計算機網路安全教程（第3版）

梁亞聲，中國人民解放軍電子工程學院總工。多年從事本科，研究生教學工作。獲得教學成果一等獎多次。項目主要有：系統工程教學體系，獲電子工程學院教學一等獎；獲得軍隊科技進步二等獎1項；獲得軍隊科技進步三等獎10項。獲得對象軍隊科技成果一、二、三等獎。

本書系統地介紹了計算機網路安全的體系結構、基礎理論、技術原理和實現方法。主要內容包括計算機網路的物理安全、信息加密與PKI技術、防火牆技術、入侵檢測技術、作業系統與資料庫安全技術、網路安全檢測與評估技術、計算機病毒與惡意代碼防範技術、數據備份技術、無線網路安全、雲計算安全及網路安全解決方案。本書涵蓋了計算機網路安全的技術和管理，在內容安排上將理論知識和工程技術套用有機結合，並介紹了許多計算機網路安全技術的典型套用方案。 本書可作為計算機、網路工程和信息安全等專業本科生的教科書，也可作為網路工程技術人員、網路管理人員和信息安全管理人員的技術參考書。

前言

第1章 緒論

1.1 計算機網路面臨的主要威脅

1.1.1 計算機網路實體面臨的威脅

1.1.2 計算機網路系統面臨的威脅

1.1.3 惡意程式的威脅

1.1.4 計算機網路威脅的潛在對手和動機

1.2 計算機網路的不安全因素

1.2.1 不安全的主要因素

1.2.2 不安全的主要原因

1.3 計算機網路安全的概念

1.3.1 計算機網路安全的定義

1.3.2 計算機網路安全的目標

1.3.3 計算機網路安全的層次

1.3.4 計算機網路安全所涉及的內容

1.4 計算機網路安全體系結構

1.4.1 網路安全模型

1.4.2 OSI安全體系結構

1.4.3 P2DR模型

1.4.4 網路安全技術

1.5 計算機網路安全管理

1.5.1 網路安全管理的法律法規

1.5.2 計算機網路安全評價標準

1.6 計算機網路安全技術發展趨勢

1.6.1 網路安全威脅發展趨勢

1.6.2 網路安全主要實用技術的發展

1.7 小結

1.8 習題

第2章 物理安全

2.1 機房安全

2.2 通信線路安全

2.3 設備安全

2.3.1 硬體設備的維護和管理

2.3.2 電磁兼容和電磁輻射的防護

2.3.3 信息存儲媒體的安全管理

2.4 電源系統安全

2.5 小結

2.6 習題

第3章 信息加密與PKI

3.1 密碼學概述

3.1.1 密碼學的發展

3.1.2 密碼學基本概念

3.1.3 密碼體制分類

3.2 加密算法

3.2.1 古典密碼算法

3.2.2 單鑰加密算法

3.2.3 雙鑰加密算法

3.2.4 同態加密算法

3.3 信息加密技術套用

3.3.1 鏈路加密

3.3.2 結點加密

3.3.3 端到端加密

3.3.4 同態加密套用

3.3.5 其他套用

3.4 認證技術

3.4.1 認證技術分層模型

3.4.2 認證體制要求與模型

3.4.3 數字簽名技術

3.4.4 身份認證技術

3.4.5 訊息認證技術

3.4.6 數字簽名與訊息認證

3.5 公開密鑰基礎設施（PKI）

3.5.1 PKI的基本概念

3.5.2 PKI認證技術的組成

3.5.3 PKI的特點

3.6 常用加密軟體介紹

3.6.1 PGP

3.6.2 GnuPG

3.7 小結

3.8 習題

第4章 防火牆技術

4.1 概述

4.1.1 防火牆的概念

4.1.2 防火牆的功能

4.1.3 防火牆的局限性

4.2 防火牆體系結構

4.2.1 雙重宿主主機體系結構

4.2.2 禁止主機體系結構

4.2.3 禁止子網體系結構

4.2.4 防火牆體系結構的組合形式

4.3 防火牆技術

4.3.1 包過濾技術

4.3.2 代理服務技術

4.3.3 狀態檢測技術

4.3.4 NAT技術

4.4 防火牆的安全防護技術

4.4.1 防止防火牆標識被獲取

4.4.2 防止穿透防火牆進行掃描

4.4.3 克服分組過濾的脆弱點

4.4.4 克服套用代理的脆弱點

4.5 防火牆套用示例

4.5.1 TG-470C防火牆系統組成

4.5.2 WebUI方式配置示例

4.6 個人防火牆

4.6.1 個人防火牆概述

4.6.2 個人防火牆的主要功能

4.6.3 個人防火牆的特點

4.6.4 主流個人防火牆簡介

4.7 防火牆發展動態和趨勢

4.8 小結

4.9 習題

第5章 入侵檢測技術

5.1 入侵檢測概述

5.1.1 入侵檢測原理

5.1.2 系統結構

5.1.3 系統分類

5.2 入侵檢測的技術實現

5.2.1 入侵檢測分析模型

5.2.2 誤用檢測

5.2.3 異常檢測

5.2.4 其他檢測技術

5.3 分散式入侵檢測

5.3.1 分散式入侵檢測的優勢

5.3.2 分散式入侵檢測的技術難點

5.3.3 分散式入侵檢測的實現

5.4 入侵檢測系統的標準

5.4.1 IETF/IDWG

5.4.2 CIDF

5.5 入侵防護系統

5.5.1 概念和工作原理

5.5.2 使用的關鍵技術

5.5.3 IPS系統分類

5.6 IDS系統示例

5.6.1 Snort簡介

5.6.2 Snort的體系結構

5.6.3 Snort的安裝與使用

5.6.4 Snort的安全防護

5.7 小結

5.8 習題

第6章 作業系統與資料庫安全技術

6.1 訪問控制技術

6.1.1 認證、審計與訪問控制

6.1.2 傳統訪問控制技術

