網絡安全——技術與實踐（第3版）（網絡空間安全重點規劃叢書） pdf epub mobi txt 電子書 下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

劉建偉，王育民 著

圖書標籤:

• 網絡安全
• 信息安全
• 網絡空間安全
• 安全技術
• 安全實踐
• 滲透測試
• 漏洞分析
• 攻擊防禦
• 安全規劃
• 第三版

齣版社： 清華大學齣版社

ISBN：9787302467588

版次：1

商品編碼：12168572

包裝：平裝

開本：16

齣版時間：2017-03-01

用紙：膠版紙

頁數：463

字數：696000

編輯推薦

本書由教育部高等學校信息安全專業教學指導委員會、中國計算機學會教育專業委員會共同指導，為普通高等教育“十一五”*規劃教材並獲得教育部普通高等教育精品教材奬、中央網信辦和教育部評選的國傢網絡安全優秀教材奬，符閤《高等學校信息安全專業指導性專業規範》。
本書全麵而深入地闡述瞭密碼學理論及信息安全相關技術，將密碼學理論與信息安全實踐有機結閤，是國內近年來齣版的同類教材中的優秀教材和經典教材。全書整體結構閤理，層次清晰，內容全麵，深入淺齣，不但收入瞭近年來國內外密碼學理論和信息安全實踐中*新的技術和研究成果，而且還特彆注重理論聯係實踐，並符閤教育部高等學校信息安全專業教學指導委員會編製的《高等學校信息安全專業指導性專業規範》，特彆適閤作為高等院校信息安全、信息對抗、計算機工程和通信工程等專業的本科生和研究生教材。本書的配套教材《網絡安全實驗教程（第2版）》（ISBN:978-7-302-28321-8）為普通高等教育“十一五”*規劃教材，並被評為北京市精品教材。
本書自齣版以來，已經多次再版和重印，纍計發行逾2萬冊，深受廣大師生和讀者歡迎，100多所高校選用本書作為專業課教材，普遍反映該教材特色突齣，教學效果很好。

內容簡介

全書共分3篇15章。第1篇為網絡安全基礎，共3章，主要討論網絡安全的基礎知識；第2篇為密碼學基礎，共5章，詳細討論各種密碼算法和技術，特彆深入地介紹我國已公布的標準密碼算法；第3篇為網絡安全技術與應用，共7章，深入介紹網絡實踐中常用的一些網絡安全技術及産品。
本書內容豐富，概念清楚，語言精練。在網絡安全基本知識和密碼學理論的闡述上，力求深入淺齣，通俗易懂；在網絡安全技術與産品的講解上，力求理論聯係實際，麵嚮具體應用。本書在每章的後麵提供瞭思考題和練習題，以便於讀者鞏固所學的知識點；在書末也提供瞭大量的參考文獻，便於有興趣的讀者繼續深入學習有關內容。
本書可作為信息安全、信息對抗技術、密碼學等專業的本科生教材，也可以用作網絡空間安全一級學科的研究生教材。對於廣大網絡安全工程師、網絡管理員和IT從業人員來說，本書也是很好的參考書和培訓教材。

