定 價(jià):79 元
叢書(shū)名:網(wǎng)絡(luò)空間安全技術(shù)叢書(shū)
- 作者:[美]杰森·安德魯斯(Jason Andress) 著
- 出版時(shí)間:2022/5/1
- ISBN:9787111704270
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:TP309
- 頁(yè)碼:212
- 紙張:
- 版次:
- 開(kāi)本:16
本書(shū)是對(duì)信息安全領(lǐng)域的高度概述。首先介紹了信息安全相關(guān)的基礎(chǔ)性概念��,如身份驗(yàn)證和授權(quán)�;然后深入研究這些概念在運(yùn)營(yíng)、人力����、物理��、網(wǎng)絡(luò)��、操作系統(tǒng)��、移動(dòng)通信�、嵌入式系統(tǒng)�����、物聯(lián)網(wǎng)和安全應(yīng)用等領(lǐng)域的實(shí)際應(yīng)用�����;之后��,介紹了如何評(píng)估安全性����。通過(guò)本書(shū),讀者將更好地了解如何保護(hù)信息資產(chǎn)和防御攻擊��,以及如何系統(tǒng)地運(yùn)用這些概念營(yíng)造更安全的環(huán)境�����。本書(shū)適合安全專業(yè)入門人員和網(wǎng)絡(luò)系統(tǒng)管理員等閱讀。
譯者序
前言
關(guān)于作者
關(guān)于技術(shù)審校者
致謝
第1章 信息安全概述1
1.1 信息安全的定義1
1.2 何時(shí)安全2
1.3 討論安全問(wèn)題的模型4
1.3.1 機(jī)密性��、完整性和可用性三要素4
1.3.2 Parkerian六角模型6
1.4 攻擊7
1.4.1 攻擊類型7
1.4.2 威脅�、漏洞和風(fēng)險(xiǎn)9
1.4.3 風(fēng)險(xiǎn)管理10
1.4.4 事件響應(yīng)14
1.5 縱深防御16
1.6 小結(jié)19
1.7 習(xí)題20
第2章 身份識(shí)別和身份驗(yàn)證21
2.1 身份識(shí)別21
2.1.1 我們聲稱自己是誰(shuí)22
2.1.2 身份證實(shí)22
2.1.3 偽造身份23
2.2 身份驗(yàn)證23
2.2.1 因子23
2.2.2 多因子身份驗(yàn)證25
2.2.3 雙向驗(yàn)證25
2.3 常見(jiàn)身份識(shí)別和身份驗(yàn)證方法26
2.3.1 密碼26
2.3.2 生物識(shí)別27
2.3.3 硬件令牌30
2.4 小結(jié)31
2.5 習(xí)題32
第3章 授權(quán)和訪問(wèn)控制33
3.1 什么是訪問(wèn)控制33
3.2 實(shí)施訪問(wèn)控制35
3.2.1 訪問(wèn)控制列表35
3.2.2 能力40
3.3 訪問(wèn)控制模型40
3.3.1 自主訪問(wèn)控制41
3.3.2 強(qiáng)制訪問(wèn)控制41
3.3.3 基于規(guī)則的訪問(wèn)控制41
3.3.4 基于角色的訪問(wèn)控制42
3.3.5 基于屬性的訪問(wèn)控制42
3.3.6 多級(jí)訪問(wèn)控制43
3.4 物理訪問(wèn)控制46
3.5 小結(jié)47
3.6 習(xí)題48
第4章 審計(jì)和問(wèn)責(zé)49
4.1 問(wèn)責(zé)50
4.2 問(wèn)責(zé)的安全效益51
4.2.1 不可否認(rèn)性51
4.2.2 威懾52
4.2.3 入侵檢測(cè)與防御52
4.2.4 記錄的可接受性52
4.3 審計(jì)53
4.3.1 審計(jì)對(duì)象53
4.3.2 日志記錄54
4.3.3 監(jiān)視55
4.3.4 審計(jì)與評(píng)估55
4.4 小結(jié)56
4.5 習(xí)題57
第5章 密碼學(xué)58
5.1 密碼學(xué)歷史58
5.1.1 凱撒密碼59
5.1.2 加密機(jī)59
5.1.3 柯克霍夫原則63
5.2 現(xiàn)代密碼工具64
5.2.1 關(guān)鍵字密碼和一次性密碼本64
5.2.2 對(duì)稱和非對(duì)稱密碼學(xué)66
5.2.3 散列函數(shù)69
5.2.4 數(shù)字簽名70
5.2.5 證書(shū)71
5.3 保護(hù)靜態(tài)、動(dòng)態(tài)和使用中的數(shù)據(jù)72
