　　本书是信息安全经典著作，共12章，系统描述了信息安全的各个方面，实现了计算机安全领域的完整、实时、全面的覆盖，内容包括用户、软件、设备、操作系统、网络等，反映了迅速变化的攻击、防范和计算环境，介绍了*新的*佳实践，用户认证，防止恶意代码的执行，加密技术的使用，隐私的保护，防火墙的实现和入侵检测技术的实施等。第五版对当前信息安全领域的新课题都有涉及，加入了Web交互、云计算、大数据、物联网和网络战等方面的安全技术，以及前沿课题的研究。

作者简介

　　李毅超，电子科技大学数学科学学院教授，IEEE会士，四川省信息系统安全等级保护评审特聘专家，电子科技大学信息安全领域组专家。主要从事计算机网络及应用技术、网络与信息系统安全技术、网络与嵌入式电子信息化技术等方面研究工作。目前逐步将研究领域拓展到航空航天电子信息技术。作为课题负责人或骨干研究人员已完成国家自然科学基金、国家863计划等项目大小30余项。

　　Charles P. Pfleeger，计算机和通信安全领域的国际著名专家。他最初是美国田纳西大学的教授，离开那里后加入了计算机安全研究和咨询公司Trusted Information Systems和Arca Systems（后来去了Exodus Communications和Cable and Wireless）。在Trusted Information Systems时他任欧洲运营主管和高级顾问。在Cable and Wireless时任研究主管和首席安全官成员。他还是IEEE计算机协会安全和隐私技术委员会的主席。

　　Shari Lawrence Pfleeger，知名软件工程师和计算机安全研究员，最近成为兰德公司（RAND）的高级计算机科学家和信息基础设施保护研究院的研究主管。她目前是IEEE Security & Privacy杂志的总编辑。 Jonathan Margulies Qmulos首席技术官，网络安全咨询专家。获得美国康奈尔大学计算机科学硕士学位后，Margulies在桑迪亚国家实验室(Sandia National Lab)工作了9年，研究和开发针对国家安全和关键基础设施系统中高级持续性威胁的保护方案。后来他加入NIST国家网络安全卓越中心，在那里，他与各种关键基础设施公司一起搭建了工业标准安全架构。业余时间，他在IEEE Security & Privacy杂志负责“Building Security In”版块的编辑工作。

