信息系统安全 / 21世纪高等学校信息安全专业规划教材
¥39.50定价
作者: 陈萍、张涛等
出版时间:2016年3月
出版社:清华大学出版社
- 清华大学出版社
- 9787302422273
- 1-1
- 40743
- 16开
- 2016年3月
- 工学
- 计算机科学与技术
- TP309-43
- 计算机
- 本专科、高职高专
内容简介
本教材以教育部《信息安全类专业指导性专业规范》所列知识点为基础,从信息系统体系结构层面系统描述信息系统的安全问题及对策。
全书共12章,第1章介绍信息系统安全的基本概念、发展历史、主要目标和技术体系; 第2章介绍密码学基本理论与应用,具体包括对称密码体制和公钥密码体制,以及基于密码学的消息认证、数字签名、公钥基础设施PKI; 第3章介绍物理安全技术; 第4、第5章分别介绍身份认证和访问控制技术; 第6章介绍操作系统安全机制; 第7章介绍数据库安全技术; 第8章介绍信息安全评估标准和我国的信息安全等级保护制度; 第9章介绍信息系统安全风险评估的概念、工具、方法、流程; 第10章介绍恶意代码的检测与防范技术; 第11章介绍软件安全漏洞及防范措施,重点介绍Web应用安全机制; 第12章介绍信息安全新技术。
本书可以作为信息安全专业、信息对抗专业、计算机专业、信息工程专业和其他相关专业的本科生和研究生教材,也可作为网络信息安全领域的科技人员与信息系统安全管理员的参考书。
全书共12章,第1章介绍信息系统安全的基本概念、发展历史、主要目标和技术体系; 第2章介绍密码学基本理论与应用,具体包括对称密码体制和公钥密码体制,以及基于密码学的消息认证、数字签名、公钥基础设施PKI; 第3章介绍物理安全技术; 第4、第5章分别介绍身份认证和访问控制技术; 第6章介绍操作系统安全机制; 第7章介绍数据库安全技术; 第8章介绍信息安全评估标准和我国的信息安全等级保护制度; 第9章介绍信息系统安全风险评估的概念、工具、方法、流程; 第10章介绍恶意代码的检测与防范技术; 第11章介绍软件安全漏洞及防范措施,重点介绍Web应用安全机制; 第12章介绍信息安全新技术。
本书可以作为信息安全专业、信息对抗专业、计算机专业、信息工程专业和其他相关专业的本科生和研究生教材,也可作为网络信息安全领域的科技人员与信息系统安全管理员的参考书。
目录
目录
第1章信息系统安全概述
1.1计算机信息系统安全问题
1.1.1飞速发展的信息化
1.1.2信息安全形势严峻
1.1.3信息系统安全问题的根源
1.2信息系统安全的概念
1.2.1信息系统安全的定义
1.2.2信息系统安全的目标
1.2.3信息安全的发展历史
1.3信息系统安全防护基本原则
1.4信息系统安全技术体系
1.5小结
习题
第2章密码学基础
2.1密码学的发展历史
2.2密码学基本概念
2.2.1密码体制的组成
2.2.2密码体制的分类
2.2.3密码设计的两个重要原则
2.2.4密码分析
2.3古典密码体制
2.3.1代换密码
2.3.2置换密码
2.4对称密码体制
2.4.1DES简介
2.4.2DES加解密原理
2.4.3DES的安全性
2.4.4三重DES
2.4.5高级加密标准AES
2.5公钥密码体制
2.5.1公钥密码体制的产生
2.5.2公钥密码体制的基本原理
2.5.3RSA公钥密码体制
2.6消息认证
2.6.1消息加密认证
2.6.2消息认证码
2.6.3Hash函数
2.7数字签名
2.7.1数字签名的定义
2.7.2数字签名的原理
2.7.3数字签名的算法
2.8公钥基础设施PKI
2.8.1公钥的分配
2.8.2数字证书
2.8.3X.509证书
2.8.4公钥基础设施PKI
2.9小结
习题
第3章信息系统的物理安全和可靠性
3.1物理安全概述
3.2环境安全
3.2.1环境安全面临的威胁
3.2.2环境安全防护
3.3设备安全
3.3.1设备安全面临的威胁
3.3.2设备安全防护
3.4媒体(介质)安全
3.4.1媒体安全面临的威胁
3.4.2媒体安全防护
3.5系统安全和可靠性技术
3.6容错技术
3.6.1硬件容错
3.6.2软件容错
3.7信息系统灾难恢复技术
3.7.1概述
3.7.2灾难恢复的级别和指标
3.7.3容灾系统关键技术
3.8小结
习题
第4章身份认证
4.1概述
4.2基于口令的认证
