計算機系統安全（第二版） “十一五”

本書詳細論述了計算機系統的安全需求、安全對策、安全模型以及安全系統構建理論，系統介紹了安全策略與安全模型在可信作業系統設計、通用作業系統保護、 資料庫安全設計等方面的相關實踐問題。

書中對與計算機系統安全相關的常用密碼學技術與密碼協定理論做了詳細介紹和分析。另外，本書還從計算機系統對抗的角度出發， 系統討論了計算機病毒原理及其防治、計算機病毒檢測與標識的基本理論、入侵檢測的方法與技術以及計算機網路系統可生存性等方面的內容。

本書可作為計算機、信息安全、信息對抗等專業高年級本科生或研究生的教學用書， 也可作為相關領域的研究人員和工程技術人員的參考用書。

第1章 計算機安全引論 1

1.1 計算機安全 2

1.1.1 計算機安全的定義 2

1.1.2 計算機系統面臨的威脅和攻擊 4

1.1.3 計算機系統的脆弱性 7

1.1.4 計算機危害與其他危害的區別 8

1.2 計算機系統安全的重要性 9

1.2.1 計算機安全技術發展 9

1.2.2 計算機系統安全的重要性 10

1.2.3 計算機信息系統安全的基本要求 11

1.3 計算機系統的安全對策 13

1.3.1 安全對策的一般原則 13

1.3.2 安全策略的職能 14

1.3.3 安全機制 14

1.3.4 安全對策與安全措施 15

1.4 計算機系統的安全技術 16

1.4.1 計算機系統的安全需求 16

1.4.2 安全系統的設計原則 17

1.5 計算機安全的內容及專業層次 20

1.5.1 計算機系統安全的主要內容 21

1.5.2 計算機系統的分層防護 22

1.5.3 計算機系統安全的專業層次 22

習題 23

第2章 計算機安全策略 24

2.1 系統的安全需求及安全策略的定義 24

2.1.1 信息的機密性要求 24

2.1.2 信息的完整性要求 25

2.1.3 信息的可記賬性要求 25

2.1.4 信息的可用性要求 25

2.2 安全策略的分類 26

2.2.1 訪問控制相關因素及其策略 26

2.2.2 訪問支持策略 31

2.3 安全策略的形式化描述 33

2.4 安全策略的選擇 33

2.5 小結 34

習題 34

第3章 訪問控制策略 35

3.1 訪問控制 35

3.2 訪問控制策略 36

3.2.1 關於安全性管理方式的策略 36

3.2.2 訪問控制的規範策略 37

3.3 安全核與引用監控器 38

3.4 訪問矩陣模型 40

3.4.1 模型描述 40

3.4.2 狀態轉換 43

3.4.3 模型評價 47

3.4.4 模型的實現方法 48

習題 49

第4章 BellLaPadula多級安全模型 50

4.1 軍用安全格模型 50

4.2 BLP模型介紹 52

4.3 BLP模型元素 53

4.3.1 模型元素的含義 53

4.3.2 系統狀態表示 54

4.3.3 安全系統的定義 55

4.4 BLP模型的幾個重要公理 55

4.5 BLP狀態轉換規則 55

4.6 BLP 模型的幾個重要定理 61

4.7 BellLaPadula模型的局限性 62

習題 66

第5章 安全模型的構建 67

5.1 建模的方法步驟 67

5.2 模型構建實例 68

5.2.1 安全策略的描述 68

5.2.2 實例模型的定義 70

5.2.3 實例模型的安全性分析 74

5.2.4 模型的安全約束條件 76

5.2.5 從模型到系統的映射 79

習題 80

第6章 可信作業系統設計 81

6.1 什麼是可信的作業系統 82

6.2 安全策略 82

6.2.1 軍用安全策略 82

6.2.2 商業安全策略 84

6.3 安全模型 87

6.3.1 多級安全模型 87

6.3.2 模型證明安全系統的理論局限 90

6.3.3 小結 94

6.4 設計可信作業系統 94

6.4.1 可信作業系統設計的基本要素 95

6.4.2 普通作業系統的安全特性 96

6.4.3 可信作業系統（TOS）的安全特性 97

6.4.4 核心化設計 100

6.4.5 分離 104

6.4.6 虛擬技術 105

