新書推薦:
《
乐道文库·什么是秦汉史
》
售價:NT$
367.0
《
汉娜·阿伦特与以赛亚·伯林 : 自由、政治与人性
》
售價:NT$
500.0
《
女性与疯狂(女性主义里程碑式著作,全球售出300万册)
》
售價:NT$
500.0
《
药食同源中药鉴别图典
》
售價:NT$
305.0
《
设计中的比例密码:建筑与室内设计
》
售價:NT$
398.0
《
冯友兰和青年谈心系列:看似平淡的坚持
》
售價:NT$
254.0
《
汉字理论与汉字阐释概要 《说解汉字一百五十讲》作者李守奎新作
》
售價:NT$
347.0
《
汗青堂丛书144·决战地中海
》
售價:NT$
765.0
|
編輯推薦: |
全国计算机专业技术资格考试办公室组织编写的考试指定用书。本书依据信息安全工程师考试大纲编写,是计算机软件考试中信息安全工程师岗位的考试用书。本书注重理论联系实际,突出实用技术。书中内容包括:信息安全基础、密码学、网络安全、信息系统安全基础、应用系统安全基础、网络安全工程、息系统安全工程、应用安全工程。
|
內容簡介: |
全国计算机技术与软件专业技术资格(水平)考试(以下简称计算机软件考试)是由人力资源和社会保障部、工业与信息化部领导下的专业技术资格考试,纳入全国专业技术人员职业资格证书制度统一规划。为适应十三五期间计算机软件行业发展需要,满足社会多方对信息安全技术人员的迫切需求,根据人力资源和社会保障部办公厅《关于2016年度专业技术人员资格考试计划及有关问题的通知》(人社厅发[2015]182号),在2016年下半年计算机技术与软件专业技术资格(水平)考试中将开考信息安全工程师(中级)。信息安全工程师(中级)岗位的人才评价工作的实施,将成为科学评价我国信息安全专业技术人员的重要手段,也将为我国培养和选拔信息安全专业技术人才,发挥重要作用。
本书根据信息安全工程师考试大纲的要求进行编写,内容主要包括信息安全基本概念、基本技术和基本应用等方面,讲授方法注重理论联系实际,突出实用技术。全书共分8章,具体内容包括:信息安全基础、密码学基础与应用、网络安全基础、信息系统安全基础、应用系统安全基础、网络安全技术与产品、信息系统安全工程、应用安全工程。
本书是计算机软件考试中信息安全工程师岗位的考试用书,也可作为信息安全相关专业学生和从业人员学习信息安全技术的教材,还可用做相关信息技术领域从业人员的技术参考书。
|
目錄:
|
第1章 信息安全基础 1
1.1 信息安全概念 1
1.1.1 信息安全是信息时代永恒的需求 1
1.1.2 网络空间安全学科的内涵 6
1.1.3 网络空间安全学科的主要研究方向和研究内容 9
1.1.4 网络空间安全学科的理论基础 10
1.1.5 网络空间安全学科的方法论基础 14
1.2 信息安全法律法规 15
1.2.1 我国立法现状 15
1.2.2 计算机和网络安全的法规规章 19
1.2.3 数字信息与知识产权 24
1.3 信息安全管理基础 25
1.3.1 信息安全管理 25
1.3.2 信息安全政策 33
1.3.3 信息安全风险评估与管理 45
1.4 信息安全标准化知识 50
1.4.1 技术标准的基本知识 50
1.4.2 标准化组织 51
1.4.3 信息安全标准 54
1.5 信息安全专业英语 57
1.5.1
Cryptography 57
1.5.2 Network
Security 67
1.5.3
Application Security 70
第2章 密码学基础与应用 75
2.1 密码学的基本概念 75
2.1.1 密码学的基本安全目标 75
2.1.2 密码体制 76
2.1.3 古典密码 79
2.2 分组密码 85
2.2.1 分组密码的概念 85
2.2.2 DES算法 86
2.2.3 AES算法 95
2.2.4 SM4算法 103
2.2.5 分组密码工作模式 108
2.3 序列密码 112
2.3.1 序列密码的概念 112
2.3.2 线性移位寄存器序列 113
2.3.3 RC4序列密码 115
2.3.4 ZUC算法 117
2.4 Hash函数 119
2.4.1 Hash函数的概念 119
2.4.2 SHA算法 121
2.4.3 SM3算法 126
2.4.4 HMAC 128
2.5 公钥密码体制 130
2.5.1 公钥密码体制的概念 130
2.5.2 RSA密码 134
2.5.3 ElGamal密码 136
2.5.4 椭圆曲线密码 138
2.5.5 SM2椭圆曲线公钥加密算法 143
2.6 数字签名 146
2.6.1 数字签名的概念 146
2.6.2 典型数字签名体制 148
2.6.3 SM2椭圆曲线数字签名算法 150
