邱均平，武汉大学信息管理学院杠教育科学学院教授、博士生导师。华中师范大学特聘教授。我国著名情报学家和评价管理专家、文献计量学的主要奠基人之一。享受国务院政府特殊津贴专家、湖北省有突出贡献的中青年专家。
    现任湖北省人文社会科学重点研究基地__武汉大学中国科学评价研究中心主任、《评价与管理》杂志主编、《图书情报知识》杂志副主编；兼任教育部高等教育教学评估专家，教育部CSsCI指导委员会委员和中国管理科学研究院、南京理工大学等8个单位的研究员、教授或博士生导师，中国索引学会副理事长，中国科学学与科技政策研究会等4个全国性学会的常务理事及《情报学报》、《高教发展与评估》等14种杂志的编委。
    一直从事“情报、计量、评价、管理”领域的教学和研究工作，特别在文献计量学、科学计量学与网络计量学、信息管理与知识管理、科学评价与大学评价等方面有精深研究。指导和培养研究生100余名，其学生中不少已成为学术骨干或学科带头人；主持并完成国家和省部级课题28项，获国家社科基金重点项目优秀成果和湖北省社会科学优秀成果省级一等奖（2项）等55项各类学术奖励，特别是近几年来研发的“中国大学及学科专业评价系统”被省级鉴定为“国内领先”成果；出版著作40部，代表作有《文献计量学》、《信息计量学》、《知识管理学》、《大学评价与科研评价》、《中国大学及学科专业评价报告》、《中国学术期刊评价报告》等，其中《文献计量学》首次构建了理论、方法、应用相结合的内容体系，是本学科的奠基之作；《信息计量学》被选为教育部“面向21世纪课程教材”、《知识管理学》被、平为“普通高等教育‘十一五’国家级规划教材”；在国内外重要期刊如Scientometrios.《情报学报》、《中国图书馆学报》等上发表论文376篇，其中有60余篇获奖或被SC／、SSC／、《新华文摘》、《人大报刊复印资料》全文转载或收录。据有关机构统计和发布，其学术影响力在“图书馆、情报与档案管理”学科领域名列前茅，并被收入国际著名的英国剑桥、美国国际《世界名人录》等十多种大型辞书中。

    唐晓波，教授，博士生导师。现任武汉大学信息管理学院信息管理科学系主任；兼任国际信息系统协会中国分会理事、湖北省信息学会常务理事、武汉市系统工程学会理事。1983年毕业于武汉水利电力大学电子技术专业获工学学士学位，1990年毕业于武汉水利电力大学计算机科学与技术专业获工学硕士学位，2007年毕业于武汉大学管理科学与工程专业获管理学博士学位。
    主要从事管理信息系统、信息管理与知识管理、信息资源集成与利用、JT项目管理等领域的教学和研究工作。近年来，发表学术论文50余篇，其中部分论文被SCI、EI、ISTP和ISSHP收录；出版学术专著4部。主持教育部人文社会科学重点基地重大项目、教育部人文社会科学规划项目和横向项目近201页，参加多项国家自然科学基金重点项目、教育部重大攻关项目的研究工作。

　　《信息安全概论》是《现代信息资源管理丛书》之一。
　　《信息安全概论》系统介绍信息安全的理论知识、信息安全的技术以及信息安全方面的一些**成果。《信息安全概论》共分为10章，内容包括绪论、信息密码技术、信息认证技术、密钥管理技术、访问控制技术、操作系统安全和数据库安全、网络安全技术、应用安全机制、信息安全标准和信息安全的管理。

    2.4.6分组密码的分析方式
    密码是用来对明文提供保护，防止明文泄露的。而密码分析人员的任务是在某种意义下破译密码。如果密码分析者能确定该密码正在使用的密钥，则他就可以像合法用户一样阅读所有的消息，则称该密码是完全可破译的；如果密码分析者仅能从所窃获的密文恢复明文，但他却不能发现密钥，则称该密码是部分可破译的。
    根据攻击者掌握的信息，可将分组密码的攻击分为以下4类：
    1）唯密文攻击：攻击者除了截获的密文外，没有其他可利用的信息。
    2）已知明文攻击：攻击者仅知道当前密钥下的一些明密文对。
    3）选择明文攻击：攻击者能获得当前密钥下的一些特定的明文所对应的密文。
    4）选择密文攻击：攻击者能获得当前密钥下的一些特定的密文所对应的明文。
    显然，在上述的4类攻击中，选择明文攻击是密码分析者可能发动的最强打力的攻击，但是在许多场合这种攻击是不现实的。
    一种攻击的复杂度可以分为两部分，即数据复杂度和处理复杂度。数据复杂度是实施该攻击所需输入的数据量；处理复杂度是处理这些数据所需的计算量。对某一攻击通常是以这两个方面的其中之一为主要因素，来刻画攻击复杂度。例如：穷举攻击所需的数据量和计算量相比微不足道，因此穷举攻击的复杂度实际就是考虑处理复杂度；差分密码分析是一种选择明文攻击，其复杂度主要是由该攻击所需的明密文对的数量来确定，而实施该攻击所需的计算量相对来说要小的多。下面是几种常见的攻击方法。
    ……

总序
前言
第1章 绪论 1
1.1 信息与信息技术 1
1.1.1 信息的定义 1
1.1.2 信息技术的概念 2
1.2 信息安全内涵 4