4.2.1口令认证过程
4.2.2口令认证安全增强机制
4.3一次性口令的认证
4.4基于智能卡的认证方式
4.5基于生物特征的认证方式
4.6身份认证协议
4.6.1单向认证
4.6.2双向认证
4.6.3可信的第三方认证
4.7零知识证明
4.8小结
习题
第5章访问控制
5.1访问控制概述
5.1.1访问控制机制与系统安全模型
5.1.2访问控制的基本概念
5.2访问控制策略
5.2.1自主访问控制
5.2.2强制访问控制
5.2.3基于角色的访问控制
5.3小结
习题
第6章操作系统安全
6.1操作系统的安全问题
6.1.1操作系统安全的重要性
6.1.2操作系统面临的安全问题
6.1.3操作系统的安全性设计
6.2操作系统基础知识
6.2.1操作系统的形成和发展
6.2.2操作系统的分类
6.2.3操作系统功能
6.2.4程序接口和系统调用
6.2.5进程
6.3存储保护
6.3.1地址转换
6.3.2存储保护方式
6.4用户身份认证
6.5访问控制
6.6审计
6.6.1审计的概念
6.6.2审计事件
6.2.3审计记录和审计日志
6.2.4一般操作系统审计的实现
6.7最小特权管理
6.7.1基本思想
6.7.2POSIX权能机制
6.8Windows系统安全
6.8.1Windows安全子系统的结构
6.8.2Windows系统安全机制
6.9UNIX/Linux的安全机制
6.9.1UNIX与Linux操作系统概述
6.9.2UNIX/Linux安全机制
6.10隐蔽信道
6.11小结
习题
第7章数据库系统安全
7.1数据库安全概述
7.1.1数据库安全定义
7.1.2数据库安全与操作系统的关系
7.2数据库安全的发展历史
7.3数据库身份认证技术
7.3.1数据库用户身份认证概念
7.3.2SQL Server数据库用户身份认证机制
7.3.3Oracle数据库用户身份认证机制
7.4数据库授权与访问控制技术
7.4.1数据库授权和访问控制
7.4.2SQL Server数据库权限和角色机制
7.4.3Oracle数据库权限和角色机制
7.5数据库安全审计技术
7.5.1数据库安全审计定义、地位和作用
7.5.2数据库安全审计方法
7.5.3Oracle数据库安全审计技术
7.6数据库备份与恢复技术
7.6.1数据库备份技术
7.6.2数据库恢复技术
7.6.3SQL Server数据库备份与恢复技术
7.6.4Oracle数据库备份与恢复技术
7.7数据库加密技术
7.7.1数据库加密要实现的目标
7.7.2数据库加密技术中的关键问题
7.7.3SQL Server数据库加密技术
7.7.4Oracle数据库加密技术
7.8数据库高级安全技术
7.8.1VPD机制及其工作原理
7.8.2基于访问类型的控制实施
7.8.3VPD安全防线
7.8.4面向敏感字段的VPD功能
7.9数据库安全评估准则
7.10小结
习题
第8章信息系统安全评价标准和等级保护
8.1信息安全评价标准的发展
8.2可信计算机系统评价标准
8.2.1TCSEC的主要概念
8.2.2TCSEC的安全等级
8.2.3TCSEC的不足
8.3通用评估标准
8.3.1CC的组成
8.3.2需求定义的用法
8.3.3评估保证级别(EAL)
8.3.4利用CC标准评估产品的一般过程
8.3.5CC的特点
8.4我国的信息系统安全评估标准
8.4.1所涉及的术语
8.4.2等级的划分及各等级的要求
8.5信息安全等级保护
8.5.1等级保护的基本概念
8.5.2等级保护的定级要素及级别划分
8.5.3等级保护工作的环节
8.6小结
习题
第9章信息系统安全风险评估
9.1风险评估简介
9.2风险评估的方法
9.2.1定量评估方法
9.2.2定性评估方法
9.2.3定性与定量相结合的综合评估方法
9.2.4典型的风险评估方法
9.3风险评估的工具
9.3.1SAFESuite套件
9.3.2WebTrends Security Analyzer套件
9.3.3Cobra
9.3.4CC tools
9.4风险评估的过程
9.4.1风险评估的准备
9.4.2资产识别
9.4.3威胁识别
9.4.4脆弱性识别
9.4.5已有安全措施确认
9.4.6风险分析
9.4.7风险处理计划
9.4.8残余风险的评估
9.4.9风险评估文档
