网络安全——技术与实践（第3版）（网络空间安全重点规划丛书） pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

刘建伟，王育民 著

图书标签:

• 网络安全
• 信息安全
• 网络空间安全
• 安全技术
• 安全实践
• 渗透测试
• 漏洞分析
• 攻击防御
• 安全规划
• 第三版

出版社： 清华大学出版社

ISBN：9787302467588

版次：1

商品编码：12168572

包装：平装

开本：16

出版时间：2017-03-01

用纸：胶版纸

页数：463

字数：696000

编辑推荐

本书由教育部高等学校信息安全专业教学指导委员会、中国计算机学会教育专业委员会共同指导，为普通高等教育“十一五”*规划教材并获得教育部普通高等教育精品教材奖、中央网信办和教育部评选的国家网络安全优秀教材奖，符合《高等学校信息安全专业指导性专业规范》。
本书全面而深入地阐述了密码学理论及信息安全相关技术，将密码学理论与信息安全实践有机结合，是国内近年来出版的同类教材中的优秀教材和经典教材。全书整体结构合理，层次清晰，内容全面，深入浅出，不但收入了近年来国内外密码学理论和信息安全实践中*新的技术和研究成果，而且还特别注重理论联系实践，并符合教育部高等学校信息安全专业教学指导委员会编制的《高等学校信息安全专业指导性专业规范》，特别适合作为高等院校信息安全、信息对抗、计算机工程和通信工程等专业的本科生和研究生教材。本书的配套教材《网络安全实验教程（第2版）》（ISBN:978-7-302-28321-8）为普通高等教育“十一五”*规划教材，并被评为北京市精品教材。
本书自出版以来，已经多次再版和重印，累计发行逾2万册，深受广大师生和读者欢迎，100多所高校选用本书作为专业课教材，普遍反映该教材特色突出，教学效果很好。

内容简介

全书共分3篇15章。第1篇为网络安全基础，共3章，主要讨论网络安全的基础知识；第2篇为密码学基础，共5章，详细讨论各种密码算法和技术，特别深入地介绍我国已公布的标准密码算法；第3篇为网络安全技术与应用，共7章，深入介绍网络实践中常用的一些网络安全技术及产品。
本书内容丰富，概念清楚，语言精练。在网络安全基本知识和密码学理论的阐述上，力求深入浅出，通俗易懂；在网络安全技术与产品的讲解上，力求理论联系实际，面向具体应用。本书在每章的后面提供了思考题和练习题，以便于读者巩固所学的知识点；在书末也提供了大量的参考文献，便于有兴趣的读者继续深入学习有关内容。
本书可作为信息安全、信息对抗技术、密码学等专业的本科生教材，也可以用作网络空间安全一级学科的研究生教材。对于广大网络安全工程师、网络管理员和IT从业人员来说，本书也是很好的参考书和培训教材。

