《计算机网络安全导论》教材建设总结

计算机网络安全导论

主编姓名:龚　俭

出版时间:2007年8月

出版单位:东南大学出版社

教材形式:文字教材

适用层次:本科/研究生

适用专业:计算机科学与工程

获奖情况:全国普通高校优秀教材，2002年

作者简介:

龚俭，教授，1982年7月本科毕业于南京大学计算机科学系，1995年9月博士研究生（在职）毕业于东南大学计算机系，获工学博士学位。现任东南大学计算机科学与工程系教授，博士生导师；中国教育和科研计算机网CERNET专家委员会委员；CERNET华东北地区网络中心主任；江苏省计算机网络技术重点实验室主任。

20世纪80年代中期开始从事计算机网络方面的教学与科研工作，涉及的研究领域包括开放系统互联理论及其应用、开放分布式处理理论及其应用、网络体系结构、网络管理和网络安全等方面。90年代中期开始参加中国教育和科研计算机网的建设和运行管理工作。多年来，在国内外学术刊物和学术会议上发表学术论文100余篇；主持承担国家和省部级科研项目十余项；获国家科技进步二等奖2项，国家科技进步三等奖1项，省部级科技进步一等奖4项，省部级科技进步二等奖3项。

编著出版教材2部，获机电部优秀教材一等奖1项（《计算机网络》，1993，排名第二），教育部全国普通高校优秀教材二等奖1项（《计算机网络安全导论》，2002，排名第一）。主讲过计算机系本科“计算机网络”课程（1992—1994）和“分布式系统设计”课程（2002—2004）；硕士研究生“计算机网络体系结构”课程（1993至今）、“计算机网络安全”课程（1996至今）和“Petri网”课程（1991—1992）。

教材简介:

本书从数据安全和网络安全两方面介绍了计算机网络安全的基本知识和常用的安全技术。在数据安全方面介绍了目前主流的数据加密技术和密钥管理技术，支持数据完整性保护的信息摘录技术和多种数字签名技术，支持身份认证的各种数据鉴别技术，包括无否认、匿名通信等支持数据安全所需的一些基本公平服务。在网络安全方面介绍了几种典型的访问控制技术和信任管理的基本内容，目前一些主要的网络威胁、网络安全监测技术以及包括防火墙技术在内的安全响应技术。本书还介绍了计算机网络安全管理方面的基本内容和互联网网络基础设施安全的一些重点发展领域的现状，包括DNSSEC、IPsec和TLS。通过这些内容，可使读者掌握计算机网络（特别是计算机互联网络）安全的基本概念，了解设计和维护安全的网络及其应用系统的基本手段和常用方法。本书可用作计算机专业本科生或研究生的教材，也可作为相关领域技术人员的参考书。

教材的主要特色与创新点:

本教材在系统地介绍计算机网络安全的基本知识和常用技术的同时，均衡反映了网络安全领域的最新发展。在内容的安排上突出网络安全管理和网络应用安全的需求，注重介绍各种网络安全机制，避免过多的数学理论内容和技术细节，从而使读者可以比较清楚地把握网络安全的总体框架。

具体而言，本教材从网络安全体系结构、网络数据安全技术、鉴别技术、数据完整性保护技术、访问控制技术、网络安全监测与响应技术、网络基础设施和关键应用保护技术等几方面来概括组织内容的介绍。一方面注意了各种网络安全机制的逻辑关系，从基本的信息安全机制逐步介绍到整体性的网络基础设施保护，使读者对网络安全可最终获得一个整体的理解；另一方面注意了对网络安全机制内容介绍的取舍，通过选择一些典型技术和问题的介绍来使读者能够把握住网络安全系统设计和安全管理中的关键点，而不至于被淹没在过多的技术细节和相似方法中。这样可以使读者能够将学习重点放在对网络安全问题本质和对网络安全技术的主要原理的理解，有利于以后对不断涌现的网络安全的新问题和新技术的学习和把握。因此本教材不是一本技术手册型书籍，涵盖网络安全的所有方面，而是侧重使读者能够具备设计和管理安全的网络与网络应用所需要的基本概念和技能，并为进一步学习网络安全领域的新方法和新技术打下基础。

教材使用情况:

本教材在国内同类教材中出版较早且内容较为完备。在出版前已作为东南大学“计算机科学与技术”学科硕士研究生专业课讲义使用了4年（1996—1999）。2000年出版后作为东南大学计算机系硕士研究生学位课程教材使用至今，并已在国内多个高校作为相关专业本科生教材使用。2000年出版后先后重印了三次，得到国内同行的高度评价，并于2002年获教育部评选的全国普通高校优秀教材二等奖、华东地区大学出版社第五届优秀教材学术专著二等奖，于2006年被教育部列入普通高等教育“十一五”国家级规划教材。

教材建设总结:

