信息安全原理與技術（第五版） pdf epub mobi txt 電子書 下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

[美] Charles P. Pfleeger（查理·P. 弗萊格） 等 著，李毅超 譯

圖書標籤:

• 信息安全
• 網絡安全
• 密碼學
• 操作係統安全
• 數據安全
• 應用安全
• 安全模型
• 安全技術
• 風險評估
• 安全標準

齣版社： 電子工業齣版社

ISBN：9787121296635

版次：5

商品編碼：11972015

包裝：平裝

叢書名： 經典譯叢·網絡空間安全

開本：16開

齣版時間：2016-08-01

用紙：膠版紙

頁數：628

字數：1161000

正文語種：中文

內容簡介

本書是信息安全經典著作，共13章，係統描述瞭信息安全的各個方麵，實現瞭計算機安全領域的完整、實時、全麵的覆蓋，內容包括用戶、軟件、設備、操作係統、網絡、法律與道德等，反映瞭迅速變化的攻擊、防範和計算環境，介紹瞭*新的*佳實踐，用戶認證，防止惡意代碼的執行，加密技術的使用，隱私的保護，防火牆的實現和入侵檢測技術的實施等。第五版對當前信息安全領域的新課題都有涉及，加入瞭Web交互、雲計算、大數據、物聯網和網絡戰等方麵的安全技術，以及前沿課題的研究。

作者簡介

李毅超 電子科技大學數學科學學院教授，IEEE會士，四川省信息係統安全等級保護評審特聘專傢，電子科技大學信息安全領域組專傢。主要從事計算機網絡及應用技術、網絡與信息係統安全技術、網絡與嵌入式電子信息化技術等方麵研究工作。目前逐步將研究領域拓展到航空航天電子信息技術。作為課題負責人或骨乾研究人員已完成國傢自然科學基金、國傢863計劃等項目大小30餘項。 Charles P. Pfleeger 計算機和通信安全領域國際著名專傢。他曾任美國田納西大學的教授，之後加入瞭計算機安全研究和谘詢公司Trusted Information Systems，任歐洲運營主管和高級顧問，後來在Cable and Wireless任研究主管和首席安全官成員。他還是IEEE計算機協會安全和隱私技術委員會的主席。 Shari Lawrence Pfleeger 知名軟件工程師和計算機安全研究員，蘭德公司（RAND）高級計算機科學傢和信息基礎設施保護研究院的研究主管。她還是IEEE Security & Privacy雜誌的總編輯。 Jonathan Margulies Qmulos首席技術官，網絡安全谘詢專傢。獲得美國康奈爾大學計算機科學碩士學位後，Margulies在桑迪亞國傢實驗室(Sandia National Lab)工作瞭9年，研究和開發針對國傢安全和關鍵基礎設施係統中高級持續性威脅的保護方案。後來他加入NIST國傢網絡安全卓越中心，在那裏，他與各種關鍵基礎設施公司一起搭建瞭工業標準安全架構。業餘時間，他在IEEE Security & Privacy雜誌負責“Building Security In”版塊的編輯工作。