作者简介

作者：刘建伟、王育民

内页插图

目录

第1篇 网络安全基础
第1章 引言 3
1.1 对网络安全的需求 5
1.1.1 网络安全发展态势 5
1.1.2 敏感信息对安全的需求 6
1.1.3 网络应用对安全的需求 7
1.2 安全威胁与防护措施 7
1.2.1 基本概念 7
1.2.2 安全威胁的来源 8
1.2.3 安全防护措施 10
1.3 网络安全策略 11
1.3.1 授权 12
1.3.2 访问控制策略 12
1.3.3 责任 13
1.4 安全攻击的分类 13
1.4.1 被动攻击 13
1.4.2 主动攻击 14
1.5 网络攻击的常见形式 15
1.5.1 口令窃取 16
1.5.2 欺骗攻击 16
1.5.3 缺陷和后门攻击 17
1.5.4 认证失效 18
1.5.5 协议缺陷 19
1.5.6 信息泄漏 19
1.5.7 指数攻击——病毒和蠕虫 20
1.5.8 拒绝服务攻击 21
1.6 开放系统互连安全体系结构 22
1.6.1 安全服务 23
1.6.2 安全机制 25
1.6.3 安全服务与安全机制的关系 26
1.6.4 在OSI层中的服务配置 27
1.7 网络安全模型 27
习题 28
第2章 计算机网络基础 30
2.1 计算机网络的定义 30
2.2 计算机网络体系的结构 30
2.2.1 网络体系结构的定义 30
2.2.2 两种典型的网络体系结构 32
2.2.3 网络协议及协议封装 34
2.3 分组交换技术 35
2.3.1 分组交换技术的概念 35
2.3.2 分组交换的特点 35
2.4 Internet的基本知识 36
2.4.1 Internet的构成 36
2.4.2 服务类别 37
2.4.3 IPv4地址 37
2.4.4 端口的概念 40
习题 41
第3章 Internet协议的安全性 43
3.1 Internet协议概述 43
3.2 网际层协议 43
3.2.1 IP协议 43
3.2.2 ARP协议 45
3.2.3 ICMP协议 46
3.2.4 IGMP协议 47
3.2.5 OSPF协议 48
3.2.6 BGP协议 49
3.3 传输层协议 50
3.3.1 TCP协议 51
3.3.2 UDP协议 52
3.4 应用层协议 53
3.4.1 RIP协议 53
3.4.2 HTTP协议 54
3.4.3 TELNET协议 55
3.4.4 SSH协议 56
3.4.5 DNS协议 57
3.4.6 SMTP协议 58
3.4.7 MIME协议 60
3.4.8 POP3协议 60
3.4.9 IMAP4协议 61
3.4.10 PGP协议 63
3.4.11 FTP协议 64
3.4.12 TFTP协议 65
3.4.13 NFS协议 65
3.4.14 SNMP协议 66
3.4.15 DHCP协议 67
3.4.16 H.323协议 68
3.4.17 SIP协议 69
3.4.18 NTP协议 70
3.4.19 FINGER协议 71
3.4.20 Whois协议 72
3.4.21 LDAP协议 73
3.4.22 NNTP协议 74
习题 75
第2篇 密码学基础
第4章 单（私）钥密码体制 79
4.1 密码体制的定义 79
4.2 古典密码 80
4.2.1 代换密码 81
4.2.2 换位密码 83
4.2.3 古典密码的安全性 84
4.3 流密码的基本概念 85
4.3.1 流密码框图和分类 86
4.3.2 密钥流生成器的结构和分类 87
4.3.3 密钥流的局部统计检验 88
4.4 快速软、硬件实现的流密码算法 89
4.4.1 A5 89
4.4.2 加法流密码生成器 90
4.4.3 RC4 91
4.4.4 祖冲之密码 92
4.5 分组密码概述 98
4.6 数据加密标准 101
4.6.1 DES介绍 101
4.6.2 DES的核心作用：消息的随机非线性分布 103
4.6.3 DES的安全性 103
4.7 高级加密标准 104
4.7.1 Rijndael密码概述 105
4.7.2 Rijndael密码的内部函数 106
4.7.3 AES密码算法 109
4.7.4 AES的密钥扩展 111
4.7.5 AES对应用密码学的积极影响 112
4.8 中国商用分组密码算法SM4 113
4.8.1 SM4密码算法 113
4.8.2 SM4密钥扩展算法 116
4.8.3 SM4的安全性 117
4.9 分组密码的工作模式 117
4.9.1 电码本模式 118
4.9.2 密码分组链接模式 118
4.9.3 密码反馈模式 119
4.9.4 输出反馈模式 120
4.9.5 计数器模式 122
习题 122
第5章 双（公）钥密码体制 124
5.1 双钥密码体制的基本概念 125
5.1.1 单向函数 125
5.1.2 陷门单向函数 126
5.1.3 公钥系统 126
5.1.4 用于构造双钥密码的单向函数 126
5.2 RSA密码体制 128
5.2.1 RSA密码体制 129
5.2.2 RSA的安全性 130
5.2.3 RSA的参数选择 133
5.2.4 RSA体制应用中的其他问题 135
5.2.5 RSA的实现 135
5.3 ElGamal密码体制 136
5.3.1 密钥生成 136
5.3.2 加解密 136
5.3.3 安全性 136
5.4 椭圆曲线密码体制 137
5.4.1 实数域上的椭圆曲线 137
5.4.2 有限域Zp上的椭圆曲线 138
5.4.3 GF(2m)上的椭圆曲线 140
5.4.4 椭圆曲线密码 141
5.4.5 椭圆曲线的安全性 142
5.4.6 ECC的实现 143
5.4.7 当前ECC的标准化工作 143
5.4.8 椭圆曲线上的RSA密码体制 144
5.4.9 用圆锥曲线构造双钥密码体制 144
5.5 基于身份的密码体制 145
5.5.1 引言 145
5.5.2 双线性映射和双线性D-H假设 146
5.5.3 IBE方案 147
5.5.4 IBE方案的安全性 148
5.6 中国商用密码SM2算法 151
5.6.1 SM2椭圆曲线推荐参数 151
5.6.2 辅助函数 151
5.6.3 密钥生成 152
5.6.4 加密 152
5.6.5 解密 153
5.6.6 实例与应用 155
5.7 公钥密码体制的安全性分析 155
习题 157
第6章 消息认证与杂凑函数 159
6.1 认证函数 159
6.1.1 消息加密 159
6.1.2 消息认证码 163
6.1.3 杂凑函数 165
6.2 消息认证码 166
6.2.1 对MAC的要求 167
6.2.2 基于杂凑函数的MAC 168
6.2.3 基于分组加密算法的MAC 169
6.3 杂凑函数 169
6.3.1 单向杂凑函数 169
6.3.2 杂凑函数在密码学中的应用 170
6.3.3 分组迭代单向杂凑算法的层次结构 170
6.3.4 迭代杂凑函数的构造方法 171
6.3.5 应用杂凑函数的基本方式 172
6.4 常用杂凑函数 174
6.4.1 MD系列杂凑函数 174
6.4.2 SHA系列杂凑函数 178
6.4.3 中国商用杂凑函数SM3 181
6.5 HMAC 184
6.5.1 HMAC的设计目标 184
6.5.2 算法描述 185
6.5.3 HMAC的安全性 186
习题 187
第7章 数字签名 189
7.1 数字签名基本概念 189
7.2 RSA签名体制 190
7.2.1 体制参数 190
7.2.2 签名过程 191
7.2.3 验证过程 191
7.2.4 安全性 191
7.3 ElGamal签名体制 191
7.3.1 体制参数 191
7.3.2 签名过程 192
7.3.3 验证过程 192
7.3.4 安全性 192
7.4 Schnorr签名体制 193
7.4.1 体制参数 193
7.4.2 签名过程 193
7.4.3 验证过程 193
7.4.4 Schnorr签名与ElGamal签名的不同点 194
7.5 DSS签名标准 194
7.5.1 概况 194
7.5.2 签名和验证签名的基本框图 195
7.5.3 算法描述 195
7.5.4 DSS签名和验证框图 196
7.5.5 公众反应 196
7.5.6 实现速度 196
7.6 中国商用数字签名算法SM2 197
7.6.1 体制参数 197
7.6.2 签名过程 197
7.6.3 验证过程 198
7.6.4 签名实例 199
7.7 具有特殊功能的数字签名体制 200
7.7.1 不可否认签名 200
7.7.2 防失败签名 200
7.7.3 盲签名 201
7.7.4 群签名 201
7.7.5 代理签名 202