Chapter 1 Introduction
概论001
1．1 What is Computer Security
什么是计算机安全？002
1．2 Threats
威胁006
1．3 Harm
危害021
1．4 Vulnerabilities
脆弱点028
1．5 Controls
控制028
1．6 Conclusion
总结031
1．7 What’s Next
下一步是什么？032
1．8 Exercises
习题034
Chapter 2 Toolbox： Authentication， Access Control， and Cryptography
工具箱：鉴别、访问控制与加密036
2．1 Authentication
鉴别038
2．2 Access Control
访问控制072
2．3 Cryptography
密码编码学086
2．4 Exercises
练习127
Chapter 3 Programs and Programming
程序和编程130
3．1 Unintentional (Nonmalicious) Programming Oversights
无意的（非恶意的）程序漏洞132
3．2 Malicious Code―Malware
恶意代码――恶意软件165
3．3 Countermeasures
对策195
3．4 Conclusion
总结228
3．5 Exercises
练习228
Chapter 4 Operating Systems
操作系统230
4．1 Security in Operating Systems
操作系统的安全性230
4．2 Security in the Design of Operating Systems
安全操作系统的设计258
4．3 Rootkit
Rootkit279
4．4 Conclusion
总结288
4．5 Exercises
习题289
Chapter 5 Databases
数据库291
5．1 Introduction to Databases
数据库简介292
5．2 Security Requirements of Databases
数据库的安全需求297
5．3 Reliability and Integrity
可靠性和完整性303
5．4 Database Disclosure
数据库泄露308
5．5 Data Mining and Big Data
数据挖掘和大数据325
5．6 Conclusion
总结339
5．7 Exercises
习题339
Chapter 6 Networks
网络341
6．1 Network Concepts
网络的概念342
6．2 Threats to Network Communications
网络通信的威胁354
6．3 Wireless Network Security
无线网络安全374
6．4 Denial of Service
拒绝服务396
6．5 Distributed Denial-of-Service
分布式拒绝服务421
6．6 Cryptography in Network Security
网络安全中的密码学432
6．7 Firewalls
防火墙451
6．8 Intrusion Detection and Prevention Systems
入侵检测和防御系统474
6．9 Network Management
网络管理489
6．10 Conclusion
总结496
6．11 Exercises
习题496
Chapter 7 Management and Incidents
安全管理和事件501
7．1 Security Planning
安全计划501
7．2 Business Continuity Planning
业务持续计划512
7．3 Handling Incidents
事件处理516
7．4 Risk Analysis
风险分析522
7．5 Dealing with Disaster
处理灾难540
7．6 Conclusion
总结553
7．7 Exercises
练习554
Chapter 8 Details of Cryptography
密码学精讲555
8．1 Cryptology
密码学556
8．2 Symmetric Encryption Algorithms
对称加密算法566
8．3 Asymmetric Encryption with RSA
RSA非对称加密582
8．4 Message Digests
消息摘要586
8．5 Digital Signatures
数字签名589
8．6 Quantum Cryptography
量子密码学594
8．7 Conclusion
总结598
Chapter 9 Privacy
计算机中的隐私600
9．1 Privacy Concepts
隐私的概念601
9．2 Privacy Principles and Policies
隐私的原理和政策610
9．3 Authentication and Privacy
鉴别和隐私624
9．4 Data Mining
数据挖掘630
9．5 Privacy on the Web
网站上的隐私633
9．6 Email Security
电子邮件安全性646
9．7 Privacy Impacts of Emerging Technologies
对新技术的影响650
9．8 Where the Field is Headed
领域前沿658
9．9 Conclusion
总结659
9．10 Exercises
习题659
Chapter 10 The Web―User Side
Web和用户661
10．1 Browser Attacks
针对浏览器的攻击663
10．2 Web Attacks Targeting Users
针对用户的Web攻击674
10．3 Obtaining User or Website Data
获取用户或网站的数据689
10．4 Email Attacks
电子邮件攻击696
10．5 Conclusion
总结706
10．6 Exercises
习题707
Chapter 11 Cloud Computing
云计算708
11．1 Cloud Computing Concepts
云计算的概念708
11．2 Moving to the Cloud
迁移到云端710
11．3 Cloud Security Tools and Techniques
云安全工具与技术717
11．4 Cloud Identity Management
云认证管理725
11．5 Securing IaaS
加固IaaS736
11．6 Conclusion
总结740
11．7 Exercises
习题741
Chapter 12 Emerging Topics
新兴问题743
12．1 The Internet of Things
物联网744
12．2 Economics
网络安全经济学751
12．3 Electronic Voting
电子投票764
12．4 Cyber Warfare
网络战争771
12．5 Conclusion
总结780
Bibliography
参考文献781