6.4.7 層次化設計 107

6.5 可信作業系統的保證 109

6.5.1 傳統作業系統的缺陷 109

6.5.2 保證方法 111

6.5.3 開放資源 114

6.5.4 評估 114

6.6 實例分析 124

6.6.1 多用途作業系統 125

6.6.2 作業系統的安全性設計 126

6.7 可信作業系統總結 127

習題 128

第7章 通用作業系統的保護 130

7.1 被保護的對象和保護方法 130

7.1.1 歷史 130

7.1.2 被保護的對象 131

7.1.3 作業系統安全方法 131

7.2 記憶體和地址保護 132

7.2.1 電子籬笆 132

7.2.2 重定位 133

7.2.3 基址/邊界暫存器 134

7.2.4 標記體系結構 135

7.2.5 段式保護 136

7.2.6 頁式保護 138

7.2.7 頁式與段式管理結合 139

7.3 一般對象的訪問控制 140

7.3.1 索引 141

7.3.2 訪問控制表 143

7.3.3 訪問控制矩陣 144

7.3.4 權力 145

7.3.5 面向過程的訪問控制 147

7.4 檔案保護機制 147

7.4.1 基本保護形式 147

7.4.2 單一許可權 149

7.4.3 每對象和每用戶保護 151

7.5 用戶認證 151

7.5.1 使用口令 151

7.5.2 對口令的攻擊 153

7.5.3 口令選擇準則 157

7.5.4 認證過程 159

7.5.5 除了口令之外的認證 160

7.6 小結 161

7.7 未來發展方向 161

習題 161

第八章 資料庫安全模型與機制 163

8.1 資料庫安全概述 163

8.1.1 資料庫安全目標 163

8.1.2 資料庫的安全威脅 164

8.1.3 資料庫的安全需求 164

8.1.4 資料庫安全評價標準 165

8.1.5 資料庫安全研究的發展 165

8.2 資料庫系統的安全模型與實現策略 166

8.2.1 資料庫系統的安全模型 166

8.2.2 多級安全資料庫實現策略 171

8.3 資料庫系統安全機制 171

8.3.1 用戶身份認證 171

8.3.2 訪問控制 172

8.3.3 資料庫加密 175

8.3.4 推理控制 178

8.3.5 資料庫審計 181

習題 182

第9章 密碼學基本理論 183

9.1 密碼學介紹 183

9.2 對稱密碼 183

9.2.1 數據加密標準DES 184

9.2.2 IDEA 189

9.2.3 AES 191

9.2.4 流密碼 197

9.3 公鑰密碼 207

9.3.1 RSA 207

9.3.2 Rabin 209

9.3.3 ElGamal 210

9.3.4 McEliece 211

9.3.5 橢圓曲線密碼系統(ECC) 211

習題 214

第10章 密碼協定基本理論 215

10.1 引言 215

10.2 身份鑑別（認證）協定 216

10.2.1 口令鑑別 216

10.2.2 挑戰-回響式認證 217

10.2.3 基於零知識證明的身份鑑別 218

10.3 數字簽名 220

10.3.1 RSA簽名體系 221

10.3.2 Rabin簽名體系 221

10.3.3 FeigeFiatShamir簽名方案 222

10.3.4 GQ簽名方案 223

10.3.5 DSA 223

10.3.6 一次性數字簽名 225

10.3.7 具有特殊性質的一些簽名方案 227

10.3.8 基於橢圓曲線的簽名算法 230

10.4 密鑰分配協定 233

10.4.1 使用對稱密碼技術的密鑰傳輸協定 233

10.4.2 基於對稱密碼技術的密鑰協商協定 236

10.4.3 基於公鑰密碼技術的密鑰傳輸協定 236

10.4.4 基於公鑰密碼技術的密鑰協商協定 238

10.5 秘密共享 240

習題 241

第11章 計算機病毒基本知識及其防治 243

11.1 計算機病毒的定義 243

11.2 計算機病毒存在的原因 244

11.3 計算機病毒的歷史 245

11.3.1 國外情況概述 245