精彩书摘

第5章
双（公）钥密码体制
双钥（公钥）体制于1976年由W. Diffie和M. Hellman提出，同时R. Merkle也独立提出了这一体制。J. H. Ellis的文章阐述了公钥密码体制的发明史，说明了CESG的研究人员对双钥密码体制发明所做出的重要贡献。这一体制的*大特点是采用两个密钥将加密和解密能力分开：一个密钥公开作为加密密钥，称为公钥；一个密钥为用户专用，作为解密密钥，称为私钥。通信双方无须事先交换密钥就可进行保密通信。但是从公开的公钥或密文分析出明文或私钥，则在计算上是不可行的。若以公开钥作为加密密钥，以用户专用钥作为解密密钥，则可实现多个用户加密的消息只能由一个用户解读；反之，以用户专用钥作为加密密钥而以公开钥作为解密密钥，则可实现由一个用户加密的消息而使多个用户解读。前者可用于保密通信，后者可用于数字签名。这一体制的出现是密码学史上划时代的事件，它为解决计算机信息网中的安全提供了新的理论和技术基础。
自1976年以来，双钥体制有了飞速发展，人们不仅提出了多种算法，而且出现了不少安全产品，有些已用于NII和GII之中。本章介绍其中的一些主要体制，特别是那些既有安全性，又有实用价值的算法。其中，包括可用于密钥分配、加解密或数字签名的双钥算法。一个好的系统不仅算法要好，还要求能与其他部分（如协议等）进行有机 组合。
由于双钥体制的加密变换是公开的，任何人都可以采用选择明文来攻击双钥体制，因此，明文空间必须足够大才能防止穷尽搜索明文空间攻击。这在双钥体制应用中特别重要（如用双钥体制加密会话密钥时，会话密钥要足够长）。一种更强有力的攻击法是选择密文攻击，攻击者选择密文，然后通过某种途径得到相应的明文，多数双钥体制对于选择密文攻击特别敏感。攻击者通常采用两类选择密文攻击：
（1）冷漠选择密文攻击。在接收到待攻击的密文之前，可以向攻击者提供他们所选择的密文的解密结果。
（2）自适应选择密文攻击。攻击者可能利用（或接入）被攻击者的解密机（但不知其秘密钥），而可以对他所选择的、与密文有关的待攻击的密文，以及以前询问得到的密文进行解密。
本章介绍双钥体制的基本原理和几种重要算法，如RSA、ElGamal、椭圆曲线、基于身份的密码体制和中国商用密码SM2算法等密码算法。
Diffie [Diffie 1992]曾对双钥体制的发展做了全面论述。

双钥密码体制的基本概念
对于双钥密码体制来说，其安全性主要取决于构造双钥算法所依赖的数学问题。要求加密函数具有单向性，即求逆的困难性。因此，设计双钥体制的关键是首先要寻求一个合适的单向函数。
5.1.1 单向函数
定义 5-1 令函数f是集A到集B的映射，用表示。若对任意 ，有，则称f为单射，或1-1映射，或可逆的函数。
f为可逆的充要条件是，存在函数，使对所有有。
定义5-2 一个可逆函数，若它满足：
（1）对所有，易于计算。
（2）对“几乎所有”由求x“极为困难”，以至于实际上不可能做到，则称f为单向（One-Way）函数。
定义中的“极为困难”是对现有的计算资源和算法而言。Massey称此为视在困难性（Apparent Difficulty），相应函数称为视在单向函数，以此来与本质上的困难性（Essential Difficulty）相区分[Massey 1985]。
例5-1 令f是在有限域GF(p)中的指数函数，其中p是大素数，即
（5-1）
式中，，x为满足的整数，其逆运算是GF(p)中定义的对数运算，即
（5-2）
显然，由x求y是容易的，即使当p很大，例如时也不难实现。为方便计算，以下令(=2。所需的计算量为log次乘法，存储量为(log p)2b，例如时，需做100次乘法。利用高速计算机由x计算可在0.1ms内完成。但是相对于当前计算GF(p)中对数*好的算法，要从计算x所需的存储量大约为b，运算量大约为。当p=2100时，所需的计算量为次，用计算指数一样快的计算机进行计算需时约秒（1年=秒，故约为1600年。其中假定存储量的要求能够满足）。由此可见，当p很大时，GF(p)中的，为单向函数。
Pohlig和Hellman对(p-1)无大素因子时给出一种快速求对数的算法[Pohlig等 1978]。特别是当时，从求x的计算量仅需次乘法。对于，在高速计算机上大约仅需时10ms。因此，在这种情况下，就不能被认为是单向 函数。
综上所述，当对素数p，且p-1有大的素因子时，GF(p)上的函数是一个视在单向函数。寻求在GF(p)上求对数的一般快速算法是当前密码学研究中的一个重要课题。

