信息安全精要:从概念到安全性评估:a straightforward introduction9787111704270

姚领田，360天枢智库不错网络安全专家。目前从事威胁模拟、网络靶场、云及数据安全等领域的研究工作，热爱数字安全文化、理念和技术的传播。曾获省部级科技进步奖4项，出版编、译著10余部，代表作品有《Visual C++实践与提高：数字图像处理与工程应用篇》《精通MFC程序设计》《Rootkit：系统灰色地带的潜伏者》《网络安全监控实战：深入理解事件检测与响应》《网络安全与攻防策略》《工业控制系统安全》等。

译者序<br/>前言<br/>关于作者<br/>关于技术审校者<br/>致谢<br/>第1章  信息安全概述1<br/>1.1  信息安全的定义1<br/>1.2  何时安全2<br/>1.3  讨论安全问题的模型4<br/>1.3.1  机密性、完整性和可用性三要素4<br/>1.3.2  Parkerian六角模型6<br/>1.4  攻击7<br/>1.4.1  攻击类型7<br/>1.4.2  威胁、漏洞和风险9<br/>1.4.3  风险管理10<br/>1.4.4  事件响应14<br/>1.5  纵深防御16<br/>1.6  小结19<br/>1.7  习题20<br/>第2章  身份识别和身份验证21<br/>2.1  身份识别21<br/>2.1.1  我们声称自己是谁22<br/>2.1.2  身份证实22<br/>2.1.3  伪造身份23<br/>2.2  身份验证23<br/>2.2.1  因子23<br/>2.2.2  多因子身份验证25<br/>2.2.3  双向验证25<br/>2.3  常见身份识别和身份验证方法26<br/>2.3.1  密码26<br/>2.3.2  生物识别27<br/>2.3.3  硬件令牌30<br/>2.4  小结31<br/>2.5  习题32<br/>第3章  授权和访问控制33<br/>3.1  什么是访问控制33<br/>3.2  实施访问控制35<br/>3.2.1  访问控制列表35<br/>3.2.2  能力40<br/>3.3  访问控制模型40<br/>3.3.1  自主访问控制41<br/>3.3.2  强制访问控制41<br/>3.3.3  基于规则的访问控制41<br/>3.3.4  基于角色的访问控制42<br/>3.3.5  基于属性的访问控制42<br/>3.3.6  多级访问控制43<br/>3.4  物理访问控制46<br/>3.5  小结47<br/>3.6  习题48<br/>第4章  审计和问责49<br/>4.1  问责50<br/>4.2  问责的安全效益51<br/>4.2.1  不可否认性51<br/>4.2.2  威慑52<br/>4.2.3  入侵检测与防御52<br/>4.2.4  记录的可接受性52<br/>4.3  审计53<br/>4.3.1  审计对象53<br/>4.3.2  日志记录54<br/>4.3.3  监视55<br/>4.3.4  审计与评估55<br/>4.4  小结56<br/>4.5  习题57<br/>第5章  密码学58<br/>5.1  密码学历史58<br/>5.1.1  凯撒密码59<br/>5.1.2  加密机59<br/>5.1.3  柯克霍夫原则63<br/>5.2  现代密码工具64<br/>5.2.1  关键字密码和一次性密码本64<br/>5.2.2  对称和非对称密码学66<br/>5.2.3  散列函数69<br/>5.2.4  数字签名70<br/>5.2.5  证书71<br/>5.3  保护静态、动态和使用中的数据72<br/>5.3.1  保护静态数据72<br/>5.3.2  保护动态数据74<br/>5.3.3  保护使用中的数据75<br/>5.4  小结75<br/>5.5  习题76<br/>第6章  合规、法律和法规77<br/>6.1  什么是合规77<br/>6.1.1  合规类型78<br/>6.1.2  不合规的后果78<br/>6.2  用控制实现合规79<br/>6.2.1  控制类型79<br/>6.2.2  关键控制与补偿控制80<br/>6.3  保持合规80<br/>6.4  法律与信息安全81<br/>6.4.1  