计算机信息安全管理

《计算机信息安全管理》一书立足于“技术与管理并重”的信息安全理念，从技术基础和综合管理两个方面对信息系统整体安全体系和综合管理方法进行分析和介绍，强调了信息安全的全局观。全书共分十三章，分别介绍了信息安全概论、安全立法、安全标准、软硬件信息安全、密码学、网络安全、安全审计和应急响应等内容，每章均配有引入案例、课后练习和扩展资料。
本书可作为信息管理、电子商务及计算机等专业本科生教材，也可供企业信息系统安全管理人员学习或培训使用。

魏红芹,硕士生导师，研究领域包括：智能决策支持系统、知识管理。参与及主持科研项目8项，其中包括国家自然科学基金项目、上海市科委项目、上海市教委项目及横向课题。

第1章　计算机信息安全概论 1

1.1 计算机应用模式发展 2

1.2 计算机安全问题的产生 6

1.3 计算机系统的脆弱性 7

1.4 计算机安全的重要性 9

1.5 计算机信息安全的定义与特性 10

1.6 计算机系统安全需求与对策 11

1.7 计算机信息安全技术 15



第2章　计算机安全法律法规与标准 20

2.1 计算机犯罪与安全立法 21

2.2 计算机安全行政管理 26

2.3 信息安全评估标准 28



第3章　计算机实体安全 39

3.1 计算机可靠性与故障分析 40

3.2 场地和机房安全 47

3.3 计算机硬件安全 48



第4章　软件安全 63

4.1 软件安全的基本要求 65

4.2 软件安全技术 67



第5章　操作系统安全 72

5.1 操作系统安全基础 74

5.2 操作系统的访问控制机制 75

5.3 Windows OS安全技术 76



第6章　数据库安全 81

6.1 数据库安全概述 82

6.2 数据库存取控制 88

6.3 数据库并发控制 90

6.4 数据库的备份与恢复 95

6.5 数据库加密 98



第7章　计算机病毒防治 101

7.1 计算机病毒概述 103

7.2 现代计算机病毒的特征 110

7.3 典型计算机病毒分析 112

7.4 计算机病毒防治 119



第8章　网络通信安全 126

8.1 网络通信安全基础 127

8.2 常见的网络攻击与防范技术 139

8.3 防火墙 152



第9章　密码学 166

9.1 密码学历史 167

9.2 密码学定义 168

9.3 古典密码学 169

9.4 现代密码学 176

9.5 密码分析 188

9.6 密钥的管理 191



第10章　电子商务交易安全 196

10.1 电子商务安全性概述 197

10.2 鉴别与认证 199

10.3 公钥基础设施PKI 209

10.4 常用交易安全协议 214



第11章　信息安全审计 224

11.1 信息安全审计概述 225

11.2 信息安全审计方法 228



第12章　计算机安全应急响应 240

12.1 计算机安全应急响应概述 241

12.2 计算机应急响应组织 243

12.3 计算机安全应急响应体系建立 248



第13章　信息系统综合安全解决方案设计 256

13.1 电子政务网站整体信息安全体系构建 257

13.2 电子商务网站整体信息安全体系构建 262

13.3 某教育培训集团信息系统整体安全解决方案设计案例 267



参考文献 274





附录A　国家信息安全相关机构 276

政府信息安全管理机构 276

信息安全产品测评认证机构 279

国家信息安全应急处理机构 281



附录B　信息安全相关法律法规 283

国家法律 283

行政法规 283

1.1 计算机应用模式发展

回顾七十多年来的发展历程，按照技术主要涉及的使用人员、设备工具、信息数据、方式方法和环境界面的不同，计算机应用模式主要经历了三个阶段：

主机计算（Mainframe Computing）

分布式客户机/服务器（Distributed Client/Server Computing）

网络计算（Network Computing）

1.1.1 主机计算模式

主机计算模式又可称为单机计算，也就是在一台机器或一台主机上带若干台终端及外部、外围设备，由一名或多名操作者操作，主要运算任务在一台机器的CPU上完成，也称主机—终端计算模式。这种模式的最大特点是系统软件、硬件的集中管理，系统最终用户可以分散，但是不需要进行软件、硬件的维护工作。这种模式用户界面单一，系统扩展性差，其处理逻辑如图1.1所示。主机计算模式是目前未联网PC机的主要工作方式。



图1.1 主机—终端计算模式

计算机产生的最初十年，各种应用的发展是比较缓慢的，主要由少数专业人员使用机器语言、汇编语言来编写程序；第二个十年计算机的发展开始加快。几十年的发展，主机—终端计算机模式又可分为程序设计时代、结构化程序设计时代和软件工程时代。

1. 程序设计时代（1945 ~ 1955年）

这个时代的硬件处于电子管时代。当时注重的是硬件的性能和指标，程序的编写处于从属地位。程序设计的工具是机器语言、汇编语言，其方法追求编程技巧，追求效率高、内存省。人们仅根据需要来编制一些可以直接运行的程序，而不考虑系统地开发软件。这个时期计算机的应用主要限于科学计算，程序的总数量较少。相对较窄的应用领域和较少的接触人员使得安全问题主要局限于系统本身的错误和故障等。

2. 软件时代（1955年 ~ 1970年）

这个时代硬件已广泛采用晶体管和小规模集成电路，计算机内存容量增大，运算速度加快，运行稳定性高。计算机产量急剧上升，程序需求量猛增。软件概念被提出，开始使用第二代语言，如FORTRAN、ALGOL、COBOL等编译系统。计算机的应用扩大到数据处理及过程控制等领域。各种系统及应用软件规模越来越大，结构也更加复杂。然而程序设计方法和软件开发技术没有重大突破，仍靠个人的“技艺”。使得软件产品开发的复杂需求与软件开发技术的能力之间产生尖锐的矛盾，从而产生所谓的“软件危机”。

