信息安全技術概論(第2版)（簡體書）

國家信息化專家諮詢委員會委員，中國密碼學會副理事長。國家973項目，國家自然科學基金項目，省部級重大項目，擔任項目負責人。長期從事信息安全理論與技術研究開發工作，在《Theoretical Computer Science》、《IEEE Transactions on Information Theory》等核心刊物和國際重要會議上發表學術論文150多篇，出版著作20多部，獲得國家發明專利7項。2000年、2005年兩次獲國家科技進步獎二等獎，1999年獲中國科學院科技進步獎一等獎，2005年獲北京市科學技術獎一等獎，2006年獲國家密碼科技進步獎一等獎。

第1章緒論
1．1什麼是信息安全
1．2信息安全發展歷程
1．3信息安全威脅
1．4信息安全技術體系
1．5信息安全模型
1．6小結與後記
論述與思考
第2章信息安全保障技術框架
2．1深度防禦策略
2．2信息保障框架域
2．2．1框架域1――保護網絡與基礎設施
2．2．2框架域2――保護區域邊界和外部連接
2． 2．3框架域3――保護計算環境
2．2．4框架域4――支持性基礎設施
2．3信息系統安全工程
2．3．1產生背景
2．3．2信息系統安全工程與通用系統工程的聯繫
2．3．3階段1――發掘信息保護需求
2．3．4階段2――定義信息保護系統
2．3．5階段3――設計信息保護系統
2．3．6階段4 ――實施信息保護系統
2．3．7階段5――評估信息保護的有效性
2．4小結與後記
論述與思考
第3章密碼技術
3．1基本概念
3．2對稱密碼
3．2．1古典密碼
3．2．2分組密碼
3．2．3序列密碼
3．3公鑰密碼
3．4雜湊函數和消息認證碼
3．5數字簽名
3．6密鑰管理
3．7小結與後記
論述與思考
第4章標識與認證技術
4 ．1標識
4．2口令與挑戰-響應技術
4．3在線認證服務技術
4．4公鑰認證技術
4．5實體認證相關標準
4．6遠程口令認證技術
4．7其他常用認證技術
4．8匿名認證技術
4．9 PKI技術
4．10小結與後記
論述與思考
第5章授權與訪問控制技術
5．1授權和訪問控制策略的概念
5．2自主訪問控制
5．3強制訪問控制
5．4基於角色的訪問控制
5．5基於屬性的訪問控制
5．6 PMI技術
5．7小結與後記
論述與思考
第6章信息隱藏技術
6．1基本概念
6．2隱藏信息的基本方法
6．3數字水印
6．4數字隱寫
6．5小結與後記
論述與思考
第7章網絡與系統攻擊技術
7．1典型攻擊過程
7．2網絡與系統調查
7．3口令攻擊
7．4緩衝區溢出攻擊
7．5拒絕服務攻擊
7．6典型案例分析
7． 7小結與後記
論述與思考
第8章網絡與系統安全防護及應急響應技術
8．1防火牆技術
8．2入侵檢測技術
8．3 “蜜罐”技術
8．4應急響應技術
8．5小結與後記
論述與思考
第9章安全審計與責任認定技術
9．1審計系統
9．2事件分析與追踪
9．3數字取證
9．4數字指紋與追踪碼
9．5小結與後記
論述與思考
第10章主機系統安全技術
10．1操作系統安全技術
10．1．1基本概念
10．1．2商業操作系統安全機制
10．1．3商業操作系統安全性的驗證
10．1．4其他安全機制
10．2數據庫安全技術
10．2．1安全數據庫管理系統
10．2．2外包數據庫安全
10．2．3雲數據庫/雲存儲安全
10．3可信計算技術
10．4小結與後記
論述與思考
第11章網絡系統安全技術
11．1 OSI安全體系結構
11．2 SSL/TLS協議
11． 3 IPSec協議
11．4 SET協議
11．5安全電子郵件
11．5．1 PGP
11．5．2 S/MIME
11．6小結與後記
論述與思考
第12章惡意代碼檢測與防範技術
12．1常見的惡意代碼
12．2惡意代碼機理
12．3惡意代碼分析
12．4惡意代碼檢測
12．5惡意代碼清除與預防
12．6小結與後記
論述與思考
第13章內容安全技術
13．1內容安全的概念
13．2文本過濾
13．3話題發現和跟踪
13．4內容安全分級監管
13．5多媒體內容安全技術簡介
13．6小結與後記
論述與思考
第14章信息安全測評技術
14．1信息安全測評的發展
14．2信息安全驗證與測試技術
14．3信息安全測試技術
14．4信息安全評估技術
14．5信息安全評估準則及其主要模型與方法
14．6小結與後記
論述與思考
第15章信息安全管理技術
15．1信息安全規劃
15．2信息安全風險評估
15．3物理安全保障
15．4信息安全等級保護
15．5國際信息安全管理標準
15．6信息安全法規
15．7小結與後記
論述與思考
附錄基礎知識與綜合習題
附錄A數論初步
附錄B代數係統與多項式
附錄C信號變換
附錄D綜合習題
參考文獻

