前言

21世紀是信息時代，信息系統(tǒng)已成為社會發(fā)展的重要戰(zhàn)略資源，社會信息化更是被公認為當今世界發(fā)展潮流的支柱和核心。信息系統(tǒng)的安全在信息社會中將扮演極為重要的角色，直接關系到國家機關的運作、企業(yè)經營和人們的日常生活。信息安全已成為信息社會中個人、企業(yè)乃至國家都極為重視的關鍵領域之一。

與此同時，安全技術也在飛速發(fā)展，密碼、防火墻、訪問控制、數(shù)字證書等技術不斷革新，讓人目不暇接。但這么多的安全技術如何應用到實際環(huán)境中，信息系統(tǒng)采用哪種安全技術和控制措施才能符合相關的國家法規(guī)和安全標準、滿足機構的安全目標，都涉及技術以外的考慮因素。此外，隨著人們對信息系統(tǒng)與信息系統(tǒng)安全的了解越趨成熟，信息系統(tǒng)的設計也從技術性問題逐漸變成一個管理領域的問題。因此在系統(tǒng)設計過程中，必須要考慮到機構的業(yè)務、目標等關鍵問題。

一般而言，傳統(tǒng)觀點認為，信息安全是計算機、通信、物理、數(shù)學等領域的交叉學科，但在今天的高度信息化的社會里，信息系統(tǒng)在各行各業(yè)及社會不同層面的廣泛應用使得信息安全已不再是純粹技術問題了。信息系統(tǒng)安全已發(fā)展成為計算機科學與信息系統(tǒng)管理兩大領域中的一個新興交叉學科。

但目前“信息安全”作為高等院校計算機專業(yè)中的一門課程，主要內容以密碼學和安全技術為主線，缺少從系統(tǒng)管理角度介紹信息安全的內容。而這些內容對于信息安全專業(yè)人員、信息系統(tǒng)管理人員都是必需的。為填補這一信息系統(tǒng)管理角度的真空，本書比較全面系統(tǒng)地介紹了信息安全的全貌。希望讀者在閱讀本書時，能從管理與實踐的角度，重新認識、理解信息安全的概念。

本書強調管理手段對信息系統(tǒng)安全的重要性，分析安全技術與安全管理的互動，突出信息管理對安全技術提出的需求及安全技術對信息管理的影響，并把軟件工程中的軟件生命周期的概念引入信息系統(tǒng)安全領域，從開發(fā)過程管理的角度提高安全措施的可信性。為了更有效地將這些管理問題納入信息系統(tǒng)的設計考慮之中，本書把“機構組織結構”（Enterprise Architecture）的概念引入信息系統(tǒng)安全開發(fā)過程中。此外，本書也把“信息系統(tǒng)的安全開發(fā)生命周期”的概念引用到我們的信息系統(tǒng)安全構建方法中，以確保信息系統(tǒng)的設計可以在最早階段便開始考慮信息安全的問題，分析信息系統(tǒng)的安全需求及實施相應的安全保護措施。

本書著重從實踐的角度，對信息系統(tǒng)安全概念、信息系統(tǒng)需求、信息系統(tǒng)的設計（包括安全技術應用和安全管理兩方面）、信息系統(tǒng)的實踐作概況性介紹，同時盡量采用當前國際信息安全研究領域的最新成果和研究方向，便于讀者能夠了解信息安全研究的最新動態(tài)。

本書力求語言精練，注重內容的條理性、系統(tǒng)性和邏輯性，強調各部分之間的相互關聯(lián)、前后呼應，希望有助于讀者更好地理解和學習信息系統(tǒng)安全的相關理論和思想。全書共16章，大致分為6個部分。第1章為第1部分——信息系統(tǒng)安全概論，主要包括信息系統(tǒng)安全的發(fā)展歷程、信息系統(tǒng)安全基本概念和信息系統(tǒng)安全體系。第2、3章構成本書的第2部分——信息系統(tǒng)安全需求，內容包括信息系統(tǒng)安全的管理目標和安全需求分析。第4～7章構成第3部分——信息系統(tǒng)安全管理，內容包括安全管理概述、風險管理與控制、風險分析與評估和安全管理措施。第8～12章構成第4部分——信息系統(tǒng)安全技術，內容包括網絡安全技術、密碼技術和安全協(xié)議應用、安全檢測與審計和比較新穎的責任追究技術。第13、14章構成第5部分——信息系統(tǒng)安全標準規(guī)范與法律法規(guī)，內容包括當前的信息系統(tǒng)的相關法律法規(guī)及安全標準。第15、16章構成第6部分——信息系統(tǒng)安全實踐，以網上銀行系統(tǒng)為例，介紹了安全信息系統(tǒng)具體實現(xiàn)的過程。

本書主要供計算機專業(yè)和信息系統(tǒng)管理專業(yè)的本科生和研究生作為信息安全課程的教材使用。同時，也適合信息安全管理人員作為參考書在信息系統(tǒng)開發(fā)過程中使用。

本書由林國恩教授編著。李建彬研究員參加了教材編寫思路的研討工作，并負責風險評估和安全法律與標準兩部分內容的編寫。研究生施金洋、葛蒙、李隆璇、游之洋、龔偉和張?zhí)m參與了本書的編寫和校稿工作。本書內容曾在清華大學軟件工程專業(yè)本科生和碩士研究生的教學中講授過。

從事信息安全研究的中國工程院何德全院士和中國信息安全測評中心副主任王貴駟，作為審稿人仔細審閱了書稿，提出了許多寶貴意見，使本書更加完善。大連理工大學李明楚教授、中國科學院趙險峰副研究員、北京信息科技大學王興芬老師詳細閱讀了全稿，并提出許多有益的意見，在此謹向他們致以衷心的感謝。

由于編者水平有限，本書不妥甚至錯誤之處難免，誠盼專家和各位讀者不吝指正。

作者

2009年12月