政府相关监管合规81<br/>6.4.2  特定行业法规合规83<br/>6.4.3  美国以外的法律85<br/>6.5  采用合规框架86<br/>6.5.1  靠前标准化组织86<br/>6.5.2  美国国家标准与技术研究所86<br/>6.5.3  自定义框架87<br/>6.6  技术变革中的合规87<br/>6.6.1  云中的合规88<br/>6.6.2  区块链合规90<br/>6.6.3  加密货币合规90<br/>6.7  小结91<br/>6.8  习题91<br/>第7章  运营安全92<br/>7.1  运营安全流程92<br/>7.1.1  关键信息识别93<br/>7.1.2  威胁分析93<br/>7.1.3  漏洞分析94<br/>7.1.4  风险评估94<br/>7.1.5  对策应用95<br/>7.2  运营安全定律95<br/>7.2.1  定律：知道这些威胁95<br/>7.2.2  第二定律：知道要保护什么96<br/>7.2.3  第三定律：保护信息96<br/>7.3  个人生活中的运营安全97<br/>7.4  运营安全起源98<br/>7.4.1  孙子99<br/>7.4.2  乔治·华盛顿99<br/>7.4.3  越南战争100<br/>7.4.4  商业100<br/>7.4.5  机构间OPSEC支援人员101<br/>7.5  小结102<br/>7.6  习题102<br/>第8章  人因安全103<br/>8.1  搜集信息实施社会工程学攻击103<br/>8.1.1  人力情报104<br/>8.1.2  开源情报104<br/>8.1.3  其他类型的情报109<br/>8.2  社会工程学攻击类型110<br/>8.2.1  托词110<br/>8.2.2  钓鱼攻击110<br/>8.2.3  尾随111<br/>8.3  通过安全培训计划来培养安全意识112<br/>8.3.1  密码112<br/>8.3.2  社会工程学培训113<br/>8.3.3  网络使用113<br/>8.3.4  恶意软件114<br/>8.3.5  个人设备114<br/>8.3.6  清洁桌面策略114<br/>8.3.7  熟悉政策和法规知识114<br/>8.4  小结115<br/>8.5  习题115<br/>第9章  物理安全117<br/>9.1  识别物理威胁117<br/>9.2  物理安全控制118<br/>9.2.1  威慑控制118<br/>9.2.2  检测控制118<br/>9.2.3  预防控制119<br/>9.2.4  使用物理访问控制120<br/>9.3  人员防护120<br/>9.3.1  人的物理问题120<br/>9.3.2  确保安全121<br/>9.3.3  疏散121<br/>9.3.4  行政管控122<br/>9.4  数据防护123<br/>9.4.1  数据的物理问题123<br/>9.4.2  数据的可访问性124<br/>9.4.3  残留数据124<br/>9.5  设备防护125<br/>9.5.1  设备的物理问题125<br/>9.5.2  选址126<br/>9.5.3  访问安全127<br/>9.5.4  环境条件127<br/>9.6  小结128<br/>9.7  习题128<br/>第10章  网络安全129<br/>10.1  网络防护130<br/>10.1.1  设计安全的网络130<br/>10.1.2  使用防火墙130<br/>10.1.3  实现网络入侵检测系统133<br/>10.2  网络流量防护134<br/>10.2.1  使用虚拟专用网络134<br/>10.2.2  保护无线网络上的数据135<br/>10.2.3  使用安全协议136<br/>10.3  网络安全工具136<br/>10.3.1  无线防护工具137<br/>10.3.2  扫描器137<br/>10.3.3  包嗅探器137<br/>10.3.4  蜜罐139<br/>10.3.5  防火墙工具139<br/>10.4  小结140<br/>10.5  习题140<br/>第11章  操作系统安全141<br/>11.1  操作系统强化141<br/>11.1.1  