第2版總序

信息化是世界經濟和社會發展的必然趨勢。近年來，在黨中央、國務院的高度重視和正確領導下，我國信息化建設取得了積極進展，信息技術對提升工業技術水平、創新產業形態、推動經濟社會發展發揮了重要作用。信息技術已成為經濟增長的“倍增器”、發展方式的“轉換器”、產業升級的“助推器”。

作為國家信息化領導小組的決策咨詢機構，國家信息化專家咨詢委員會按照黨中央、國務院領導同志的要求，就我國信息化發展中的前瞻性、全局性和戰略性的問題進行調查研究，提出政策建議和咨詢意見。信息化所具有的知識密集的特點，決定了人力資本將成為國家在信息時代的核心競爭力。大量培養符合中國信息化發展需要的人才是國家信息化發展的一個緊迫需求，也是我國推動經濟發展方式轉變，提高在信息時代參與國際競爭比較優勢的關鍵。2006年5月，我國公布《2006—2010年國家信息化發展戰略》，提出“提高國民信息技術應用能力，造就信息化人才隊伍”是國家信息化推進的重點任務之一，并要求構建以學校教育為基礎的信息化人才培養體系。

為了促進上述目標的實現，國家信息化專家咨詢委員會致力于通過講座、論壇、出版等各種方式推動信息化知識的宣傳、教育和培訓工作。2007年，國家信息化專家咨詢委員會聯合教育部、原國務院信息化工作辦公室成立了“信息化與信息社會”系列叢書編委會，共同推動“信息化與信息社會”系列叢書的組織編寫工作。編寫該系列叢書的目的是，力圖結合我國信息化發展的實際和需求，針對國家信息化人才教育和培養工作，有效梳理信息化的基本概念和知識體系，通過高校教師、信息化專家、學者與政府官員之間的相互交流和借鑒，充實我國信息化實踐中的成功案例，進一步完善我國信息化教學的框架體系，提高我國信息化圖書的理論和實踐水平。毫無疑問，從國家信息化長遠發展的角度來看，這是一項帶有全局性、前瞻性和基礎性的工作，是貫徹落實國家信息化發展戰略的一個重要舉措，對于推動國家的信息化人才教育和培養工作，加強我國信息化人才隊伍的建設具有重要意義。

考慮到當時國家信息化人才培養的需求，各個專業和不同教育層次（博士生、碩士生、本科生）的需要，以及教材開發的難度和編寫進度時間等問題，“信息化與信息社會”系列叢書編委會采取了集中全國優秀學者和教師，分期分批出版高質量的信息化教育叢書的方式，結合高校專業課程設置情況，在“十一五”期間，先后組織出版了“信息管理與信息系統”、“電子商務”、“信息安全”三套本科專業高等學校系列教材，受到高校相關專業學科以及相關專業師生的熱烈歡迎，并得到業內專家和教師的一致好評和高度評價。