9.5信息系统风险评估发展存在的问题
9.6小结
习题
第10章恶意代码检测与防范技术
10.1计算机病毒
10.1.1定义
10.1.2计算机病毒的结构
10.1.3计算机病毒的检测
10.1.4病毒防御
10.2特洛伊木马
10.2.1木马的功能与特点
10.2.2木马工作机理分析
10.2.3木马实例冰河木马
10.2.4木马的检测与防范技术
10.3蠕虫
10.3.1定义
10.3.2蠕虫的结构和工作机制
10.3.3蠕虫的防范
10.4小结
习题
第11章应用系统安全
11.1缓冲区溢出
11.1.1缓冲区溢出的概念
11.1.2缓冲区溢出攻击原理及防范措施
11.2格式化字符串漏洞
11.3整数溢出漏洞
11.4应用系统安全漏洞发掘方法
11.5Web应用安全
11.5.1Web应用基础
11.5.2Web应用漏洞
11.5.3SQL注入漏洞及防御机制
11.5.4XSS注入漏洞及防御机制
11.6小结
习题
第12章信息系统安全新技术
12.1云计算信息系统及其安全技术
12.2物联网系统及其安全问题
12.3移动互联网安全技术
12.4小结
习题
参考文献
第1章信息系统安全概述
1.1计算机信息系统安全问题
1.1.1飞速发展的信息化
1.1.2信息安全形势严峻
1.1.3信息系统安全问题的根源
1.2信息系统安全的概念
1.2.1信息系统安全的定义
1.2.2信息系统安全的目标
1.2.3信息安全的发展历史
1.3信息系统安全防护基本原则
1.4信息系统安全技术体系
1.5小结
习题
第2章密码学基础
2.1密码学的发展历史
2.2密码学基本概念
2.2.1密码体制的组成
2.2.2密码体制的分类
2.2.3密码设计的两个重要原则
2.2.4密码分析
2.3古典密码体制
2.3.1代换密码
2.3.2置换密码
2.4对称密码体制
2.4.1DES简介
2.4.2DES加解密原理
2.4.3DES的安全性
2.4.4三重DES
2.4.5高级加密标准AES
2.5公钥密码体制
2.5.1公钥密码体制的产生
2.5.2公钥密码体制的基本原理
2.5.3RSA公钥密码体制
2.6消息认证
2.6.1消息加密认证
2.6.2消息认证码
2.6.3Hash函数
2.7数字签名
2.7.1数字签名的定义
2.7.2数字签名的原理
2.7.3数字签名的算法
2.8公钥基础设施PKI
2.8.1公钥的分配
2.8.2数字证书
2.8.3X.509证书
2.8.4公钥基础设施PKI
2.9小结
习题
第3章信息系统的物理安全和可靠性
3.1物理安全概述
3.2环境安全
3.2.1环境安全面临的威胁
3.2.2环境安全防护
3.3设备安全
3.3.1设备安全面临的威胁
3.3.2设备安全防护
3.4媒体(介质)安全
3.4.1媒体安全面临的威胁
3.4.2媒体安全防护
3.5系统安全和可靠性技术
3.6容错技术
3.6.1硬件容错
3.6.2软件容错
3.7信息系统灾难恢复技术
3.7.1概述
3.7.2灾难恢复的级别和指标
3.7.3容灾系统关键技术
3.8小结
习题
第4章身份认证
4.1概述
4.2基于口令的认证
4.2.1口令认证过程
4.2.2口令认证安全增强机制
4.3一次性口令的认证
4.4基于智能卡的认证方式
4.5基于生物特征的认证方式
4.6身份认证协议
4.6.1单向认证
4.6.2双向认证
4.6.3可信的第三方认证
4.7零知识证明
4.8小结
习题
第5章访问控制
5.1访问控制概述
5.1.1访问控制机制与系统安全模型
5.1.2访问控制的基本概念
5.2访问控制策略
5.2.1自主访问控制
5.2.2强制访问控制
5.2.3基于角色的访问控制
5.3小结
习题
第6章操作系统安全
6.1操作系统的安全问题
6.1.1操作系统安全的重要性
6.1.2操作系统面临的安全问题
6.1.3操作系统的安全性设计
6.2操作系统基础知识
6.2.1操作系统的形成和发展
6.2.2操作系统的分类
6.2.3操作系统功能
6.2.4程序接口和系统调用
6.2.5进程
6.3存储保护
6.3.1地址转换
6.3.2存储保护方式
6.4用户身份认证
6.5访问控制
6.6审计
6.6.1审计的概念
6.6.2审计事件
6.2.3审计记录和审计日志
6.2.4一般操作系统审计的实现