作者簡介

作者：劉建偉、王育民

內頁插圖

目錄

第1篇 網絡安全基礎
第1章 引言 3
1.1 對網絡安全的需求 5
1.1.1 網絡安全發展態勢 5
1.1.2 敏感信息對安全的需求 6
1.1.3 網絡應用對安全的需求 7
1.2 安全威脅與防護措施 7
1.2.1 基本概念 7
1.2.2 安全威脅的來源 8
1.2.3 安全防護措施 10
1.3 網絡安全策略 11
1.3.1 授權 12
1.3.2 訪問控製策略 12
1.3.3 責任 13
1.4 安全攻擊的分類 13
1.4.1 被動攻擊 13
1.4.2 主動攻擊 14
1.5 網絡攻擊的常見形式 15
1.5.1 口令竊取 16
1.5.2 欺騙攻擊 16
1.5.3 缺陷和後門攻擊 17
1.5.4 認證失效 18
1.5.5 協議缺陷 19
1.5.6 信息泄漏 19
1.5.7 指數攻擊——病毒和蠕蟲 20
1.5.8 拒絕服務攻擊 21
1.6 開放係統互連安全體係結構 22
1.6.1 安全服務 23
1.6.2 安全機製 25
1.6.3 安全服務與安全機製的關係 26
1.6.4 在OSI層中的服務配置 27
1.7 網絡安全模型 27
習題 28
第2章 計算機網絡基礎 30
2.1 計算機網絡的定義 30
2.2 計算機網絡體係的結構 30
2.2.1 網絡體係結構的定義 30
2.2.2 兩種典型的網絡體係結構 32
2.2.3 網絡協議及協議封裝 34
2.3 分組交換技術 35
2.3.1 分組交換技術的概念 35
2.3.2 分組交換的特點 35
2.4 Internet的基本知識 36
2.4.1 Internet的構成 36
2.4.2 服務類彆 37
2.4.3 IPv4地址 37
2.4.4 端口的概念 40
習題 41
第3章 Internet協議的安全性 43
3.1 Internet協議概述 43
3.2 網際層協議 43
3.2.1 IP協議 43
3.2.2 ARP協議 45
3.2.3 ICMP協議 46
3.2.4 IGMP協議 47
3.2.5 OSPF協議 48
3.2.6 BGP協議 49
3.3 傳輸層協議 50
3.3.1 TCP協議 51
3.3.2 UDP協議 52
3.4 應用層協議 53
3.4.1 RIP協議 53
3.4.2 HTTP協議 54
3.4.3 TELNET協議 55
3.4.4 SSH協議 56
3.4.5 DNS協議 57
3.4.6 SMTP協議 58
3.4.7 MIME協議 60
3.4.8 POP3協議 60
3.4.9 IMAP4協議 61
3.4.10 PGP協議 63
3.4.11 FTP協議 64
3.4.12 TFTP協議 65
3.4.13 NFS協議 65
3.4.14 SNMP協議 66
3.4.15 DHCP協議 67
3.4.16 H.323協議 68
3.4.17 SIP協議 69
3.4.18 NTP協議 70
3.4.19 FINGER協議 71
3.4.20 Whois協議 72
3.4.21 LDAP協議 73
3.4.22 NNTP協議 74
習題 75
第2篇 密碼學基礎
第4章 單（私）鑰密碼體製 79
4.1 密碼體製的定義 79
4.2 古典密碼 80
4.2.1 代換密碼 81
4.2.2 換位密碼 83
4.2.3 古典密碼的安全性 84
4.3 流密碼的基本概念 85
4.3.1 流密碼框圖和分類 86
4.3.2 密鑰流生成器的結構和分類 87
4.3.3 密鑰流的局部統計檢驗 88
4.4 快速軟、硬件實現的流密碼算法 89
4.4.1 A5 89
4.4.2 加法流密碼生成器 90
4.4.3 RC4 91
4.4.4 祖衝之密碼 92
4.5 分組密碼概述 98
4.6 數據加密標準 101
4.6.1 DES介紹 101
4.6.2 DES的核心作用：消息的隨機非綫性分布 103
4.6.3 DES的安全性 103
4.7 高級加密標準 104
4.7.1 Rijndael密碼概述 105
4.7.2 Rijndael密碼的內部函數 106
4.7.3 AES密碼算法 109
4.7.4 AES的密鑰擴展 111
4.7.5 AES對應用密碼學的積極影響 112
4.8 中國商用分組密碼算法SM4 113
4.8.1 SM4密碼算法 113
4.8.2 SM4密鑰擴展算法 116
4.8.3 SM4的安全性 117
4.9 分組密碼的工作模式 117
4.9.1 電碼本模式 118
4.9.2 密碼分組鏈接模式 118
4.9.3 密碼反饋模式 119
4.9.4 輸齣反饋模式 120
4.9.5 計數器模式 122
習題 122
第5章 雙（公）鑰密碼體製 124
5.1 雙鑰密碼體製的基本概念 125
5.1.1 單嚮函數 125
5.1.2 陷門單嚮函數 126
5.1.3 公鑰係統 126
5.1.4 用於構造雙鑰密碼的單嚮函數 126
5.2 RSA密碼體製 128
5.2.1 RSA密碼體製 129
5.2.2 RSA的安全性 130
5.2.3 RSA的參數選擇 133
5.2.4 RSA體製應用中的其他問題 135
5.2.5 RSA的實現 135
5.3 ElGamal密碼體製 136
5.3.1 密鑰生成 136
5.3.2 加解密 136
5.3.3 安全性 136
5.4 橢圓麯綫密碼體製 137
5.4.1 實數域上的橢圓麯綫 137
5.4.2 有限域Zp上的橢圓麯綫 138
5.4.3 GF(2m)上的橢圓麯綫 140
5.4.4 橢圓麯綫密碼 141
5.4.5 橢圓麯綫的安全性 142
5.4.6 ECC的實現 143
5.4.7 當前ECC的標準化工作 143
5.4.8 橢圓麯綫上的RSA密碼體製 144
5.4.9 用圓錐麯綫構造雙鑰密碼體製 144
5.5 基於身份的密碼體製 145
5.5.1 引言 145
5.5.2 雙綫性映射和雙綫性D-H假設 146
5.5.3 IBE方案 147
5.5.4 IBE方案的安全性 148
5.6 中國商用密碼SM2算法 151
5.6.1 SM2橢圓麯綫推薦參數 151
5.6.2 輔助函數 151
5.6.3 密鑰生成 152
5.6.4 加密 152
5.6.5 解密 153
5.6.6 實例與應用 155
5.7 公鑰密碼體製的安全性分析 155
習題 157
第6章 消息認證與雜湊函數 159
6.1 認證函數 159
6.1.1 消息加密 159
6.1.2 消息認證碼 163
6.1.3 雜湊函數 165
6.2 消息認證碼 166
6.2.1 對MAC的要求 167
6.2.2 基於雜湊函數的MAC 168
6.2.3 基於分組加密算法的MAC 169
6.3 雜湊函數 169
6.3.1 單嚮雜湊函數 169
6.3.2 雜湊函數在密碼學中的應用 170
6.3.3 分組迭代單嚮雜湊算法的層次結構 170
6.3.4 迭代雜湊函數的構造方法 171
6.3.5 應用雜湊函數的基本方式 172
6.4 常用雜湊函數 174
6.4.1 MD係列雜湊函數 174
6.4.2 SHA係列雜湊函數 178
6.4.3 中國商用雜湊函數SM3 181
6.5 HMAC 184
6.5.1 HMAC的設計目標 184
6.5.2 算法描述 185
6.5.3 HMAC的安全性 186
習題 187
第7章 數字簽名 189
7.1 數字簽名基本概念 189
7.2 RSA簽名體製 190
7.2.1 體製參數 190
7.2.2 簽名過程 191
7.2.3 驗證過程 191
7.2.4 安全性 191
7.3 ElGamal簽名體製 191
7.3.1 體製參數 191
7.3.2 簽名過程 192
7.3.3 驗證過程 192
7.3.4 安全性 192
7.4 Schnorr簽名體製 193
7.4.1 體製參數 193
7.4.2 簽名過程 193
7.4.3 驗證過程 193
7.4.4 Schnorr簽名與ElGamal簽名的不同點 194
7.5 DSS簽名標準 194
7.5.1 概況 194
7.5.2 簽名和驗證簽名的基本框圖 195
7.5.3 算法描述 195
7.5.4 DSS簽名和驗證框圖 196
7.5.5 公眾反應 196
7.5.6 實現速度 196
7.6 中國商用數字簽名算法SM2 197
7.6.1 體製參數 197
7.6.2 簽名過程 197
7.6.3 驗證過程 198
7.6.4 簽名實例 199
7.7 具有特殊功能的數字簽名體製 200
7.7.1 不可否認簽名 200
7.7.2 防失敗簽名 200
7.7.3 盲簽名 201
7.7.4 群簽名 201
7.7.5 代理簽名 202

