正版 信息安全精要:从概念到安全性评估:a straightforward intro

译者序<br/>前言<br/>关于作者<br/>关于技术审校者<br/>致谢<br/>第1章  信息安全概述1<br/>1.1  信息安全的定义1<br/>1.2  何时安全2<br/>1.3  讨论安全问题的模型4<br/>1.3.1  机密性、完整性和可用性三要素4<br/>1.3.2  Parkerian六角模型6<br/>1.4  攻击7<br/>1.4.1  攻击类型7<br/>1.4.2  威胁、漏洞和风险9<br/>1.4.3  风险管理10<br/>1.4.4  事件响应14<br/>1.5  纵深防御16<br/>1.6  小结19<br/>1.7  习题20<br/>第2章  身份识别和身份验证21<br/>2.1  身份识别21<br/>2.1.1  我们声称自己是谁22<br/>2.1.2  身份证实22<br/>2.1.3  伪造身份23<br/>2.2  身份验证23<br/>2.2.1  因子23<br/>2.2.2  多因子身份验证25<br/>2.2.3  双向验证25<br/>2.3  常见身份识别和身份验证方法26<br/>2.3.1  密码26<br/>2.3.2  生物识别27<br/>2.3.3  硬件令牌30<br/>2.4  小结31<br/>2.5  习题32<br/>第3章  授权和访问控制33<br/>3.1  什么是访问控制33<br/>3.2  实施访问控制35<br/>3.2.1  访问控制列表35<br/>3.2.2  能力40<br/>3.3  访问控制模型40<br/>3.3.1  自主访问控制41<br/>3.3.2  强制访问控制41<br/>3.3.3  基于规则的访问控制41<br/>3.3.4  基于角色的访问控制42<br/>3.3.5  基于属性的访问控制42<br/>3.3.6  多级访问控制43<br/>3.4  物理访问控制46<br/>3.5  小结47<br/>3.6  习题48<br/>第4章  审计和问责49<br/>4.1  问责50<br/>4.2  问责的安全效益51<br/>4.2.1  不可否认性51<br/>4.2.2  威慑52<br/>4.2.3  入侵检测与防御52<br/>4.2.4  记录的可接受性52<br/>4.3  审计53<br/>4.3.1  审计对象53<br/>4.3.2  日志记录54<br/>4.3.3  监视55<br/>4.3.4  审计与评估55<br/>4.4  小结56<br/>4.5  习题57<br/>第5章  密码学58<br/>5.1  密码学历史58<br/>5.1.1  凯撒密码59<br/>5.1.2  加密机59<br/>5.1.3  柯克霍夫原则63<br/>5.2  现代密码工具64<br/>5.2.1  关键字密码和一次性密码本64<br/>5.2.2  对称和非对称密码学66<br/>5.2.3  散列函数69<br/>5.2.4  数字签名70<br/>5.2.5  证书71<br/>5.3  保护静态、动态和使用中的数据72<br/>5.3.1  保护静态数据72<br/>5.3.2  保护动态数据74<br/>5.3.3  保护使用中的数据75<br/>5.4  小结75<br/>5.5  习题76<br/>第6章  合规、法律和法规77<br/>6.1  什么是合规77<br/>6.1.1  合规类型78<br/>6.1.2  不合规的后果78<br/>6.2  用控制实现合规79<br/>6.2.1  控制类型79<br/>6.2.2  关键控制与补偿控制80<br/>6.3  保持合规80<br/>6.4  法律与信息安全81<br/>6.4.1  政府相关监管合规81<br/>6.4.2  特定行业法规合规83<br/>6.4.3  美国以外的法律85<br/>6.5  采用合规框架86<br/>6.5.1  靠前标准化组织86<br/>6.5.2  美国国家标准与技术研究所86<br/>6.5.3  自定义框架87<br/>6.6  技术变革中的合规87<br/>6.6.1  云中的合规88<br/>6.6.2  区块链合规90<br/>6.6.3  加密货币合规90<br/>6.7  小结91<br/>6.8  习题91<br/>第7章  运营安全92<br/>7.1  运营安全流程92<br/>7.1.1  关键信息识别93<br/>7.1.2  威胁分析93<br/>7.1.3  漏洞分析94<br/>7.1.4  风险评估94<br/>7.1.5  对策应用95<br/>7.2  运营安全定律95<br/>7.2.1  定律：知道这些威胁95<br/>7.2.2  第二定律：知道要保护什么96<br/>7.2.3  第三定律：保护信息96<br/>7.3  个人生活中的运营安全97<br/>7.4  运营安全起源98<br/>7.4.1  孙子99<br/>7.4.2  乔治·华盛顿99<br/>7.4.3  越南战争100<br/>7.4.4  商业100<br/>7.4.5  机构间OPSEC支援人员101<br/>7.5  小结102<br/>7.6  习题102<br/>第8章  人因安全103<br/>8.1  搜集信息实施社会工程学攻击103<br/>8.1.1  人力情报104<br/>8.1.2  开源情报104<br/>8.1.3  其他类型的情报109<br/>8.2  社会工程学攻击类型110<br/>8.2.1  托词110<br/>8.2.2  钓鱼攻击110<br/>8.2.3  尾随111<br/>8.3  通过安全培训计划来培养安全意识112<br/>8.3.1  密码112<br/>8.3.2  社会工程学培训113<br/>8.3.3  网络使用113<br/>8.3.4  恶意软件114<br/>8.3.5  个人设备114<br/>8.3.6  清洁桌面策略114<br/>8.3.7  熟悉政策和法规知识114<br/>8.4  小结115<br/>8.5  习题115<br/>第9章  