1.2.1 信息安全的概念 4
1.2.2 信息安全的目标 5
1.3 信息安全的研究内容 7
1.3.1 信息安全基础研究 8
1.3.2 信息安全应用研究 11
1.3.3 信息安全管理研究 14
1.4 安全服务与机制 15
1.4.1 信息安全威胁 15
1.4.2 信息安全服务 20
1.4.3 信息安全机制 21
1.5 信息安全的发展及趋势 26
1.5.1 信息安全发展阶段 26
1.5.2 信息安全发展现状 31
1.5.3 信息安全发展趋势 32
1.6 信息安全技术体系 34
1.6.1 PDR 技术体系 34
1.6.2 纵深防御技术体系 36
1.6.3 面向应用的技术体系 39
第2章 信息密码技术 42
2.1 密码学的发展与演变 42
2.2 密码学的基础 44
2.2.1 密码学的特点 44
2.2.2 密码学的基本要素 44
2.2.3 密码体制 46
2.2.4 密码分析 49
2.2.5 古典密码 50
2.3 对称密码体制——流密码 53
2.3.1 流密码基本原理 53
2.3.2 二元加法流密码 56
2.3.3 混沌序列流密码 57
2.3.4 其他流密码 59
2.4 对称密码体制——分组密码 61
2.4.1 分组密码基本原理 61
2.4.2 Feistel密码结构 62
2.4.3 数据加密标准(DES) 62
2.4.4 其他分组密码 71
2.4.5 分组密码的工作模式 73
2.4.6 分组密码的分析方式 75
2.5 公钥密码体制 76
2.5.1 基本概念 76
2.5.2 RSA算法 78
2.5.3 EIGamal算法 80
2.5.4 ECC算法 81
2.6 领域前沿 84
2.6.1 量子密码学 84
2.6.2 DNA密码 86
2.6.3 神经网络密码学 86
第3章 信息认证技术 89
3.1 信息认证技术概述 89
3.1.1 对信息进行认证的技术发展史 89
3.1.2 对信息认证的必要性 89
3.2 数字签名 91
3.2.1 数字签名的概念 91
3.2.2 数字签名的实现方法 93
3.2.3 几种有代表性的数字签名方案 95
3.2.4 数字水印技术 101
3.3 哈希函数和消息完整性 107
3.3.1 哈希函数 107
3.3.2 消息认证和消息完整性 109
3.4 生物特征识别 110
3.4.1 生物特征识别的基本概念 110
3.4.2 几种生物特征识别技术介绍 110
3.4.3 生物特征识别技术发展趋势 114
3.5 身份认证 115
3.5.1 身份认证基础 115
3.5.2 身份认证协议 118
3.5.3 常见的身份认证技术 121
3.5.4 身份认证的实现 125
第4章 密钥管理技术 138
4.1 密钥管理概述 138
4.1.1 密钥管理的意义 138
4.1.2 密钥管理的原则 139
4.1.3 密钥的分类 139
4.1.4 不同类型的密钥加密体制 140
4.2 密钥的生命周期及其管理 141
4.2.1 密钥的产生 141
4.2.2 密钥的注入 144
4.2.3 密钥的存储 144
4.2.4 密钥的使用与控制 146
4.2.5 密钥的更新 147
4.2.6 密钥的吊销与销毁 147
4.3 密钥分配技术 148
4.3.1 密钥分配的类型 148
4.3.2 密钥分配的方法 149
4.3.3 密钥分配协议 150
4.4 公钥基础设施(PKI) 155
4.4.1 PKI概述 155
4.4.2 数字证书 156
4.4.3 PKI组件 159
4.4.4 PKI提供的服务 164
4.4.5 PKI信任模型 166
4.4.6 PKI的应用 170
4.5 密钥分散与托管技术 172
4.5.1 密钥分散技术 172
4.5.2 密钥的分散、分配和分发 173
4.5.3 密钥托管概述 173
4.5.4 密钥托管的主要功能 174
4.5.5 密钥托管的步骤 175
4.5.6 密钥托管体制的组成 175
4.5.7 部分密钥托管技术 176
第5章 访问控制技术 178
5.1 访问控制原理 178
5.1.1 访问控制的要素 178
5.1.2 访问控制的组件 180
5.2 访问控制的策略和机制 182
5.2.1 访问控制策略 183
5.2.2 访问控制机制 187
5.3 自主访问控制 190
5.3.1 基于行的自主访问控制 191
5.3.2 基于列的自主访问控制 193
5.3.3 自主访问控制策略的局限性 194
5.4 强制访问控制 195
5.4.1 BLP模型 198
5.4.2 Biba模型 203
5.4.3 强制访问控制的局限性 204
5.5 基于角色的访问控制 205
5.5.1 角色的概念 206
5.5.2 RBAC的基本原理 207
5.6 基于任务的访问控制 210
5.6.1 TBAC模型结构 211