6.7最小特权管理
6.7.1基本思想
6.7.2POSIX权能机制
6.8Windows系统安全
6.8.1Windows安全子系统的结构
6.8.2Windows系统安全机制
6.9UNIX/Linux的安全机制
6.9.1UNIX与Linux操作系统概述
6.9.2UNIX/Linux安全机制
6.10隐蔽信道
6.11小结
习题
第7章数据库系统安全
7.1数据库安全概述
7.1.1数据库安全定义
7.1.2数据库安全与操作系统的关系
7.2数据库安全的发展历史
7.3数据库身份认证技术
7.3.1数据库用户身份认证概念
7.3.2SQL Server数据库用户身份认证机制
7.3.3Oracle数据库用户身份认证机制
7.4数据库授权与访问控制技术
7.4.1数据库授权和访问控制
7.4.2SQL Server数据库权限和角色机制
7.4.3Oracle数据库权限和角色机制
7.5数据库安全审计技术
7.5.1数据库安全审计定义、地位和作用
7.5.2数据库安全审计方法
7.5.3Oracle数据库安全审计技术
7.6数据库备份与恢复技术
7.6.1数据库备份技术
7.6.2数据库恢复技术
7.6.3SQL Server数据库备份与恢复技术
7.6.4Oracle数据库备份与恢复技术
7.7数据库加密技术
7.7.1数据库加密要实现的目标
7.7.2数据库加密技术中的关键问题
7.7.3SQL Server数据库加密技术
7.7.4Oracle数据库加密技术
7.8数据库高级安全技术
7.8.1VPD机制及其工作原理
7.8.2基于访问类型的控制实施
7.8.3VPD安全防线
7.8.4面向敏感字段的VPD功能
7.9数据库安全评估准则
7.10小结
习题
第8章信息系统安全评价标准和等级保护
8.1信息安全评价标准的发展
8.2可信计算机系统评价标准
8.2.1TCSEC的主要概念
8.2.2TCSEC的安全等级
8.2.3TCSEC的不足
8.3通用评估标准
8.3.1CC的组成
8.3.2需求定义的用法
8.3.3评估保证级别(EAL)
8.3.4利用CC标准评估产品的一般过程
8.3.5CC的特点
8.4我国的信息系统安全评估标准
8.4.1所涉及的术语
8.4.2等级的划分及各等级的要求
8.5信息安全等级保护
8.5.1等级保护的基本概念
8.5.2等级保护的定级要素及级别划分
8.5.3等级保护工作的环节
8.6小结
习题
第9章信息系统安全风险评估
9.1风险评估简介
9.2风险评估的方法
9.2.1定量评估方法
9.2.2定性评估方法
9.2.3定性与定量相结合的综合评估方法
9.2.4典型的风险评估方法
9.3风险评估的工具
9.3.1SAFESuite套件
9.3.2WebTrends Security Analyzer套件
9.3.3Cobra
9.3.4CC tools
9.4风险评估的过程
9.4.1风险评估的准备
9.4.2资产识别
9.4.3威胁识别
9.4.4脆弱性识别
9.4.5已有安全措施确认
9.4.6风险分析
9.4.7风险处理计划
9.4.8残余风险的评估
9.4.9风险评估文档
9.5信息系统风险评估发展存在的问题
9.6小结
习题
第10章恶意代码检测与防范技术
10.1计算机病毒
10.1.1定义
10.1.2计算机病毒的结构
10.1.3计算机病毒的检测
10.1.4病毒防御
10.2特洛伊木马
10.2.1木马的功能与特点
10.2.2木马工作机理分析
10.2.3木马实例冰河木马
10.2.4木马的检测与防范技术
10.3蠕虫
10.3.1定义
10.3.2蠕虫的结构和工作机制
10.3.3蠕虫的防范
10.4小结
习题
第11章应用系统安全
11.1缓冲区溢出
11.1.1缓冲区溢出的概念
11.1.2缓冲区溢出攻击原理及防范措施
11.2格式化字符串漏洞
11.3整数溢出漏洞
11.4应用系统安全漏洞发掘方法
11.5Web应用安全
11.5.1Web应用基础
11.5.2Web应用漏洞
11.5.3SQL注入漏洞及防御机制
11.5.4XSS注入漏洞及防御机制
11.6小结
习题
第12章信息系统安全新技术
12.1云计算信息系统及其安全技术
12.2物联网系统及其安全问题
12.3移动互联网安全技术
12.4小结
习题
参考文献
