第1章 密码学基础 1
1.1密码学发展简史 1
1.2密码学基本概念 2
1.2.1概述 2
1.2.2密码系统安全性 3
1.2.3古典密码 4
1.2.4密码体制的分类 5
1.2.5密钥管理 6
1.2.6密码协议 7
1.3对称密码算法 10
1.3.1概述 10
1.3.2 DES算法 10
1.3.3 3DES算法 12
1.3.4 AES算法 13
1.3.5 IDEA算法 14
1.4非对称密码算法 14
1.4.1概述 14
1.4.2 RSA公钥密码体制 15
1.4.3其他非对称密码算法 16
1.5哈希函数和数字签名 17
1.5.1哈希函数 17
1.5.2消息鉴别码 19
1.5.3数字签名 20
参考文献 22
思考题 23
第2章 密码学应用 24
2.1概述 24
2.2密码学应用基础 24
2.2.1使用密码技术保护应用安全 24
2.2.2典型密码应用产品 26
2.3公钥基础设施 27
2.3.1基本概念 27
2.3.2数字证书 28
2.3.3 CA 29
2.3.4 PKI互操作模型 31
2.3.5 PKI的应用与发展 33
2.4虚拟专用网络 34
2.4.1概述 34
2.4.2 IPSec 36
2.4.3 SSL 41
2.5特权管理基础设施 44
2.5.1概述 44
2.5.2架构 44
2.5.3属性证书 45
2.5.4应用结构 46
2.6其他密码学应用介绍 47
2.6.1动态口令认证 47
2.6.2 PGP 51
2.6.3 OpenSSL 52
参考文献 54
思考题 54
第3章 鉴别与访问控制 55
3.1鉴别 55
3.1.1鉴别的类型 55
3.1.2鉴别的方法 56
3.2访问控制模型 58
3.2.1基本概念 58
3.2.2自主访问控制 60
3.2.3强制访问控制 62
3.2.4基于角色的访问控制 66
3.3访问控制技术 69
3.3.1集中访问控制 69
3.3.2非集中访问控制 73
参考文献 73
思考题 74
第4章 操作系统安全 75
4.1概述 75
4.1.1操作系统的作用与功能 75
4.1.2操作系统安全机制设计 76
4.1.3操作系统安全配置要点 81
4.2 Windows系统安全机制 82
4.2.1标识与鉴别 83
4.2.2访问控制 84
4.2.3用户账户控制 85
4.2.4安全审计 86
4.2.5文件系统 86
4.2.6 Windows XP安全设置参考 87
4.3 Linux系统安全机制 90
4.3.1标识与鉴别 90
4.3.2访问控制 92
4.3.3安全审计 93
4.3.4文件系统 94
4.3.5特权管理 95
4.3.6 Linux安全设置参考 95
4.4安全操作系统 102
4.4.1安全操作系统研究概况 102
4.4.2安全操作系统设计的原则 103
4.4.3 SELinux简介 103
参考文献 104
思考题 104
第5章 网络安全 105
5.1网络协议安全 105
5.1.1 OSI七层模型及安全架构 105
5.1.2 TCP/IP安全 109
5.1.3无线局域网协议安全 114
5.1.4移动通信网络安全 119
5.2网络安全设备 123
5.2.1防火墙 123
5.2.2入侵检测系统 131
5.2.3其他网络安全设备 137
5.3网络架构安全 142
5.3.1网络架构安全的含义 142
5.3.2网络架构安全设计 143
参考文献 148
思考题 148
第6章 数据库安全 149
6.1数据库系统概述 149
6.2数据库安全概述 151
6.2.1数据库安全要求 152
6.2.2数据库安全措施 153
6.2.3数据库完整性 158
6.2.4数据库备份和恢复 161
6.3数据库运行安全防护 162
6.3.1数据库安全防护 162
6.3.2事前安全检测 164
6.3.3事中运行监控 166
6.3.4事后安全审计 168
参考文献 169
思考题 169
第7章 应用安全 170
7.1应用安全概述 170
7.1.1什么是应用安全 170
7.1.2常见应用安全威胁 171
