《计算机信息安全管理》一书立足于“技术与管理并重”的信息安全理念,从技术基础和综合管理两个方面对信息系统整体安全体系和综合管理方法进行分析和介绍,强调了信息安全的全局观。全书共分十三章,分别介绍了信息安全概论、安全立法、安全标准、软硬件信息安全、密码学、网络安全、安全审计和应急响应等内容,每章均配有引入案例、课后练习和扩展资料。
本书可作为信息管理、电子商务及计算机等专业本科生教材,也可供企业信息系统安全管理人员学习或培训使用。
前 言
计算机安全问题是伴随着计算机信息技术的发展而产生的,随着互联网的日益普及和各种信息技术在各行业得到越来越广泛的应用,整个社会对信息系统的依赖程度日益提高,安全问题也变得越来越复杂和重要。面对各种严重的计算机信息系统安全威胁,关于信息安全的研究日益得到人们的重视。目前,信息安全已经成为信息科学领域重要的研究课题,众多高等院校也相应开设了信息安全专业和系列课程。
本书主要面向信息管理与信息系统专业的学生。信管专业的主要培养目标之一就是为各类企业输送具有全面和系统的信息管理知识、兼顾技术与管理的综合性CIO型人才。而计算机及网络技术逐渐在安全管理方面暴露出的许多不足和缺陷,对信息技术的推广应用形成了严重的阻碍。各企事业和政府机关日渐关注信息安全问题,国家也成立了中央信息化和网络安全小组。这些都使得信息安全成为信管专业学生不可缺少的一个知识模块,国内外的很多高校都在该专业的教学计划中设置了信息安全相关课程。
现有的信息安全相关的教材普遍存在将管理和技术分隔开来的情况,有的侧重于介绍各种底层技术,有的侧重于介绍安全管理标准及制度等,其中技术类书籍种类要远多于安全管理类书籍。在相关专业的教学活动中也普遍存在“重技术轻管理”的现象。对于信息管理学生或在企业安全管理岗位工作的技术人员来说,管理的重要性应该不低于技术因素,甚至会更加重要。因此学生需要了解基本的技术,但也需要掌握基本的管理思想和方法,拥有“技术管理”的基本理念和能力。本书的主要目的是希望能相对全面地对信息安全的相关技术和管理方法进行介绍,使学生能够对信息安全的整体框架体系进行比较准确的把握。
基于以上考虑,本书共组织了十三章内容。第一章为计算机信息安全概论,介绍信息安全问题的起源、特点、发展历史和解决的基本思路,并构建了信息安全的技术框架;第二章从管理角度介绍安全立法和安全标准的基本情况;第三章和第四章分别介绍了软件和硬件安全的通用性问题;第五、六、七章则从三种特殊的软件——操作系统平台、数据库、病毒出发,分别介绍了相应的安全问题和技术;第八章专门介绍了网络安全中面临的主要威胁和应对策略;第九章从古典密码学和现代密码学两个方面介绍了加密体系的结构和应用情况;第十章立足电子商务这个特殊的应用领域,介绍实际面临的安全问题和常用的安全协议;第十一章和第十二章分别介绍了安全审计和应急响应体系的内容;最后,第十三章分别给出了电子政务网站、电子商务网站和企业信息系统三种应用背景下的安全解决方案的设计方法和案例。其中,第三章到第十章侧重安全技术问题,第一、二、十一、十二和十三章侧重于安全管理。同时,为了便于学生拓展阅读,在附录中给出了国内外信息安全相关结构的信息和部分信息安全相关法律法规。
本书每章开始部分均有引入案例,教师可以借助这些案例使学生更好地理解该章内容的应用背景,也可以通过案例的讨论提高学生的学习兴趣。另外,学生可以借鉴章节关键知识点总结以及课后习题展开重点知识的学习和复习。另外,书中在每章最后还提供了一些拓展课外阅读的链接,主要是一些信息安全相关的网站。
本书中内容已被多次应用在东华大学管理学院信息系统和信息管理专业的《计算机信息安全》课程教学中,并且取得了较好的效果。本书在编写过程中得到了东华大学管理学院张科静等老师的热情支持,也得到了东华大学管理学院信息管理系其他各位老师的大力帮助,在此表示衷心的感谢。
计算机信息安全课程在各大高校的开设时间相对较短,对于课程的教学方法和教学内容,特别是针对信管专业的教学内容还在不断地探索之中。由于本人能力和水平所限,并且时间仓促,书中难免有错误和疏漏的地方,敬请读者批评指正。
魏红芹,硕士生导师,研究领域包括:智能决策支持系统、知识管理。参与及主持科研项目8项,其中包括国家自然科学基金项目、上海市科委项目、上海市教委项目及横向课题。
第1章 计算机信息安全概论 1
1.1 计算机应用模式发展 2
1.2 计算机安全问题的产生 6
1.3 计算机系统的脆弱性 7
1.4 计算机安全的重要性 9
1.5 计算机信息安全的定义与特性 10
1.6 计算机系统安全需求与对策 11
1.7 计算机信息安全技术 15
第2章 计算机安全法律法规与标准 20
2.1 计算机犯罪与安全立法 21
2.2 计算机安全行政管理 26
2.3 信息安全评估标准 28
第3章 计算机实体安全 39
3.1 计算机可靠性与故障分析 40
3.2 场地和机房安全 47
3.3 计算机硬件安全 48
第4章 软件安全 63
4.1 软件安全的基本要求 65
4.2 软件安全技术 67
第5章 操作系统安全 72
5.1 操作系统安全基础 74
5.2 操作系统的访问控制机制 75
5.3 Windows OS安全技术 76
第6章 数据库安全 81
6.1 数据库安全概述 82
6.2 数据库存取控制 88
6.3 数据库并发控制 90
6.4 数据库的备份与恢复 95
6.5 数据库加密 98
第7章 计算机病毒防治 101
7.1 计算机病毒概述 103
7.2 现代计算机病毒的特征 110
7.3 典型计算机病毒分析 112
7.4 计算机病毒防治 119
第8章 网络通信安全 126
8.1 网络通信安全基础 127
8.2 常见的网络攻击与防范技术 139
8.3 防火墙 152
第9章 密码学 166
9.1 密码学历史 167
9.2 密码学定义 168
9.3 古典密码学 169
9.4 现代密码学 176
9.5 密码分析 188
9.6 密钥的管理 191
第10章 电子商务交易安全 196
10.1 电子商务安全性概述 197
10.2 鉴别与认证 199
10.3 公钥基础设施PKI 209
10.4 常用交易安全协议 214
第11章 信息安全审计 224
11.1 信息安全审计概述 225
11.2 信息安全审计方法 228
第12章 计算机安全应急响应 240
12.1 计算机安全应急响应概述 241
12.2 计算机应急响应组织 243
12.3 计算机安全应急响应体系建立 248
第13章 信息系统综合安全解决方案设计 256
13.1 电子政务网站整体信息安全体系构建 257
13.2 电子商务网站整体信息安全体系构建 262
13.3 某教育培训集团信息系统整体安全解决方案设计案例 267
参考文献 274
附录A 国家信息安全相关机构 276
政府信息安全管理机构 276
信息安全产品测评认证机构 279
国家信息安全应急处理机构 281
附录B 信息安全相关法律法规 283
国家法律 283
行政法规 283