6.1.3 新型訪問控制技術

6.1.4 訪問控制的實現技術

6.1.5 安全訪問規則（授權）的管理

6.2 作業系統安全技術

6.2.1 作業系統安全準則

6.2.2 作業系統安全防護的一般方法

6.2.3 作業系統資源防護技術

6.2.4 作業系統的安全模型

6.3 UNIX/Linux系統安全技術

6.3.1 UNIX/Linux安全基礎

6.3.2 UNIX/Linux安全機制

6.3.3 UNIX/Linux安全措施

6.4 Windows 7系統安全技術

6.4.1 Windows 7安全基礎

6.4.2 Windows 7安全機制

6.4.3 Windows 7安全措施

6.5 資料庫安全概述

6.5.1 資料庫安全的基本概念

6.5.2 資料庫管理系統簡介

6.5.3 資料庫系統的缺陷與威脅

6.6 資料庫安全機制

6.6.1 資料庫安全的層次分布

6.6.2 安全DBMS體系結構

6.6.3 資料庫安全機制分類

6.6.4 Oracle的安全機制

6.7 資料庫安全技術

6.8 小結

6.9 習題

第7章 網路安全檢測與評估技術

7.1 網路安全漏洞

7.1.1 網路安全漏洞的威脅

7.1.2 網路安全漏洞的分類

7.2 網路安全檢測技術

7.2.1 連線埠掃描技術

7.2.2 作業系統探測技術

7.2.3 安全漏洞探測技術

7.3 網路安全評估標準

7.3.1 網路安全評估標準的發展歷程

7.3.2 TCSEC、ITSEC和CC的基本構成

7.4 網路安全評估方法

7.4.1 基於通用評估方法（CEM）的網路安全評估模型

7.4.2 基於指標分析的網路安全綜合評估模型

7.4.3 基於模糊評價的網路安全狀況評估模型

7.5 網路安全檢測評估系統簡介

7.5.1 Nessus

7.5.2 AppScan

7.6 小結

7.7 習題

第8章 計算機病毒與惡意代碼防範技術

8.1 計算機病毒概述

8.1.1 計算機病毒的定義

8.1.2 計算機病毒簡史

8.1.3 計算機病毒的特徵

8.1.4 計算機病毒的危害

8.2 計算機病毒的工作原理和分類

8.2.1 計算機病毒的工作原理

8.2.2 計算機病毒的分類

8.2.3 病毒實例分析

8.3 計算機病毒的檢測與防範

8.3.1 計算機病毒的檢測

8.3.2 計算機病毒的防範

8.3.3 計算機病毒的發展方向和趨勢

8.4 惡意代碼

8.4.1 惡意代碼概述

8.4.2 惡意代碼的特徵與分類

8.4.3 惡意代碼的關鍵技術

8.4.4 網路蠕蟲

8.4.5 Rootkit技術

8.4.6 惡意代碼的防範

8.5 小結

8.6 習題

第9章 數據備份技術

9.1 數據備份概述

9.1.1 數據失效的主要原因

9.1.2 備份及其相關概念

9.1.3 備份的誤區

9.1.4 選擇理想的備份介質

9.1.5 備份技術和備份方法

9.2 數據備份方案

9.2.1 磁碟備份

9.2.2 雙機備份

9.2.3 網路備份

9.3 數據備份與數據恢復策略

9.3.1 數據備份策略

9.3.2 災難恢復策略

9.4 備份軟體簡介

9.4.1 Ghost軟體基本信息

9.4.2 分區備份

9.4.3 從鏡像檔案還原分區

9.4.4 硬碟的備份及還原

9.4.5 Ghost使用方案

9.5 小結

9.6 習題

第10章 無線網路安全

10.1 無線網路安全的特點

10.1.1 無線網路概述

10.1.2 無線網路的特點

10.1.3 無線網路面臨的安全威脅

10.2 Wi-Fi和無線區域網路安全

10.2.1 Wi-Fi和無線區域網路概述

10.2.2 無線區域網路安全機制

10.3 移動終端安全

10.3.1 iOS安全

10.3.2 Android安全

10.4 無線安全技術及套用

10.4.1 常用無線網路安全技術

10.4.2 無線網路安全技術套用

10.5 小結

10.6 習題

第11章 雲計算安全

11.1 雲計算面臨的安全挑戰

11.1.1 雲計算概述

11.1.2 雲安全概述

11.1.3 雲安全威脅

11.1.4 雲安全需求

11.2 雲計算安全架構

11.2.1 基於可信根的安全架構

11.2.2 基於隔離的安全架構

11.2.3 安全即服務的安全架構

11.3 雲計算安全技術

11.3.1 雲計算安全服務體系

11.3.2 雲計算安全技術的種類

11.4 小結

11.5 習題

第12章 網路安全解決方案

12.1 網路安全體系結構

12.1.1 網路信息安全的基本問題

12.1.2 網路安全設計的基本原則

12.2 網路安全解決方案概述

12.2.1 網路安全解決方案的基本概念

12.2.2 網路安全解決方案的層次劃分

12.2.3 網路安全解決方案的框架

12.3 網路安全解決方案設計

12.3.1 網路系統狀況

12.3.2 安全需求分析

12.3.3 網路安全解決方案設計實例

12.4 單機用戶網路安全解決方案

12.4.1 單機用戶面臨的安全威脅

12.4.2 單機用戶網路安全解決方案

12.4.3 移動終端上網安全解決方案

12.5 內部網路安全管理制度

12.6 小結

12.7 習題

附錄

附錄A 彩虹系列

附錄B 安全風險分析一覽表

參考文獻