7.1.3 OSI通信协议应用安全防护要点 173
7.1.4等级保护规范应用安全防护要点 174
7.2 Web应用安全 175
7.2.1 Web应用安全问题产生的原因 176
7.2.2 Web程序安全开发要点 179
7.2.3 Web服务运行平台安全配置 179
7.2.4 IE浏览器安全配置参考 182
7.2.5 Web安全防护产品介绍 183
7.3常用互联网服务安全 185
7.3.1电子邮件安全 185
7.3.2 FTP安全 186
7.3.3远程管理安全 187
7.3.4域名应用安全 187
7.4办公软件使用安全 187
7.4.1 Office字处理程序安全防护要点 187
7.4.2即时通信软件安全防护要点 188
参考文献 189
思考题 189
第8章 安全漏洞与恶意代码 190
8.1安全漏洞的产生与发展 190
8.1.1安全漏洞的含义 190
8.1.2安全漏洞的产生 192
8.1.3安全漏洞的分类 194
8.1.4安全漏洞的发展趋势 195
8.2安全漏洞的发现与修复 195
8.2.1安全漏洞的发现 195
8.2.2安全漏洞的修复 198
8.3恶意代码的产生与发展 199
8.3.1恶意代码的产生 199
8.3.2恶意代码的分类 202
8.3.3恶意代码的传播方式 203
8.4恶意代码的实现技术 204
8.4.1恶意代码的加载 204
8.4.2恶意代码的隐藏 204
8.4.3恶意代码的自我保护 207
8.5恶意代码的防御技术 208
8.5.1恶意代码的预防 208
8.5.2恶意代码的检测 210
8.5.3恶意代码的分析 211
8.5.4恶意代码的清除 211
参考文献 212
思考题 213
第9章 安全攻击与防护 214
9.1信息收集与分析 214
9.1.1信息收集与分析的作用 214
9.1.2信息收集与分析的方法 214
9.1.3信息收集与分析的防范 217
9.2常见攻击与防范 217
9.2.1口令破解 217
9.2.2社会工程学 218
9.2.3欺骗攻击 220
9.2.4拒绝服务攻击 222
9.2.5缓冲区溢出攻击 225
9.2.6 SQL注入攻击 226
9.2.7跨站脚本攻击 227
9.3后门设置与防范 228
9.4痕迹清除与防范 230
参考文献 231
思考题 231
第10章 软件安全开发 232
10.1软件安全开发背景 232
10.1.1软件的发展和安全问题 232
10.1.2软件安全问题产生的原因 234
10.2软件安全开发的必要性 235
10.2.1软件安全保障 235
10.2.2传统软件开发的局限性 236
10.2.3软件安全开发生命周期 237
10.3软件安全开发模型及研究 238
10.3.1安全开发生命周期 238
10.3.2 BSI系列模型 240
10.3.3综合的轻量级应用安全过程 241
10.3.4软件保障成熟度模型 242
10.3.5特点分析 243
10.4软件安全需求和设计 245
10.4.1软件安全设计原则 245
10.4.2威胁建模 247
10.5软件安全编码 250
10.5.1通用安全编码准则 250
10.5.2安全编译 254
10.5.3源代码审核 255
10.6软件安全测试 256
10.6.1概述 256
10.6.2模糊测试 256
10.6.3渗透测试 257
参考文献 259
思考题 260
第11章 新技术安全 261
11.1云计算安全 261
11.1.1云计算概述 261
11.1.2云计算安全体系 262
11.1.3云计算安全关键技术 265
11.1.4云计算安全标准 270
11.2物联网安全 272
11.2.1物联网概述 272
11.2.2物联网安全体系 274
11.2.3物联网安全的关键技术 277
11.2.4物联网安全标准 280
11.3工业控制系统安全 283
11.3.1工业控制系统的基本结构 283
11.3.2工业控制系统的主要安全威胁 285
11.3.3工业控制系统安全架构 286
11.3.4工业控制系统安全标准 290
参考文献 291
思考题 292
附录 缩略语 293