2.7 认证 153
2.7.1 认证的概念 153
2.7.2 身份认证 154
2.7.3 报文认证 159
2.8 密钥管理 161
2.8.1 密钥管理的概念 161
2.8.2 对称密码的密钥管理 162
2.8.3 非对称密码的密钥管理 164
第3章 网络安全基础 169
3.1 计算机网络基本知识 169
3.1.1 计算机网络的体系结构 169
3.1.2 Internet协议 170
3.2 网络安全的基本概念 209
3.2.1 网络安全事件 209
3.2.2 APT 213
3.2.3 暗网 217
3.3 网络安全威胁 219
3.3.1 网络安全现状 220
3.3.2 网络监听 222
3.3.3 口令破解 226
3.3.4 拒绝服务攻击 229
3.3.5 漏洞攻击 239
3.3.6 僵尸网络 249
3.3.7 网络钓鱼 252
3.3.8 网络欺骗 253
3.3.9 网站安全威胁 261
3.3.10 社会工程 267
3.3.11 部分协议的安全漏洞 268
3.4 网络安全防御 274
3.4.1 防火墙 274
3.4.2 入侵检测与防护 292
3.4.3 虚拟专用网络 300
3.4.4 安全扫描和风险评估 308
3.4.5 安全协议 318
3.4.6 网络蜜罐技术 333
3.4.7 匿名网络(Tor) 338
3.4.8 网络备份 342
3.4.9 网络安全防范意识与策略 343
3.5 无线网络安全 347
3.5.1 无线网络基本知识 347
3.5.2 无线网络安全威胁及分析 352
3.5.3 无线网络安全机制 364
第4章 信息系统安全基础 380
4.1 计算机设备安全 380
4.1.1 计算机安全的定义 380
4.1.2 计算机系统结构的安全实现 382
4.1.3 电磁泄露和干扰 383
4.1.4 物理安全 388
4.1.5 计算机的可靠性技术 397
4.2 操作系统安全 406
4.2.1 操作系统安全概述 406
4.2.2 操作系统面临的安全威胁 407
4.2.3 安全模型 409
4.2.4 操作系统的安全机制 416
4.2.5 操作系统安全增强的实现方法 440
4.3 数据库系统的安全 445
4.3.1 数据库安全的概念 445
4.3.2 数据库安全的发展历程 446
4.3.3 数据库访问控制技术 447
4.3.4 数据库加密 450
4.3.5 多级安全数据库 455
4.3.6 数据库的推理控制问题 462
4.3.7 数据库的备份与恢复 464
4.4 恶意代码 467
4.4.1 恶意代码定义与分类 467
4.4.2 恶意代码的命名规则 468
4.4.3 计算机病毒 471
4.4.4 网络蠕虫 474
4.4.5 特洛伊木马 476
4.4.6 后门 482
4.4.7 其他恶意代码 482
4.4.8 恶意代码的清除方法 485
4.4.9 典型反病毒技术 486
4.5 计算机取证 490
4.5.1 计算机取证的基本概念 490
4.5.2 电子证据及特点 491
4.5.3 计算机取证技术 492
4.6 嵌入式系统安全 498
4.6.1 智能卡概论 500
4.6.2 USB-Key技术 505
4.6.3 智能终端 508
4.6.4 工控系统安全概述及解决途径 514
第5章 应用系统安全基础 518
5.1 Web安全 518
5.1.1 Web安全威胁 518
5.1.2 Web威胁防护技术 520
5.2 电子商务安全 528
5.2.1 电子商务安全概论 528
5.2.2 电子商务的安全认证体系 530
5.2.3 电子商务的安全服务协议 532
5.3 信息隐藏 557
5.3.1 信息隐藏概论 557
5.3.2 数字水印技术 568
5.4 网络舆情 588
5.4.1 网络舆情的定义 588
5.4.2 网络舆情的表现方式 588
5.4.3 网络舆情的特点 588
5.4.4 网络舆情的诱发因素 589
5.4.5 网络舆情的监测技术 590
5.4.6 网络舆情的预警措施 590
5.5 隐私保护 591
5.5.1 介绍 591
5.5.2 隐私保护技术 595
5.5.3 隐私度量与评估标准 611
第6章 网络安全技术与产品 615
6.1 网络安全需求分析与基本设计 615
6.1.1 网络安全威胁概述 615
6.1.2 网络安全需求分析 618
6.1.3 网络安全设计原则 621
6.1.4 网络安全基本设计 622
6.2 网络安全产品的配置与使用 629
6.2.1 网络流量监控和协议分析 629
6.2.2 网御sis-3000安全隔离与信息交换系统(网闸,NetGap) 640