目錄

第1章 介紹
1．1 什麼是計算機安全
1．1．1 資源的價值
1．1．2 脆弱點―威脅―控製的範式
1．2 威脅
1．2．1 機密性
1．2．2 完整性
1．2．3 可用性
1．2．4 威脅的類型
1．2．5 攻擊者類型
1．3 危害
1．3．1 風險及常識
1．3．2 方法―時機―動機
1．4 脆弱點
1．5 控製
1．6 總結
1．7 下一步是什麼
1．8 習題
第2章 工具箱： 鑒彆、 訪問控製與加密
2．1 身份鑒彆
2．1．1 識彆與身份鑒彆
2．1．2 基於短語和事實的鑒彆： 用戶已知的事情
2．1．3 基於生物特徵鑒彆技術的鑒彆： 用戶的一些特徵
2．1．4 基於令牌的身份鑒彆： 你擁有的東西
2．1．5 聯閤身份管理機製
2．1．6 多因素鑒彆
2．1．7 安全鑒彆
2．2 訪問控製
2．2．1 訪問策略
2．2．2 實施訪問控製
2．2．3 麵嚮程序的訪問控製
2．2．4 基於角色的訪問控製
2．3 密碼編碼學
2．3．1 加密技術解決的問題
2．3．2 術語
2．3．3 DES： 數據加密標準
2．3．4 高級加密標準
2．3．5 公開密鑰密碼體製
2．3．6 從公鑰加密到密鑰分配
2．3．7 檢錯碼（error detecting codes）
2．3．8 信任度
2．3．9 證書： 可信的身份信息與公鑰
2．3．10 數字簽名： 整閤
2．4 習題
第3章 程序和編程
3．1 無意的（非惡意的）程序漏洞
3．1．1 緩衝區溢齣
3．1．2 不完全驗證
3．1．3 檢查時刻到使用時刻的錯誤
3．1．4 未公開的訪問點
3．1．5 大小差一錯誤
3．1．6 整型溢齣
3．1．7 未以空終止符結尾的字符串
3．1．8 參數長度、 類型和數值
3．1．9 不安全的通用程序
3．1．10 競態條件
3．2 惡意的代碼： 惡意軟件
3．2．1 惡意軟件： 病毒、 木馬和蠕蟲
3．2．2 技術細節： 惡意代碼
3．3 對策
3．3．1 用戶的對策
3．3．2 開發者的對策
3．3．3 專門的安全對策
3．3．4 無效的對策
3．4 小結
3．5 習題
第4章 Web和用戶
4．1 針對瀏覽器的攻擊
4．1．1 針對瀏覽器的攻擊類型
4．1．2 瀏覽器攻擊如何成功： 識彆失敗與鑒彆失敗
4．2 針對用戶的Web攻擊
4．2．1 虛假或誤導的內容
4．2．2 惡意的網頁內容
4．2．3 防止惡意網頁
4．3 獲取用戶或網站的數據
4．3．1 有數據的代碼
4．3．2 網站數據： 用戶的問題
4．3．3 挫敗數據攻擊
4．4 電子郵件攻擊
4．4．1 虛假電子郵件
4．4．2 作為垃圾郵件的虛假電子郵件
4．4．3 假(錯誤的)電子郵件頭數據
4．4．4 網絡釣魚
4．4．5 防止電子郵件攻擊
4．5 小結
4．6 習題
第5章 操作係統
5．1 操作係統的安全性
5．1．1 背景： 操作係統結構
5．1．2 普通操作係統的安全特性
5．1．3 曆史迴顧
5．1．4 受保護對象
5．1．5 實現安全功能的操作係統工具
5．2 安全操作係統的設計
5．2．1 簡約設計
5．2．2 分層設計
5．2．3 內核化設計
5．2．4 引用監視器
5．2．5 正確性和完整性
5．2．6 安全設計原則
5．2．7 可信係統
5．2．8 可信係統的功能
5．2．9 可信係統的研究成果
5．3 rootkit
5．3．1 手機rootkit
5．3．2 rootkit躲避檢測
5．3．3 rootkit未經檢查的操作
5．3．4 索尼公司的XCP rootrootkit
5．3．5 TDSS rootkits
5．3．6 其他rootkits
5．4 小結
5．5 習題
第6章 網絡
6．1 網絡的概念
6．1．1 背景： 網絡傳輸介質
6．1．2 背景： 協議層
6．1．3 背景： 尋址和路由選擇
6．2 網絡通信的威脅
6．2．1 截取： 偷聽與竊聽
6．2．2 篡改、 僞造： 數據損壞
6．2．3 中斷： 服務失效
6．2．4 端口掃描
6．2．5 脆弱點總結
6．3 無綫網絡安全
6．3．1 WiFi場景
6．3．2 無綫網絡中的脆弱點
6．3．3 故障的對策： WEP（等效於有綫加密）
