考用書。
本書以理論知識為基礎;突出通用性和實用性也兼具前沿性;本書采用以理論基礎、原理技術為主線,同時以應用實踐為副線的撰寫方式,以行業(yè)視角下的信息安全知識體系為依據(jù),使讀者對信息安全的知識內(nèi)容有全面的了解,同時,結合當前的大數(shù)據(jù)、云計算物聯(lián)網(wǎng)等熱點領域面臨的安全問題作了相應的介紹。注重培養(yǎng)學生的應用能力,強調知識、能力與素質的綜合訓練。凝結了一線教師豐富的教學經(jīng)驗和教學研究成果,在教學內(nèi)容和方法上做出不斷的嘗試和創(chuàng)新。在第一版的基礎上增加了實驗部分的內(nèi)容,除此之外,對第一版中一些描述不夠嚴謹?shù)募毠?jié)進行了修正。
第二版前言第二版前言《信息安全原理與技術》第一版問世已有3年時間,在第一版的使用過程中發(fā)現(xiàn)了一些問題,再版的一個原因是對這些問題進行修正,另一個原因是隨著信息安全基礎理論研究的深化,在互聯(lián)網(wǎng)環(huán)境下,網(wǎng)絡與信息系統(tǒng)的基礎性、全局性作用不斷增強,全社會對信息安全的關注度越來越高。目前,世界各國都積極開展信息安全的研究和教育。在歐美,信息安全的教育已大為普及,美國的多所大學為政府和軍事部門培養(yǎng)了大批專業(yè)的信息安全人才。我們國家也迫切需要高素質、有實戰(zhàn)能力的具備扎實基礎的信息安全專業(yè)人才。我們根據(jù)自己多年的教學經(jīng)驗和實踐,參考諸多著作,結合信息安全的基礎理論,形成了本書。本書在編寫過程中,注重知識性、系統(tǒng)性、連貫性,注重理順各知識點之間的內(nèi)在聯(lián)系,將本書定位于偏向于信息安全與網(wǎng)絡安全的理論與技術相結合的教材,介紹了各種網(wǎng)絡與系統(tǒng)攻擊的原理以及防范措施,并介紹了相關工具的使用,以幫助學習者運用所學的知識優(yōu)化網(wǎng)絡與信息系統(tǒng)。本書內(nèi)容既涵蓋信息安全的理論基礎知識,又包括信息安全的實用技術和*新發(fā)展趨勢。講用結合,按照從一般到特殊的原則,每章在介紹相關理論基礎知識的基礎上,還結合科研實踐,對相關領域進行深入探討。本書各章的主要內(nèi)容如下:第1章簡要介紹了信息安全的研究內(nèi)容,并對信息安全的知識體系結構進行了詳細描述;第2章主要介紹密碼學概論,是信息安全的核心內(nèi)容之一,全面講授了對稱密鑰體制和非對稱密鑰體制,對密碼學的分類、密碼學的工作原理進行了詳細介紹,介紹了一些安全理論和密碼破譯的方法;第3章主要介紹對稱密碼體制;第4章主要介紹非對稱密碼體制;第5章主要介紹消息認證和散列函數(shù);第6章主要介紹身份認證和訪問控制;第7章主要介紹網(wǎng)絡攻擊相關原理、技術及工具,主要供學生在網(wǎng)絡安全攻擊實踐時使用,以便學生熟悉和掌握信息系統(tǒng)安全防御的技術與方法;第8章主要介紹入侵檢測系統(tǒng)的類型與技術,以及入侵檢測技術的實施和發(fā)展方向;第9章主要介紹防火墻的概念、作用、技術和體系結構;第10章主要介紹網(wǎng)絡安全協(xié)議,圍繞TLS和IPSec這兩個應用*為廣泛的網(wǎng)絡安全協(xié)議進行了深入討論;第11章介紹了大數(shù)據(jù)背景下的云計算安全和物聯(lián)網(wǎng)安全等;第12章是實踐部分,介紹常見的信息安全實驗。參考文獻和附件可為讀者作進一步的深入研究提供支持和幫助。本書在編寫過程中,得到了張碩老師等的幫助,在此對他們表示衷心的感謝。編者2022年12月
蔡芳,中共黨員,碩士研究生學歷,信息科學與工程學院計算機系專職教師,2008年8月至今在武昌首義學院(原華中科技大學武昌分校)任教,其中2010年12月獲得講師(中級)職稱,2019年12月獲得副教授(高級)職稱,在教育崗位辛勤耕耘十余載,目前主要從事計算機網(wǎng)絡技術、信息安全、數(shù)據(jù)庫技術等方面的教學與研究工作,主持校級重點教科研項目1項,參與教科研項目數(shù)項,入職以來公開發(fā)表學術論文多篇,主編參編教材2本。多次指導學生參加藍橋杯全國軟件和信息技術專業(yè)人才大賽,在省賽和全國總決賽中獲得優(yōu)異的成績。