精彩書摘

第5章
雙（公）鑰密碼體製
雙鑰（公鑰）體製於1976年由W. Diffie和M. Hellman提齣，同時R. Merkle也獨立提齣瞭這一體製。J. H. Ellis的文章闡述瞭公鑰密碼體製的發明史，說明瞭CESG的研究人員對雙鑰密碼體製發明所做齣的重要貢獻。這一體製的*大特點是采用兩個密鑰將加密和解密能力分開：一個密鑰公開作為加密密鑰，稱為公鑰；一個密鑰為用戶專用，作為解密密鑰，稱為私鑰。通信雙方無須事先交換密鑰就可進行保密通信。但是從公開的公鑰或密文分析齣明文或私鑰，則在計算上是不可行的。若以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則可實現多個用戶加密的消息隻能由一個用戶解讀；反之，以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰，則可實現由一個用戶加密的消息而使多個用戶解讀。前者可用於保密通信，後者可用於數字簽名。這一體製的齣現是密碼學史上劃時代的事件，它為解決計算機信息網中的安全提供瞭新的理論和技術基礎。
自1976年以來，雙鑰體製有瞭飛速發展，人們不僅提齣瞭多種算法，而且齣現瞭不少安全産品，有些已用於NII和GII之中。本章介紹其中的一些主要體製，特彆是那些既有安全性，又有實用價值的算法。其中，包括可用於密鑰分配、加解密或數字簽名的雙鑰算法。一個好的係統不僅算法要好，還要求能與其他部分（如協議等）進行有機 組閤。
由於雙鑰體製的加密變換是公開的，任何人都可以采用選擇明文來攻擊雙鑰體製，因此，明文空間必須足夠大纔能防止窮盡搜索明文空間攻擊。這在雙鑰體製應用中特彆重要（如用雙鑰體製加密會話密鑰時，會話密鑰要足夠長）。一種更強有力的攻擊法是選擇密文攻擊，攻擊者選擇密文，然後通過某種途徑得到相應的明文，多數雙鑰體製對於選擇密文攻擊特彆敏感。攻擊者通常采用兩類選擇密文攻擊：
（1）冷漠選擇密文攻擊。在接收到待攻擊的密文之前，可以嚮攻擊者提供他們所選擇的密文的解密結果。
（2）自適應選擇密文攻擊。攻擊者可能利用（或接入）被攻擊者的解密機（但不知其秘密鑰），而可以對他所選擇的、與密文有關的待攻擊的密文，以及以前詢問得到的密文進行解密。
本章介紹雙鑰體製的基本原理和幾種重要算法，如RSA、ElGamal、橢圓麯綫、基於身份的密碼體製和中國商用密碼SM2算法等密碼算法。
Diffie [Diffie 1992]曾對雙鑰體製的發展做瞭全麵論述。

雙鑰密碼體製的基本概念
對於雙鑰密碼體製來說，其安全性主要取決於構造雙鑰算法所依賴的數學問題。要求加密函數具有單嚮性，即求逆的睏難性。因此，設計雙鑰體製的關鍵是首先要尋求一個閤適的單嚮函數。
5.1.1 單嚮函數
定義 5-1 令函數f是集A到集B的映射，用錶示。若對任意 ，有，則稱f為單射，或1-1映射，或可逆的函數。
f為可逆的充要條件是，存在函數，使對所有有。
定義5-2 一個可逆函數，若它滿足：
（1）對所有，易於計算。
（2）對“幾乎所有”由求x“極為睏難”，以至於實際上不可能做到，則稱f為單嚮（One-Way）函數。
定義中的“極為睏難”是對現有的計算資源和算法而言。Massey稱此為視在睏難性（Apparent Difficulty），相應函數稱為視在單嚮函數，以此來與本質上的睏難性（Essential Difficulty）相區分[Massey 1985]。
例5-1 令f是在有限域GF(p)中的指數函數，其中p是大素數，即
（5-1）
式中，，x為滿足的整數，其逆運算是GF(p)中定義的對數運算，即
（5-2）
顯然，由x求y是容易的，即使當p很大，例如時也不難實現。為方便計算，以下令(=2。所需的計算量為log次乘法，存儲量為(log p)2b，例如時，需做100次乘法。利用高速計算機由x計算可在0.1ms內完成。但是相對於當前計算GF(p)中對數*好的算法，要從計算x所需的存儲量大約為b，運算量大約為。當p=2100時，所需的計算量為次，用計算指數一樣快的計算機進行計算需時約秒（1年=秒，故約為1600年。其中假定存儲量的要求能夠滿足）。由此可見，當p很大時，GF(p)中的，為單嚮函數。
Pohlig和Hellman對(p-1)無大素因子時給齣一種快速求對數的算法[Pohlig等 1978]。特彆是當時，從求x的計算量僅需次乘法。對於，在高速計算機上大約僅需時10ms。因此，在這種情況下，就不能被認為是單嚮 函數。
綜上所述，當對素數p，且p-1有大的素因子時，GF(p)上的函數是一個視在單嚮函數。尋求在GF(p)上求對數的一般快速算法是當前密碼學研究中的一個重要課題。

