本书比较系统地介绍了信息内容安全技术的发展历史和研究现状，全面阐述了该领域中已经发展起来的一些主要技术的原理、方法和应用情况。

本书介绍信息安全的基本概念、方法和技术。主要内容包括信息安全的基本知识、信息安全模型、当代主流的密码技术、数据库加密和安全访问机制、数字签名和信息认证技术、计算机网络操作系统安全、安全电子商务系统、网络入侵检测方法与技术等。本书取材新颖、全面，内容先进、科学、实用，编排合理，少而精，理论与实践相结合、可读性强，例题和习题配置适当。本书可作为计算机科学技术、电子信息工程、通信工程、自动化和管理信息系统等信息类专业的教材，也可供从事信息安全工作的管理干部和工程技术人员参考。

本书作者的工作性质允许他有机会审查很多信息安全系统和密码协议，其中有些应用在重要的场合。在很多应用中，作者看到了这些系统中存在有所谓的“教科书式密码”的特征，这是把很多密码学教科书中一般都介绍的密码算法直接拿来应用的结果。利用基本的公钥加密算法直接对口令进行加密就是“教科书式密码”的一个典型例子。教科书式密码以“不可忽略的概率”在重要应用场合下的出现引起了作者的担心。看来，教科书式密码的一般危害，尚没有被那些针对重要现实应用来设计和开发信息安全系统的许多人所意识到。WenboMao：计算机科学博士。在英国Manchester大学做博士后研究期间，与C.Boyd博士对密码协议和协议形式的分析进行了深入研究并做出贡献。后加入HP公司做高级技术成员，在英国的Bristol研究实验室的可信赖系统实验室，参加了多项重要的电子商务系统和信息安全系统的设计和开发工作。他是多个有关密码和信息安全重要国际会议的程序委员会成员和有关杂志的密码和信息安全方面专辑的编辑或顾问组成员。自2000年4月至今任HP公司总工程师，技术领导。第Ⅰ部分是密码学与信息安全的入门性介绍。第Ⅱ部分介绍学习本书必备的数学背景知识，也可作为学习现代密码学理论基础的系统背景知识。第Ⅲ部分介绍提供保密和数据完整性保护最基本的密码算法和技术。第Ⅳ部分介绍应用密码学和信息安全中一个重要的概念：：认证。第Ⅴ部分对公钥密码技术（加密、签名和签密）的强（实用）安全性概念进行严格的形式化处理，并给出认证协议的形式化分析方法。第Ⅵ部分包括两个技术章节和一个简短的评述。本书适合大学本科生、在高科技公司从事信息安全系统设计和开发的安全工程师、企业信息安全系统管理人员或者生产安全产品的软/硬件开发商以及刚开始从事密码学或计算机安全方面研究的博士生等使用。

本书首先明确了需求分析的目的及其重要性。然后作者通过介绍、分析现有的多种技术，来解释如何进行有效的需求分析。书中为读者掌握从商业角度到软件构架的过程提供了有效指导。 本书可作为软件学院及大学计算机等专业相关课程的教材，也可以作为软件公司各级管理和开发人员的参考资料。

原书光盘内容请从这里下载本书详细介绍密码学在保护商业信息资源方面的应用，并详细描述了ICSA的信息安全产品认证过程。本书很好地将古典密码学历史和密码分析学结合到现代公钥密码产品领域，展现了密码分析学在先进计算机安全体系中的应用，探讨了生物学加密的前景，强调了密码安全产品在计算机系统中的正确实现。内容涉及过程、产品、协议、密钥管理、实现错误、产品认证等诸多方面。本书面向信息技术的实践者，内容丰富，适合企业的CIO、网络管理人员、安全管理人员等专业人员阅读。密码学，曾经是像007这样的间谍的专有领域，而现在它已经成为引人注目的中心一一这要感谢Internet。但密码学革命性的发展引起了一些问题：如何在公共网络上进行私人商务？如何保护链接到公共论坛的机密记录？如何阻止黑客入侵和破坏不可替代的数据和系统？如何防止战略商业信息被竞争者获取？本书针对这些问题详细介绍密码学在保护商业信息资源方面的应用。本书作者是密码学领域的专家，并且得到第一流的密码组织的支持。本书介绍关键的密码问题，并特别把重点放在当前的技术应用上。本书结合了古典密码学的丰富历史和现代的公钥密码系统，是关于密码过程、产品、管理、实现和产品认证的权威指南。本书有助子你面对当今的安全技术挑战：保护数字现金和电子商务在计算机系统上适当实现密码技术使用密码分析保护先进的计算机网络保护通信连接不同的密码技术保护商业数据和系统

