本書是對信息安全領域的高度概述。首先介紹了信息安全相關的基礎性概念,如身份驗證和授權;然后深入研究這些概念在運營、人力、物理、網絡、操作系統、移動通信、嵌入式系統、物聯網和安全應用等領域的實際應用;之后,介紹了如何評估安全性。通過本書,讀者將更好地了解如何保護信息資產和防御攻擊,以及如何系統地運用這些概念營造更安全的環境。本書適合安全專業入門人員和網絡系統管理員等閱讀。
譯者序
前言
關于作者
關于技術審校者
致謝
第1章 信息安全概述1
1.1 信息安全的定義1
1.2 何時安全2
1.3 討論安全問題的模型4
1.3.1 機密性、完整性和可用性三要素4
1.3.2 Parkerian六角模型6
1.4 攻擊7
1.4.1 攻擊類型7
1.4.2 威脅、漏洞和風險9
1.4.3 風險管理10
1.4.4 事件響應14
1.5 縱深防御16
1.6 小結19
1.7 習題20
第2章 身份識別和身份驗證21
2.1 身份識別21
2.1.1 我們聲稱自己是誰22
2.1.2 身份證實22
2.1.3 偽造身份23
2.2 身份驗證23
2.2.1 因子23
2.2.2 多因子身份驗證25
2.2.3 雙向驗證25
2.3 常見身份識別和身份驗證方法26
2.3.1 密碼26
2.3.2 生物識別27
2.3.3 硬件令牌30
2.4 小結31
2.5 習題32
第3章 授權和訪問控制33
3.1 什么是訪問控制33
3.2 實施訪問控制35
3.2.1 訪問控制列表35
3.2.2 能力40
3.3 訪問控制模型40
3.3.1 自主訪問控制41
3.3.2 強制訪問控制41
3.3.3 基于規則的訪問控制41
3.3.4 基于角色的訪問控制42
3.3.5 基于屬性的訪問控制42
3.3.6 多級訪問控制43
3.4 物理訪問控制46
3.5 小結47
3.6 習題48
第4章 審計和問責49
4.1 問責50
4.2 問責的安全效益51
4.2.1 不可否認性51
4.2.2 威懾52
4.2.3 入侵檢測與防御52
4.2.4 記錄的可接受性52
4.3 審計53
4.3.1 審計對象53
4.3.2 日志記錄54
4.3.3 監視55
4.3.4 審計與評估55
4.4 小結56
4.5 習題57
第5章 密碼學58
5.1 密碼學歷史58
5.1.1 凱撒密碼59
5.1.2 加密機59
5.1.3 柯克霍夫原則63
5.2 現代密碼工具64
5.2.1 關鍵字密碼和一次性密碼本64
5.2.2 對稱和非對稱密碼學66
5.2.3 散列函數69
5.2.4 數字簽名70
5.2.5 證書71
5.3 保護靜態、動態和使用中的數據72
5.3.1 保護靜態數據72
5.3.2 保護動態數據74
5.3.3 保護使用中的數據75
5.4 小結75
5.5 習題76
第6章 合規、法律和法規77
6.1 什么是合規77
6.1.1 合規類型78
6.1.2 不合規的后果78
6.2 用控制實現合規79
6.2.1 控制類型79
6.2.2 關鍵控制與補償控制80
6.3 保持合規80
6.4 法律與信息安全81
6.4.1 政府相關監管合規81
6.4.2 特定行業法規合規83
6.4.3 美國以外的法律85
6.5 采用合規框架86
6.5.1 國際標準化組織86
6.5.2 美國國家標準與技術研究所86
6.5.3 自定義框架87
6.6 技術變革中的合規87
6.6.1 云中的合規88
6.6.2 區塊鏈合規90
6.6.3 加密貨幣合規90
6.7 小結91
6.8 習題91
第7章 運營安全92
7.1 運營安全流程92
7.1.1 關鍵信息識別93
7.1.2 威脅分析93
7.1.3 漏洞分析94
7.1.4 風險評估94
7.1.5 對策應用95
7.2 運營安全定律95
7.2.1 第一定律:知道這些威脅95
7.2.2 第二定律:知道要保護什么96
7.2.3 第三定律:保護信息96
7.3 個人生活中的運營安全97
7.4 運營安全起源98
7.4.1 孫子99
7.4.2 喬治·華盛頓99
7.4.3 越南戰爭100
7.4.4 商業100
7.4.5 機構間OPSEC支援人員101
7.5 小結102
7.6 習題102
第8章 人因安全103
8.1 搜集信息實施社會工程學攻擊103
8.1.1 人力情報104
8.1.2 開源情報104
8.1.3 其他類型的情報109
8.2 社會工程學攻擊類型110
8.2.1 托詞110