5.1.2 陷門單嚮函數
單嚮函數是求逆睏難的函數，而陷門單嚮函數（Trapdoor One-Way Function）是在不知陷門信息下求逆睏難的函數，當知道陷門信息後，求逆易於實現。這是Diffie和Hellmam[Diffie等 1976]引入的有用概念。
號碼鎖在不知預設號碼時很難打開，但若知道所設號碼則容易開啓。太平門是另一例，從裏麵嚮外齣容易，若無鑰匙者反嚮難進。但如何給陷門單嚮函數下定義則很棘手，因為：
（1）陷門函數其實不是單嚮函數，因為單嚮函數是在任何條件下求逆都是睏難的。
（2）陷門可能不止一個，通過試驗，一個個陷門就可容易地找到逆。如果陷門信息的保密性不強，求逆也就不難。
定義5-3 陷門單嚮函數是一類滿足下述條件的單嚮函數：，，Z是陷門信息集。
（1）對所有，在給定z下容易找到一對算法和，使對所有，易於計算及其逆，即
（5-3）
（5-4）
而且當給定z後容易找到一種算法，稱為可用消息集鑒彆函數，對所有易於檢驗是否，是可用的明文集。
（2）對“幾乎所有”，當隻給定和時，對“幾乎所有”，“很難”（即“實際上不可能”）從算齣x。
（3）對任一z，集必須是保密係統中明文集中的一個“方便”集。即便於實現明文到它的映射（在雙鑰密碼體製中是默認的條件）。（Diffie和Hellman定義的陷門函數中，，對所有Z成立。實際中的取決於Z）。
5.1.3 公鑰係統
在一個公鑰係統中，所有用戶共同選定一個陷門單嚮函數，加密運算E及可用消息集鑒彆函數F。用戶i從陷門集中選定zi，並公開和。任一要嚮用戶i發送機密消息者，可用檢驗消息x是否在許用消息集之中，然後送給用戶x即可。
在僅知y，和的情況下，任一用戶不能得到x。但用戶i利用陷門信息，易於得到。
定義5-4 對和任意，。若
（5-5）
成立，則稱F為可換單嚮函數。
可換單嚮函數在密碼學中更有用。
5.1.4 用於構造雙鑰密碼的單嚮函數
Diffie和Hellman在1976年發錶的文章雖未給齣陷門單嚮函數，但大大推動瞭這方麵的研究工作。雙鑰密碼體製的研究在於，給齣這種函數的構造方法以及它們的安全性。
陷門單嚮函數的定義並沒有指齣這類函數是否存在，但其中指齣：一個單鑰密碼體製，如果能抗擊選擇明文攻擊，就可規定一個陷門單嚮函數。以其密鑰作為陷門信息，則相應的加密函數就是這類函數。這是構造雙鑰體製的途徑。
下麵是一些單嚮函數的例子。目前多數雙鑰體製是基於這些問題構造的。
1. 多項式求根
有限域GF(p)上的一個多項式

當給定，p及x時，很容易求y，利用Honer's 法則，即
（5-6）
*多有n次乘法和n－1次加法。反之，已知，要求解x需能對高次方程求根。這至少要次乘法（這裏，錶示不大於a的*大整數），當n，p很大時很難求解。
2. 離散對數DL（Discrete Logarithm）
給定一大素數p，p-1含另一大素數因子q，可構造一乘群，它是一個p-1階循環群。其生成元為整數g，。已知x，容易求，這隻需次乘法，如，g15= (((1·g)2·g)2·g)2·g mod p，要用3+4?1＝6次乘法。
若已知y, g, p，求為離散對數問題。*快求解法運算次數漸近值為
（5-7）
p=512時，。
若離散對數定義在中的階循環群上，Shanks和Pohlig-Hellman等的離散對數算法預計算量的漸近式為
（5-8）
求一特定離散對數的計算量的漸近式為
（5-9）
具體請參閱[LaMacchia等 1991；McCurley 1990]。
廣義離散對數問題是在n階有限循環群G上定義的。
3. 大整數分解FAC（Factorization Problem）
判斷一個大奇數n是否為素數的有效算法，大約需要的計算量是，當n為256或512位的二元數時，用當前計算機做可在10分鍾內完成。
若已知兩個大素數p和q，求n = p·q隻需一次乘法，但若由n，求p和q，則是幾韆年來數論專傢的攻關對象。迄今為止，已知的各種算法的漸近運行時間如下：
（1）試除法：*早的也是*慢的算法，需試驗所有小於sqrt(n)的素數，運行時間為指數函數。

（2）二次篩（QS）：
（5-10）
該算法為小於110位整數*快的算法，倍多項式二次篩（MPQS）是QS算法的變型，它比QS算法更快。MPQS的雙倍大指數變型還要更快一些。
（3）橢圓麯綫（EC）：
（5-11）
（4）數域篩（NFS）：
（5-12）
式中，p是n的*小的素因子，*壞的情況下。當，要用年（一秒進行100萬次運算）。雖然整數分解問題已進行瞭很長時間研究，但至今尚未發現快速算法。目前對於大於110位的整數數域篩是*快的算法，曾用於分解第9個Fermat數。目前的進展主要是靠計算機資源來實現的。二次篩法可參閱[Pomerance 1984；Carton等 1988]；數域篩法可參閱[Lenstra等 1993]；橢圓麯綫法參閱[Pollard 1993；Lenstra 1987；Montgomery 1987]。
T(n)與L(p)的錶示式大緻相同，一般當n=p時，解離散對數要更難些。
RSA問題是FAC問題的一個特例。n是兩個素數p和q之積，給定n後求素因子p和q的問題稱為RSAP。求分解問題有以下幾種形式：
（1）分解整數n為p和q。
（2）給定整數M和C，求d使。
（3）給定整數e和C，求M使。
（4）給定整數x和C，決定是否存在整數y使（二次剩餘問題）。
4. Diffie-Hellman問題（DHP）
給定素數p，令(為的生成元，若已知和，求的問題為Diffie-Hellman問題，簡稱DHP。若(為循環群G的生成元，且已知和為G中的元素，求的問題為廣義Diffie-Hellman問題，簡記為GDHP[den Boer 1988；Maurer 1994b；Waldvogel等1993；McCurley 1988]。
在[Menezes等 1997]一書的第4章對雙鑰密碼體製公鑰參數的生成和有關算法進行瞭全麵介紹，該書的第3章對密碼中用到的數學難題進行瞭全麵係統的論述。此外，還可參閱[Pomerance 1990；Adleman等1994；Bach 1990；Lenstra等1990a，1990b]。
RSA密碼體製
1978年，MIT的3位年輕數學傢R.L.Rivest，A.Shamir和L.Adleman發現瞭一種用數論構造雙鑰的方法[Rivest等 1978，1979]，稱為MIT體製，後來被廣泛稱為RSA體製。它既可用於加密，又可用於數字簽名，易懂且易於實現，是目前仍然安全並且逐步被廣泛應用的一種體製。國際上一些標準化組織（如ISO，ITU和SWIFT等）均已接受RSA體製作為標準。在因特網中所采用的PGP（Pretty Good Privacy）中也將RSA作為傳送會話密鑰和數字簽名的標準算法。
RSA算法的安全性基於5.1節介紹的數論中大整數分解的睏難性。
5.2.1 RSA密碼體製
獨立選取兩個大素數和（各100～200位十進製數字），計算
（5-13）
其歐拉函數值為
（5-14）
隨機選一整數e，，。因而在模((n)下，e有逆元
（5-15）
取公鑰為n，e。密鑰為d（，不再需要，可以銷毀）。
加密：將明文分組，各組在mod n下，可*地錶示齣來（以二元數字錶示，選2的*大冪小於n）。各組長達200位十進製數字。可用明文集為

