前    言

人類社會在經(jīng)歷了機(jī)械化、電氣化之后，進(jìn)入了一個嶄新的信息化時代。在信息時代，人們生活和工作在信息空間或網(wǎng)絡(luò)空間中。所謂信息空間或網(wǎng)絡(luò)空間就是人們賴以生存的信息環(huán)境，它是所有信息系統(tǒng)的集合。

在信息時代，信息成為一種重要的戰(zhàn)略資源。信息技術(shù)改變著人們的生活和工作方式，信息產(chǎn)業(yè)成為世界第一大產(chǎn)業(yè)。信息的獲取、存儲、傳輸、處理和安全保障能力成為一個國家綜合國力的重要組成部分。

我國非常重視信息技術(shù)人才隊伍的建設(shè)。伴隨著信息產(chǎn)業(yè)的發(fā)展，人力資源和社會保障部、工業(yè)與信息化部共同組織了“全國計算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試”，通過這項制度，已為我國培養(yǎng)選拔了幾十萬計算機(jī)與軟件服務(wù)專業(yè)技術(shù)人才（包括香港、澳門和臺灣地區(qū)來大陸就業(yè)的人員）。部分考試標(biāo)準(zhǔn)與日本、韓國互認(rèn)。該考試由于其權(quán)威性和嚴(yán)肅性，得到了社會各界及用人單位的廣泛認(rèn)同，并為推動國家信息產(chǎn)業(yè)發(fā)展，特別是計算機(jī)和軟件服務(wù)產(chǎn)業(yè)的發(fā)展，以及提高各類信息技術(shù)人才的素質(zhì)和能力發(fā)揮了重要作用。

當(dāng)前，信息技術(shù)與產(chǎn)業(yè)欣欣向榮，處于空前繁榮的階段，但是另一方面，危害信息安全的事件不斷發(fā)生，信息安全的形勢非常嚴(yán)峻。敵對勢力的破壞、黑客入侵、利用計算機(jī)實施犯罪、惡意軟件侵?jǐn)_、隱私泄露等，是我國信息網(wǎng)絡(luò)空間面臨的主要威脅和挑戰(zhàn)。我國已經(jīng)成為世界信息產(chǎn)業(yè)大國，但是還不是信息產(chǎn)業(yè)強(qiáng)國，在信息產(chǎn)業(yè)的基礎(chǔ)性產(chǎn)品研制、生產(chǎn)方面還比較薄弱，例如，計算機(jī)操作系統(tǒng)等基礎(chǔ)軟件和CPU等關(guān)鍵性集成電路，我國現(xiàn)在還部分依賴國外的產(chǎn)品，這就使得我國的信息安全基礎(chǔ)不夠牢固。

隨著計算機(jī)和網(wǎng)絡(luò)在軍事、政治、金融、工業(yè)、商業(yè)等部門的廣泛應(yīng)用，社會對計算機(jī)和網(wǎng)絡(luò)的依賴越來越大，如果計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全受到破壞，不僅會帶來巨大的經(jīng)濟(jì)損失，還會引起社會的混亂。因此，確保以計算機(jī)和網(wǎng)絡(luò)為主要基礎(chǔ)設(shè)施的信息系統(tǒng)的安全已成為世人關(guān)注的社會問題和信息科學(xué)技術(shù)領(lǐng)域的研究熱點。當(dāng)前，我國正處在全面建成小康社會的決定性階段，實現(xiàn)我國社會信息化并確保信息安全是我國全面建成小康社會的必要條件之一。而要實現(xiàn)我國社會信息化并確保信息安全的關(guān)鍵是人才，這就需要我們培養(yǎng)造就規(guī)模宏大、素質(zhì)優(yōu)良的信息化和信息安全人才隊伍。

2014年，習(xí)近平主席在中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組會議上指出：沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建成網(wǎng)絡(luò)強(qiáng)國。

“十三五”時期，我國要積極推動網(wǎng)絡(luò)強(qiáng)國建設(shè)。網(wǎng)絡(luò)強(qiáng)國涉及技術(shù)、應(yīng)用、文化、安全、立法、監(jiān)管等諸多方面，不僅要突出抓好核心技術(shù)突破，還要提供更加安全可靠的軟硬件支撐，加快建設(shè)高速、移動、安全、泛在的新一代信息基礎(chǔ)設(shè)施，在不斷推進(jìn)新技術(shù)新業(yè)務(wù)應(yīng)用，繁榮發(fā)展互聯(lián)網(wǎng)經(jīng)濟(jì)的同時，要強(qiáng)化網(wǎng)絡(luò)和信息安全，而培育高素質(zhì)人才隊伍是實施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要措施。2015年，國務(wù)院學(xué)位委員會和教育部增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科。我國信息安全學(xué)科建設(shè)和人才培養(yǎng)，迎來了全面高速發(fā)展的新階段。