5.3.1 保護(hù)靜態(tài)數(shù)據(jù)72
5.3.2 保護(hù)動(dòng)態(tài)數(shù)據(jù)74
5.3.3 保護(hù)使用中的數(shù)據(jù)75
5.4 小結(jié)75
5.5 習(xí)題76
第6章 合規(guī)�、法律和法規(guī)77
6.1 什么是合規(guī)77
6.1.1 合規(guī)類型78
6.1.2 不合規(guī)的后果78
6.2 用控制實(shí)現(xiàn)合規(guī)79
6.2.1 控制類型79
6.2.2 關(guān)鍵控制與補(bǔ)償控制80
6.3 保持合規(guī)80
6.4 法律與信息安全81
6.4.1 政府相關(guān)監(jiān)管合規(guī)81
6.4.2 特定行業(yè)法規(guī)合規(guī)83
6.4.3 美國(guó)以外的法律85
6.5 采用合規(guī)框架86
6.5.1 國(guó)際標(biāo)準(zhǔn)化組織86
6.5.2 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所86
6.5.3 自定義框架87
6.6 技術(shù)變革中的合規(guī)87
6.6.1 云中的合規(guī)88
6.6.2 區(qū)塊鏈合規(guī)90
6.6.3 加密貨幣合規(guī)90
6.7 小結(jié)91
6.8 習(xí)題91
第7章 運(yùn)營(yíng)安全92
7.1 運(yùn)營(yíng)安全流程92
7.1.1 關(guān)鍵信息識(shí)別93
7.1.2 威脅分析93
7.1.3 漏洞分析94
7.1.4 風(fēng)險(xiǎn)評(píng)估94
7.1.5 對(duì)策應(yīng)用95
7.2 運(yùn)營(yíng)安全定律95
7.2.1 第一定律:知道這些威脅95
7.2.2 第二定律:知道要保護(hù)什么96
7.2.3 第三定律:保護(hù)信息96
7.3 個(gè)人生活中的運(yùn)營(yíng)安全97
7.4 運(yùn)營(yíng)安全起源98
7.4.1 孫子99
7.4.2 喬治·華盛頓99
7.4.3 越南戰(zhàn)爭(zhēng)100
7.4.4 商業(yè)100
7.4.5 機(jī)構(gòu)間OPSEC支援人員101
7.5 小結(jié)102
7.6 習(xí)題102
第8章 人因安全103
8.1 搜集信息實(shí)施社會(huì)工程學(xué)攻擊103
8.1.1 人力情報(bào)104
8.1.2 開(kāi)源情報(bào)104
8.1.3 其他類型的情報(bào)109
8.2 社會(huì)工程學(xué)攻擊類型110
8.2.1 托詞110
8.2.2 釣魚(yú)攻擊110
8.2.3 尾隨111
8.3 通過(guò)安全培訓(xùn)計(jì)劃來(lái)培養(yǎng)安全意識(shí)112
8.3.1 密碼112
8.3.2 社會(huì)工程學(xué)培訓(xùn)113
8.3.3 網(wǎng)絡(luò)使用113
8.3.4 惡意軟件114
8.3.5 個(gè)人設(shè)備114
8.3.6 清潔桌面策略114
8.3.7 熟悉政策和法規(guī)知識(shí)114
8.4 小結(jié)115
8.5 習(xí)題115
第9章 物理安全117
9.1 識(shí)別物理威脅117
9.2 物理安全控制118
9.2.1 威懾控制118
9.2.2 檢測(cè)控制118
9.2.3 預(yù)防控制119
9.2.4 使用物理訪問(wèn)控制120
9.3 人員防護(hù)120
9.3.1 人的物理問(wèn)題120
9.3.2 確保安全121
9.3.3 疏散121
9.3.4 行政管控122
9.4 數(shù)據(jù)防護(hù)123
9.4.1 數(shù)據(jù)的物理問(wèn)題123
9.4.2 數(shù)據(jù)的可訪問(wèn)性124
9.4.3 殘留數(shù)據(jù)124
9.5 設(shè)備防護(hù)125
9.5.1 設(shè)備的物理問(wèn)題125
9.5.2 選址126
9.5.3 訪問(wèn)安全127
9.5.4 環(huán)境條件127
9.6 小結(jié)128
9.7 習(xí)題128
第10章 網(wǎng)絡(luò)安全129
10.1 網(wǎng)絡(luò)防護(hù)130