计算机网络的安全问题随着Internet的发展而越来越被人们所重视。在社会日益信息化了的今天，信息网络的大规模全球互连趋势，以及人们的社会与经济活动对计算机网络的依赖性的与日俱增，使得计算机网络的安全性成为信息化建设的一个核心问题。Internet的最大优势之一是它的自由性，没有严格的管理体制来约束网络中的应用；但是从安全的角度看，这同时又是Internet的最大缺点，过分自由的网络用户和网络应用给Internet带来严重的安全隐患。早期的Internet节点（site）主要是教育科研机构或政府部门，这些节点的主要安全考虑是防止计算机黑客的入侵，因此各自设置自己的安全政策和安全措施，不存在全局的安全体系结构。随着Internet的商业化，越来越多的企业进入网络并在网上开展业务，从而使得与交互有关的安全问题日益突出，例如用户的身份鉴别、敏感信息的传输保护、交互的无否认等。此外，日益开放的系统和网络结构也向潜在的黑客提供了更多的信息，因此对于在Internet中建立全局性的网络安全体系结构的需求日益迫切。

本教材酝酿于上世纪90年代后期。当时互联网刚刚进入中国，编者由于参加中国教育和科研计算机网CERNET建设工程并负责CERNET华东北地区网的规划建设和运行管理工作，涉及大量网络管理和网络安全方面的问题，感到网络安全问题作为网络课程的一部分来介绍已不能满足现实的需要，因此有必要开设专门的课程。1996年秋季学期在东南大学计算机系为硕士研究生开设的“计算机网络与数据安全”课程是国内较早开设的网络安全课程。当时国内没有相关教材，国外公开出版的教材中较好的是Charlie Kaufman、Radia Perlman以及Mike Speciner合著的Network Security－Private Communication in a Public World。该教材由Prentice Hall出版社出版于1995年，是国际上较早的一本涉及网络安全内容的教材，在介绍传统密码学的一些基本内容之外，还介绍了鉴别技术和电子邮件系统的安全技术。但是这本教材由于成书较早，因此内容不够全面，在网络安全方面尤为薄弱。John Wiley ＆Sons出版社于1996年出版了Bruce Schneier编写的Applied Cryptography－Protocols，Algorithms，and Source Code in C。由于作者是密码学的国际权威，因此该书全面系统地介绍了各种实用的密码算法，以及各种相关的安全协议。这是一本很好的参考书，但内容太多，重点不清，而且这本书没有涉及网络安全方面的问题，作为教材是不合适的。因此只能自己编写讲义来作为临时教材使用，并经过了2轮的试用。同时我们在1997年，依托CERNET华东北地区网络中心，在CERNET建立我国最早的计算机应急响应工作组NJCERT，并承担了网络安全方面的国家“九五”科技攻关课题和国家“863”课题，这些科研和实践工作极大地深化了我们在网络安全方面的知识和理解，我们开始考虑编写教材。

本教材的目的是用作计算机专业本科生或研究生的教材，也可作为相关领域技术人员的参考书。因此在内容设计上侧重计算机网络安全而不是计算机系统安全的讨论，介绍了计算机网络安全的基本知识和常用的安全技术，包括对称与非对称密钥数据加密技术、密钥管理技术、信息摘录技术、数据鉴别技术、数字签名技术及其应用、访问控制技术和防火墙技术，以及计算机网络安全监测技术的基本内容。本教材还介绍了计算机网络安全管理方面的基本内容和网络安全的一些新技术的发展。通过该书的内容，可使读者掌握计算机网络安全的基本概念，并了解设计和维护网络及其应用系统安全的基本手段和常用方法。

教材第一章从体系结构的角度介绍了计算机网络安全的基本概念，并对计算机单机系统的安全问题作了简单介绍，因为计算机网络安全的许多问题是从单机的安全问题发展出来的。第二章介绍数据加密技术，在介绍了一些基本概念之后给出了几种在Internet中常见的数据加密技术方法。第三章讨论密钥管理方法，重点介绍了与当前网络应用的发展密切相关的公开密钥管理体制。第四章介绍数据完整性保护技术，主要是与鉴别有关的各种技术以及它们的应用。第五章介绍了一些在Internet中常用的鉴别应用技术。第六章介绍一些基于数据加密技术的网络安全应用，包括PGP等在Internet中比较流行的典型应用系统。第七章讨论单机和网络的访问控制问题，重点介绍各种防火墙技术。第八章以Internet的安全为背景，重点介绍了网络安全监测技术的主要内容和最新发展。第九章以IETF安全领域一些工作组的工作内容为背景介绍了网络基础设施安全方面的一些新进展，这些内容已经逐渐在Internet中得到应用。计算机病毒的防范从技术的角度看应属于计算机单机系统的安全问题，它们在网络上的传播并没有利用特别的网络安全漏洞，而是使用者的疏忽和无知，因此有关计算机病毒的问题并没有在教材的第一版中讨论。本教材定名为《计算机网络安全导论》，初稿完成于1999年底，并由东南大学出版社于2000年8月出版。在教材的内容中，有关网络安全监测方面的内容有一些出自编者团队的工作，包括他们撰写的学术论文和学位论文。

