计算机安全:原理与实践
2009-03-06贾春福
贾春福
随着计算机与网络技术的飞速发展和广泛应用,人们对计算机安全知识和技能的关注程度与日俱增。为了满足教育中人们对计算机安全知识的需求,近年来,国内外出版了许多有关计算机安全的专业书籍、教材和读物。计算机安全涉及密码学、计算机技术、网络技术和信息系统安全管理等多个方面,然而到目前为止,鲜有一本计算机安全的书籍能够将相关的各个方面有机地统一起来,使得任何一个从事计算机安全领域研究和学习的人,都能从中获取自己关心的知识;能够做到深入浅出、易于理解,使得无论初涉计算机安全领域的学生,还是专业技术人员或者学术研究人员,通过阅读都会受益匪浅。William Stallings博士等人的力作《计算机安全:原理与实践》就是这样一本具备了上述特点的非常有价值的书籍,通过精选其中的内容,它也可以作为教材使用。
本书作者William Stallings博士是世界知名的计算机学者,已撰写和出版著作多部,内容涉及计算机安全、计算机网络和计算机体系结构等多个方面,堪称计算机界的全才;曾九次荣获由美国“教材和学术专著作者协会”颁发的“年度最佳计算机科学教材奖”。
本书系统地介绍了计算机安全领域的各个方面,全面分析了计算机安全威胁、监测与防范安全攻击的技术方法、软件安全问题以及管理问题。书中重点介绍了核心的安全原理,揭示了这些原理是如何将计算机安全领域统一成一体的,并说明了它们在现实的系统和网络中的应用。此外,作者还分析了满足安全要求的各种设计方法,阐释了对于当前安全解决方案至关重要的相关标准。书中内容由六个部分组成:第一部分安全技术和原理,涵盖了支持有效安全策略所必需的所有技术领域和原理,如密码编码技术、认证、访问控制等。第二部分软件安全,包含了软件的开发和运行中的安全问题(如软件避免缓冲区溢出和恶意输入等弱点)以及相应的对策。第三部分管理问题,讨论了信息与计算机安全在管理方面的问题,如物理安全、培训、审计和策略等;同时还探讨了计算机犯罪、知识产权、隐私和道德等问题。第四部分密码编码算法,讨论了各种类型的加密算法和其他类型的密码算法(如对称密码和公钥密码算法等)的细节。第五部分Internet安全,主要讨论的是为在Internet上进行通信提供安全保障的协议和标准,包括SSL、TLS、IP安全、S/MIME、Kerberos、X.509以及联合身份管理等。最后一部分是操作系统安全,该部分详细介绍了两种广泛使用的操作系统Windows(包含最新的Vista)与Linux的安全模型与安全方法。
本书的特点主要表现为:
(1) 内容覆盖面广。安全管理是计算机安全的重要组成部分,到目前为止,还很少有一本计算机安全方面的书籍如此全面地介绍安全管理方面的内容。书中涵盖了计算机安全领域中各个方面,不仅包括技术和应用方面的内容,还重点阐述了安全管理方面的内容,强调了安全管理在计算机安全中的重要地位,体现了计算机安全中“三分技术,七分管理”的思想。
(2) 以原理为主线。用近一半的篇幅介绍了计算机安全相关的原理(书中第一部分),后面几个部分重点说明了原理的应用,阐释了安全原理是如何将计算机安全各个领域有机地统一在一起的。这使得读者能够很好地把握所学的最根本的知识,了解其应用情况,并在飞速发展的计算机安全研究开发中保持较强的判断力并激发创造力。
(3) 注重内容的最新性。一方面,书中内容及时反映了目前计算机安全领域技术与安全管理的最新发展状况;另一方面,为了使读者能够跟上计算机安全技术发展的步伐,每章之后的“推荐的读物和Web站点”提供了许多可参阅的资源,以便读者更快了解计算机安全领域最新的发展动态。
(4) 术语和概念系统、标准。书中每个术语和概念都依据一定的技术标准或者权威文献,这些标准和文献都可以通过书后的参考文献获取,提高了书中概念和术语表述的权威性。
(5) 讲求表述技巧。为帮助学生们理解关键的术语和概念并激发学习兴趣,书中包括了许多幽默和实际的例子以及重要的设计实例,用于阐述相关概念和原理以及安全设计思想,提高读者的直观认识。此外,“原理—应用—细节”的讲述思路适应读者的认知思路。书中的第一部分注重介绍原理,接下去介绍应用,而原理细节在读者了解了原理和应用之后,希望对原理进行深入探讨时,再进行介绍。书中密码编码技术的介绍就很好地体现了这一思想。
(6) 强调知识扩展和能力提高。各章后面都有一定数量精心设计的习题和思考题供读者练习,用以加深对书中内容的理解;同时,每章后面作者还附上了一些极有价值的参考文献和Web站点,通过提供的这些网上资源,有兴趣的读者可以进一步对计算机安全方面的一些技术细节进行深入学习和研究。书后附录中设计的实习项目,不仅可以加深对所学知识的认识,也利于提高读者动手能力和兴趣。
此外,本书配套的网站http:// WilliamStalling.com/CompSec/CompSec1e.html提供了非常有用的Web站点、书中的插图和表格、依章节的教学幻灯片以及课后习题参考答案等,这些便于读者阅读学习时参考。如果通过精选本书的内容作为教材使用,这些资源更为教师组织教学、编写课件提供了全方位的支持。
本书可以作为计算机及相关专业计算机安全课程的教材、信息安全专业信息安全概论等课程的教材或参考资料,本书同时也是信息安全专业技术人员、管理人员和学术研究人员非常理想的有重要价值的参考书。
在该书翻译过程中,译者改正了书中存在的一些错误与排版错误;译者和编辑们就某些网络术语的中文标准译法或更准确的译法进行了讨论,力求做到技术内涵的准确无误以及专业术语的规范统一。另外,机械工业出版社对此书高度重视,正在考虑出版本书的缩编版,使其更好地满足国内计算机安全课程在内容和课时等方面的教学要求,目标是造就一本权威、经典和适用的高校教材。
