《信息安全导论 第2版》印润远，彭灿华主编|(epub+azw3+mobi+pdf)电子书下载

图书名称：《信息安全导论 第2版》

【作　者】印润远，彭灿华主编

【丛书名】普通高等教育“十四五”规划教材

【页 数】 302

【出版社】 中国铁道出版社有限公司 , 2021.01

【ISBN号】978-7-113-27474-0

【价 格】52.00

【分 类】信息安全-高等学校-教材

【参考文献】 印润远，彭灿华主编. 信息安全导论 第2版. 中国铁道出版社有限公司, 2021.01.

图书封面：

图书目录：

《信息安全导论 第2版》内容提要：

本书的特点是：理论与实践相结合、经典与前沿相结合。理论方面，着重强调基本概念、重要定理的阐述和推导，每个定理和算法都举例说明；应用方面，在不失系统性的前提下，编写了密码系统、网络攻防、防病毒、防火墙技术、虚拟专用网技术、入侵检测技术、PKI系统和安全审计系统等8个实验指导，有助于从理论与实践的结合上来掌握信息安全学。

《信息安全导论 第2版》内容试读

第1章

信息安全概述

1.1信息与信息安全

20世纪中期，计算机的出现从根本上改变了人类加工信息的手段，突破了人类大脑及感觉器官加工利用信息的能力。应用计算机、通信卫星、光导纤维组成的现代信息技术革命的成果，使人类进入飞速发展的信息化时代，成为人类历史上最重要的一次信息技术革命。当今以“云计算、物联网、大数据、智能技术”为标志的信息技术革命正在横扫整个社会，无论是产业还是家庭，人类生活的各个领域无不受其影响，它改变了人们的生活方式和商业形态，使各领域相辅相成、互惠互利。

1.1.1信息与信息资产

近代控制论的创始人维纳有一句名言：“信息就是信息，不是物质，也不是能量。”这句话听起来有点抽象，但指明了信息与物质和能量具有不同的属性。信息、物质和能量，是人类社会赖以生存和发展的三大要素。

1.信息的定义

信息的定义有广义的和狭义的两个层次。从广义上讲，信息是任何一个事物的运动状态以及运动状态形式的变化，它是一种客观存在。例如，日出、月落、花谢、鸟啼以及气温的高低变化股市的涨跌等，都是信息。它是一种“纯客观”的概念，与人们主观上是否感觉到它的存在没有关系。而狭义的信息的含义却与此不同。狭义的信息，是指信息接收主体所感觉到并能被理解的东西。中国古代有“周幽王烽火戏诸侯”和“梁红玉击鼓战金山”的典故，这里的“烽火”和“击鼓”都代表了能为特定接收者所理解的军情，因而可称为“信息”；相反，至今仍未能破译的一些刻在石崖上的文字和符号，尽管它们是客观存在的，但由于人们不能理解，因而从狭义上讲仍算不上是“信息”。同样道理，从这个意义上讲，鸟语是鸟类的信息，而对人类来说却算不上是“信息”。可见，狭义的信息是一个与接收主体有关的概念。

S013335《信息技术安全管理指南》是一部重要的国际标准，其中对信息给出了明确的定义：

信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息是无形的，借助于信息媒体以多种形式存在和传播；同时，信息也是一种重要资产，具有价值，需要保护。通常的信息资产分类如表1-1所示。

2士信息安金导论

表1-1信息资产分类

分类

示例

数据

电子媒介中的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等

软件

应用软件、系统软件、开发工具和资源库等

硬件

计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等

服务

操作系统、WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、网络连接、网络隔离

保护、网络管理、网络安全保障、入侵监控及各种业务生产应用等

文档

纸质的各种文件、传真、电报、财务报告、发展计划等

设备

电源、空调、保险柜、文件柜、门禁、消防设施等

人员

各级雇员和雇主，：合同方雇员等

其他

企业形象、客户关系等

2.信息的特点

我们更为关注的是狭义信息。就狭义信息而论，它们具有如下共同特征：

(1)信息与接收信息的对象以及要达到的目的有关。例如，一份尘封已久的重要历史文献，在还没有被人发现时，它只不过是混迹在废纸堆中的单纯印刷品，而当人们阅读并理解它的价值时，它才成为信息。又如，公元前巴比伦和阿亚利亚等地广泛使用的楔形文字，很长时间里人们都读不懂它，那时候，还不能说它是“信息”。后来，经过许多语言学家的努力，它能被人们理解了，于是，它也就成了信息。