你担心过自己电脑中的商业机密和个人隐私的安全吗？的确，电脑已经在我们日常工作和生活中充当了非常重要的角色。各种数据都储存在电脑中，一旦这些数据丢失或被盗，将给电脑用户带来无法弥补的损失。设置密码是保护电脑数据的重要措施之一，本书就为用户深入浅出地介绍了密码的设置和恢复，以系统、软件、邮件、网游、网络通讯等多方位的密码攻防以及网络入侵实例，让读者轻松掌握各种密码知识，全面保护电脑系统的安全。

本书为系统管理员和用户提供了大量信息，帮助他们来理解Windows系统下的恶意代码问题。通过对不同的恶意传播代码分章探讨，作者对各种类型的恶意代码都进行了详细的讨论，包括：·病毒·木马和蠕虫·ActiveX和Java恶意攻击代码·DOS病毒·宏病毒·基于浏览器的恶意攻击代码·Email攻击·即时消息击（Instantmessagingattack）本书对于每一种方式均进行了详尽的介绍。除了描述这些攻击方式的原理之处，还提供了一些技术细节，以帮助你理解为什么这些攻击能够实现。每一章对于相应的攻击方式都介绍了应当采取的具体保护措施。尽管你已经竭尽全力，但仍然可能受到意代码的攻击。有时这种攻击的结果非常明显；而有时除非造成巨大破坏，结果难以察觉。本书介绍了如何寻找和识别遭受各种不同攻击的迹象。每一章都介绍了如何删除这些恶意代码并恢复你的系统。在每一章结尾，作者对该章相应的攻击类型的危险程度作了评价。作者简介：RogerA.Grimes从1987年就开始从事专门的恶意传播代码防范工作，拥有MCSE、CNM和A+等认证资格。他的客户包括美国最大的数家银行、许多大学以及美国海军。目录前言第一章介绍追查什么是恶意传播代码编写恶意代码的亚文化亚意传播代码术语小结第二章DOS病毒背景介绍DOS技术DOS病毒类型病毒防御原理DOS病毒的例子如何发现DOS病毒清除DOS病毒保护你的系统不受病毒攻击危险评估——低小结第三章Windows技术Windows技术Windows的新版本小结第四章Windows病毒Windows平台下的DOS病毒Windows平台下的Windows病毒WindowsNT病毒感染的特征和症状Windows病毒的例子发现Windows病毒清除病毒清除文件感染病毒Windows下的病毒防御未来危险评估——中小结第五章宏病毒什么是宏病毒微软Word和Excel宏使用宏Office2000安全宏病毒技术宏病毒例子……第六章木马和蠕虫第七章即时消息攻击第八章Internet浏览技术第九章通过Internet浏览器攻击第十章恶意的Javaapplet第十一章恶意ActiveX控件第十二章邮件攻击第十三章期编性病毒第十四章防御第十五章恶意传播性码的未来词汇表

在准备CISSP认证考试的时候，需要考生们花费很大精力来准备。因为该考试不仅需要对CBK知识有很好的理解，同时还需要考生们掌握相当的实际应用技巧。这套手册将作为准备CISSP认证考试的考生们所使用的几本非常有价值的参考书之一，特别是其中某些章节的内容是由专门从事这方面考试研究的人员所撰写的，这些内容将具有极高的参考价值。另外，在这本书中还包含有许多实际操作方面的知识，因此该书也非常适合于那些从事实际工作的专家参考。王越，中国科学院院士，中国工程院院士，北京理工大学名誉校长。国内著名通信学专家。主要研究方向为通信系统、系统理论与信息对抗。王顺满，北京理工大学通信与信息系统学博士。主要研究方向为信息安全、移动通信与系统理论。信息安全管理技术是当今通信与计算机界的一个热门话题。本书主要从人、网络以及信息系统的运行环境等几个方面对基于TCP/IP协议的信息系统安全问题进行讲述，从系统的角度探究信息安全领域的相关问题，具有极强的可读性。随着信息安全问题变得越来越复杂，拥有CISSP证书的人也越来越受到企业的欢迎。本书可作为应考CISSP的首选参考教材，也可作为信息安全专业人员、研究人员的参考手册。本书结构紧凑、内容全面、深入浅出，强调理论与实践的结合。书中包括了CISSP考试要求的大部分内容，读者可以根据自己需要去单独学习其中的章节。