6．3．4 更強的協議族： WPA（WiFi保護訪問）
6．4 拒絕服務
6．4．1 例子： 愛沙尼亞海量網絡故障
6．4．2 服務是怎麼被拒絕訪問的
6．4．3 洪泛（flooding）攻擊的細節
6．4．4 惡意代碼導緻的網絡洪泛
6．4．5 資源消耗的網絡洪泛
6．4．6 地址錯誤造成的拒絕服務
6．4．7 流量重定嚮
6．4．8 DNS攻擊
6．4．9 利用已知的脆弱點
6．4．10 物理隔離
6．5 分布式拒絕服務
6．5．1 腳本拒絕服務攻擊
6．5．2 Bots
6．5．3 僵屍網絡
6．5．4 惡意自主的移動代理
6．5．5 自主移動防護代理
6．6 網絡安全中的密碼學
6．6．1 網絡加密
6．6．2 瀏覽器加密
6．6．3 洋蔥路由
6．6．4 IP安全協議套件（IPsec）
6．6．5 虛擬專用網絡
6．6．6 係統架構
6．7 防火牆
6．7．1 什麼是防火牆
6．7．2 防火牆設計
6．7．3 防火牆的類型
6．7．4 個人防火牆
6．7．5 幾種類型防火牆的比較
6．7．6 防火牆配置舉例
6．7．7 網絡地址轉換（NAT）
6．7．8 數據丟失防護（Date Loss Prevention）
6．8 入侵檢測和防禦係統
6．8．1 IDS的種類
6．8．2 其他入侵檢測技術
6．8．3 入侵防禦係統
6．8．4 入侵響應
6．6．5 入侵檢測係統的目標
6．8．6 IDS的能力和局限
6．9 網絡管理
6．9．1 服務保障管理
6．9．2 安全信息和事件管理（SIEM）
6．10 小結
6．11 習題
第7章 數據庫
7．1 數據庫簡介
7．1．1 數據庫的概念
7．1．2 數據庫的組成
7．1．3 數據庫的優點
7．2 數據庫的安全需求
7．2．1 數據庫的完整性
7．2．2 元素的完整性
7．2．3 可審計性
7．2．4 訪問控製
7．2．5 用戶鑒彆
7．2．6 可用性
7．2．7 完整性、 機密性和可用性
7．3 可靠性和完整性
7．3．1 操作係統提供的保護特性
7．3．2 兩階段更新
7．3．3 冗餘/內在一緻性
7．3．4 恢復
7．3．5 並發性/一緻性
7．4 數據庫泄露
7．4．1 敏感數據
7．4．2 泄露類型
7．4．3 防止泄露： 數據禁止和修改
7．4．4 安全性與精確度
7．5 數據挖掘和大數據
7．5．1 數據挖掘
7．5．2 大數據
7．6 小結
7．7 習題
第8章 雲計算
8．1 雲計算概念
8．1．1 服務模式
8．1．2 部署模式
8．2 遷移到雲端
8．2．1 風險分析
8．2．2 評估雲服務提供商
8．2．3 更換雲服務提供商
8．2．4 作為安全控製的雲
8．3 雲安全工具與技術
8．3．1 雲環境下的數據保護
8．3．2 雲應用安全
8．3．3 日誌與事件響應
8．4 雲認證管理
8．4．1 安全斷言標記語言
8．4．2 OAuth協議
8．4．3 OAuth用於認證
8．5 加固IaaS
8．5．1 公有IaaS與私有網絡的安全性對比
8．6 小結
8．6．1 本領域的發展方嚮
8．6．2 更多參考
8．7 習題
第9章 計算機中的隱私
9．1 隱私的概念
9．1．1 信息隱私的各方麵
9．1．2 與計算機相關的隱私問題
9．2 隱私的原理和政策
9．2．1 公平信息策略
9．2．2 美國的隱私法律
9．2．3 美國政府網站的控製
9．2．4 商業網站的控製
9．2．5 非美國的隱私原則
9．2．6 保護隱私的個人行為
9．2．7 政府和隱私
9．2．8 身份竊取
9．3 鑒彆和隱私
9．3．1 鑒彆意味著什麼
9．3．2 結論
9．4 數據挖掘
9．4．1 政府數據挖掘
9．4．2 隱私保持的數據挖掘
9．5 網站上的隱私
9．5．1 瞭解在綫環境
9．5．2 網上付款
9．5．3 門戶網站注冊
9．5．4 這是誰的網頁
9．5．5 衝浪要留心
9．5．6 間諜軟件
9．5．7 網上購物
9．6 電子郵件安全性
9．6．1 電子郵件將發往何處， 誰能夠訪問它
9．6．2 電子郵件的攔截
9．6．3 監控電子郵件
9．6．4 匿名、 假名、 消失的電子郵件