5.6.2 TBAC模型的特性分析 213
5.7 访问控制与授权 213
5.7.1 授权行为 213
5.7.2 信任模型 214
第6章 操作系统安全和数据库安全 218
6.1 操作系统安全概述 218
6.1.1 操作系统安全性要求 218
6.1.2 操作系统安全威胁概述 219
6.1.3 操作系统安全级别 220
6.2 操作系统安全机制 222
6.2.1 硬件安全机制 222
6.2.2 身份认证机制 223
6.2.3 访问控制机制 224
6.2.4 最小特权管理机制 225
6.2.5 可信通道机制 225
6.2.6 安全审计机制 226
6.3 Windows2000/XP的安全机制 226
6.3.1 账户管理机制 227
6.3.2 登录验证 227
6.3.3 系统访问控制 228
6.3.4 Windows2000的安全策略 230
6.4 Linux/Unix的安全机制 231
6.4.1 标识与认证 232
6.4.2 访问控制 233
6.4.3 最小特权管理 233
6.4.4 安全审计 234
6.4.5 网络安全性 234
6.5 数据库安全概述 234
6.5.1 数据库安全概念 234
6.5.2 数据库安全威胁 235
6.5.3 数据库安全策略 236
6.5.4 数据库安全需求 236
6.5.5 数据库安全与操作系统安全的关系 237
6.6 数据库安全技术 239
6.6.1 数据库加密 239
6.6.2 视图机制 246
6.6.3 数据库备份与恢复 247
6.6.4 数据库审计 252
6.7 我国数据库管理系统安全评估标准 253
6.8 实例分析——SQL Server数据库系统安全分析 254
6.8.1 SQL Server的安全模式 254
6.8.2 使用和管理用户账号 255
6.8.3 使用视图增强安全性 257
6.8.4 SQL Server的数据加密 257
6.9 反病毒技术 258
6.9.1 病毒概论 258
6.9.2 病毒的特征 259
6.9.3 病毒的分类 260
6.9.4 反病毒技术 261
6.9.5 计算机病毒的查杀工具简介 263
6.9.6 邮件病毒及其防范 267
第7章 网络安全技术 269
7.1 入侵检测 269
7.1.1 入侵检测概述 269
7.1.2 入侵检测系统的结构 272
7.1.3 入侵检测的未来发展趋势 275
7.2 安全扫描 279
7.2.1 安全扫描技术概述 279
7.2.2 端口扫描技术 280
7.2.3 漏洞扫描技术 283
7.2.4 操作系统探测技术 284
7.3 防火墙技术 285
7.3.1 防火墙概述 285
7.3.2 防火墙使用的技术 288
7.3.3 防火墙安全设计的策略 290
7.4 虚拟专用网技术 293
7.4.1 虚拟专用网概述 293
7.4.2 虚拟专用网的关键技术 294
7.4.3 用VPN解决Internet安全问题 297
7.5 网络隔离技术 299
7.5.1 网络隔离技术概述 299
7.5.2 网络隔离技术工作原理 300
7.5.3 网络隔离环境下的数据交换过程 302
7.5.4 网络隔离的优点 305
7.5.5 GAP技术 306
7.6 可信计算与网格安全 308
7.6.1 可信计算概述 308
7.6.2 可信计算平台 310
7.6.3 网格安全 315
第8章 应用安全机制 319
8.1 电子邮件安全技术 319
8.1.1 电子邮件传输的基本原理 319
8.1.2 电子邮件传输协议 320
8.1.3 电子邮件面临的威胁 322
8.1.4 电子邮件的安全需求 323
8.1.5 安全电子邮件技术 324
8.2 Web安全技术 328
8.2.1 Web的安全问题 329
8.2.2 Web服务器的安全 330
8.2.3 Web服务器的安全策略 331
8.2.4 Web浏览器安全策略 332
8.2.5 SSL协议 336
8.3 电子商务安全技术 339
8.3.1 电子商务安全概述 339
8.3.2 电子商务的安全问题 341
8.3.3 电子商务安全技术 342
8.3.4 SET协议 344
第9章 信息安全标准 351
9.1 信息安全标准的概念 351
9.1.1 标准的概念 351
9.1.2 信息安全标准的概念 353
9.1.3 国内外已发布的信息安全标准 355
9.2 信息安全体系结构标准 356
9.2.1 概述 356
9.2.2 主要内容 358
9.3 国外主要标准 366
9.3.1 信息安全评价标准 366
9.3.2 安全管理标准 370
9.4 国内主要标准 375
9.4.1 计算机信息系统安全保护等级划分准则 375
9.4.2 计算机信息系统安全专用产品分类原则 377
9.5 信息安全标准的研究趋势 386
9.5.1 国际信息安全标准组织 386
9.5.2