與此同時，全國計算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試辦公室決定開始開展“信息安全工程師”崗位的人才評價工作，以加快推動信息安全專業(yè)的人才隊伍建設(shè)。我們相信，這一措施將成為科學(xué)評價我國信息安全專業(yè)技術(shù)人員的重要手段，也將為我國培養(yǎng)和選拔信息安全專業(yè)技術(shù)人才，發(fā)揮重要作用。

為了配合“信息安全工程師”考試工作的開展，給準(zhǔn)備參加考試的技術(shù)人員提供一本適用的教材，我們編寫了《信息安全工程師教程》一書。全書共分8章，主要內(nèi)容       如下：

第1章 信息安全基礎(chǔ)，主要介紹：信息安全概念、信息安全法律法規(guī)、信息安全管理基礎(chǔ)和信息安全標(biāo)準(zhǔn)化知識。本章的內(nèi)容是基本的，但是對信息安全技術(shù)人員來說是重要的。

第2章 密碼學(xué)基礎(chǔ)與應(yīng)用，主要講解：密碼學(xué)的基本概念、分組密碼、序列密碼、Hash函數(shù)、公鑰密碼體制、數(shù)字簽名、認(rèn)證和密鑰管理。本章的介紹強(qiáng)調(diào)基本概念、基本技術(shù)和基本應(yīng)用技術(shù)，努力避免較復(fù)雜的數(shù)學(xué)理論。

第3章 網(wǎng)絡(luò)安全基礎(chǔ)，主要介紹：計算機(jī)網(wǎng)絡(luò)基本知識、網(wǎng)絡(luò)安全的基本概念、網(wǎng)絡(luò)安全威脅、網(wǎng)絡(luò)安全防御和無線網(wǎng)絡(luò)安全。

第4章 信息系統(tǒng)安全基礎(chǔ)，主要討論：計算機(jī)設(shè)備安全、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)的安全、惡意代碼、計算機(jī)取證和嵌入式系統(tǒng)安全。

第5章 應(yīng)用系統(tǒng)安全基礎(chǔ)，主要講解：Web 安全、電子商務(wù)安全、信息隱藏、網(wǎng)絡(luò)輿情和隱私保護(hù)。

第6章 網(wǎng)絡(luò)安全工程，主要介紹：網(wǎng)絡(luò)安全需求分析與基本設(shè)計、網(wǎng)絡(luò)安全產(chǎn)品的配置與使用、網(wǎng)絡(luò)安全風(fēng)險評估實施和網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用。本章強(qiáng)調(diào)網(wǎng)絡(luò)安全的基本技術(shù)與應(yīng)用。

第7章 信息系統(tǒng)安全技術(shù)與產(chǎn)品，主要介紹：訪問控制、信息系統(tǒng)安全的需求分析與設(shè)計準(zhǔn)則、信息系統(tǒng)安全產(chǎn)品的配置與使用和信息系統(tǒng)安全測評。本章強(qiáng)調(diào)信息系統(tǒng)安全的基本技術(shù)與應(yīng)用。

第8章 應(yīng)用安全工程，主要介紹：Web 安全的需求分析與基本設(shè)計、電子商務(wù)安全的需求分析與基本設(shè)計、嵌入式系統(tǒng)的安全應(yīng)用、數(shù)字水印在版權(quán)保護(hù)中的應(yīng)用和位置隱私保護(hù)技術(shù)的應(yīng)用。本章強(qiáng)調(diào)應(yīng)用系統(tǒng)安全的基本技術(shù)與應(yīng)用。

本書由張煥國主編，杜瑞穎、傅建明、嚴(yán)飛副主編。參加編寫的還有：陳晶、羅敏、趙波、彭國軍、王張宜、牛曉光、王麗娜、任延珍、張立強(qiáng)、趙磊、武小平、王張宜、王鵑、余發(fā)江、鄭鵬、王志波、葉登攀、余榮威等各位老師。

本書的編寫工作得到湖北省軟件工程師考試辦公室夏波的指導(dǎo)和幫助，特向她表示感謝。

盡管作者們作了很大努力，力圖使本書理論聯(lián)系實際、簡明扼要、通俗易懂，但因作者水平和經(jīng)驗所限，書中難免會有不妥和錯誤之處。對此，作者懇請讀者的理解和批評指正，并于此先致感謝之意。

張煥國

于武漢大學(xué)

2016年3月

目    錄

第1章  信息安全基礎(chǔ)1

第2章  密碼學(xué)基礎(chǔ)與應(yīng)用75

第3章  網(wǎng)絡(luò)安全基礎(chǔ)169

第4章  信息系統(tǒng)安全基礎(chǔ)380

第5章  應(yīng)用系統(tǒng)安全基礎(chǔ)518

第6章  網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品615

第7章  信息系統(tǒng)安全工程718

第8章  應(yīng)用安全工程798

參考文獻(xiàn)858