第1章概述(1)
1.1信息安全的概念(1)
1.2信息安全學科內(nèi)容(2)
1.2.1信息安全基礎理論(2)
1.2.2信息安全技術(4)
1.2.3信息安全管理(7)
1.3信息安全體系結構(8)
1.4信息安全的重要性與面臨的威脅(9)
1.4.1信息安全的重要性(9)
1.4.2信息安全面臨的威脅(10)
1.5可信計算機系統(tǒng)評價準則(12)
習題1(14)
第2章密碼學概述(16)
2.1密碼技術發(fā)展簡介(16)
2.1.1古典密碼時期(16)
2.1.2近代密碼時期(16)
2.1.3現(xiàn)代密碼時期(16)
2.2密碼學基礎(17)
2.2.1密碼學的基本概念(18)
2.2.2密碼系統(tǒng)的概念(18)
2.2.3密碼體制的分類(19)
2.2.4密碼分析(21)
2.2.5密碼體制的安全性(23)
2.2.6密鑰管理學(24)
2.3經(jīng)典密碼學(26)
2.3.1單表替代密碼(27)
2.3.2多表替代密碼(28)
2.3.3多字母代換密碼(30)
2.3.4Hill密碼的分析(32)
習題2(33)
第3章對稱密碼體制(35)
3.1分組密碼(35)
3.1.1分組密碼結構(36)
3.1.2數(shù)據(jù)加密標準DES(39)
3.1.3DES的變形(48)
3.1.4高級加密標準AES(50)
3.2流密碼(54)
3.2.1流密碼的原理(55)
3.2.2密鑰流生成器(56)
3.2.3RC4算法(60)
3.3分組密碼的工作模式(61)
3.3.1ECB模式(62)
3.3.2CBC模式(63)
3.3.3CFB模式(64)
3.3.4OFB模式(66)
習題3(67)
第4章非對稱密碼體制(69)
4.1公鑰密碼體制簡介(69)
4.1.1公鑰密碼體制的設計原理(69)
4.1.2公鑰密碼分析(70)
4.2RSA算法(71)
4.2.1RSA算法描述(71)
4.2.2關于RSA算法中的思考(71)
4.2.3RSA的安全性(73)
4.3橢圓曲線密碼算法(74)
4.3.1實數(shù)域上的橢圓曲線(74)
4.3.2有限域上的橢圓曲線(76)
4.3.3橢圓曲線密碼算法(77)
4.4ElGamal公鑰密碼體制(79)
4.4.1算法描述(79)
4.4.2ElGamal算法的安全性(80)
習題4(81)
第5章消息認證和散列函數(shù)(82)
5.1消息認證(82)
5.1.1加密認證(82)
5.1.2消息認證碼(84)
5.2安全散列函數(shù)(86)
5.2.1散列函數(shù)的性質(86)
5.2.2散列函數(shù)的一般結構(87)
5.2.3生日攻擊(87)
5.2.4SHA1安全散列算法(90)
5.2.5SHA1與MD5和RIPEMD160的比較(94)
5.3數(shù)字簽名(95)
5.3.1數(shù)字簽名原理(95)
5.3.2數(shù)字簽名的解決方案(97)
5.3.3RSA數(shù)字簽名體制(99)
5.3.4ElGamal數(shù)字簽名體制(100)
5.3.5數(shù)字簽名標準DSS(101)
5.3.6中國商用密碼SM2算法概況(102)
5.4公鑰基礎設施(104)
5.4.1PKI的概念(104)
5.4.2PKI的組成(105)
習題5(109)
第6章身份認證和訪問控制(111)
6.1身份認證概述(111)
6.1.1身份認證概念(111)
6.1.2身份認證技術方法(112)
6.1.3零知識證明(114)
6.2身份認證協(xié)議(115)
6.2.1撥號認證協(xié)議(115)
6.2.2口令認證協(xié)議(115)
6.2.3挑戰(zhàn)握手認證協(xié)議(116)
6.3Kerberos認證協(xié)議(117)
6.3.1Kerberos簡介(117)
6.3.2Kerberos原理(118)
6.4訪問控制(121)
6.4.1訪問控制的基本原理(121)
6.4.2自主訪問控制(123)