3. 软件工程时代（1970年 ~ 现在）

20世纪60年代后期，因传统的软件开发方法不能适应大型软件的生产而导致的软件危机，使人们想到用工程化的方法来生产软件，把注意力集中到软件开发的方法、技术和原理上，从此软件生产开始进入软件工程时代。1972年到1975年提出软件生存周期模型，其后又把注意力集中到软件测试方面，提出了若干新的软件测试技术、测试方法、测试原理以及软件确认和验证的理论。1976年至1980年开始提出了若干处理需求定义方面的技术。80年代后，人们开始把软件工程各阶段的工具集成到一起，形成软件开发环境，更有效地支持软件开发的工程化，使软件产品质量和可靠性得到提高。

统计资料表明，计算机应用系统中的软件和硬件投资比例，在1955年是1：9，1970年是1：1，到1990年已经达到9：1。软件危机的出路在于大量生产、高度重用、容易重组、易于维护，为实现这一目标而提出的结构化软件开发法、原型法技术和面向对象的开发模型等软件工程方法使手工劳动变为现代化生产，软件的开发规模和效率大增，也有效地使计算机技术和信息系统推广应用到更多的领域。与此同时，信息安全受到威胁的严重性及其重要性也随之提高。

前 言







计算机安全问题是伴随着计算机信息技术的发展而产生的，随着互联网的日益普及和各种信息技术在各行业得到越来越广泛的应用，整个社会对信息系统的依赖程度日益提高，安全问题也变得越来越复杂和重要。面对各种严重的计算机信息系统安全威胁，关于信息安全的研究日益得到人们的重视。目前，信息安全已经成为信息科学领域重要的研究课题，众多高等院校也相应开设了信息安全专业和系列课程。



本书主要面向信息管理与信息系统专业的学生。信管专业的主要培养目标之一就是为各类企业输送具有全面和系统的信息管理知识、兼顾技术与管理的综合性CIO型人才。而计算机及网络技术逐渐在安全管理方面暴露出的许多不足和缺陷，对信息技术的推广应用形成了严重的阻碍。各企事业和政府机关日渐关注信息安全问题，国家也成立了中央信息化和网络安全小组。这些都使得信息安全成为信管专业学生不可缺少的一个知识模块，国内外的很多高校都在该专业的教学计划中设置了信息安全相关课程。



现有的信息安全相关的教材普遍存在将管理和技术分隔开来的情况，有的侧重于介绍各种底层技术，有的侧重于介绍安全管理标准及制度等，其中技术类书籍种类要远多于安全管理类书籍。在相关专业的教学活动中也普遍存在“重技术轻管理”的现象。对于信息管理学生或在企业安全管理岗位工作的技术人员来说，管理的重要性应该不低于技术因素，甚至会更加重要。因此学生需要了解基本的技术，但也需要掌握基本的管理思想和方法，拥有“技术管理”的基本理念和能力。本书的主要目的是希望能相对全面地对信息安全的相关技术和管理方法进行介绍，使学生能够对信息安全的整体框架体系进行比较准确的把握。



基于以上考虑，本书共组织了十三章内容。第一章为计算机信息安全概论，介绍信息安全问题的起源、特点、发展历史和解决的基本思路，并构建了信息安全的技术框架；第二章从管理角度介绍安全立法和安全标准的基本情况；第三章和第四章分别介绍了软件和硬件安全的通用性问题；第五、六、七章则从三种特殊的软件——操作系统平台、数据库、病毒出发，分别介绍了相应的安全问题和技术；第八章专门介绍了网络安全中面临的主要威胁和应对策略；第九章从古典密码学和现代密码学两个方面介绍了加密体系的结构和应用情况；第十章立足电子商务这个特殊的应用领域，介绍实际面临的安全问题和常用的安全协议；第十一章和第十二章分别介绍了安全审计和应急响应体系的内容；最后，第十三章分别给出了电子政务网站、电子商务网站和企业信息系统三种应用背景下的安全解决方案的设计方法和案例。其中，第三章到第十章侧重安全技术问题，第一、二、十一、十二和十三章侧重于安全管理。同时，为了便于学生拓展阅读，在附录中给出了国内外信息安全相关结构的信息和部分信息安全相关法律法规。



本书每章开始部分均有引入案例，教师可以借助这些案例使学生更好地理解该章内容的应用背景，也可以通过案例的讨论提高学生的学习兴趣。另外，学生可以借鉴章节关键知识点总结以及课后习题展开重点知识的学习和复习。另外，书中在每章最后还提供了一些拓展课外阅读的链接，主要是一些信息安全相关的网站。



本书中内容已被多次应用在东华大学管理学院信息系统和信息管理专业的《计算机信息安全》课程教学中，并且取得了较好的效果。本书在编写过程中得到了东华大学管理学院张科静等老师的热情支持，也得到了东华大学管理学院信息管理系其他各位老师的大力帮助，在此表示衷心的感谢。



计算机信息安全课程在各大高校的开设时间相对较短，对于课程的教学方法和教学内容，特别是针对信管专业的教学内容还在不断地探索之中。由于本人能力和水平所限，并且时间仓促，书中难免有错误和疏漏的地方，敬请读者批评指正。