9．6．5 欺騙和垃圾郵件
9．6．6 小結
9．7 對新技術的影響
9．7．1 RFID
9．7．2 電子投票選舉
9．7．3 VoIP與Skype
9．7．4 雲端的隱私
9．7．5 有關新技術的結論
9．8 領域前沿
9．9 小結
9．10 習題
第10章 安全管理和事件
10．1 安全計劃
10．1．1 組織和安全計劃
10．1．2 安全計劃的內容
10．1．3 安全計劃編製組成員
10．1．4 安全計劃的承諾
10．2 業務持續計劃
10．2．1 評估業務影響
10．2．2 發展戰略
10．2．3 開發計劃
10．3 事件處理
10．3．1 事故響應計劃
10．3．2 應急小組
10．4 風險分析
10．4．1 風險的性質
10．4．2 風險分析的步驟
10．4．3 贊成和反對風險分析的理由
10．5 處理災難
10．5．1 自然災難
10．5．2 停電
10．5．3 人為破壞
10．5．4 敏感信息截取
10．5．5 意外事故處理計劃
10．5．6 物理安全的迴顧
10．6 小結
10．7 習題
第11章 法律和道德問題
11．1 程序和數據的保護
11．1．1 版權
11．1．2 專利
11．1．3 商業秘密
11．1．4 特殊情況
11．2 信息和法律
11．2．1 作為對象的信息
11．2．2 與信息相關的法律問題
11．2．3 法律製度
11．2．4 計算機産品保護的小結
11．3 雇員和雇主權利
11．3．1 産品所有權
11．3．2 雇傭閤同
11．4 軟件故障的補救
11．4．1 銷售正確的軟件
11．4．2 報告軟件錯誤
11．5 計算機犯罪
11．5．1 為什麼要有計算機犯罪的單獨類型
11．5．2 為什麼計算機犯罪很難定義
11．5．3 為什麼對計算機犯罪難以起訴
11．5．4 法令實例
11．5．5 國際範圍
11．5．6 為什麼破獲計算機犯罪睏難重重
11．5．7 什麼樣的計算機犯罪沒有討論
11．5．8 計算機安全法律問題的小結
11．6 計算機安全中的道德問題
11．6．1 法律與道德之間的區彆
11．6．2 對道德的研究
11．6．3 道德推理法
11．7 道德的案例分析
11．7．1 案例1： 計算機服務的使用
11．7．2 案例2： 隱私權
11．7．3 案例3： 拒絕服務
11．7．4 案例4： 程序的所有權
11．7．5 案例5： 專有資源
11．7．6 案例6： 欺詐
11．7．7 案例7： 信息的準確性
11．7．8 案例8： 黑客和快客的道德
11．7．9 案例9： 真實再現
11．7．10 對計算機道德的小結
11．8 小結
11．9 習題
第12章 密碼學精講
12．1 密碼學
12．1．1 密碼分析
12．1．2 密碼學基礎
12．1．3 一次一密密碼本（One?Time Pads）
12．1．4 統計分析
12．1．5 “安全的”加密算法由什麼構成
12．2 對稱加密算法
12．2．1 DES
12．2．2 AES
12．2．3 RC2、 RC4、 RC5和RC6
12．3 RSA非對稱加密
12．3．1 RSA算法
12．3．2 RSA算法的健壯性
12．4 消息摘要
12．4．1 哈希函數
12．4．2 單嚮哈希函數
12．4．3 消息摘要算法
12．5 數字簽名
12．5．1 橢圓麯綫加密體製
12．5．2 El Gamal與數字簽名算法
12．5．3 2012年國傢安全局(NSA)密碼學爭論
12．6 量子密碼學
12．6．1 量子物理學
12．6．2 光子接收
12．6．3 光子密碼學
12．6．4 實現
12．7 小結
第13章 新興問題
13．1 物聯網
13．1．1 醫療設備
13．1．2 移動電話
13．1．3 物聯網安全
13．2 網絡安全經濟學
13．2．1 製定一個商業方案
13．2．2 定量的安全性
13．2．3 近期的研究和未來的趨勢
13．3 電子投票
13．3．1 什麼是電子投票
13．3．2 什麼纔是公平公正的選舉
13．3．3 有哪些關鍵因素
13．4 網絡戰爭
13．4．1 什麼是網絡戰爭
13．4．2 可能齣現的網絡戰爭案例
13．4．3 緻命的問題
13．5 小結
參考文獻