(2)信息的价值与接收信息的对象有关。例如，有关移动电话辐射对人体的影响问题的讨论，对城市居民特别是手机使用者来说是重要信息，而对于生活在偏远农村或从不使用手机的人来说，就可能是没有多大价值的信息。

(3)信息有多种多样的传递手段。例如，人与人之间的信息传递可以用符号、语言、文字或图像等为媒体来进行；而生物体内部的信息可以通过电化学变化，经过神经系统来传递；等等。

(4)信息在使用中不仅不会被消耗掉，还可以加以复制，这就为信息资源的共享创造了条件。

1.1.2信息安全

1.信息安全的发展

信息安全的发展历经了三个主要阶段：1)通信保密阶段

在第一次和第二次世界大战期间，参战军方为了实现作战指令的安全通信，将密码学引入实际应用，各类密码算法和密码机被广泛使用，如Enigma密码机，在这个阶段中，关注的是通信内容的保密性属性，保密等同于信息安全。

2)信息安全阶段

计算机的出现以及网络通信技术的发展，使人类对于信息的认识逐渐深化，对于信息安全的理解也在扩展。人们发现，在原来所关注的保密性属性之外，还有其他方面的属性也应当是信息安全所关注的，这其中最主要的是完整性和可用性属性，由此构成了支撑信息安全体系的三个属性。

第1章信息安全概述士

3)安全保障阶段

信息安全的保密性、完整性、可用性三个主要属性，大多集中于安全事件的事先预防，属于保护(Protection)的范畴。但人们逐渐认识到安全风险的本质，认识到不存在绝对的安全，事先预防措施不足以保证不会发生安全事件，一旦发生安全事件，那么事发时的处理以及事后的处理都应当是信息安全要考虑的内容，安全保障的概念随之产生。所谓安全保障，就是在统一安全策略的指导下，安全事件的事先预防（保护）、事发处理（检测和响应）、事后恢复三个主要环节相互配合，构成一个完整的保障体系。

2.信息安全的定义

IS0国际标准化组织对于信息安全给出了精确的定义，这个定义的描述是：信息安全是为数

据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

IS0的信息安全定义清楚地回答了人们所关心的信息安全主要问题，它包括三方面含义：

1)信息安全的保护对象

信息安全的保护对象是信息资产，典型的信息资产包括计算机硬件、软件和数据。2)信息安全的目标

信息安全的目标就是保证信息资产的三个基本安全属性。信息资产被泄露意味着保密性受到影响，被更改意味着完整性受到影响，被破坏意味着可用性受到影响，而保密性、完整性和可用性三个基本属性是信息安全的最终目标。

3)实现信息安全目标的途径

实现信息安全目标的途径要借助两方面的控制措施，即技术措施和管理措施。从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学的，并且是有局限性的错误观点。

3.信息安全的基本属性

信息安全包括保密性、完整性和可用性三个基本属性，如图1-1所示。

保密性

信息安全

完整性

可用性

图1-1信息安全的三个基本属性

(1）保密性（Confidentiality)。确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体。

(2)完整性（Integrity)。确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；保证信息的内外一致性。

(3)可用性（Availability)。确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息及资源。

4士信息安全导论

4.信息安全模型

人们一直致力于用确定、简洁的安全模型来描述信息安全，在信息安全领域中有多种安全模

型，如PDR模型、PPDRR模型等。

1)PDR模型（见图1-2）

时间

R

图1-2PDR模型

PDR模型之所以著名，是因为它是第一个从时间关系描述一个信息系统是否安全的模型。PDR

模型中的P代表保护、D代表检测、R代表响应，该模型中使用了三个时间参数：

P:有效保护时间，是指信息系统的安全控制措施所能有效发挥保护作用的时间。

D:检测时间，是指安全检测机制能够有效发现攻击、破坏行为所需的时间。

R:响应时间，是指安全响应机制做出反应和处理所需的时间

PDR模型用下列时间关系表达式来说明信息系统是否安全：

(1)P,>D+R,时，系统安全。即在安全机制针对攻击、破坏行为做出了成功的检测和响应时，

安全控制措施依然在发挥有效的保护作用，攻击和破坏行为未给信息系统造成损失

(2)P,

测和响应做出之前就已经失效，破坏和攻击行为已经给信息系统造成了实质性破坏和影响。

2)PPDRR模型

正如信息安全保障所描述的，一个完整的信息安全保障体系，应当包括安全策略(Policy)保护(Protection)、检测(Detection)、响应(Reaction入、恢复(Restoration)五个主要环节。PPDRR模型的内容如图1-3所示。