但是，隨著時間的推移和信息技術的快速發展，上述專業的教育面臨著持續更新、不斷完善的迫切要求，日新月異的技術發展及應用變遷也不斷對新時期的建設和人才培養提出新要求。為此，“信息管理與信息系統”、“電子商務”、“信息安全”三個專業教育需以綜合的視角和發展的眼光不斷對自身進行調整和豐富，已出版的教材內容也需及時進行更新和調整，以滿足需求。

這次，高等學校“信息管理與信息系統”、“電子商務”、“信息安全”三套系列教材的修訂是在涵蓋第1版主題內容的基礎上，進行的更新和調整。我們希望在內容構成上，既保持原第1版教材基礎的經典內容，又要介紹主流的知識、方法和工具，以及最新的發展趨勢，同時增加部分案例或實例，使每一本教材都有明確的定位，分別體現“信息管理與信息系統”、“電子商務”、“信息安全”三個專業領域的特征，并在結合我國信息化發展實際特點的同時，選擇性地吸收國際上相關教材的成熟內容。

對于這次三套系列教材（以下簡稱系列教材）的修訂，我們仍提出了基本要求，包括信息化的基本概念一定要準確、清晰，既要符合中國國情，又要與國際接軌；教材內容既要符合本科生課程設置的要求，又要緊跟技術發展的前沿，及時地把新技術、新趨勢、新成果反映在教材中；教材還必須體現理論與實踐的結合，要注意選取具有中國特色的成功案例和信息技術產品的應用實例，突出案例教學，力求生動活潑，達到幫助學生學以致用的目的，等等。

為力爭修訂教材達到我們一貫秉承的精品要求，“信息化與信息社會”系列叢書編委會采用了多種手段和措施保證系列教材的質量。首先，在確定每本教材的第一作者的過程中引入了競爭機制，通過廣泛征集、自我推薦和網上公示等形式，吸收優秀教師、企業人才和知名專家參與寫作；其次，將國家信息化專家咨詢委員會有關專家納入到各個專業編委會中，通過召開研討會和廣泛征求意見等多種方式，吸納國家信息化一線專家、工作者的意見和建議；再次，要求各專業編委會對教材大綱、內容等進行嚴格的審核，并對每本教材配有一至兩位審稿專家。

我們衷心期望，系列教材的修訂能對我國信息化相應專業領域的教育發展和教學水平的提高有所裨益，對推動我國信息化的人才培養有所貢獻。同時，我們也借系列教材修訂出版的機會，向所有為系列教材的組織、構思、寫作、審核、編輯、出版等做出貢獻的專家學者、教師和工作人員表達我們最真誠的謝意！

應該看到，組織高校教師、專家學者、政府官員以及出版部門共同合作，編寫尚處于發展動態之中的新興學科的高等學校教材，有待繼續嘗試和不斷總結經驗，也難免會出現這樣那樣的缺點和問題。我們衷心希望使用該系列教材的教師和學生能夠不吝賜教，幫助我們不斷地提高系列教材的質量。

曲維枝

2013年11月1日

第2版序言

“十一五”期間，由國家信息化專家咨詢委員會牽頭，教育部信息安全專業類教學指導委員會有關領導、學者組織，眾多信息安全專業著名專家和教師參與開發，并由電子工業出版社出版的“高等學校信息安全專業系列教材”，由于在體系設計上較全面地覆蓋了新時期信息安全專業教育的各個知識層面，包括宏觀視角上對信息化大環境下信息安全相關知識的綜合介紹，對信息安全應用發展前沿的深入剖析，以及對信息安全系統建設各項核心任務的系統講解和對一些重要信息安全應用形式的討論，在“高等學校信息安全專業系列教材”面市后，受到高校該專業學科及相關專業師生的熱烈歡迎，得到業內專家和教師的好評和高度評價，被譽為該學科專業教材中的精品系列教材。

但是，隨著信息技術的快速發展，信息安全專業教育面臨著持續更新、不斷完善的迫切要求，其日新月異的技術發展及應用變遷也不斷對新時期信息安全建設和人才培養提出新的要求。為此，信息安全專業教育需以綜合的視角和發展的眼光不斷對教學內容進行調整和豐富，已出版的教材內容也需及時進行更新和修改，以滿足需求。