前言/序言

譯 者 序

繼2004年、 2007年先後齣版瞭原書的第三版、 第四版翻譯版之後， 我們再次翻譯瞭第五版。原書得到美國著名信息安全專傢Willis H.Ware教授（蘭德公司）的熱情推薦， 暢銷美國， 並成為美國各大學院校廣為使用的經典教材， 更被業界視為計算機安全攻擊和對策的權威指南。本書經過十幾年的改編再版， 內容始終保持經典、 豐富和新穎， 循序漸進， 並且案例翔實生動， 深入淺齣， 有較大的深度和廣度。第五版緊跟技術潮流， 隨著第三個閤著人Jonathan Margulies的加入， 新增瞭3章新內容（第4章Web和用戶、 第8章雲計算、 第13章新興問題）， 並對每個章節進行瞭細微調整。第五版不僅在內容上得到瞭豐富， 而且理論體係結構更趨閤理， 體現瞭本書作者深厚的技術沉澱。特彆值得一提的是， 本書花瞭大量篇幅側重討論和分析代碼， 因為有相當多的危險或多或少都是由計算機上執行的程序代碼引起的。讀者可以隨意選取自己感興趣的主題閱讀， 閱讀本書唯一需要的背景知識就是瞭解編程和計算機係統。本書適閤於信息安全或計算機專業本科生、 研究生、 廣大相關領域的研究人員和專業技術人員閱讀和參考。

本書由電子科技大學李毅超教授、 西南石油大學梁宗文博士、 電子科技大學李曉鼕共同負責翻譯。

在此還要感謝楊華聰、 劉治宇、 邱捷、 雷鑫、 鬍小勇、 蔔義雲、 李軍輝、 餘倩等研究生， 他們也為本書做齣瞭貢獻。

由於譯者水平有限， 翻譯不妥或錯誤之處在所難免， 敬請廣大讀者批評指正。

譯 者

序 言

來源於作者： 我們在第三版和第四版的《信息安全原理與應用》中提供瞭Willis H.Ware寫的前言。在他寫的前言中， 囊括瞭計算機安全早期歲月的一些事情， 描述瞭他們早些年在計算機領域關注的問題， 這些問題時至今日仍然有效。

Willis不斷努力以求使其從事的工作更加完善。事實上， 他全麵的分析能力和令人信服的領導能力對這些工作的最終成功做齣瞭巨大貢獻。現在很少有人知道Willis的名字， 但歐盟數據保護指令卻被更多的人所熟知（歐盟數據保護指令是Willis提交給美國公共事業部門的報告[WAR73a]所直接産生的一個分支）。Willis這麼做隻是希望大傢看重他的思想， 而不是為瞭個人名聲。