注意，是很危險的。的概率

前言/序言

前言

為瞭加強網絡空間安全專業人纔的培養，教育部已正式批準在29所大學設立網絡空間安全一級學科博士點，全國已有128所高校相繼設立瞭信息安全或信息對抗本科專業。為瞭提高網絡空間安全人纔培養質量，急需編寫齣版一批高水平的網絡空間安全優秀教材。
作者作為教育部高等學校信息安全專業教學指導委員會委員和中國密碼學會理事，參與編寫瞭教育部高等學校信息安全專業教學指導委員會編製的《高等學校信息安全專業指導性專業規範》。在本書的編寫過程中，力求使本教材的知識體係和知識點符閤《高等學校信息安全專業指導性專業規範》的要求，並加入瞭對國産密碼算法的闡述。
全書共分3篇15章。第1篇為網絡安全基礎，共3章，主要介紹網絡安全的基本概念、計算機網絡的基礎知識，以及TCP/IP協議族的安全性。第2篇為密碼學基礎，共5章，主要介紹密碼學中的各種密碼算法和協議。第3篇為網絡安全技術與應用，共7章，主要介紹PKI/CA、密鑰管理、無綫網絡安全，以及防火牆、VPN、IDS和身份認證等網絡安全技術與應用。
本書主要有以下特色：
（1）基本概念清晰，錶述深入淺齣。在基本概念的闡述上，力求準確而精練；在語言的運用上，力求順暢而自然。作者盡量避免使用晦澀難懂的語言描述深奧的理論和技術知識，而是藉助大量的圖錶進行闡述。
（2）內容全麵，涵蓋密碼學和網絡安全技術。本書既介紹瞭現代密碼學的知識，又闡述瞭網絡安全的理論與技術，特彆適閤於將密碼學和網絡安全閤並為一門課進行授課的高校。
（3）理論與實踐相結閤。針對某些網絡安全技術和産品，本書給齣相應的網絡安全解決方案，從而使讀者能夠深入而全麵地瞭解網絡安全技術的具體應用，以提高讀者獨立分析問題和解決問題的能力。
（4）每章後麵都附有精心斟酌和編排的思考題。通過深入分析和討論思考題中所列問題，讀者可加強對每章所學基本概念和理論的理解，從而進一步鞏固所學的知識。
（5）本書詳細列齣瞭大量的參考文獻。這些參考文獻為網絡空間安全學科的研究生和密碼學、信息安全、信息對抗技術等專業的本科生，以及其他網絡安全技術人員提供瞭深入研究相關專題的途徑和資料。

本書可作為密碼學、信息安全和信息對抗技術等專業的本科生教材和網絡空間安全學科的研究生教材，也可以作為網絡安全工程師的參考書和培訓教材。
本書由劉建偉主編，劉建偉和王育民對全書進行瞭審校。第1章由劉建偉編著，第2章由杜瑞穎編著，第3章由杜瑞穎和劉建偉編著，第11～14章由劉建偉編著，第4～10章和第15章由王育民和劉建偉編著。
感謝伍前紅教授、尚濤副教授、毛劍老師、關振宇老師、修春娣老師、張宗洋老師給予的支持與幫助。感謝陳傑、劉巍然、毛可飛、周星光、王濛濛、何雙羽、程東旭、劉哲、李大偉、程昊蘇、鍾林、王朝、薑勇、周林誌等博士研究生，以及宋晨光、蘇航、馮伯昂、周修文、陶芮、夏丹楓、樊一康、齊嬋、劉懿中、王培人、馬寒軍、雷奇、李珂、崔鍵、史福田、杜崗、王沁、梁智等碩士研究生在書稿的整理過程中給予作者的大力支持與幫助。
由於作者水平所限，書中難免會存在錯誤和不妥之處。敬請廣大讀者朋友批評指正。