5.1.2 陷门单向函数
单向函数是求逆困难的函数，而陷门单向函数（Trapdoor One-Way Function）是在不知陷门信息下求逆困难的函数，当知道陷门信息后，求逆易于实现。这是Diffie和Hellmam[Diffie等 1976]引入的有用概念。
号码锁在不知预设号码时很难打开，但若知道所设号码则容易开启。太平门是另一例，从里面向外出容易，若无钥匙者反向难进。但如何给陷门单向函数下定义则很棘手，因为：
（1）陷门函数其实不是单向函数，因为单向函数是在任何条件下求逆都是困难的。
（2）陷门可能不止一个，通过试验，一个个陷门就可容易地找到逆。如果陷门信息的保密性不强，求逆也就不难。
定义5-3 陷门单向函数是一类满足下述条件的单向函数：，，Z是陷门信息集。
（1）对所有，在给定z下容易找到一对算法和，使对所有，易于计算及其逆，即
（5-3）
（5-4）
而且当给定z后容易找到一种算法，称为可用消息集鉴别函数，对所有易于检验是否，是可用的明文集。
（2）对“几乎所有”，当只给定和时，对“几乎所有”，“很难”（即“实际上不可能”）从算出x。
（3）对任一z，集必须是保密系统中明文集中的一个“方便”集。即便于实现明文到它的映射（在双钥密码体制中是默认的条件）。（Diffie和Hellman定义的陷门函数中，，对所有Z成立。实际中的取决于Z）。
5.1.3 公钥系统
在一个公钥系统中，所有用户共同选定一个陷门单向函数，加密运算E及可用消息集鉴别函数F。用户i从陷门集中选定zi，并公开和。任一要向用户i发送机密消息者，可用检验消息x是否在许用消息集之中，然后送给用户x即可。
在仅知y，和的情况下，任一用户不能得到x。但用户i利用陷门信息，易于得到。
定义5-4 对和任意，。若
（5-5）
成立，则称F为可换单向函数。
可换单向函数在密码学中更有用。
5.1.4 用于构造双钥密码的单向函数
Diffie和Hellman在1976年发表的文章虽未给出陷门单向函数，但大大推动了这方面的研究工作。双钥密码体制的研究在于，给出这种函数的构造方法以及它们的安全性。
陷门单向函数的定义并没有指出这类函数是否存在，但其中指出：一个单钥密码体制，如果能抗击选择明文攻击，就可规定一个陷门单向函数。以其密钥作为陷门信息，则相应的加密函数就是这类函数。这是构造双钥体制的途径。
下面是一些单向函数的例子。目前多数双钥体制是基于这些问题构造的。
1. 多项式求根
有限域GF(p)上的一个多项式

当给定，p及x时，很容易求y，利用Honer's 法则，即
（5-6）
*多有n次乘法和n－1次加法。反之，已知，要求解x需能对高次方程求根。这至少要次乘法（这里，表示不大于a的*大整数），当n，p很大时很难求解。
2. 离散对数DL（Discrete Logarithm）
给定一大素数p，p-1含另一大素数因子q，可构造一乘群，它是一个p-1阶循环群。其生成元为整数g，。已知x，容易求，这只需次乘法，如，g15= (((1·g)2·g)2·g)2·g mod p，要用3+4?1＝6次乘法。
若已知y, g, p，求为离散对数问题。*快求解法运算次数渐近值为
（5-7）
p=512时，。
若离散对数定义在中的阶循环群上，Shanks和Pohlig-Hellman等的离散对数算法预计算量的渐近式为
（5-8）
求一特定离散对数的计算量的渐近式为
（5-9）
具体请参阅[LaMacchia等 1991；McCurley 1990]。
广义离散对数问题是在n阶有限循环群G上定义的。
3. 大整数分解FAC（Factorization Problem）
判断一个大奇数n是否为素数的有效算法，大约需要的计算量是，当n为256或512位的二元数时，用当前计算机做可在10分钟内完成。
若已知两个大素数p和q，求n = p·q只需一次乘法，但若由n，求p和q，则是几千年来数论专家的攻关对象。迄今为止，已知的各种算法的渐近运行时间如下：
（1）试除法：*早的也是*慢的算法，需试验所有小于sqrt(n)的素数，运行时间为指数函数。

（2）二次筛（QS）：
（5-10）
该算法为小于110位整数*快的算法，倍多项式二次筛（MPQS）是QS算法的变型，它比QS算法更快。MPQS的双倍大指数变型还要更快一些。
（3）椭圆曲线（EC）：
（5-11）
（4）数域筛（NFS）：
（5-12）
式中，p是n的*小的素因子，*坏的情况下。当，要用年（一秒进行100万次运算）。虽然整数分解问题已进行了很长时间研究，但至今尚未发现快速算法。目前对于大于110位的整数数域筛是*快的算法，曾用于分解第9个Fermat数。目前的进展主要是靠计算机资源来实现的。二次筛法可参阅[Pomerance 1984；Carton等 1988]；数域筛法可参阅[Lenstra等 1993]；椭圆曲线法参阅[Pollard 1993；Lenstra 1987；Montgomery 1987]。
T(n)与L(p)的表示式大致相同，一般当n=p时，解离散对数要更难些。
RSA问题是FAC问题的一个特例。n是两个素数p和q之积，给定n后求素因子p和q的问题称为RSAP。求分解问题有以下几种形式：
（1）分解整数n为p和q。
（2）给定整数M和C，求d使。
（3）给定整数e和C，求M使。
（4）给定整数x和C，决定是否存在整数y使（二次剩余问题）。
4. Diffie-Hellman问题（DHP）
给定素数p，令(为的生成元，若已知和，求的问题为Diffie-Hellman问题，简称DHP。若(为循环群G的生成元，且已知和为G中的元素，求的问题为广义Diffie-Hellman问题，简记为GDHP[den Boer 1988；Maurer 1994b；Waldvogel等1993；McCurley 1988]。
在[Menezes等 1997]一书的第4章对双钥密码体制公钥参数的生成和有关算法进行了全面介绍，该书的第3章对密码中用到的数学难题进行了全面系统的论述。此外，还可参阅[Pomerance 1990；Adleman等1994；Bach 1990；Lenstra等1990a，1990b]。
RSA密码体制
1978年，MIT的3位年轻数学家R.L.Rivest，A.Shamir和L.Adleman发现了一种用数论构造双钥的方法[Rivest等 1978，1979]，称为MIT体制，后来被广泛称为RSA体制。它既可用于加密，又可用于数字签名，易懂且易于实现，是目前仍然安全并且逐步被广泛应用的一种体制。国际上一些标准化组织（如ISO，ITU和SWIFT等）均已接受RSA体制作为标准。在因特网中所采用的PGP（Pretty Good Privacy）中也将RSA作为传送会话密钥和数字签名的标准算法。
RSA算法的安全性基于5.1节介绍的数论中大整数分解的困难性。
5.2.1 RSA密码体制
独立选取两个大素数和（各100～200位十进制数字），计算
（5-13）
其欧拉函数值为
（5-14）
随机选一整数e，，。因而在模((n)下，e有逆元
（5-15）
取公钥为n，e。密钥为d（，不再需要，可以销毁）。
加密：将明文分组，各组在mod n下，可*地表示出来（以二元数字表示，选2的*大幂小于n）。各组长达200位十进制数字。可用明文集为