不幸的是， Willis於2013年11月去世， 享年93歲。考慮到他寫的前言對我們的讀者依然重要， 因此齣於尊敬和感激， 我們在此再次發布他的文字。

在20世紀50年代到60年代， 著名的計算機聯閤會議JCC（Joint Computer Conferences）把計算機技術專業人員和用戶召集在瞭一起。JCC一年兩屆， 最初被稱為東部和西部JCC， 後來改名為春季和鞦季JCC， 再後來又更名為全國計算機年會AFIPS。在這個背景下， 計算機安全（後來命名為信息係統安全， 現在也稱為“國傢信息基礎設施安全的保護”）不再是機要部門、 防禦部門關心的話題， 它開始走嚮公眾。

其時， RAND(蘭德)公司（正如它的名字一樣那麼有名）的Robert L.Patrick， John P.Haverty和我本人都在談論著國傢及其公共機構對計算機技術日益增長的依賴性。我們注意到， 已安裝的係統無法保證自身及其數據不受入侵攻擊的破壞。我們認為， 此時應該促使技術群體和用戶群體去關注計算機安全瞭。

(美國)國傢安全局NSA（National Security Agency）的遠程訪問分時係統的開發使這個設想成為現實。該分時係統具有一套完整的安全訪問控製機製， 它運行在Univac 494機器上， 為終端和用戶提供服務——不僅是馬裏蘭州Fort George G.Meade總部內的終端和用戶， 而且是世界範圍內的。很幸運， 我瞭解該係統的詳細情況。

我在RAND公司另兩位工作人員（Harold Peterson博士和Rein Turn博士）和NSA的Bernard Peters的幫助下， 組織瞭一批論文並將它們提交給瞭SJCC（春季JCC）大會的管理方， 建議由我來主持該屆JCC的論文會議。大會方接受瞭這個提議［1］， 會議於1967年在大西洋城（NJ）會議大廳舉行。

此後不久， 一個國防承包商要求一颱運行在遠程訪問模式下的大型機能同時兼顧機密保護和商業應用。受這一要求的驅使， 並通過(美國)高級研究計劃署ARPA（Advanced Research Projects Agency）和後來的(美國)國防科學局DSB（Defense Science Board）的立案， (美國)國防部組織瞭一個專門研究計算機係統安全控製問題的委員會， 由我擔任主席。委員會的目的是製訂一個文檔， 該文檔可以作為(美國)國防部（DoD）在這個問題上的政策立場的基礎。

委員會的報告最初是作為一個機密文件齣版的， 並於1970年1月正式提交給發起者（DSB）。此報告後來解密， 並於1979年10月由RAND公司再版。這一報告得到瞭廣泛的傳播［2］， 而且還得到瞭一個“警示報告”的綽號。如今， 在RAND公司的網站上還可以找到這份報告和相關的曆史介紹［3］。

後來， 美國空軍(USAF)資助瞭另一個由James P.Anderson擔任主席的委員會。它的報告於1972年齣版［4］， 推薦瞭一個6年研發安全計劃， 總預算大約是800萬美元。美國空軍根據這個安全計劃投資瞭數個項目［5］， 其中的3個為特定的計算機設計， 並且被用來實現一個帶有安全控製的操作係統。

最終， 這些舉措促成瞭一個由NSA發起的“標準和評估”（Criteria and Evaluation）計劃。該計劃在1983年齣版的“桔皮書”（Orange Book）［6］和隨後它所支持的綽號為“彩虹係列”的文件組中達到鼎盛。後來， 在20世紀80年代直至20世紀90年代期間［7］， 這個計劃成為一個國際性主題， 並且成為ISO標準［8］。

瞭解係統安全研究在近數十年中的發展是很重要的。長期以來， 防禦部門都是以文檔的形式來保護機密信息的。而今， 它已經演變為一個非常精細的方案， 將各種需保護的信息劃分成組、 子組和超級組， 所有組都必須是得到許可的人纔能訪問， 而且有必要訪問纔能訪問。它帶給我們的加密技術和在傳送過程中保護機密信息的經驗， 足以影響一個世紀［9］。最後， 它認識到安全中的人員問題及在相關人員間建立可信度的必要性。它當然也認識到瞭物理安全的重要性。

