前言

21世纪是信息时代，信息系统已成为社会发展的重要战略资源，社会信息化更是被公认为当今世界发展潮流的支柱和核心。信息系统的安全在信息社会中将扮演极为重要的角色，直接关系到国家机关的运作、企业经营和人们的日常生活。信息安全已成为信息社会中个人、企业乃至国家都极为重视的关键领域之一。

与此同时，安全技术也在飞速发展，密码、防火墙、访问控制、数字证书等技术不断革新，让人目不暇接。但这么多的安全技术如何应用到实际环境中，信息系统采用哪种安全技术和控制措施才能符合相关的国家法规和安全标准、满足机构的安全目标，都涉及技术以外的考虑因素。此外，随着人们对信息系统与信息系统安全的了解越趋成熟，信息系统的设计也从技术性问题逐渐变成一个管理领域的问题。因此在系统设计过程中，必须要考虑到机构的业务、目标等关键问题。

一般而言，传统观点认为，信息安全是计算机、通信、物理、数学等领域的交叉学科，但在今天的高度信息化的社会里，信息系统在各行各业及社会不同层面的广泛应用使得信息安全已不再是纯粹技术问题了。信息系统安全已发展成为计算机科学与信息系统管理两大领域中的一个新兴交叉学科。

但目前“信息安全”作为高等院校计算机专业中的一门课程，主要内容以密码学和安全技术为主线，缺少从系统管理角度介绍信息安全的内容。而这些内容对于信息安全专业人员、信息系统管理人员都是必需的。为填补这一信息系统管理角度的真空，本书比较全面系统地介绍了信息安全的全貌。希望读者在阅读本书时，能从管理与实践的角度，重新认识、理解信息安全的概念。

本书强调管理手段对信息系统安全的重要性，分析安全技术与安全管理的互动，突出信息管理对安全技术提出的需求及安全技术对信息管理的影响，并把软件工程中的软件生命周期的概念引入信息系统安全领域，从开发过程管理的角度提高安全措施的可信性。为了更有效地将这些管理问题纳入信息系统的设计考虑之中，本书把“机构组织结构”（Enterprise Architecture）的概念引入信息系统安全开发过程中。此外，本书也把“信息系统的安全开发生命周期”的概念引用到我们的信息系统安全构建方法中，以确保信息系统的设计可以在最早阶段便开始考虑信息安全的问题，分析信息系统的安全需求及实施相应的安全保护措施。

本书着重从实践的角度，对信息系统安全概念、信息系统需求、信息系统的设计（包括安全技术应用和安全管理两方面）、信息系统的实践作概况性介绍，同时尽量采用当前国际信息安全研究领域的最新成果和研究方向，便于读者能够了解信息安全研究的最新动态。

本书力求语言精练，注重内容的条理性、系统性和逻辑性，强调各部分之间的相互关联、前后呼应，希望有助于读者更好地理解和学习信息系统安全的相关理论和思想。全书共16章，大致分为6个部分。第1章为第1部分——信息系统安全概论，主要包括信息系统安全的发展历程、信息系统安全基本概念和信息系统安全体系。第2、3章构成本书的第2部分——信息系统安全需求，内容包括信息系统安全的管理目标和安全需求分析。第4～7章构成第3部分——信息系统安全管理，内容包括安全管理概述、风险管理与控制、风险分析与评估和安全管理措施。第8～12章构成第4部分——信息系统安全技术，内容包括网络安全技术、密码技术和安全协议应用、安全检测与审计和比较新颖的责任追究技术。第13、14章构成第5部分——信息系统安全标准规范与法律法规，内容包括当前的信息系统的相关法律法规及安全标准。第15、16章构成第6部分——信息系统安全实践，以网上银行系统为例，介绍了安全信息系统具体实现的过程。

本书主要供计算机专业和信息系统管理专业的本科生和研究生作为信息安全课程的教材使用。同时，也适合信息安全管理人员作为参考书在信息系统开发过程中使用。

本书由林国恩教授编著。李建彬研究员参加了教材编写思路的研讨工作，并负责风险评估和安全法律与标准两部分内容的编写。研究生施金洋、葛蒙、李隆璇、游之洋、龚伟和张兰参与了本书的编写和校稿工作。本书内容曾在清华大学软件工程专业本科生和硕士研究生的教学中讲授过。

从事信息安全研究的中国工程院何德全院士和中国信息安全测评中心副主任王贵驷，作为审稿人仔细审阅了书稿，提出了许多宝贵意见，使本书更加完善。大连理工大学李明楚教授、中国科学院赵险峰副研究员、北京信息科技大学王兴芬老师详细阅读了全稿，并提出许多有益的意见，在此谨向他们致以衷心的感谢。

由于编者水平有限，本书不妥甚至错误之处难免，诚盼专家和各位读者不吝指正。

作者

2009年12月