11.3.2 國內情況概述 247

11.4 計算機病毒的生命周期 247

11.5 計算機病毒的特性 248

11.5.1 計算機病毒的傳染性 248

11.5.2 計算機病毒的隱蔽性 249

11.5.3 計算機病毒的潛伏性 250

11.5.4 計算機病毒的破壞性 250

11.5.5 計算機病毒的針對性 250

11.5.6 計算機病毒的衍生性 251

11.5.7 計算機病毒的寄生性 251

11.5.8 計算機病毒的不可預見性 251

11.6 計算機病毒的傳播途徑及危害 251

11.7 計算機病毒的分類 254

11.7.1 檔案型計算機病毒 254

11.7.2 引導型計算機病毒 255

11.7.3 宏病毒 255

11.7.4 目錄(連結)計算機病毒 255

11.8 理論上預防計算機病毒的方法 256

11.9 計算機病毒結構的基本模式 257

11.10 病毒判定問題與說謊者悖論 259

11.11 計算機病毒變體 260

11.11.1 什麼是計算機病毒變體 261

11.11.2 計算機病毒變體的再生機制 262

11.11.3 計算機病毒變體的基本屬性 262

習題 264

第12章 計算機病毒檢測與標識的幾個理論結果 265

12.1 計算機病毒的非形式描述 265

12.1.1 計算機病毒 266

12.1.2 壓縮病毒 266

12.1.3 病毒的破壞性 267

12.2 計算機病毒的防治 268

12.2.1 計算機病毒的檢測 268

12.2.2 計算機病毒變體 268

12.2.3 計算機病毒行為判定 270

12.2.4 計算機病毒防護 270

12.3 計算機病毒的可計算性 271

12.3.1 邏輯符號 271

12.3.2 病毒的形式化定義 272

12.3.3 基本定理 274

12.3.4 簡縮表定理 279

12.3.5 病毒和病毒檢測的可計算性 285

12.4 一種不可檢測的計算機病毒 290

習題 292

第13章 入侵檢測的方法與技術 293

13.1 入侵檢測技術概述 293

13.1.1 入侵檢測技術簡介 293

13.1.2 入侵檢測的安全任務 294

13.1.3 入侵檢測系統的歷史 295

13.2 入侵的主要方法和手段 296

13.2.1 主要漏洞 296

13.2.2 入侵系統的主要途徑 298

13.2.3 主要的攻擊方法 298

13.3 入侵檢測技術的基礎知識 300

13.3.1 入侵檢測系統要實現的功能 300

13.3.2 入侵檢測系統的基本構成 301

13.3.3 入侵檢測系統的體系結構 302

13.3.4 入侵檢測系統的分類 304

13.4 入侵檢測系統的關鍵技術 305

13.4.1 入侵檢測系統的信息源 306

13.4.2 入侵檢測技術 309

13.4.3 入侵回響技術 312

13.4.4 安全部件互動協定和接口標準 313

13.4.5 代理和移動代理技術 315

13.5 入侵檢測的描述、 評測與部署 318

13.5.1 入侵檢測系統描述 318

13.5.2 入侵檢測系統的測試與評估 321

13.5.3 入侵檢測在網路中的部署 324

13.6 入侵檢測系統的發展趨勢和研究方向 326

習題 328

第十四章 計算機網路系統的可生存性 329

14.1 引言 329

14.1.1 可生存性的定義 329

14.1.2 可生存性研究與相關研究 330

14.2 可生存網路系統的體系結構與設計方法 332

14.2.1 可生存網路系統的體系結構 332

14.2.2 可生存網路系統的設計方法 334

14.3 網路系統安全性和可生存性的形式化描述 339

14.3.1 網路系統安全性的形式化描述 340

14.3.2 網路系統可生存性的形式化描述 341

14.4 網路系統可生存性的評估 345

14.4.1 與安全性相關的可量化屬性 345

14.4.2 形式化的可生存性評估方法 346

14.4.3 網路系統可生存性的定量評估 350

14.5 小結 353

習題 353

參考文獻 354