注意，是很危险的。的概率

前言/序言

前言

为了加强网络空间安全专业人才的培养，教育部已正式批准在29所大学设立网络空间安全一级学科博士点，全国已有128所高校相继设立了信息安全或信息对抗本科专业。为了提高网络空间安全人才培养质量，急需编写出版一批高水平的网络空间安全优秀教材。
作者作为教育部高等学校信息安全专业教学指导委员会委员和中国密码学会理事，参与编写了教育部高等学校信息安全专业教学指导委员会编制的《高等学校信息安全专业指导性专业规范》。在本书的编写过程中，力求使本教材的知识体系和知识点符合《高等学校信息安全专业指导性专业规范》的要求，并加入了对国产密码算法的阐述。
全书共分3篇15章。第1篇为网络安全基础，共3章，主要介绍网络安全的基本概念、计算机网络的基础知识，以及TCP/IP协议族的安全性。第2篇为密码学基础，共5章，主要介绍密码学中的各种密码算法和协议。第3篇为网络安全技术与应用，共7章，主要介绍PKI/CA、密钥管理、无线网络安全，以及防火墙、VPN、IDS和身份认证等网络安全技术与应用。
本书主要有以下特色：
（1）基本概念清晰，表述深入浅出。在基本概念的阐述上，力求准确而精练；在语言的运用上，力求顺畅而自然。作者尽量避免使用晦涩难懂的语言描述深奥的理论和技术知识，而是借助大量的图表进行阐述。
（2）内容全面，涵盖密码学和网络安全技术。本书既介绍了现代密码学的知识，又阐述了网络安全的理论与技术，特别适合于将密码学和网络安全合并为一门课进行授课的高校。
（3）理论与实践相结合。针对某些网络安全技术和产品，本书给出相应的网络安全解决方案，从而使读者能够深入而全面地了解网络安全技术的具体应用，以提高读者独立分析问题和解决问题的能力。
（4）每章后面都附有精心斟酌和编排的思考题。通过深入分析和讨论思考题中所列问题，读者可加强对每章所学基本概念和理论的理解，从而进一步巩固所学的知识。
（5）本书详细列出了大量的参考文献。这些参考文献为网络空间安全学科的研究生和密码学、信息安全、信息对抗技术等专业的本科生，以及其他网络安全技术人员提供了深入研究相关专题的途径和资料。

本书可作为密码学、信息安全和信息对抗技术等专业的本科生教材和网络空间安全学科的研究生教材，也可以作为网络安全工程师的参考书和培训教材。
本书由刘建伟主编，刘建伟和王育民对全书进行了审校。第1章由刘建伟编著，第2章由杜瑞颖编著，第3章由杜瑞颖和刘建伟编著，第11～14章由刘建伟编著，第4～10章和第15章由王育民和刘建伟编著。
感谢伍前红教授、尚涛副教授、毛剑老师、关振宇老师、修春娣老师、张宗洋老师给予的支持与帮助。感谢陈杰、刘巍然、毛可飞、周星光、王蒙蒙、何双羽、程东旭、刘哲、李大伟、程昊苏、钟林、王朝、姜勇、周林志等博士研究生，以及宋晨光、苏航、冯伯昂、周修文、陶芮、夏丹枫、樊一康、齐婵、刘懿中、王培人、马寒军、雷奇、李珂、崔键、史福田、杜岗、王沁、梁智等硕士研究生在书稿的整理过程中给予作者的大力支持与帮助。
由于作者水平所限，书中难免会存在错误和不妥之处。敬请广大读者朋友批评指正。