8.2.2 釣魚攻擊110
8.2.3 尾隨111
8.3 通過安全培訓計劃來培養安全意識112
8.3.1 密碼112
8.3.2 社會工程學培訓113
8.3.3 網絡使用113
8.3.4 惡意軟件114
8.3.5 個人設備114
8.3.6 清潔桌面策略114
8.3.7 熟悉政策和法規知識114
8.4 小結115
8.5 習題115
第9章 物理安全117
9.1 識別物理威脅117
9.2 物理安全控制118
9.2.1 威懾控制118
9.2.2 檢測控制118
9.2.3 預防控制119
9.2.4 使用物理訪問控制120
9.3 人員防護120
9.3.1 人的物理問題120
9.3.2 確保安全121
9.3.3 疏散121
9.3.4 行政管控122
9.4 數據防護123
9.4.1 數據的物理問題123
9.4.2 數據的可訪問性124
9.4.3 殘留數據124
9.5 設備防護125
9.5.1 設備的物理問題125
9.5.2 選址126
9.5.3 訪問安全127
9.5.4 環境條件127
9.6 小結128
9.7 習題128
第10章 網絡安全129
10.1 網絡防護130
10.1.1 設計安全的網絡130
10.1.2 使用防火墻130
10.1.3 實現網絡入侵檢測系統133
10.2 網絡流量防護134
10.2.1 使用虛擬專用網絡134
10.2.2 保護無線網絡上的數據135
10.2.3 使用安全協議136
10.3 網絡安全工具136
10.3.1 無線防護工具137
10.3.2 掃描器137
10.3.3 包嗅探器137
10.3.4 蜜罐139
10.3.5 防火墻工具139
10.4 小結140
10.5 習題140
第11章 操作系統安全141
11.1 操作系統強化141
11.1.1 刪除所有不必要的軟件142
11.1.2 刪除所有不必要的服務143
11.1.3 更改默認賬戶144
11.1.4 應用最小權限原則144
11.1.5 執行更新145
11.1.6 啟用日志記錄和審計146
11.2 防范惡意軟件146
11.2.1 反惡意軟件工具146
11.2.2 可執行空間保護147
11.2.3 軟件防火墻和主機入侵檢測148
11.3 操作系統安全工具148
11.3.1 掃描器149
11.3.2 漏洞評估工具150
11.3.3 漏洞利用框架150
11.4 小結152
11.5 習題153
第12章 移動、嵌入式和物聯網安全154
12.1 移動安全154
12.1.1 保護移動設備155
12.1.2 移動安全問題156
12.2 嵌入式安全159
12.2.1 嵌入式設備使用場景159
12.2.2 嵌入式設備安全問題161
12.3 物聯網安全162
12.3.1 何為物聯網設備163
12.3.2 物聯網安全問題165
12.4 小結167
12.5 習題167
第13章 應用程序安全168
13.1 軟件開發漏洞169
13.1.1 緩沖區溢出170
13.1.2 競爭條件170
13.1.3 輸入驗證攻擊171
13.1.4 身份驗證攻擊171
13.1.5 授權攻擊172
13.1.6 加密攻擊172
13.2 Web安全173
13.2.1 客戶端攻擊173
13.2.2 服務器端攻擊174
13.3 數據庫安全176
13.3.1 協議問題176
13.3.2 未經身份驗證的訪問177
13.3.3 任意代碼執行178
13.3.4 權限提升178
13.4 應用安全工具179
13.4.1 嗅探器179
13.4.2 Web應用程序分析工具180
13.4.3 模糊測試工具182
13.5 小結183
13.6 習題183
第14章 安全評估185
14.1 漏洞評估185
14.1.1 映射和發現186
14.1.2 掃描187
14.1.3 漏洞評估面臨的技術挑戰188
14.2 滲透測試189
14.2.1 滲透測試過程189
14.2.2 滲透測試分類191
14.2.3 滲透測試的對象192
14.2.4 漏洞賞金計劃194
14.2.5 滲透測試面臨的技術挑戰194
14.3 這真的意味著你安全了嗎195
14.3.1 現實測試195
14.3.2 你能檢測到自己遭受的攻擊嗎196
14.3.3 今天安全并不意味著明天安全198
14.3.4 修復安全漏洞成本高昂199
14.4 小結199
14.5 習題200
新書資訊