這次修訂，除對“高等學校信息安全專業系列教材”第1版各冊教材的主題內容進行了相應更新和調整外，同時對系列教材的總體架構進行了調整并增加了3個分冊，即《信息安全數學基礎》、《信息安全實驗教程》和《信息隱藏概論》。

調整后的教材在體系架構和內容構成上既保持了基礎的經典內容，又介紹了主流的知識、方法和工具，以及最新發展趨勢，同時增加了部分案例或實例。使得系列中的每一本教材都有明確的定位，充分體現了國家“信息安全”的領域特征，在結合我國信息安全實際特點的同時，還注重借鑒國際上相關教材中適于作為信息安全本科教育知識的成熟內容。

我們希望這套修訂教材能夠成為新形勢下高等學校信息安全專業的精品教材，成為高等學校信息安全專業學生循序漸進了解和掌握專業知識不可或缺的教科書和知識讀本，成為國家信息安全新環境下從業人員及管理者學習信息安全知識的有益參考書。

高等學校信息安全專業系列教材編委會
2013年10月于北京

第2版前言

本書第1版出版以來產生了良好的社會影響，得到了廣大讀者的青睞和一致好評，有的將其選為教科書，有的將其選為考試用書，有的將其選為參考書。隨著信息技術的快速發展和深度應用，信息安全技術也在不斷發展和進步，因此有必要不斷更新和完善信息安全技術體系，以更好地適應信息技術發展和應用的需求。

我們本著精品化的原則對本書進行了修訂，按研究方向邀請在該方向上有深入研究的專家學者參與修訂，孫銳老師參加了第2章“信息安全保障技術框架”的編寫，張立武高工參加了第4章“標識與認證技術”和第5章“授權與訪問控制技術”的編寫，蘇璞睿研究員參加了第7章“網絡與系統攻擊技術”、第8章“網絡與系統安全防護及應急響應技術”和第12章“惡意代碼檢測與防范技術”的編寫，邀請張陽高工編寫了第10章10.1節“操作系統安全技術”，邀請張敏高工編寫了第10章10.2節“數據庫安全技術”，邀請連一峰副研究員參加了第14章“信息安全測評技術”和第15章“信息安全管理技術”的編寫，在此一并向他們表示衷心的感謝。

與第1版相比，本書第2版主要做了以下修訂。

（1）進一步完善了信息安全技術體系。鑒于信息安全保障概念與方法在信息安全體系建設中的作用越來越大，增加了一章（即第2章）專門介紹信息安全保障技術框架，并將其歸結為支撐安全技術類。

（2）進一步凝練了各章的技術內容。對每章的技術內容都進行了重新思考和定位，對部分章節進行了重新梳理和編寫，使選材更具有代表性和示范性，如對第10章中的操作系統安全技術和數據庫安全技術進行了重新編寫，在第11章中增加了安全電子郵件協議PGP和S/MIME等內容。

（3）反映了一些最新發展。在編寫過程中，通過以科普方式總結提煉、增加具體技術內容、引用最新參考文獻等形式，盡量反映和體現最新研究進展，如在第3章“密碼技術”中介紹了美國的SHA3計劃、中國的ZUC算法及相關標準算法進展情況。

（4）梳理了論述與思考題。為了便于作為教科書使用，也為了便于鞏固學習之用，對每章的論述與思考題都進行了重新思考與精心設計，并在附錄D中設計了150多道綜合習題，使其更具有科學性和合理性，起到事半功倍的作用。

本書是作者在長期從事科研與教學的基礎上編寫的。本書的編寫得到了國家973計劃項目（編號：2013CB338003）和國家自然科學基金項目（編號：61170281）的支持。感謝本書的審核專家蔡吉人院士提出的建設性和指導性意見，感謝電子工業出版社的劉憲蘭編輯在本書修訂過程中給予的大力支持。

希望本書的出版能為我國信息安全技術與觀念的傳播和普及做點貢獻！

馮登國

2013年5月于北京