10.1.1 設(shè)計(jì)安全的網(wǎng)絡(luò)130
10.1.2 使用防火墻130
10.1.3 實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)133
10.2 網(wǎng)絡(luò)流量防護(hù)134
10.2.1 使用虛擬專用網(wǎng)絡(luò)134
10.2.2 保護(hù)無(wú)線網(wǎng)絡(luò)上的數(shù)據(jù)135
10.2.3 使用安全協(xié)議136
10.3 網(wǎng)絡(luò)安全工具136
10.3.1 無(wú)線防護(hù)工具137
10.3.2 掃描器137
10.3.3 包嗅探器137
10.3.4 蜜罐139
10.3.5 防火墻工具139
10.4 小結(jié)140
10.5 習(xí)題140
第11章 操作系統(tǒng)安全141
11.1 操作系統(tǒng)強(qiáng)化141
11.1.1 刪除所有不必要的軟件142
11.1.2 刪除所有不必要的服務(wù)143
11.1.3 更改默認(rèn)賬戶144
11.1.4 應(yīng)用最小權(quán)限原則144
11.1.5 執(zhí)行更新145
11.1.6 啟用日志記錄和審計(jì)146
11.2 防范惡意軟件146
11.2.1 反惡意軟件工具146
11.2.2 可執(zhí)行空間保護(hù)147
11.2.3 軟件防火墻和主機(jī)入侵檢測(cè)148
11.3 操作系統(tǒng)安全工具148
11.3.1 掃描器149
11.3.2 漏洞評(píng)估工具150
11.3.3 漏洞利用框架150
11.4 小結(jié)152
11.5 習(xí)題153
第12章 移動(dòng)、嵌入式和物聯(lián)網(wǎng)安全154
12.1 移動(dòng)安全154
12.1.1 保護(hù)移動(dòng)設(shè)備155
12.1.2 移動(dòng)安全問(wèn)題156
12.2 嵌入式安全159
12.2.1 嵌入式設(shè)備使用場(chǎng)景159
12.2.2 嵌入式設(shè)備安全問(wèn)題161
12.3 物聯(lián)網(wǎng)安全162
12.3.1 何為物聯(lián)網(wǎng)設(shè)備163
12.3.2 物聯(lián)網(wǎng)安全問(wèn)題165
12.4 小結(jié)167
12.5 習(xí)題167
第13章 應(yīng)用程序安全168
13.1 軟件開(kāi)發(fā)漏洞169
13.1.1 緩沖區(qū)溢出170
13.1.2 競(jìng)爭(zhēng)條件170
13.1.3 輸入驗(yàn)證攻擊171
13.1.4 身份驗(yàn)證攻擊171
13.1.5 授權(quán)攻擊172
13.1.6 加密攻擊172
13.2 Web安全173
13.2.1 客戶端攻擊173
13.2.2 服務(wù)器端攻擊174
13.3 數(shù)據(jù)庫(kù)安全176
13.3.1 協(xié)議問(wèn)題176
13.3.2 未經(jīng)身份驗(yàn)證的訪問(wèn)177
13.3.3 任意代碼執(zhí)行178
13.3.4 權(quán)限提升178
13.4 應(yīng)用安全工具179
13.4.1 嗅探器179
13.4.2 Web應(yīng)用程序分析工具180
13.4.3 模糊測(cè)試工具182
13.5 小結(jié)183
13.6 習(xí)題183
第14章 安全評(píng)估185
14.1 漏洞評(píng)估185
14.1.1 映射和發(fā)現(xiàn)186
14.1.2 掃描187
14.1.3 漏洞評(píng)估面臨的技術(shù)挑戰(zhàn)188
14.2 滲透測(cè)試189
14.2.1 滲透測(cè)試過(guò)程189
14.2.2 滲透測(cè)試分類191
14.2.3 滲透測(cè)試的對(duì)象192
14.2.4 漏洞賞金計(jì)劃194
14.2.5 滲透測(cè)試面臨的技術(shù)挑戰(zhàn)194
14.3 這真的意味著你安全了嗎195
14.3.1 現(xiàn)實(shí)測(cè)試195
14.3.2 你能檢測(cè)到自己遭受的攻擊嗎196
14.3.3 今天安全并不意味著明天安全198
14.3.4 修復(fù)安全漏洞成本高昂199
14.4 小結(jié)199
14.5 習(xí)題200
書(shū)單推薦
