前    言

人类社会在经历了机械化、电气化之后，进入了一个崭新的信息化时代。在信息时代，人们生活和工作在信息空间或网络空间中。所谓信息空间或网络空间就是人们赖以生存的信息环境，它是所有信息系统的集合。

在信息时代，信息成为一种重要的战略资源。信息技术改变着人们的生活和工作方式，信息产业成为世界第一大产业。信息的获取、存储、传输、处理和安全保障能力成为一个国家综合国力的重要组成部分。

我国非常重视信息技术人才队伍的建设。伴随着信息产业的发展，人力资源和社会保障部、工业与信息化部共同组织了“全国计算机技术与软件专业技术资格（水平）考试”，通过这项制度，已为我国培养选拔了几十万计算机与软件服务专业技术人才（包括香港、澳门和台湾地区来大陆就业的人员）。部分考试标准与日本、韩国互认。该考试由于其权威性和严肃性，得到了社会各界及用人单位的广泛认同，并为推动国家信息产业发展，特别是计算机和软件服务产业的发展，以及提高各类信息技术人才的素质和能力发挥了重要作用。

当前，信息技术与产业欣欣向荣，处于空前繁荣的阶段，但是另一方面，危害信息安全的事件不断发生，信息安全的形势非常严峻。敌对势力的破坏、黑客入侵、利用计算机实施犯罪、恶意软件侵扰、隐私泄露等，是我国信息网络空间面临的主要威胁和挑战。我国已经成为世界信息产业大国，但是还不是信息产业强国，在信息产业的基础性产品研制、生产方面还比较薄弱，例如，计算机操作系统等基础软件和CPU等关键性集成电路，我国现在还部分依赖国外的产品，这就使得我国的信息安全基础不够牢固。

随着计算机和网络在军事、政治、金融、工业、商业等部门的广泛应用，社会对计算机和网络的依赖越来越大，如果计算机和网络系统的安全受到破坏，不仅会带来巨大的经济损失，还会引起社会的混乱。因此，确保以计算机和网络为主要基础设施的信息系统的安全已成为世人关注的社会问题和信息科学技术领域的研究热点。当前，我国正处在全面建成小康社会的决定性阶段，实现我国社会信息化并确保信息安全是我国全面建成小康社会的必要条件之一。而要实现我国社会信息化并确保信息安全的关键是人才，这就需要我们培养造就规模宏大、素质优良的信息化和信息安全人才队伍。

2014年，习近平主席在中央网络安全与信息化领导小组会议上指出：没有网络安全就没有国家安全，没有信息化就没有现代化。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建成网络强国。

“十三五”时期，我国要积极推动网络强国建设。网络强国涉及技术、应用、文化、安全、立法、监管等诸多方面，不仅要突出抓好核心技术突破，还要提供更加安全可靠的软硬件支撑，加快建设高速、移动、安全、泛在的新一代信息基础设施，在不断推进新技术新业务应用，繁荣发展互联网经济的同时，要强化网络和信息安全，而培育高素质人才队伍是实施网络强国战略的重要措施。2015年，国务院学位委员会和教育部增设“网络空间安全”一级学科。我国信息安全学科建设和人才培养，迎来了全面高速发展的新阶段。

与此同时，全国计算机技术与软件专业技术资格（水平）考试办公室决定开始开展“信息安全工程师”岗位的人才评价工作，以加快推动信息安全专业的人才队伍建设。我们相信，这一措施将成为科学评价我国信息安全专业技术人员的重要手段，也将为我国培养和选拔信息安全专业技术人才，发挥重要作用。

为了配合“信息安全工程师”考试工作的开展，给准备参加考试的技术人员提供一本适用的教材，我们编写了《信息安全工程师教程》一书。全书共分8章，主要内容       如下：

第1章 信息安全基础，主要介绍：信息安全概念、信息安全法律法规、信息安全管理基础和信息安全标准化知识。本章的内容是基本的，但是对信息安全技术人员来说是重要的。

第2章 密码学基础与应用，主要讲解：密码学的基本概念、分组密码、序列密码、Hash函数、公钥密码体制、数字签名、认证和密钥管理。本章的介绍强调基本概念、基本技术和基本应用技术，努力避免较复杂的数学理论。

第3章 网络安全基础，主要介绍：计算机网络基本知识、网络安全的基本概念、网络安全威胁、网络安全防御和无线网络安全。

第4章 信息系统安全基础，主要讨论：计算机设备安全、操作系统安全、数据库系统的安全、恶意代码、计算机取证和嵌入式系统安全。

第5章 应用系统安全基础，主要讲解：Web 安全、电子商务安全、信息隐藏、网络舆情和隐私保护。

第6章 网络安全工程，主要介绍：网络安全需求分析与基本设计、网络安全产品的配置与使用、网络安全风险评估实施和网络安全防护技术的应用。本章强调网络安全的基本技术与应用。

第7章 信息系统安全技术与产品，主要介绍：访问控制、信息系统安全的需求分析与设计准则、信息系统安全产品的配置与使用和信息系统安全测评。本章强调信息系统安全的基本技术与应用。

第8章 应用安全工程，主要介绍：Web 安全的需求分析与基本设计、电子商务安全的需求分析与基本设计、嵌入式系统的安全应用、数字水印在版权保护中的应用和位置隐私保护技术的应用。本章强调应用系统安全的基本技术与应用。

本书由张焕国主编，杜瑞颖、傅建明、严飞副主编。参加编写的还有：陈晶、罗敏、赵波、彭国军、王张宜、牛晓光、王丽娜、任延珍、张立强、赵磊、武小平、王张宜、王鹃、余发江、郑鹏、王志波、叶登攀、余荣威等各位老师。

本书的编写工作得到湖北省软件工程师考试办公室夏波的指导和帮助，特向她表示感谢。

尽管作者们作了很大努力，力图使本书理论联系实际、简明扼要、通俗易懂，但因作者水平和经验所限，书中难免会有不妥和错误之处。对此，作者恳请读者的理解和批评指正，并于此先致感谢之意。

张焕国

于武汉大学

2016年3月

目    录

第1章  信息安全基础1

第2章  密码学基础与应用75

第3章  网络安全基础169

第4章  信息系统安全基础380

第5章  应用系统安全基础518

第6章  网络安全技术与产品615

第7章  信息系统安全工程718

第8章  应用安全工程798

参考文献858