本手册共分10个部分。第一部分讨论访问控制系统和方法。第二部分叙述电信与网络安全问题。第三部分讨论安全管理的实现问题。第四部分讨论应用与系统开发安全问题。第五部分讨论密码学，主要是加密技术与实现。第六部分讨论安全结构与模型。第七部分讨论计算机操作安全问题。第八部分讨论业务连续性计划和灾难恢复计划。第九部分讨论法律、调查以及道德规范问题。第十部分讨论物理安全问题。随着信息安全问题变得越来越复杂，拥有CISSP证书的人也越来越受到企业的欢迎。本手册的首要目的是作为应考CISSP的主要教材，也可以作为信息安全专业人员、研究人员的参考手册。本手册包括了CISSP考试要求的大部分内容，读者可以根据自己需要去单独学习每一章。InformationSecurityManagementHandbook，FourthEdition，VolumeI，Copyright2000，CRCPressLLC． 本书中文简体版专有出版权由CRC Press授予电子工业出版社，未经许可，不得以任何方式复制或抄袭本书的任何部分。版权贸易合同登记号图字：01-2002-5472译者序信息在当今社会中的地位和作用越来越重要，已成为社会发展的重要战略资源，信息技术改变着人们的生活和工作方式，信息产业已成为新的经济增长点，社会的信息化已成为当今世界发展的潮流和核心。与此同时，信息的安全问题也已成为世人关注的社会问题。 CISSP（CertifiedlnformationSystemSecurityProfessional）的证书由Internationallnformation SystemsSecuntyCertificationConsortium（简称为（1SC）勺发布，其考试内容包括访问控制系统、密码学以及安全管理。目前拥有CISSP证书的人越来越受到企业的欢迎。本手册一方面是作为应考CISSP的主要教材，另一方面可以作为信息安全专业人员、研究人员的参考手册。本手册共分10个部分，分别介绍访问控制系统和方法、电信与网络安全、安全管理的实现、应用与系统开发安全、密码学、安全结构与模型、操作安全、业务连续性计划和灾难恢复计划、法律及道德规范、物理安全。参加本手册翻译的有王卫卫、杨波、王立明、符刚、刘秀英、王保仓、于志强、刘涛、吕锡香、程男男、赵志飞、魏凌波、胡明、王春松，由王卫卫统稿和审校。由于译者水平有限，错误在所难免，恳请读者批评指正。前言本书不仅可以供信息安全专业人员作为参考手册，也可以供准备参加CISSP考试的人员作为复习资料。随着信息安全问题变得越来越复杂，企业也越来越需要拥有CISSP证书的人。每年有几百人参加考试，但目前大约只有2500人获得了国际信息系统安全证书联盟（1SC）颁发的CISSP证书。考前准备是至关重要的，因为应考者需要完全了解该领域的常用知识。信息安全管理手册（HISM）系列书已成为应考者的主要参考书。本书涵盖了CISSP考试所需的大部分内容，读者可以根据自己的需要去单独学习每一章。第一部分讨论访问控制问题和方法。访问控制包括所有机制：物理访问、逻辑访问与管理访问，目的是保证只允许特殊的授权者或授权过程使用或访问系统。第二部分讨论电信与网络安全问题。包括两大主题：网络安全以及因特网、内部网、外域网安全问题，目的是保证通过电信传输的信息是完整、可靠的，同时电信媒体是可利用的。第三部分讨论安全管理实践问题，包括安全意识、企业结构和风险管理。制定合理的安全管理策略、程序、底线和原则可以保证企业有合理、持久的安全性；对信息分类有利于保护敏感信息：安全意识培训可以帮助员工理解并遵守执行企业的安全策略和程序：了解企业结构有助于确定适当的信息安全功能；风险管理是有效利用企业资源的管理工具。第四部分讨论应用与系统开发安全问题，包括系统与应用软件中可以利用和已经使用的各种控制，以及开发设计系统与应用软件的过程。第五部分讨论密码学。主要包括从最基本的到最新的加密技术与实现，例如，密钥管理、Kerberos以及PKI。第六部分讨论安全系统结构与模型。计算机结构部分主要讨论计算机的组织和配置以保证计算机安全，模型部分主要讨论维护系统与信息安全的一些概念，本部分还包括个人计算机与局域网（LAN）的安全问题。第七部分讨论操作安全问题。包括围绕着操作者与系统管理权限的数据中心和分布式处理安全问题、计算资源的保护，以及对这些重要资源的威胁将会带来的影响．第八部分讨论业务连续性计划和灾难恢复计划。本部分的术语非常多，但基本上可以归结为制定具体的协作行动计划以避免或减轻正常的业务信息处理功能遭到破坏时带来的影响。第九部分讨论法律、调查以及道德规范问题。法律包括信息安全功能面临的法律和约束问题。调查包括成功地调查安全事件并保持证据的真实完整性所需要的原则和原理。道德规范讨论正确与错误行为之间的区别以及自愿做正确的事情。第十部分讨论物理安全问题。物理安全包括为信息处理活动提供安全的环境，主要讨论如何防止对计算设备的非法的物理与技术访问。

只要是上网的用户或多或少都有账号被盗的惨痛经历。当游戏账号被盗后，辛苦练级的成果便付之一炬，当QQ账号被盗后便无法和朋友进行通讯，当E-mail账号被盗后你无法和重要的联系人进行交流。我们还能让盗号者胡作非为吗？本书主要针对目前网络上流行的种种网络游戏盗号方式，在此为广大玩家深入浅出地分析了盗号者的盗号手法，并给出了详细的应对方案。看过本书之后，你的账号被他人盗取的几率将会变为零！