删除所有不必要的软件142<br/>11.1.2  删除所有不必要的服务143<br/>11.1.3  更改默认账户144<br/>11.1.4  应用最小权限原则144<br/>11.1.5  执行更新145<br/>11.1.6  启用日志记录和审计146<br/>11.2  防范恶意软件146<br/>11.2.1  反恶意软件工具146<br/>11.2.2  可执行空间保护147<br/>11.2.3  软件防火墙和主机入侵检测148<br/>11.3  操作系统安全工具148<br/>11.3.1  扫描器149<br/>11.3.2  漏洞评估工具150<br/>11.3.3  漏洞利用框架150<br/>11.4  小结152<br/>11.5  习题153<br/>第12章  移动、嵌入式和物联网安全154<br/>12.1  移动安全154<br/>12.1.1  保护移动设备155<br/>12.1.2  移动安全问题156<br/>12.2  嵌入式安全159<br/>12.2.1  嵌入式设备使用场景159<br/>12.2.2  嵌入式设备安全问题161<br/>12.3  物联网安全162<br/>12.3.1  何为物联网设备163<br/>12.3.2  物联网安全问题165<br/>12.4  小结167<br/>12.5  习题167<br/>第13章  应用程序安全168<br/>13.1  软件开发漏洞169<br/>13.1.1  缓冲区溢出170<br/>13.1.2  竞争条件170<br/>13.1.3  输入验证攻击171<br/>13.1.4  身份验证攻击171<br/>13.1.5  授权攻击172<br/>13.1.6  加密攻击172<br/>13.2  Web安全173<br/>13.2.1  客户端攻击173<br/>13.2.2  服务器端攻击174<br/>13.3  数据库安全176<br/>13.3.1  协议问题176<br/>13.3.2  未经身份验证的访问177<br/>13.3.3  任意代码执行178<br/>13.3.4  权限提升178<br/>13.4  应用安全工具179<br/>13.4.1  嗅探器179<br/>13.4.2  Web应用程序分析工具180<br/>13.4.3  模糊测试工具182<br/>13.5  小结183<br/>13.6  习题183<br/>第14章  安全评估185<br/>14.1  漏洞评估185<br/>14.1.1  映射和发现186<br/>14.1.2  扫描187<br/>14.1.3  漏洞评估面临的技术挑战188<br/>14.2  渗透测试189<br/>14.2.1  渗透测试过程189<br/>14.2.2  渗透测试分类191<br/>14.2.3  渗透测试的对象192<br/>14.2.4  漏洞赏金计划194<br/>14.2.5  渗透测试面临的技术挑战194<br/>14.3  这真的意味着你安全了吗195<br/>14.3.1  现实测试195<br/>14.3.2  你能检测到自己遭受的攻击吗196<br/>14.3.3  今天安全并不意味着明天安全198<br/>14.3.4  修复安全漏洞成本高昂199<br/>14.4  小结199<br/>14.5  习题200

第1章信息安全概述

今天，我们中的许多人都在计算机前工作，在家玩计算机，在线上课，从网上购物，带着笔记本电脑去咖啡厅看电子邮件，用智能手机查看银行余额，用手腕上的传感器跟踪运动情况。换句话说，计算机无处不在。

技术使我们只需点击鼠标就可以访问大量信息，但这也带来了巨大的安全风险。如果雇主或银行使用的系统信息被暴露给攻击者，后果将不堪设想。我们可能会突然发现银行账户里的钱深夜里被转到了另一个国家的银行。由于某个系统配置问题，攻击者能够访问包含个人身份信息或专有信息的数据库，导致我们的雇主可能损失数百万美元，面临法律诉讼，遭受声誉损害。这类问题经常出现在新闻报道中，令人不安。

30年前，这种入侵几乎不存在，很大程度上是因为当时这项技术处于相对较低的水平，几乎没有人使用它。尽管科技发展日新月异，但许多关于保障自身安全的理论都落后了。如果你能很好地理解信息安全的基础知识，就能在变化来临时站稳脚跟。