6.4.3強制訪問控制(126)
6.4.4基于角色的訪問控制(127)
習題6(130)
第7章網(wǎng)絡攻擊與防范(132)
7.1安全威脅分析(132)
7.1.1入侵行為分析(132)
7.1.2攻擊分類(133)
7.2端口掃描技術(136)
7.2.1端口掃描技術原理(136)
7.2.2TCP掃描(137)
7.2.3端口管理(140)
7.3漏洞掃描技術(145)
7.3.1漏洞掃描技術的原理(145)
7.3.2漏洞的檢測與修補(146)
7.3.3常見漏洞(147)
7.4網(wǎng)絡嗅探(149)
7.4.1網(wǎng)絡嗅探監(jiān)聽的原理(150)
7.4.2網(wǎng)絡嗅探的接入方式(150)
7.4.3網(wǎng)絡嗅探的檢測與防范(152)
7.4.4嗅探監(jiān)聽工具(153)
7.5拒絕服務攻擊(156)
7.5.1DDoS概述(156)
7.5.2拒絕服務攻擊的類型(158)
7.5.3典型的拒絕服務攻擊技術(159)
7.5.4DDoS攻擊的檢測與防范(165)
7.5.5DoS攻擊的防范(167)
7.6ARP欺騙攻擊(168)
7.6.1ARP欺騙攻擊原理(168)
7.6.2常見ARP欺騙種類(169)
7.6.3常見的ARP欺騙方式(169)
7.6.4常用的防護方法(170)
7.7SQL注入(171)
7.7.1SQL注入概述(171)
7.7.2SQL注入攻擊原理(172)
7.7.3SQL注入攻擊檢測方法與防范(174)
7.8其他Web攻擊類型(175)
7.8.1XSS攻擊(175)
7.8.2木馬植入與防護(176)
7.8.3DNS欺騙攻擊與防范(176)
習題7(178)
第8章入侵檢測技術(179)
8.1入侵檢測概述(179)
8.1.1入侵檢測的基本概念(179)
8.1.2IDS基本結構(180)
8.2入侵檢測系統(tǒng)分類(181)
8.2.1基于主機的入侵檢測系統(tǒng)(182)
8.2.2基于網(wǎng)絡的入侵檢測系統(tǒng)(182)
8.2.3分布式入侵檢測系統(tǒng)(182)
8.3入侵檢測原理(184)
8.3.1異常檢測(184)
8.3.2誤用檢測(186)
8.3.3特征檢測(187)
8.4入侵檢測的特征分析和協(xié)議分析(188)
8.4.1特征分析(188)
8.4.2協(xié)議分析(191)
8.5入侵檢測響應機制(192)
8.5.1對響應的需求(192)
8.5.2自動響應(193)
8.5.3蜜罐(193)
8.5.4主動攻擊模型(194)
8.6入侵檢測系統(tǒng)示例(195)
8.6.1Snort的安裝(196)
8.6.2Snort與TCPDump的比較(197)
8.7IDS在企業(yè)網(wǎng)中的應用部署位置(197)
8.8繞過入侵檢測的若干技術(199)
8.8.1對入侵檢測系統(tǒng)的攻擊(199)
8.8.2對入侵檢測系統(tǒng)的逃避(199)
習題8(200)
第9章防火墻技術(202)
9.1防火墻概述(202)
9.1.1防火墻的基本概念(202)
9.1.2防火墻工作原理(202)
9.1.3防火墻的類別(205)
9.2防火墻技術(207)
9.2.1包過濾技術(207)
9.2.2狀態(tài)監(jiān)測技術(209)
9.2.3應用代理服務(211)
9.3防火墻的防御體系結構(214)
9.3.1雙宿主主機防火墻(214)
9.3.2屏蔽主機防火墻(214)
9.3.3屏蔽子網(wǎng)防火墻(215)
9.4防火墻技術的發(fā)展趨勢(216)
9.4.1透明接入技術(216)
9.4.2分布式防火墻技術(216)
9.4.3防火墻的安全體系(218)
習題9(218)第10章網(wǎng)絡安全協(xié)議(220)
10.1網(wǎng)絡安全協(xié)議概述(220)
10.1.1應用層安全協(xié)議(221)
10.1.2傳輸層安全協(xié)議(224)
10.1.3網(wǎng)絡層安全協(xié)議(224)
10.2IPSec安全體系結構(224)
10.2.1IPSec介紹(224)