作 者
于北京

《数字世界的守护者：信息安全攻防实战精要》 在数字化浪潮席卷全球的今天，信息安全已不再是专业人士的专属领域，而是关乎个人隐私、企业生命线乃至国家安全的基石。数字世界错综复杂，威胁层出不穷，从潜伏在暗处的网络钓鱼，到肆虐的勒索软件，再到瞄准关键基础设施的复杂攻击，无时无刻不在考验着我们的防御能力。 本书正是为应对这一挑战而生，它将引领您深入理解现代信息安全的核心理念与前沿技术，并聚焦于实战应用，帮助您构建坚不可摧的数字壁垒。我们不再将信息安全视为高高在上的技术门槛，而是将其解构为一套系统性的思维方式和一系列可实践的技能。 核心内容概览： 第一部分：信息安全的基石——认知与原理 数字空间的威胁图谱： 我们将全面解析当前网络安全面临的主要威胁类型，包括但不限于恶意软件（病毒、蠕虫、木马、勒索软件）、拒绝服务攻击（DoS/DDoS）、跨站脚本攻击（XSS）、SQL注入、社会工程学攻击等。深入剖析这些攻击的原理、传播途径以及对个人和组织的潜在危害，让读者对“敌情”有清晰的认识。 安全的基本构件： 探讨信息安全的四大基本要素——机密性、完整性、可用性、不可抵赖性。理解它们在数字世界中的重要性，以及如何通过技术和管理手段来实现这些目标。 加密学的力量： 介绍对称加密与非对称加密的核心概念，以及哈希函数、数字签名等在保障数据安全中的关键作用。我们将以通俗易懂的方式阐述这些复杂算法背后的逻辑，帮助读者理解它们如何守护我们的数据。 网络协议的安全视角： 剖析TCP/IP协议栈中存在的安全隐患，并介绍TLS/SSL等传输层安全协议的工作原理，理解HTTPS如何为Web通信提供安全保障。 第二部分：主动防御——技术与工具的实操 边界的守护者：防火墙与入侵检测/防御系统（IDS/IPS）： 深入研究不同类型防火墙（包过滤、状态检测、应用层）的工作机制，以及IDS/IPS如何实时监测网络流量、识别并阻止恶意活动。我们将探讨策略配置的艺术，以及如何构建有效的网络边界防御体系。 端点的安全屏障：终端安全解决方案： 涵盖防病毒软件、终端检测与响应（EDR）等技术，分析它们如何检测、隔离和清除恶意软件，以及如何通过行为分析来发现未知威胁。 安全的网络传输：VPN与加密通信： 详细介绍虚拟专用网络（VPN）的工作原理，包括IPsec和SSL VPN，以及它们如何在不安全的网络环境中建立安全的通信隧道。 漏洞扫描与管理： 介绍常用的漏洞扫描工具，如Nessus、OpenVAS等，并讲解如何利用这些工具发现系统和应用中的安全弱点，以及制定有效的漏洞修复和管理策略。 安全审计与日志分析： 强调日志记录的重要性，并介绍如何通过分析系统日志、安全设备日志来追踪攻击痕迹、识别异常行为，为事后调查取证提供依据。 第三部分：高级攻防——实战演练与应对策略 渗透测试的艺术： 引导读者理解渗透测试的流程与方法，从信息收集、漏洞扫描到权限提升和后渗透，逐步揭示攻击者常用的技术手段。我们将强调道德黑客的视角，以及如何通过模拟攻击来检验和提升自身防御能力。 恶意软件分析入门： 介绍静态分析和动态分析的基本方法，帮助读者理解恶意软件的行为模式，并学习如何提取关键信息以进行风险评估和溯源。 Web应用安全攻防： 深入讲解OWASP Top 10等常见Web安全漏洞，如SQL注入、XSS、CSRF等，并演示如何利用这些漏洞进行攻击，同时教授相应的防御技术，如输入验证、输出编码、安全配置等。 社会工程学与心理战术： 探讨攻击者如何利用人性的弱点实施欺骗，包括钓鱼邮件、假冒身份等。强调提升个人安全意识和辨别能力的重要性。 事件响应与应急处理： 模拟真实的安全事件，讲解如何快速有效地响应安全威胁，包括事件的发现、遏制、根除和恢复。学习制定应急预案，最大程度地降低安全事件造成的损失。 第四部分：面向未来的安全——趋势与挑战 云计算安全： 探讨云环境下的特有安全挑战，如多租户隔离、身份与访问管理（IAM）、数据安全等，并介绍云安全最佳实践。 物联网（IoT）安全： 分析日益增长的物联网设备带来的安全风险，以及如何为其提供有效的安全防护。 人工智能（AI）在安全领域的应用： 探讨AI如何赋能安全防护，例如威胁情报分析、异常检测、自动化响应等，同时也讨论AI可能带来的新型安全威胁。 零信任安全模型： 介绍“永不信任，始终验证”的零信任安全理念，以及如何在复杂的网络环境中构建更具弹性的安全架构。 本书内容翔实，理论与实践相结合，旨在培养读者具备独立分析、解决信息安全问题的能力。无论您是初学者，希望系统了解信息安全；还是有一定基础的从业者，希望深化技能；抑或是希望提升个人数字安全防护意识的普通用户，《数字世界的守护者：信息安全攻防实战精要》都将是您不可或缺的宝贵指南。 让我们一起，成为数字世界中最坚实的守护者。

评分☆☆☆☆☆

这本书在网络安全法律法规与合规性方面的内容，对我这个一直以来更侧重技术实操的人来说，无疑是一次及时的“补课”。我之前总觉得法律法规是枯燥乏味的条文，但《网络安全——技术与实践（第3版）》却以一种非常生动的方式呈现了这些内容。它不仅列举了国内外主要的网络安全法律法规，如GDPR、CCPA，以及中国的《网络安全法》、《数据安全法》等，更重要的是，它解释了这些法律法规背后所蕴含的安全理念和对企业实践的影响。比如，书中在讲解数据跨境传输的合规性要求时，详细阐述了不同国家和地区对于数据主权、隐私保护的差异化规定，以及企业在跨国运营时需要如何进行合规性审查和风险管理。这让我深刻理解到，技术安全措施的有效性，往往需要法律法规的支撑和保障。此外，书中关于信息安全管理体系（ISMS）的介绍也相当详尽，特别是对ISO 27001标准的解读，包括其核心原则、实施步骤以及常见的误区。它让我明白，一个成熟的安全管理体系，不仅仅是部署几台防火墙或入侵检测系统，而是需要一套系统化的流程和制度来支撑，覆盖从风险评估、策略制定到事件响应和持续改进的整个生命周期。书中提出的“安全意识培训”的重要性，也让我反思，很多安全事件的发生，并非技术上的不可逾越，而是由于人员的安全意识不足。