物理安全117<br/>9.1  识别物理威胁117<br/>9.2  物理安全控制118<br/>9.2.1  威慑控制118<br/>9.2.2  检测控制118<br/>9.2.3  预防控制119<br/>9.2.4  使用物理访问控制120<br/>9.3  人员防护120<br/>9.3.1  人的物理问题120<br/>9.3.2  确保安全121<br/>9.3.3  疏散121<br/>9.3.4  行政管控122<br/>9.4  数据防护123<br/>9.4.1  数据的物理问题123<br/>9.4.2  数据的可访问性124<br/>9.4.3  残留数据124<br/>9.5  设备防护125<br/>9.5.1  设备的物理问题125<br/>9.5.2  选址126<br/>9.5.3  访问安全127<br/>9.5.4  环境条件127<br/>9.6  小结128<br/>9.7  习题128<br/>第10章  网络安全129<br/>10.1  网络防护130<br/>10.1.1  设计安全的网络130<br/>10.1.2  使用防火墙130<br/>10.1.3  实现网络入侵检测系统133<br/>10.2  网络流量防护134<br/>10.2.1  使用虚拟专用网络134<br/>10.2.2  保护无线网络上的数据135<br/>10.2.3  使用安全协议136<br/>10.3  网络安全工具136<br/>10.3.1  无线防护工具137<br/>10.3.2  扫描器137<br/>10.3.3  包嗅探器137<br/>10.3.4  蜜罐139<br/>10.3.5  防火墙工具139<br/>10.4  小结140<br/>10.5  习题140<br/>第11章  操作系统安全141<br/>11.1  操作系统强化141<br/>11.1.1  删除所有不必要的软件142<br/>11.1.2  删除所有不必要的服务143<br/>11.1.3  更改默认账户144<br/>11.1.4  应用最小权限原则144<br/>11.1.5  执行更新145<br/>11.1.6  启用日志记录和审计146<br/>11.2  防范恶意软件146<br/>11.2.1  反恶意软件工具146<br/>11.2.2  可执行空间保护147<br/>11.2.3  软件防火墙和主机入侵检测148<br/>11.3  操作系统安全工具148<br/>11.3.1  扫描器149<br/>11.3.2  漏洞评估工具150<br/>11.3.3  漏洞利用框架150<br/>11.4  小结152<br/>11.5  习题153<br/>第12章  移动、嵌入式和物联网安全154<br/>12.1  移动安全154<br/>12.1.1  保护移动设备155<br/>12.1.2  移动安全问题156<br/>12.2  嵌入式安全159<br/>12.2.1  嵌入式设备使用场景159<br/>12.2.2  嵌入式设备安全问题161<br/>12.3  物联网安全162<br/>12.3.1  何为物联网设备163<br/>12.3.2  物联网安全问题165<br/>12.4  小结167<br/>12.5  习题167<br/>第13章  应用程序安全168<br/>13.1  软件开发漏洞169<br/>13.1.1  缓冲区溢出170<br/>13.1.2  竞争条件170<br/>13.1.3  输入验证攻击171<br/>13.1.4  身份验证攻击171<br/>13.1.5  授权攻击172<br/>13.1.6  加密攻击172<br/>13.2  Web安全173<br/>13.2.1  客户端攻击173<br/>13.2.2  服务器端攻击174<br/>13.3  数据库安全176<br/>13.3.1  协议问题176<br/>13.3.2  未经身份验证的访问177<br/>13.3.3  任意代码执行178<br/>13.3.4  权限提升178<br/>13.4  应用安全工具179<br/>13.4.1  嗅探器179<br/>13.4.2  Web应用程序分析工具180<br/>13.4.3  模糊测试工具182<br/>13.5  小结183<br/>13.6  习题183<br/>第14章  安全评估185<br/>14.1  漏洞评估185<br/>14.1.1  映射和发现186<br/>14.1.2  扫描187<br/>14.1.3  漏洞评估面临的技术挑战188<br/>14.2  渗透测试189<br/>14.2.1  渗透测试过程189<br/>14.2.2  渗透测试分类191<br/>14.2.3  渗透测试的对象192<br/>14.2.4  漏洞赏金计划194<br/>14.2.5  渗透测试面临的技术挑战194<br/>14.3  这真的意味着你安全了吗195<br/>14.3.1  现实测试195<br/>14.3.2  你能检测到自己遭受的攻击吗196<br/>14.3.3  今天安全并不意味着明天安全198<br/>14.3.4  修复安全漏洞成本高昂199<br/>14.4  小结199<br/>14.5  习题200

姚领田，360天枢智库不错网络安全专家。目前从事威胁模拟、网络靶场、云及数据安全等领域的研究工作，热爱数字安全文化、理念和技术的传播。曾获省部级科技进步奖4项，出版编、译著10余部，代表作品有《Visual C++实践与提高：数字图像处理与工程应用篇》《精通MFC程序设计》《Rootkit：系统灰色地带的潜伏者》《网络安全监控实战：深入理解事件检测与响应》《网络安全与攻防策略》《工业控制系统安全》等。

本书是对信息安全领域的高度概述。首先介绍了信息安全相关的基础性概念，如身份验证和授权；然后深入研究这些概念在运营、人力、物理、网络、操作系统、移动通信、嵌入式系统、物联网和安全应用等领域的实际应用；之后，介绍了如何评估安全性。通过本书，读者将更好地了解如何保护信息资产和防御攻击，以及如何系统地运用这些概念营造更安全的环境。本书适合安全专业入门人员和网络系统管理员等阅读。