6.2.3 华为USG6000系列下一代防火墙 658
6.2.4 天阗入侵检测管理系统IDS 669
6.3 网络安全风险评估实施 677
6.3.1 基本原则与流程 677
6.3.2 识别阶段工作 678
6.3.3 风险分析阶段工作 690
6.3.4 风险处置建议 691
6.4 网络安全防护技术的应用 693
6.4.1 网络安全漏洞扫描技术及应用 694
6.4.2 VPN技术及应用 703
6.4.3 网络容灾备份技术及应用 708
6.4.4 日志分析 712
第7章 信息系统安全工程 718
7.1 访问控制 718
7.1.1 访问控制技术 718
7.1.2 身份认证技术 724
7.2 信息系统安全的需求分析与设计准则 737
7.2.1 信息系统安全需求分析 737
7.2.2 信息系统安全的设计 748
7.3 信息系统安全产品的配置与使用 757
7.3.1 Windows系统安全配置 757
7.3.2 Linux系统安全配置 769
7.3.3 数据库的安全配置 775
7.4 信息系统安全测评 779
7.4.1 信息系统安全测评概述 779
7.4.2 信息系统安全测评的基础与原则 780
7.4.3 信息系统安全测评方法 785
7.4.4 信息系统安全测评程序 795
第8章 应用安全工程 798
8.1 Web安全的需求分析与基本设计 798
8.1.1 Web安全威胁
798
8.1.2 Web安全威胁防护技术 804
8.2 电子商务安全的需求分析与基本设计 808
8.2.1 电子商务系统概述 808
8.2.2 电子商务系统的体系架构 809
8.2.3 电子商务系统的设计开发的基本过程 810
8.2.4 电子商务系统安全的需求分析 811
8.2.5 电子商务系统安全架构 816
8.2.6 电子商务系统安全技术 818
8.3 嵌入式系统的安全应用 822
8.3.1 嵌入式系统的软件开发 823
8.3.2 智能终端 832
8.4 数字水印在版权保护中的应用 842
8.4.1 数字版权保护系统的需求分析 843
8.4.2 基于数字水印的数字版权保护系统体系架构 843
8.4.3 数字版权保护系统的常用数字水印技术 845
8.4.4 数字版权保护系统技术标准 845
8.5 位置隐私保护技术的应用 846
8.5.1 位置隐私保护介绍 846
8.5.2 位置隐私保护常用方法 849
8.5.3 位置隐私k-匿名算法与应用 852
参考文献 858
|
內容試閱:
|
第 3章
网络安全基础
3.1计算机网络基本知识
3.1.1 计算机网络的体系结构
3.1.1.1计算机网络体系结构的定义
计算机网络系统是非常复杂的系统,计算机之间相互通信涉及到许多复杂的技术问题。
相互通信的两台计算机必须高度协调地工作才行。也就是说,在计算机网络中要做到有条
不紊地交换数据,就必须遵守一些事先约定好的规则。这些规则明确规定了所交换的数据
的格式以及有关的同步(在一定条件下应当发生什么事件,含有时序的意思。)问题。这些
为进行网络中的数据交换而建立的规则、标准或约定就是网络协议(Protocol)。
为了设计、理解和应用复杂的网络,人们提出了将网络分层的设想。分层是将
庞大、复杂的问题转换为若干较小、简单和单一的局部问题,每一层完成一定的功能,
这样就易于理解、研究和处理。最早提出分层思想的是
ARPANET网,从它的成功可以
看到,尽管连到网上的主机和终端,它们的型号和性能各不相同,但由于它们共同遵守
了计算机网络的协议,所以可以通信。
分层时应注意使每一层的功能非常明确。若层数太少,就会使每一层的协议太复杂。
但层数太多又会在描述和综合各层功能的系统工程任务时遇到较多的麻烦。我们将计算
机网络的各层及其协议的集合,称为计算机网络的体系结构(Architecture)。换句话说
计算机网络的体系结构就是这个计算机网络及其部件所应完成的功能的精确定义。这些
功能是用硬、软件完成的,所以这也是一个遵循这种体系结构的实现问题。
3.1.1.2几种典型的计算机网络体系结构
1.OSIISO体系结构
世界上第一个网络体系结构
SNASystem Network Architecture,是
IBM公司于
1974
年提出的。凡是遵循
SNA体系结构的设备都可以很方便地进行互连。许多公司也纷纷
建立自己的网络体系结构,如
DEC公司提出的
DNADigital Network Architecture体系结
构,用于本公司的计算机组成网络。由于网络体系结构不一样,一个公司的计算机很难
与另一个公司的计算机互相通信。于是,国际标准化组织
ISO(International
Organization