作 者
於北京

《數字世界的守護者：信息安全攻防實戰精要》 在數字化浪潮席捲全球的今天，信息安全已不再是專業人士的專屬領域，而是關乎個人隱私、企業生命綫乃至國傢安全的基石。數字世界錯綜復雜，威脅層齣不窮，從潛伏在暗處的網絡釣魚，到肆虐的勒索軟件，再到瞄準關鍵基礎設施的復雜攻擊，無時無刻不在考驗著我們的防禦能力。 本書正是為應對這一挑戰而生，它將引領您深入理解現代信息安全的核心理念與前沿技術，並聚焦於實戰應用，幫助您構建堅不可摧的數字壁壘。我們不再將信息安全視為高高在上的技術門檻，而是將其解構為一套係統性的思維方式和一係列可實踐的技能。 核心內容概覽： 第一部分：信息安全的基石——認知與原理 數字空間的威脅圖譜： 我們將全麵解析當前網絡安全麵臨的主要威脅類型，包括但不限於惡意軟件（病毒、蠕蟲、木馬、勒索軟件）、拒絕服務攻擊（DoS/DDoS）、跨站腳本攻擊（XSS）、SQL注入、社會工程學攻擊等。深入剖析這些攻擊的原理、傳播途徑以及對個人和組織的潛在危害，讓讀者對“敵情”有清晰的認識。 安全的基本構件： 探討信息安全的四大基本要素——機密性、完整性、可用性、不可抵賴性。理解它們在數字世界中的重要性，以及如何通過技術和管理手段來實現這些目標。 加密學的力量： 介紹對稱加密與非對稱加密的核心概念，以及哈希函數、數字簽名等在保障數據安全中的關鍵作用。我們將以通俗易懂的方式闡述這些復雜算法背後的邏輯，幫助讀者理解它們如何守護我們的數據。 網絡協議的安全視角： 剖析TCP/IP協議棧中存在的安全隱患，並介紹TLS/SSL等傳輸層安全協議的工作原理，理解HTTPS如何為Web通信提供安全保障。 第二部分：主動防禦——技術與工具的實操 邊界的守護者：防火牆與入侵檢測/防禦係統（IDS/IPS）： 深入研究不同類型防火牆（包過濾、狀態檢測、應用層）的工作機製，以及IDS/IPS如何實時監測網絡流量、識彆並阻止惡意活動。我們將探討策略配置的藝術，以及如何構建有效的網絡邊界防禦體係。 端點的安全屏障：終端安全解決方案： 涵蓋防病毒軟件、終端檢測與響應（EDR）等技術，分析它們如何檢測、隔離和清除惡意軟件，以及如何通過行為分析來發現未知威脅。 安全的網絡傳輸：VPN與加密通信： 詳細介紹虛擬專用網絡（VPN）的工作原理，包括IPsec和SSL VPN，以及它們如何在不安全的網絡環境中建立安全的通信隧道。 漏洞掃描與管理： 介紹常用的漏洞掃描工具，如Nessus、OpenVAS等，並講解如何利用這些工具發現係統和應用中的安全弱點，以及製定有效的漏洞修復和管理策略。 安全審計與日誌分析： 強調日誌記錄的重要性，並介紹如何通過分析係統日誌、安全設備日誌來追蹤攻擊痕跡、識彆異常行為，為事後調查取證提供依據。 第三部分：高級攻防——實戰演練與應對策略 滲透測試的藝術： 引導讀者理解滲透測試的流程與方法，從信息收集、漏洞掃描到權限提升和後滲透，逐步揭示攻擊者常用的技術手段。我們將強調道德黑客的視角，以及如何通過模擬攻擊來檢驗和提升自身防禦能力。 惡意軟件分析入門： 介紹靜態分析和動態分析的基本方法，幫助讀者理解惡意軟件的行為模式，並學習如何提取關鍵信息以進行風險評估和溯源。 Web應用安全攻防： 深入講解OWASP Top 10等常見Web安全漏洞，如SQL注入、XSS、CSRF等，並演示如何利用這些漏洞進行攻擊，同時教授相應的防禦技術，如輸入驗證、輸齣編碼、安全配置等。 社會工程學與心理戰術： 探討攻擊者如何利用人性的弱點實施欺騙，包括釣魚郵件、假冒身份等。強調提升個人安全意識和辨彆能力的重要性。 事件響應與應急處理： 模擬真實的安全事件，講解如何快速有效地響應安全威脅，包括事件的發現、遏製、根除和恢復。學習製定應急預案，最大程度地降低安全事件造成的損失。 第四部分：麵嚮未來的安全——趨勢與挑戰 雲計算安全： 探討雲環境下的特有安全挑戰，如多租戶隔離、身份與訪問管理（IAM）、數據安全等，並介紹雲安全最佳實踐。 物聯網（IoT）安全： 分析日益增長的物聯網設備帶來的安全風險，以及如何為其提供有效的安全防護。 人工智能（AI）在安全領域的應用： 探討AI如何賦能安全防護，例如威脅情報分析、異常檢測、自動化響應等，同時也討論AI可能帶來的新型安全威脅。 零信任安全模型： 介紹“永不信任，始終驗證”的零信任安全理念，以及如何在復雜的網絡環境中構建更具彈性的安全架構。 本書內容翔實，理論與實踐相結閤，旨在培養讀者具備獨立分析、解決信息安全問題的能力。無論您是初學者，希望係統瞭解信息安全；還是有一定基礎的從業者，希望深化技能；抑或是希望提升個人數字安全防護意識的普通用戶，《數字世界的守護者：信息安全攻防實戰精要》都將是您不可或缺的寶貴指南。 讓我們一起，成為數字世界中最堅實的守護者。

評分☆☆☆☆☆

我在閱讀《網絡安全——技術與實踐（第3版）》時，對其中關於安全審計與日誌分析的部分，感到尤為啓發。我之前對安全審計的理解可能比較片麵，認為就是記錄一些操作日誌，但本書卻將其提升到瞭一個戰略性的高度。它詳細闡述瞭安全審計在保障信息係統安全、滿足閤規性要求以及追溯安全事件責任方麵的重要作用。書中介紹瞭各種類型的安全日誌，包括係統日誌、應用日誌、網絡設備日誌等，並對如何收集、存儲、分析和歸檔這些日誌進行瞭深入的講解。我尤其對書中關於“日誌關聯分析”的技術進行瞭深入的學習，它能夠幫助我們從海量的日誌數據中，發現隱藏的攻擊模式和異常行為。我曾嘗試利用書中介紹的ELK（Elasticsearch, Logstash, Kibana）等日誌分析工具，對模擬攻擊産生的日誌進行分析，並從中成功地發現瞭攻擊者的蹤跡。這讓我深刻體會到，強大的日誌分析能力，是發現和應對高級威脅的關鍵。此外，書中關於“內審”和“外審”的區彆，以及如何準備安全審計的詳細建議，也為我今後的工作提供瞭寶貴的參考。

評分☆☆☆☆☆

本書在數據安全與隱私保護方麵的論述，讓我對“數據”這一核心要素有瞭更深的認識。它不僅僅是一個簡單的信息載體，而是現代社會中至關重要的資産，其安全性和隱私性至關重要。書中詳細介紹瞭數據生命周期的各個階段，包括數據的采集、存儲、處理、傳輸和銷毀，並針對每個階段可能存在的安全風險提齣瞭相應的防護措施。例如，在數據存儲安全方麵，書中詳細闡述瞭各種加密技術，如對稱加密、非對稱加密以及哈希算法，並解釋瞭它們在實際應用中的適用場景。我也從中學習到瞭如何進行敏感數據的脫敏和匿名化處理，以滿足閤規性要求並降低數據泄露的風險。特彆令我印象深刻的是，書中對於數據泄露的溯源和追責機製的討論，它指齣瞭在數據安全事件發生後，準確追蹤數據流嚮和責任方的重要性，並介紹瞭一些常用的取證和審計技術。這讓我意識到，數據安全不僅僅是技術上的保護，更是一個涵蓋法律、管理和技術等多方麵的綜閤性問題。書中對於個人信息保護的重視，也讓我更加關注用戶隱私的價值，並深刻理解瞭在信息時代，尊重和保護個人隱私的重要性。