前言/序言

　　导读
　　继2004年、2007年分别翻译了本书的第三版、第四版之后，我们再次翻译了其第五版。原书得到美国著名信息安全专家WillisH.Ware教授（兰德公司）的热情推荐并畅销美国，并成为美国各大学院校广为使用的经典教材，更被业界视为计算机安全攻击和对策的权威指南。本书经过十几年的改编再版，内容始终保持经典、丰富和新颖，循序渐进，且案例翔实生动，深入浅出，有较大的深度和广度。本书第五版紧跟技术潮流，随着第三个合著者JonathanMargulies的加入，增加了三章新内容（第10章web和用户、第1章云计算、第12章新兴问题），并对每个章节进行了细微调整。本书第五版不仅在内容上得到了丰富，而且理论体系结构更趋合理，体现了本书作者深厚的技术沉淀。特别值得一提的是，本书大量篇幅侧重讨论和分析代码，因为有相当多的危险或多或少都是由计算机上执行的程序代码引起的。读者可以随意选取自己感兴趣的主题阅读，阅读本书唯一需要的背景知识就是编程和计算机系统。本书适合信息安全或计算机专业本科生、研究生、广大相关领域的研究人员和专业技术人员阅读和参考。
　　本书还特别推出了添加中文评注的英文版。在中文评注的英文版中，每章章首新增了中文要点概述，并在章节中的重要术语、关键技术、新兴概念等内容处添加了中文评注，特别是对一些容易引起读者误解的难点进行了评注，以便读者更好地阅读和理解。除此之外，我们结合在教学工作中的经验和体会，对英文原版的章节顺序略作了调整，删减了原著的第11章法律与道德，同时各章习题略作了删减。
　　英文版的第1章概论：介绍信息安全的主要术语和定义，给出一些详细的实例来说明这些术语是如何使用的；第2章工具箱：鉴别、访问控制与加密：围绕身份识别和鉴别、访问控制、加密技术三个基本概念进行展开，深入地分析了安全领域的主要技术；第3章程序与编程：介绍程序相关的内容，详细分析一些个人编写且仅供个人使用的程序，如病毒、蠕虫、特洛伊木马等；第4章操作系统：介绍操作系统的基础特性，使读者了解操作系统的设计特性、对象保护、内存保护机制，并深入分析作为用户和攻击者之间的一条强大防御线的安全性；第5章数据库：介绍数据库管理系统和大数据应用；第6章网络：从用户的个人电脑过渡到网络，阐述了网络中的各种脆弱点和保护机制；第7章安全管理和事件：分析计算机安全管理部分，探讨管理是如何计划和解决计算机的安全问题的；第8章密码学精讲：介绍密码学，对密码学、密码分析的概念、对称加密和非对称加密、消息摘要、数字签名以及量子密码学等进行概述；第9章计算机中的隐私：对计算机中的隐私进行探讨，讨论信息隐私的意义，研究识别和鉴别与信息隐私的密切关系，以及隐私与因特网的关系；第10章Web和用户：进一步介绍用户所熟悉的应用程序——浏览器，通过丰富的案列分析各种针对浏览器、网站、敏感数据和电子邮件的攻击技术；第11章云计算：探索云计算，对云服务的概念、风险和安全工具进行介绍；第12章新兴问题：提出在计算机安全领域出现的一些新兴话题，如物联网、网络安全经济学、电子投票和网络战争，引发读者思考未来计算机安全领域的研究和发展主题。
　　本书英文版的中文评注工作由电子科技大学李毅超教授、西南石油大学梁宗文博士、电子科技大学李晓冬3位该书的译者共同负责完成。
　　序??言
　　来源于作者：我们在第三版和第四版的《信息安全原理与应用》中提供了Willis Ware写的前言。在他写的前言中，囊括了计算机安全早期岁月的一些事情，描述了他们早些年在计算机领域关注的问题，这些问题时至今日仍然有效。
　　Willis不断努力以求使其从事的工作更加完善。事实上，他全面的分析能力和令人信服的领导能力对这些工作的最终成功作出了巨大贡献。现在很少有人知道Willis的名字，但欧盟数据保护指令却被更多的人所熟知（欧盟数据保护指令是Willis提交给美国公共事业部门的报告[WAR73a]所直接产生的一个分支）。Willis这么做只是希望大家看重他的思想，而不是为了个人名声。
　　不幸的是，Willis于2013年11月去世，享年93岁。考虑到他写的前言对我们的读者依然重要，因此出于尊敬和感激，我们在此再次发布他的文字。
　　20世纪50年代到60年代，著名的计算机联合会议（Joint Computer Conferences，JCC），把计算机技术专业人员和用户召集在了一起。JCC一年两届，最初被称为东部和西部JCC，后来改名为春季和秋季JCC，再后来又更名为全国计算机年会AFIPS。在这个背景下，计算机安全（后来命名为信息系统安全，现在也称为“国家信息基础设施安全的保护”）不再是机要部门、防御部门关心的话题，它开始走向公众。