评分☆☆☆☆☆

本书在数据安全与隐私保护方面的论述，让我对“数据”这一核心要素有了更深的认识。它不仅仅是一个简单的信息载体，而是现代社会中至关重要的资产，其安全性和隐私性至关重要。书中详细介绍了数据生命周期的各个阶段，包括数据的采集、存储、处理、传输和销毁，并针对每个阶段可能存在的安全风险提出了相应的防护措施。例如，在数据存储安全方面，书中详细阐述了各种加密技术，如对称加密、非对称加密以及哈希算法，并解释了它们在实际应用中的适用场景。我也从中学习到了如何进行敏感数据的脱敏和匿名化处理，以满足合规性要求并降低数据泄露的风险。特别令我印象深刻的是，书中对于数据泄露的溯源和追责机制的讨论，它指出了在数据安全事件发生后，准确追踪数据流向和责任方的重要性，并介绍了一些常用的取证和审计技术。这让我意识到，数据安全不仅仅是技术上的保护，更是一个涵盖法律、管理和技术等多方面的综合性问题。书中对于个人信息保护的重视，也让我更加关注用户隐私的价值，并深刻理解了在信息时代，尊重和保护个人隐私的重要性。

评分☆☆☆☆☆

《网络安全——技术与实践（第3版）》在高级持续性威胁（APT）攻防方面的分析，堪称经典。书中的内容不仅仅是描述APT攻击的常见手法，更是深入剖析了APT攻击的动机、组织形式、以及其与传统攻击的不同之处。我尤其对书中关于“鱼叉式网络钓鱼”和“零日漏洞”的案例分析印象深刻。作者通过对真实APT攻击事件的复盘，详细揭示了攻击者如何利用高度定制化的攻击工具和策略，长期潜伏在目标网络中，窃取敏感信息或进行破坏。这让我意识到，APT攻击的隐蔽性和持久性，使得传统的基于边界防御的安全措施往往难以奏效。书中提出的“纵深防御”和“零信任”的安全理念，为应对APT攻击提供了重要的指导。它强调，不能仅仅依赖于单点防御，而是需要构建多层次、多维度的安全防护体系，并对网络内部的所有访问和操作都进行严格的验证和审计。我从书中学习到了如何通过威胁情报的利用、异常行为的检测以及快速的事件响应来提高对APT攻击的发现和应对能力，这对于任何一个重视国家安全或企业核心资产保护的组织来说，都具有极高的参考价值。

评分☆☆☆☆☆

这本书在网络安全人才培养与技能发展方面的探讨，给了我很大的触动。它不仅仅是传授技术知识，更重要的是指明了作为一名网络安全从业者，应该如何持续学习和成长。书中详细列举了当前网络安全领域所需的各类核心技能，包括但不限于渗透测试、安全开发、事件响应、威胁情报分析、以及安全策略制定等，并对每一种技能的发展路径给出了建议。我尤其对书中关于“持续学习”和“保持好奇心”的强调印象深刻。它指出，网络安全领域技术更新迭代速度极快，只有不断学习新知识、掌握新技能，才能跟上时代的步伐。书中还介绍了一些获取最新安全资讯的渠道，以及参加安全会议、攻防演练等提升实战能力的途径。这让我意识到，网络安全不是一个可以一劳永逸的领域，而是需要不断地投入时间和精力去钻研和提升。它也鼓励我积极参与到开源社区中，与其他安全从业者交流经验，共同进步。这本书让我对自己未来的职业发展有了更清晰的规划，并认识到，成为一名优秀的安全专家，不仅需要扎实的技术功底，更需要一颗不断探索的心。

评分☆☆☆☆☆

这本书在网络安全体系建设与管理方面的内容，让我看到了一个宏观的视角。之前我可能更关注具体的安全技术点，而这本书则将这些技术点串联起来，形成了一个完整的安全体系。它从战略层面出发，讲解了如何根据组织的业务需求和风险承受能力，来规划和构建整体的网络安全架构。我尤其对书中关于“安全治理”和“风险管理”的章节印象深刻。它强调了安全不仅仅是技术部门的责任，更是需要整个组织的高层管理者都高度重视，并将其纳入到企业战略规划中。书中提出的“风险评估”的方法论，以及如何根据风险评估结果来制定相应的安全策略和控制措施，都具有非常强的指导意义。我从书中学习到了如何进行安全投资的效益分析，以及如何通过度量安全能力的成熟度来评估安全体系的有效性。此外，书中关于“安全运营中心（SOC）”的建设和运作的详细介绍，也让我对如何构建一个高效的安全监控和响应团队有了更深入的理解。它让我明白，一个完善的网络安全体系，不仅仅是技术的堆砌，更是一个持续演进、不断优化的过程。

评分☆☆☆☆☆

我在阅读《网络安全——技术与实践（第3版）》时，对其中关于安全审计与日志分析的部分，感到尤为启发。我之前对安全审计的理解可能比较片面，认为就是记录一些操作日志，但本书却将其提升到了一个战略性的高度。它详细阐述了安全审计在保障信息系统安全、满足合规性要求以及追溯安全事件责任方面的重要作用。书中介绍了各种类型的安全日志，包括系统日志、应用日志、网络设备日志等，并对如何收集、存储、分析和归档这些日志进行了深入的讲解。我尤其对书中关于“日志关联分析”的技术进行了深入的学习，它能够帮助我们从海量的日志数据中，发现隐藏的攻击模式和异常行为。我曾尝试利用书中介绍的ELK（Elasticsearch, Logstash, Kibana）等日志分析工具，对模拟攻击产生的日志进行分析，并从中成功地发现了攻击者的踪迹。这让我深刻体会到，强大的日志分析能力，是发现和应对高级威胁的关键。此外，书中关于“内审”和“外审”的区别，以及如何准备安全审计的详细建议，也为我今后的工作提供了宝贵的参考。