进入2000年之后，网络安全教材建设有了一定的发展。Prentice Hall出版社于1999年出版了William Stallings所著的Cryptography and Network Security:Principles and Practice。该教材于当年获得美国的计算机科学与工程教材的TEXTY奖。该书的第二版由清华大学出版社于2002年引入了影印版。该书从对称密钥体系、非对称密钥体系、网络安全和系统安全四方面来介绍信息与网络安全相关的内容，在结构上与本教材有一定的相似性。但它的重点仍然是密码学的相关内容，在网络安全方面比较薄弱，其原因相信与作者本人并不从事网络安全方面的研究有关。

三本国外教材都成书在2000年以前，重点都在密码学及其应用方面，网络安全方面的内容普遍比较少，都带有从传统的信息安全领域向网络安全领域外延的痕迹。从今天的网络安全领域的内容看，系统性不足。本教材在网络安全方面内容的覆盖范围超出了上述三本国外教材。

近年来，国内也陆续出版了一些相似的教材，其中系统性较好的有两本。一本是李涛等人编著的《网络安全概论》。该书由电子工业出版社出版于2004年11月，其编写风格比较接近B.Schneier的那本书，即内容很细致，覆盖面很广。这是一本很好的技术参考书，但作为教材而言内容偏多了一些（474页）。另一本是刘建伟等编著的《网络安全——技术与实践》。该书由清华大学出版社出版于2005年6月，其内容比较偏重网络攻击及其防范，在网络及其服务的脆弱性分析方面的内容比较丰富，但是其内容的整体性不够好，有些内容偏多，例如密钥管理；有些内容偏少，例如访问控制。总体看来，随着近年来对网络安全研究与实践的发展，相关的方法和技术在不断进步，内容越来越丰富，如何对这些内容进行恰当的总结和取舍是对新的教科书的挑战，至少目前国内外仍然还没有一个理想的解决方案。

从2000年本教材第一版出版至今，网络安全技术又有了长足的发展，因此有必要对原来的内容进行修订。尽管教学内容在不断更新，但这些内容变化没能反映到教材中。由于编者的教学科研工作繁忙，教材修订一直拖到了2006年，本教材被列为普通高等学校“十一五”国家级规划教材后才开始启动。对于第二版而言，本教材的总体思路没有变化。在内容的范围上，本书仍然覆盖信息安全和网络安全两个方面，以适应计算机科学与技术学科本科生和研究生学习的需要。在难度的控制上，本书仍然坚持以介绍概念和基本技术为主，突出了应用的需要，避开了许多原理性的介绍和一些基本数学理论内容，力争反映本领域的最新发展，主要是想满足构造安全的网络应用系统的需要。在内容的选择上，本书避免技术手册式的叙述风格，不罗列所有的相关技术，而是从教学的需要出发，选择介绍基本概念和典型技术。在结构上，取消了原来的第六章。因为从教学的角度看，对PEM和PGP的细致介绍现在看来已经没有必要，其蕴含的技术内容可以在其他章节中反映。另外将原来的第八章分解成了三章，即现在的第七、八、九章。这样设计可以更好地反映网络安全领域这几年的发展变化，从传统的黑客攻防，到现在系统性的网络安全检测与响应体系，对于作者而言对许多问题的认识和技术的理解现在更清楚了，因此是此次修订的重点。

本书其他章节的内容也有了很多调整。第一章增加了对安全评估内容的介绍，并对与网络安全有关的法律问题进行重新表述。第二章增加了对AES算法和椭圆曲线算法的介绍，以反映加密算法领域的发展；删除了IDEA算法的介绍以控制篇幅。鉴于信息摘录算法方面的最新发展，第四章增加了SHA的新算法的介绍，并增加了一些新的特殊签名方法的介绍。第五章调整了公平服务方面的内容，增加了对匿名通信技术的介绍，以满足应用系统开发的需要。第六章（即原来的第七章）的内容变化较大，基本上属于重写。这章对传统的访问控制技术进行了较为完整的介绍，并增加了信任管理的内容，反映了这一方向的最新发展，更好地适应基于互联网的应用系统安全的需要。

网络安全是一个仍然在快速发展的学科，它的教学体系结构仍然是一个值得摸索的问题。关于信息安全的内容在框架上已经比较稳定，在内容上仍然在不断发展，因此各个教科书在这方面的结构比较一致。但是网络安全的内容在框架上尚未成熟，各个教科书相对差异仍然较大。由于编者能够依托CERNET这个世界最大的学术网络，也是中国第三大互联网，同时也从事网络安全领域的研究工作，重点是在网络安全监测方面，从而使得本教材在网络安全的教学内容方面有自己的特色。多年的教学使用经验表明，本教材的内容新颖，能够适应网络安全课程教学的需要。随着信息安全专业和网络工程专业的增设，网络安全内容的教学正面临新的挑战，本教材仍然需要适时的修订以满足现实的需要。