　　其时，RAND（兰德）公司的Robert L. Patrick，John P. Haverty和我本人都在谈论着国家及其公共机构对计算机技术日益增长的依赖性。我们注意到，已安装的系统无法保证自身及其数据不受入侵攻击的破坏。我们认为，此时应该促使技术群体和用户群体去关注计算机安全了。
　　美国国家安全局（National Security Agency，NSA）的远程访问分时系统的开发使这个设想成为现实。该分时系统具有一套完整的安全访问控制机制，它运行在Univac 494机器上，为终端和用户提供服务，不仅是马里兰州Fort George G. Meade总部内的，而是世界范围内的终端和用户。很幸运，我了解该系统的详细情况。
　　我在RAND公司另两位工作人员（Harold Peterson博士和Rein Turn博士）和NSA的Bernard Peters的帮助下，组织了一批论文并将它们提交给了SJCC（春季JCC）大会的管理方，并建议由我来主持该届JCC的论文会议。大会方接受了这个提议［1］，会议于1967年在大西洋城（NJ）会议大厅举行。
　　此后不久，一个国防承包商要求一台运行在远程访问模式下的大型机能同时兼顾机密保护和商业应用。受这一要求的驱使，并通过美国高级研究计划署（Advanced Research Projects Agency，ARPA）和后来的美国国防科学局（Defense Science Board，DSB）的立案，美国国防部组织了一个专门研究计算机系统安全控制问题的委员会，由我担任主席。委员会的目的是制订一个文档，该文档可以作为美国国防部（DoD）在这个问题上的政策立场的基础。
　　委员会的报告最初是作为一个机密文件出版的，并于1970年1月正式提交给发起者（DSB）。此报告后来解密，并于1979年10月由RAND公司再版。这一报告得到了广泛的传播［2］，而且还得到了一个“警示报告”的绰号。如今，在RAND公司的网站上还可以找到这份报告和相关的历史介绍［3］。
　　后来，美国空军（USAF）资助了另一个由James P. Anderson担任主席的委员会。它的报告于1972年出版［4］，推荐了一个6年研发安全计划，总预算大约是800万美元。美国空军根据这个安全计划投资了数个项目［5］，其中3个为特定的计算机设计，并且被用来实现一个带有安全控制的操作系统。
　　最终，这些举措促成了一个由NSA发起的“标准和评估”（Criteria and Evaluation）计划。该计划在1983年出版的“桔皮书”（Orange Book）［6］和随后它所支持的绰号为“彩虹系列”的文件组中达到鼎盛。后来，在20世纪80年代直至20世纪90年代［7］，这个计划成为了一个国际性主题，并且成为ISO标准［8］。
　　了解系统安全研究在近数十年中的发展是很重要的。长期以来，防御部门都是以文档的形式来保护机密信息。而今，它已经演变为一个非常精细的方案，将各种需保护的信息划分成组、子组和超级组，所有组都必须是得到许可的人才能访问，而且有必要访问才能访问。它带给我们的加密技术和在传送过程中保护机密信息的经验，足以影响一个世纪［9］。最后，它认识到安全中的人员问题以及在相关人员间建立可信度的必要性。它当然也认识到了物理安全的重要性。
　　因此，计算机安全问题，正如20世纪60年代及后来人们所理解的，就是：（1）如何在计算机系统中建立一组访问控制，这些访问控制实施或模仿的是以往纸介质环境中的处理流程；（2）一些相关问题，如保护软件免受未授权的修改、破坏或非法使用，以及将系统安置在一个安全的物理环境中，该环境有着适当的管理监控和操作规程。我们对安全方面的认识还不够深入，主要表现在软件及其相关硬件方面，也就是说，还存在着使软件的正常行为出错和被破坏的风险。在通信、人员和物理安全方面，有关规定和经验太多，但效果并不佳。把各个方面结合在一起，产生一个全面的、安全的系统和操作环境是很重要的。
　　如今，世界已经发生了根本性的改变。桌上型计算机和工作站已经出现并日益激增。因特网不断繁荣，万维网（World Wide 信息安全原理与技术（第五版）（英文版. 中文评注） [Security in Computing，Fifth Edition] 下载 mobi epub pdf txt 电子书格式