评分☆☆☆☆☆

这本《网络安全——技术与实践（第3版）》真的让我大开眼界，尤其是它在网络攻防技术部分的处理。作者没有停留在浅尝辄止的介绍，而是深入到各种攻击向量的原理剖析，从SQL注入、XSS到更复杂的内存破坏漏洞，每一个都配以详实的理论基础和实际的攻击代码示例。读到关于缓冲区溢出的部分，我花了整整一个下午的时间去理解那种微妙的内存管理机制，以及攻击者如何利用它来实现代码执行。书中给出的Metasploit框架的实操指导也极具价值，它不仅仅是简单地罗列命令，而是深入讲解了每个模块的工作原理、参数设置以及如何根据目标系统的特点进行定制化攻击。最让我惊喜的是，书中还探讨了社会工程学攻击的心理学根源，以及如何通过精心设计的钓鱼邮件或伪装成内部人员进行欺骗，这部分内容让我认识到，技术攻防往往与人性弱点紧密相连。它让我意识到，一个完善的安全体系，不仅需要坚固的技术防线，还需要对潜在的人为漏洞有深刻的认识和防范。而且，它在介绍防御策略时，也并非泛泛而谈，而是紧密结合了实际的攻防场景，例如，在讲解防火墙和IDS/IPS的配置时，书中详细列举了不同场景下的配置优化建议，以及如何根据攻击趋势动态调整规则集。这使得我在阅读时，仿佛置身于一个真实的攻防演练场，每一步操作都充满了挑战与启发。

评分☆☆☆☆☆

在本书关于云计算安全的内容上，我发现自己之前的理解可能还不够深入。以前我总觉得将数据和应用迁移到云端，就万事大吉了，但《网络安全——技术与实践（第3版）》却非常清晰地阐述了云安全所面临的独特挑战。书中详细分析了公有云、私有云和混合云环境下的安全模型，并重点讨论了“责任共担模型”的重要性。它强调，即使是将服务委托给云服务提供商，用户自身仍然在数据安全、访问控制等方面承担着不可推卸的责任。例如，在讲解AWS、Azure等主流云平台上的安全配置时，书中提供了非常具体的操作指南，包括如何配置IAM（身份与访问管理）、S3存储桶的访问策略、以及如何利用WAF（Web应用防火墙）来保护云上的Web应用。我尤其对书中关于“云原生安全”的探讨感到兴奋，它介绍了DevSecOps的理念，以及如何将安全融入到CI/CD流水线中，实现自动化安全扫描和部署。这对于我们这种正在积极拥抱云技术的团队来说，无疑提供了宝贵的实践方向。书中对于多云环境下的安全策略整合，也给出了非常有价值的建议，让我意识到，在复杂的云环境中，实现统一的安全视图和管理至关重要。

评分☆☆☆☆☆

这本书对于物联网（IoT）安全部分的论述，为我打开了一个全新的视角。在过去的认知里，网络安全更多地聚焦于传统的IT系统，而IoT设备的安全性常常被忽视。然而，随着物联网设备的普及，其潜在的安全风险也日益凸显。本书在这部分内容中，详细分析了IoT设备在设计、部署和管理过程中可能存在的安全漏洞，从设备固件的脆弱性到通信协议的弱点，再到数据传输的加密问题，都进行了深入的探讨。我尤其对书中关于“僵尸网络”的案例分析印象深刻，作者通过分析Mirai僵尸网络的攻击方式，揭示了大量弱密码、未修补漏洞的IoT设备是如何被轻易控制，并被用于发起大规模DDoS攻击的。这让我意识到，即使是最基础的网络设备，如果缺乏足够的安全保障，也可能成为整个网络安全的“短板”。书中提出的IoT设备的安全加固策略，包括强制性的固件更新、强密码策略、网络隔离以及对设备行为的监控等，都具有很强的实践指导意义。它让我明白，物联网安全并非一个独立的领域，而是需要与现有的网络安全体系有机结合，共同构建一个更加安全的智能互联世界。

评分☆☆☆☆☆

在本书关于网络安全事件的响应与恢复机制的章节，我学到了很多关于如何“救火”的实用技巧。以前我总觉得安全事件一旦发生，就是一场灾难，但这本书让我看到了其中蕴含的系统性和专业性。作者并没有回避复杂的场景，而是详细地描绘了从事件的初步检测、分析，到遏制、根除，再到最后的恢复和事后总结的完整流程。特别是在事件分析阶段，书中介绍了多种取证工具和技术，比如内存取证、磁盘取证、网络流量分析等，并提供了具体的实践指导。我曾尝试按照书中的步骤，对一个模拟的勒索软件攻击场景进行分析，虽然过程中遇到了不少挑战，但最终成功地还原了攻击路径，并找到了关键的攻击载体。这让我深刻体会到，只有深入理解事件的发生过程，才能有效地采取措施。更令我印象深刻的是，书中关于“事后总结”的强调。它指出，每一次安全事件都是一次宝贵的学习机会，通过对事件进行深入复盘，分析根本原因，总结经验教训，才能不断完善安全策略，提高整体的安全防护能力。书中提供的“事件响应计划模板”也极具参考价值，它帮助我理解了在实际工作中，如何提前制定周密的响应预案，确保在危机时刻能够冷静、高效地应对。

评分☆☆☆☆☆

很不错的商品我很喜欢哦哦

评分☆☆☆☆☆

比学校买的便宜了10块钱，美滋滋

评分☆☆☆☆☆

很不错的商品我很喜欢哦哦

评分☆☆☆☆☆

新版新书，网安必备，毕竟全面，含国密

评分☆☆☆☆☆

比学校买的便宜了10块钱，美滋滋

评分☆☆☆☆☆

好评

评分☆☆☆☆☆

正在学习中

评分☆☆☆☆☆

不错不错

评分☆☆☆☆☆

新版新书，网安必备，毕竟全面，含国密