因此， “這個”計算機安全問題， 正如20世紀60年代及後來人們所理解的， 就是： (1）如何在計算機係統中建立一組訪問控製， 這些訪問控製實施或模仿的是以往紙介質環境中的處理流程； (2）一些相關問題， 如保護軟件免受未授權的修改、 破壞或非法使用， 以及將係統安置在一個安全的物理環境中， 該環境有著適當的管理監控和操作規程。我們對安全方麵的認識還不夠深入， 主要錶現在軟件及其相關硬件方麵， 也就是說， 還存在使軟件的正常行為齣錯和被破壞的風險。在通信、 人員和物理安全方麵， 有關規定和經驗太多， 但效果並不佳。把各個方麵結閤在一起， 産生一個全麵的、 安全的係統和操作環境是很重要的。

如今， 世界已經發生瞭根本性的改變。桌上型計算機和工作站已經齣現並日益激增。因特網不斷繁榮， 萬維網(World Wide Web)日益昌盛。網絡在“爆炸”， 計算機係統之間進行通信已成為必然。很多商業交易都基於網絡； 很多商業團體(特彆是金融機構)都進入瞭網絡。確切地說， 世界上的任何一個人都可能是計算機“用戶”。計算機聯網是普遍現象， 目標就是要使信息係統不斷擴展和延伸。

隨著網絡的發展， 基於計算機的信息係統(其硬件、 軟件、 數據庫和通信)都暴露在一個無法控製的環境中——終端用戶、 網絡管理員、 係統所有者甚至政府都無法控製。我們必須做的是， 在社會可接受的法律框架下， 提供適當的技術、 規程、 操作及環境， 來抵禦各種可能齣現的或潛在的威脅。

威脅來自個人和團體、 國內和國外。惡意滲透係統或編製惡意軟件的動機(通常伴有攻擊性或破壞性的結果)可能是滿足個人智力需求、 間諜活動、 經濟迴報、 報復、 非暴力反抗(civil disobedience)或其他原因。信息係統的安全環境已發生瞭很大的變化： 從在有限範圍內隻與彼此瞭解且遵紀守法的用戶群體交互， 到在全球範圍內與不瞭解且不可信的用戶進行交互。重要的是， 現在的安全控製必須能夠處理沒有控製的情形及如何避免控製帶來的負麵影響。計算機安全和責任保險有許多相似之處： 它們可能都會處於一個易被瞭解、 易被攻擊的受威脅的環境； 當然， 攻擊的細節、 時間或其必然性是不同的， 隻有當事件發生時纔清楚。

另一方麵， 信息及其交流不斷繁榮； 如今的世界、 社會和機構， 離開基於計算機通信的信息係統， 就無法正常工作。因此， 係統應得到全方位的保護——技術的、 規程的、 操作的及環境的。不管是所有者還是職員， 都有責任對係統信息資産進行保護。

但是， 計算機安全的發展很緩慢， 主要原因是威脅的真實性和破壞性還沒有得到充分認識； 另外， 全麵實現信息係統安全的成本太高， 超過瞭不采取措施可能麵臨的損失。增強資金決策層對安全控製的信心是一個長期的過程。

本書緻力於以下問題： 威脅和係統漏洞的本質（第1章）； 密碼學（第2章和第12章）； 軟件漏洞（第3章）； 通用標準（第5章）； 萬維網和因特網（第4章和第6章）； 風險管理（第10章）； 法律、 道德和隱私問題（第11章）。本書也描述瞭目前可用的安全控製， 如加密協議、 軟件開發實踐、 防火牆及入侵檢測係統。從總體上說， 本書將為那些負責籌劃和/或組織和/或管理和/或實現一個全麵的信息係統安全計劃的專傢， 提供一個廣泛而正確的基礎。

信息安全還有很多技術方麵的問題亟待解決， 如硬件、 軟件、 係統

評分☆☆☆☆☆

評分☆☆☆☆☆

評分☆☆☆☆☆

評分☆☆☆☆☆

評分☆☆☆☆☆

評分☆☆☆☆☆

評分☆☆☆☆☆

評分☆☆☆☆☆

評分☆☆☆☆☆