保护

检测

恢复

响应

图1-3 PPDRR模型内容

第1章信息安全概述士5

保护、检测、响应和恢复四个环节需要在策略的统一指导下构成相互作用的有机整体。PPDRR

模型从体系结构上给出了信息安全的基本模型。

5.信息安全保障体系

要想真正为信息系统提供有效的安全保护，必须系统地进行安全保障体系的建设，避免孤立零散地建立一些控制措施，而是要使之构成一个有机的整体。在这个体系中，包括安全技术、安全管理、人员组织、教育培训、资金投人等关键因素。信息安全建设的内容多、规模大，必须进行全面的统筹规划，明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入，才能保证信息安全建设有序可控地进行，才能使信息安全体系发挥最优的保障效果

信息安全保障体系由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。一个系统的、完整的、有机的信息安全保障体系的作用远远大于各个信息安全保障要素的保障能力之和。在此框架中，以安全策略为指导，融汇了安全技术、安全组织与管理和运行保障三个层次的安全体系，达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。信息安全保障体系的总体结构如图1-4所示。

安全策略

安全应用系统平台

组织机构

信息资产

身份认证授权与访问控制加密

管理

安全综合管理平

主机入侵检测主机漏洞扫描病毒查系

网络监控与安全审计

人员管理

防火墙网络入侵检测网络漏洞扫描

通信安全

物理安全

安全教育

安全基础设施平台

安全技术体系

安全组织

与管理体系

数据和系统备份

应急响应

灾难恢复

运行保障体系

图1-4信息安全保障体系总体结构

1)安全技术体系

安全技术体系是整个信息安全体系框架的基础，包括安全基础设施平台、安全应用系统平台和安全综合管理平台三个部分，以统一的安全基础设施平台为支撑，以统一的安全应用系统平台为辅助，在统一的安全综合管理平台管理下的技术保障体系框架。

安全基础设施平台是以安全策略为指导，从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发，立足于现有的成熟安全技术和安全机制，建立起的各个部分相互配合的、完整的安全技术防护体系。

安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题。应用信息系统

6L信息安全导论

通过使用安全基础设施平台所提供的各类安全服务，提升自身的安全等级，以更加安全的方式，提供业务服务和信息管理服务。

安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备，对这些安全机制和安全设备进行统一的管理和控制，负责管理和维护安全策略，配置管理相应的安全机制，确保这些安全技术与设施能够按照设计的要求协同运作，可靠运行。它在传统的信息系统应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁，使得各类安全手段能与现有的信息系统应用体系紧密地结合，实现“无缝连接”，促成信息系统安全与信息系统应用真正的一体化，使得传统的信息系统应用体系逐步过渡为安全的信息系统应用体系。统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥，也便于从系统整体的角度进行安全的监控和管理，从而提高安全管理工作的效率，使人为的安全管理活动参与量大幅下降。

2)安全组织与管理体系

安全组织与管理体系是安全技术体系真正有效发挥保护作用的重要保障，安全组织与管理体系的设计立足于总体安全策略，并与安全技术体系相互配合，增强技术防护体系的效率和效果，同时也弥补当前技术无法完全解决的安全缺陷

技术和管理是相互结合的，一方面，安全防护技术措施需要安全管理措施来加强；另一方面，安全防护技术措施也是对安全管理措施贯彻执行的监督手段。安全组织与管理体系的设计要参考

和借鉴国际信息安全管理标准BS7799(IS0EC17799)的要求。

信息安全管理体系由若干信息安全管理类组成，每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应，这些安全控制是为了达成相应安全目标的管理工作和要求。

信息安全管理体系包括以下管理类：安全策略与制度、安全风险管理、人员和组织安全管理、环境和设备安全管理、网络和通信安全管理、主机和系统安全管理、应用和业务安全管理、数据安全和加密管理、项目工程安全管理、运行和维护安全管理、业务连续性管理、合规性（符合性）管理。

3)运行保障体系

运行保障体系由安全技术和安全管理紧密结合的内容所组成，包括系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等，运行保障体系对于网络和信息系统的可持续性运营提供了重要的保障手段。

1.2信息系统面临的威胁及其脆弱性

信息社会化与社会的信息化，使广为应用的计算机信息系统在推动社会发展的同时，也面临着形形色色的威胁和攻击。外因是条件，内因是根据，外因必须通过内因才能起作用。计算机信息系统本身，无论是在存取运行的基本原理上，还是系统本身的设计、技术、结构、工艺等方面都存在亟待完善的缺陷。或者说，计算机信息系统本身的脆弱性，成为被攻击的目标或被利用为有效的攻击途径。

···试读结束···