前言




随着计算机和网络技术的日益普及和广泛应用，信息的应用和共享日益广泛、深入，各种信息系统已经成为国家基础设施。与此同时，计算机信息系统的安全问题日益突出，情况也越来越复杂，针对计算机信息系统的攻击与破坏事件层出不穷，如果不对其加以及时和正确的保护，这些攻击与破坏事件轻则干扰人们的日常生活，重则造成巨大的经济损失，甚至威胁到国家安全，所以信息系统的安全问题已经引起许多国家的高度重视，社会对信息安全人才的需求越来越迫切。
确保信息系统安全是一个整体概念，解决某一信息安全问题通常要综合考虑硬件、系统软件、应用软件、管理等多层次的安全问题，目前市面上信息安全方面的书籍大多侧重于网络安全，而专门从信息系统体系结构层面讲解信息安全的书籍较少，不利于相关课程教学的实施。
本书以教育部《信息安全专业指导性专业规范》所列知识点为基础，从信息系统的组成要素出发，寻求综合解决信息安全问题的方案。信息系统自底向上由物理层(硬件层)、操作系统、网络、数据库、应用系统等构成，只有从信息系统硬件和软件的底层出发，确保信息系统各组成部分的安全，从整体上采取措施，才能确保整个信息系统的安全。因此，教学内容以保障信息系统各组成层次安全为一级主线，以各类安全技术在信息系统不同层次上的应用为二级主线进行优化重组，全面系统地介绍信息系统安全的基本概念、原理、技术、知识体系与应用，覆盖了信息的存储、处理、使用、传输与管理整个生命周期不同环节的安全威胁与相应的保护对策。
本书内容共分12章，第1章介绍当前信息系统安全形势、信息系统安全的基本概念、发展历史、主要目标和技术体系； 第2章介绍密码学基本理论与应用，具体包括密码学的基本概念、密码体制的组成、分类以及设计原则、古典密码体制、对称密码体制、公钥密码体制等密码学基本理论，用于消息完整性校验的消息认证，用于防止信息抵赖的数字签名技术，以及对公钥进行有效管理并提供通用性安全服务的公钥基础设施技术； 第3章、第4章分别介绍身份认证和访问控制机制，身份认证是信息系统的第一道安全防线，其目的是确保用户的合法性，阻止非法用户访问系统，访问控制是根据安全策略对用户操作行为进行控制，其目的是保证资源受控、合法地使用； 第5章介绍物理层面增强信息系统安全的方法和技术； 第6章介绍操作系统安全机制，重点介绍主流操作系统Windows和UNIX/Linux操作系统的安全机制； 第7章介绍网络安全技术，重点介绍防火墙、入侵检测系统的原理； 第8章介绍数据库安全机制，重点介绍数据库访问控制、审计、备份恢复、加密等安全技术，并以数据库管理系统SQL Server为例，介绍安全技术在产品中的应用情况； 第9章介绍病毒、木马、蠕虫这3类恶意代码的检测与防范技术； 第10章介绍应用系统安全漏洞及防范措施，重点介绍Web应用安全机制； 第11章介绍信息安全评估标准和我国的网络安全等级保护制度； 第12章介绍信息安全风险评估的概念、方法、工具、流程。 
陈萍提出了本书的编写大纲，编写了其中第1~7章和第9~12章，赵敏负责编写了第8章，参与编写了第5、6章，王金双、宋磊对本书编写提出了建设性的意见和技术支持，全书由陈萍统稿、王金双审校。
本书配套微课视频，读者扫描封底刮刮卡内二维码，获得权限，再扫描正文中的二维码，即可观看视频。
由于作者自身水平有限，书中难免有不足和疏漏之处，恳请读者和专家提出宝贵意见。
作者
2022年1月