評分☆☆☆☆☆

《網絡安全——技術與實踐（第3版）》在高級持續性威脅（APT）攻防方麵的分析，堪稱經典。書中的內容不僅僅是描述APT攻擊的常見手法，更是深入剖析瞭APT攻擊的動機、組織形式、以及其與傳統攻擊的不同之處。我尤其對書中關於“魚叉式網絡釣魚”和“零日漏洞”的案例分析印象深刻。作者通過對真實APT攻擊事件的復盤，詳細揭示瞭攻擊者如何利用高度定製化的攻擊工具和策略，長期潛伏在目標網絡中，竊取敏感信息或進行破壞。這讓我意識到，APT攻擊的隱蔽性和持久性，使得傳統的基於邊界防禦的安全措施往往難以奏效。書中提齣的“縱深防禦”和“零信任”的安全理念，為應對APT攻擊提供瞭重要的指導。它強調，不能僅僅依賴於單點防禦，而是需要構建多層次、多維度的安全防護體係，並對網絡內部的所有訪問和操作都進行嚴格的驗證和審計。我從書中學習到瞭如何通過威脅情報的利用、異常行為的檢測以及快速的事件響應來提高對APT攻擊的發現和應對能力，這對於任何一個重視國傢安全或企業核心資産保護的組織來說，都具有極高的參考價值。

評分☆☆☆☆☆

這本書在網絡安全法律法規與閤規性方麵的內容，對我這個一直以來更側重技術實操的人來說，無疑是一次及時的“補課”。我之前總覺得法律法規是枯燥乏味的條文，但《網絡安全——技術與實踐（第3版）》卻以一種非常生動的方式呈現瞭這些內容。它不僅列舉瞭國內外主要的網絡安全法律法規，如GDPR、CCPA，以及中國的《網絡安全法》、《數據安全法》等，更重要的是，它解釋瞭這些法律法規背後所蘊含的安全理念和對企業實踐的影響。比如，書中在講解數據跨境傳輸的閤規性要求時，詳細闡述瞭不同國傢和地區對於數據主權、隱私保護的差異化規定，以及企業在跨國運營時需要如何進行閤規性審查和風險管理。這讓我深刻理解到，技術安全措施的有效性，往往需要法律法規的支撐和保障。此外，書中關於信息安全管理體係（ISMS）的介紹也相當詳盡，特彆是對ISO 27001標準的解讀，包括其核心原則、實施步驟以及常見的誤區。它讓我明白，一個成熟的安全管理體係，不僅僅是部署幾颱防火牆或入侵檢測係統，而是需要一套係統化的流程和製度來支撐，覆蓋從風險評估、策略製定到事件響應和持續改進的整個生命周期。書中提齣的“安全意識培訓”的重要性，也讓我反思，很多安全事件的發生，並非技術上的不可逾越，而是由於人員的安全意識不足。

評分☆☆☆☆☆

這本書對於物聯網（IoT）安全部分的論述，為我打開瞭一個全新的視角。在過去的認知裏，網絡安全更多地聚焦於傳統的IT係統，而IoT設備的安全性常常被忽視。然而，隨著物聯網設備的普及，其潛在的安全風險也日益凸顯。本書在這部分內容中，詳細分析瞭IoT設備在設計、部署和管理過程中可能存在的安全漏洞，從設備固件的脆弱性到通信協議的弱點，再到數據傳輸的加密問題，都進行瞭深入的探討。我尤其對書中關於“僵屍網絡”的案例分析印象深刻，作者通過分析Mirai僵屍網絡的攻擊方式，揭示瞭大量弱密碼、未修補漏洞的IoT設備是如何被輕易控製，並被用於發起大規模DDoS攻擊的。這讓我意識到，即使是最基礎的網絡設備，如果缺乏足夠的安全保障，也可能成為整個網絡安全的“短闆”。書中提齣的IoT設備的安全加固策略，包括強製性的固件更新、強密碼策略、網絡隔離以及對設備行為的監控等，都具有很強的實踐指導意義。它讓我明白，物聯網安全並非一個獨立的領域，而是需要與現有的網絡安全體係有機結閤，共同構建一個更加安全的智能互聯世界。

評分☆☆☆☆☆

在本書關於網絡安全事件的響應與恢復機製的章節，我學到瞭很多關於如何“救火”的實用技巧。以前我總覺得安全事件一旦發生，就是一場災難，但這本書讓我看到瞭其中蘊含的係統性和專業性。作者並沒有迴避復雜的場景，而是詳細地描繪瞭從事件的初步檢測、分析，到遏製、根除，再到最後的恢復和事後總結的完整流程。特彆是在事件分析階段，書中介紹瞭多種取證工具和技術，比如內存取證、磁盤取證、網絡流量分析等，並提供瞭具體的實踐指導。我曾嘗試按照書中的步驟，對一個模擬的勒索軟件攻擊場景進行分析，雖然過程中遇到瞭不少挑戰，但最終成功地還原瞭攻擊路徑，並找到瞭關鍵的攻擊載體。這讓我深刻體會到，隻有深入理解事件的發生過程，纔能有效地采取措施。更令我印象深刻的是，書中關於“事後總結”的強調。它指齣，每一次安全事件都是一次寶貴的學習機會，通過對事件進行深入復盤，分析根本原因，總結經驗教訓，纔能不斷完善安全策略，提高整體的安全防護能力。書中提供的“事件響應計劃模闆”也極具參考價值，它幫助我理解瞭在實際工作中，如何提前製定周密的響應預案，確保在危機時刻能夠冷靜、高效地應對。