for Standardization),在
1977年就开始制定有关异种计算机网络如何互连的国际标准,
并提出了开放系统互连参考模型Open System Interconnection Reference,简称
OSI。1983
年成为
ISO 7498国际标准。OSIISO体系结构如图
3-1所示。
170 170
信息安全工程师教程
2.TCPIP体系结构
1969年,美国国防部高级研究计划局(
Advanced Research Projects Agency,ARPA)
资助了一个项目,该项目通过使用点到点的租用线路建立一个包交换的计算机网络,这
个网络被称为
ARPAnet,它为早期网络研究提供了一个平台。ARPA制定了一套协议,
指明了单个计算机如何通过网络进行通信,其中
TCP(Transmission Control
Protocol)传
输控制协议和
IP(Internet Protocol)网际协议是其中两个主要的协议,这套协议后来被
称作
TCPIP协议。TCPIP体系结构如图
3-2所示。
图
3-1 OSIISO体系结构图
3-2 TCPIP体系结构
3.1.2 Internet协议
Internet协议的主要协议及其层次关系如图
3-3所示。
图
3-3 Internet协议及其层次关系
第
3章网络安全基础
3.1.2.1网络层协议
1.IPv4协议
(1)IP地址
①概述
Internet中有数百万台以上的主机和路由器,IP地址可以确切地标识它们。一台主
机至少拥有一个
IP地址。任何两台主机的
IP地址不能相同,但是允许一台主机拥有多
个
IP地址。如果一台计算机虽然也连入
Internet,使用
Internet的某些功能,但它没有自
己的
IP地址,就不能称为主机。它只能通过连接某台具有
IP地址的主机实现这些功能
的,因此只能作为上述主机的仿真终端,其作用如同该主机的普通终端一样,而不论其
自身的功能有多强。
IP地址的划分经过了三个阶段:分类的
IP地址;子网的划分;无分类编址(
CIDR)。
②分类
IP地址结构及类别
IP地址是由
32位二进制数,即
4个字节组成的,它与硬件没有任何关系,所以也
称为逻辑地址。它由网络号和主机号两个字段组成,这样的
IP地址是两级
IP地址,如
3-4图所示。IP地址的结构使我们可以在因特网上很方便地进行寻址,这就是:先按
IP
地址中的网络号Net-ID把网络找到,再按主机号Host-ID把主机找到。所以
IP地址并
不只是一个计算机的代号,而是指出了连接到某网络上的某计算机。
图
3-4 IP地址结构
为了便于对
IP地址进行管理,同时还考虑到网络的差异很大,有的网络拥有很多主
机,而有的网络上的主机则很少,因此把因特网的
IP地址分成为五类,即
A类到
E类,
如图
3-5所示。目前大量使用的
IP地址是
A、B、C三类。当某单位申请到一个
IP地址
时,实际上只是获得了一个网络号
Net-ID,具体的各个主机号由本单位自行分配。
③特殊
IP地址
IP定义了一套特殊地址格式,称为保留地址。这些特殊地址包括:网络地址,主机
地址,直接广播地址,有限广播地址,本机地址。
(2)子网及子网掩码
两级
IP地址的缺点:
.
IP地址空间的利用率有时很低。
.给每一个物理网络分配一个网络号会使路由表变得太大因而使网络性能变坏。
①划分子网
172 172
信息安全工程师教程
图
3-5 IP地址的类型
在
IP地址中增加一个subnet-id字段,使两级的
IP地址变成为三级的
IP地址。
这种做法叫做划分子网subnetting。划分子网纯属一个单位内部的事情。单位对外仍然
表现为没有划分子网的网络。因此子网号
Subnet-ID是从两级
IP的主机号部分借用
的若干位。
当外面的分组进入到本单位网络后,本单位的路由器如何确定应转发的子网呢?这
就是子网掩码的作用。将子网掩码和
IP地址进行逐位相与,所得的结果就是网络地
址。这里的网络地址显然是
Net-ID部分和
Subnet-ID部分不变,而
Host-ID部分为全
0。
三级
IP地址结构及子网掩码如图
3-6所示。
图
3-6 三级
IP地址的结构及子网掩码
(3)VLSM和
CIDR
1992年因特网面临三个必须尽早解决的问题,这就是:
.
B类地址在
1992年已分配了近一半,将于
1994年
3月全部分配完毕!
.因特网主干网上的路由表中的项目数急剧增长(从几千个增长到几万个)。
.整个
IPv4的地址空间最终将全部耗尽。
1987年,RFC 1009 指明在一个划分子网的网络中可同时使用几个不同的子网掩码。
使用变长子网掩码
VLSM Variable Length Subnet Mask可进一步提高
|
|