10.2.2安全關聯(lián)和安全策略(227)
10.3AH協(xié)議(230)
10.3.1AH概述(230)
10.3.2AH頭部格式(231)
10.3.3AH運行模式(232)
10.3.4數(shù)據(jù)完整性檢查(232)
10.4ESP協(xié)議(233)
10.4.1ESP概述(233)
10.4.2ESP頭部格式(234)
10.4.3ESP運行模式(235)
10.5密鑰管理協(xié)議(237)
10.5.1ISAKMP概述(237)
10.5.2ISAKMP報文頭部格式(237)
10.5.3ISAKMP載荷頭部(240)
10.5.4ISAKMP載荷(240)
10.5.5ISAKMP協(xié)商階段(242)
10.5.6交換類型(242)
10.6SSL協(xié)議(242)
10.6.1SSL協(xié)議概述(242)
10.6.2SSL記錄協(xié)議(245)
10.6.3SSL握手協(xié)議(246)
10.6.4SSL告警協(xié)議(248)
10.6.5SSL密碼規(guī)范修改協(xié)議(249)
10.6.6SSL協(xié)議的應用及安全性分析(249)
10.7SET協(xié)議(251)
10.7.1SET協(xié)議概述(251)
10.7.2SET協(xié)議的工作流程(251)
10.7.3SET交易處理(254)
10.7.4SET協(xié)議的安全性分析(255)
10.7.5SET標準的應用與局限性(256)
習題10(257)
第11章大數(shù)據(jù)背景下的計算安全(259)
11.1大數(shù)據(jù)安全(259)
11.1.1大數(shù)據(jù)的背景概述(259)
11.1.2大數(shù)據(jù)的技術框架(259)
11.1.3大數(shù)據(jù)面臨的安全挑戰(zhàn)(260)
11.1.4大數(shù)據(jù)安全的關鍵技術(260)
11.1.5大數(shù)據(jù)存儲安全策略(261)
11.1.6大數(shù)據(jù)應用安全策略(261)
11.1.7大數(shù)據(jù)服務與信息安全(262)
11.2云計算安全(263)
11.2.1云計算概述(263)
11.2.2云安全面臨的挑戰(zhàn)(264)
11.2.3云用戶安全目標(264)
11.2.4云安全關鍵技術(265)
11.3物聯(lián)網(wǎng)安全(266)
11.3.1物聯(lián)網(wǎng)概述(266)
11.3.2物聯(lián)網(wǎng)的安全特性與架構(267)
11.3.3工業(yè)控制及數(shù)據(jù)安全(269)
習題11(271)
第12章參考實驗(272)
12.1構建虛擬局域網(wǎng)VLAN(272)
12.1.1實驗目的(272)
12.1.2實驗內(nèi)容(272)
12.1.3實驗步驟(273)
12.2Sniffer網(wǎng)絡漏洞檢測(275)
12.2.1實驗目的(275)
12.2.2實驗要求及方法(276)
12.2.3實驗內(nèi)容(276)
12.3網(wǎng)絡漏洞掃描器XScan的應用(277)
12.3.1實驗目的(277)
12.3.2實驗要求及方法(277)
12.3.3實驗原理(277)
12.3.4實驗內(nèi)容(278)
12.4PGP郵件加密實驗(280)
12.4.1實驗目的(280)
12.4.2實驗原理(280)
12.4.3實驗步驟(281)
12.5使用Snort建立IDS(288)
12.5.1實驗目的(288)
12.5.2實驗設備和環(huán)境(289)
12.5.3實驗任務(289)
12.5.4實驗步驟(289)
12.6網(wǎng)絡協(xié)議分析工具Wireshark的使用(293)
12.6.1WireShark的主要界面(294)
12.6.2Wireshark過濾器設置(294)
12.6.3用Wireshark分析互聯(lián)網(wǎng)數(shù)據(jù)包實例(297)
參考文獻(300)