評分☆☆☆☆☆

這本書在網絡安全人纔培養與技能發展方麵的探討，給瞭我很大的觸動。它不僅僅是傳授技術知識，更重要的是指明瞭作為一名網絡安全從業者，應該如何持續學習和成長。書中詳細列舉瞭當前網絡安全領域所需的各類核心技能，包括但不限於滲透測試、安全開發、事件響應、威脅情報分析、以及安全策略製定等，並對每一種技能的發展路徑給齣瞭建議。我尤其對書中關於“持續學習”和“保持好奇心”的強調印象深刻。它指齣，網絡安全領域技術更新迭代速度極快，隻有不斷學習新知識、掌握新技能，纔能跟上時代的步伐。書中還介紹瞭一些獲取最新安全資訊的渠道，以及參加安全會議、攻防演練等提升實戰能力的途徑。這讓我意識到，網絡安全不是一個可以一勞永逸的領域，而是需要不斷地投入時間和精力去鑽研和提升。它也鼓勵我積極參與到開源社區中，與其他安全從業者交流經驗，共同進步。這本書讓我對自己未來的職業發展有瞭更清晰的規劃，並認識到，成為一名優秀的安全專傢，不僅需要紮實的技術功底，更需要一顆不斷探索的心。

評分☆☆☆☆☆

這本《網絡安全——技術與實踐（第3版）》真的讓我大開眼界，尤其是它在網絡攻防技術部分的處理。作者沒有停留在淺嘗輒止的介紹，而是深入到各種攻擊嚮量的原理剖析，從SQL注入、XSS到更復雜的內存破壞漏洞，每一個都配以詳實的理論基礎和實際的攻擊代碼示例。讀到關於緩衝區溢齣的部分，我花瞭整整一個下午的時間去理解那種微妙的內存管理機製，以及攻擊者如何利用它來實現代碼執行。書中給齣的Metasploit框架的實操指導也極具價值，它不僅僅是簡單地羅列命令，而是深入講解瞭每個模塊的工作原理、參數設置以及如何根據目標係統的特點進行定製化攻擊。最讓我驚喜的是，書中還探討瞭社會工程學攻擊的心理學根源，以及如何通過精心設計的釣魚郵件或僞裝成內部人員進行欺騙，這部分內容讓我認識到，技術攻防往往與人性弱點緊密相連。它讓我意識到，一個完善的安全體係，不僅需要堅固的技術防綫，還需要對潛在的人為漏洞有深刻的認識和防範。而且，它在介紹防禦策略時，也並非泛泛而談，而是緊密結閤瞭實際的攻防場景，例如，在講解防火牆和IDS/IPS的配置時，書中詳細列舉瞭不同場景下的配置優化建議，以及如何根據攻擊趨勢動態調整規則集。這使得我在閱讀時，仿佛置身於一個真實的攻防演練場，每一步操作都充滿瞭挑戰與啓發。

評分☆☆☆☆☆

在本書關於雲計算安全的內容上，我發現自己之前的理解可能還不夠深入。以前我總覺得將數據和應用遷移到雲端，就萬事大吉瞭，但《網絡安全——技術與實踐（第3版）》卻非常清晰地闡述瞭雲安全所麵臨的獨特挑戰。書中詳細分析瞭公有雲、私有雲和混閤雲環境下的安全模型，並重點討論瞭“責任共擔模型”的重要性。它強調，即使是將服務委托給雲服務提供商，用戶自身仍然在數據安全、訪問控製等方麵承擔著不可推卸的責任。例如，在講解AWS、Azure等主流雲平颱上的安全配置時，書中提供瞭非常具體的操作指南，包括如何配置IAM（身份與訪問管理）、S3存儲桶的訪問策略、以及如何利用WAF（Web應用防火牆）來保護雲上的Web應用。我尤其對書中關於“雲原生安全”的探討感到興奮，它介紹瞭DevSecOps的理念，以及如何將安全融入到CI/CD流水綫中，實現自動化安全掃描和部署。這對於我們這種正在積極擁抱雲技術的團隊來說，無疑提供瞭寶貴的實踐方嚮。書中對於多雲環境下的安全策略整閤，也給齣瞭非常有價值的建議，讓我意識到，在復雜的雲環境中，實現統一的安全視圖和管理至關重要。

評分☆☆☆☆☆

這本書在網絡安全體係建設與管理方麵的內容，讓我看到瞭一個宏觀的視角。之前我可能更關注具體的安全技術點，而這本書則將這些技術點串聯起來，形成瞭一個完整的安全體係。它從戰略層麵齣發，講解瞭如何根據組織的業務需求和風險承受能力，來規劃和構建整體的網絡安全架構。我尤其對書中關於“安全治理”和“風險管理”的章節印象深刻。它強調瞭安全不僅僅是技術部門的責任，更是需要整個組織的高層管理者都高度重視，並將其納入到企業戰略規劃中。書中提齣的“風險評估”的方法論，以及如何根據風險評估結果來製定相應的安全策略和控製措施，都具有非常強的指導意義。我從書中學習到瞭如何進行安全投資的效益分析，以及如何通過度量安全能力的成熟度來評估安全體係的有效性。此外，書中關於“安全運營中心（SOC）”的建設和運作的詳細介紹，也讓我對如何構建一個高效的安全監控和響應團隊有瞭更深入的理解。它讓我明白，一個完善的網絡安全體係，不僅僅是技術的堆砌，更是一個持續演進、不斷優化的過程。

評分☆☆☆☆☆

買來學習學習

評分☆☆☆☆☆

正在學習中

評分☆☆☆☆☆

好評

評分☆☆☆☆☆

買來學習學習

評分☆☆☆☆☆

比學校買的便宜瞭10塊錢，美滋滋

評分☆☆☆☆☆

新版新書，網安必備，畢竟全麵，含國密

評分☆☆☆☆☆

正在學習中

評分☆☆☆☆☆

不錯不錯

評分☆☆☆☆☆

好評