信息安全精要：从概念到安全性评估

本书是对信息安全领域的高度概述。首先介绍了信息安全相关的基础性概念，如身份验证和授权；然后深入研究这些概念在运营、人力、物理、网络、操作系统、移动通信、嵌入式系统、物联网和安全应用等领域的实际应用；之后，介绍了如何评估安全性。通过本书，读者将更好地了解如何保护信息资产和防御攻击，以及如何系统地运用这些概念营造更安全的环境。本书适合安全专业入门人员和网络系统管理员等阅读。

译者序<br/>前言<br/>关于作者<br/>关于技术审校者<br/>致谢<br/>第1章　信息安全概述1<br/>1.1　信息安全的定义1<br/>1.2　何时安全2<br/>1.3　讨论安全问题的模型4<br/>1.3.1　机密性、完整性和可用性三要素4<br/>1.3.2　Parkerian六角模型6<br/>1.4　攻击7<br/>1.4.1　攻击类型7<br/>1.4.2　威胁、漏洞和风险9<br/>1.4.3　风险管理10<br/>1.4.4　事件响应14<br/>1.5　纵深防御16<br/>1.6　小结19<br/>1.7　习题20<br/>第2章　身份识别和身份验证21<br/>2.1　身份识别21<br/>2.1.1　我们声称自己是谁22<br/>2.1.2　身份证实22<br/>2.1.3　伪造身份23<br/>2.2　身份验证23<br/>2.2.1　因子23<br/>2.2.2　多因子身份验证25<br/>2.2.3　双向验证25<br/>2.3　常见身份识别和身份验证方法26<br/>2.3.1　密码26<br/>2.3.2　生物识别27<br/>2.3.3　硬件令牌30<br/>2.4　小结31<br/>2.5　习题32<br/>第3章　授权和访问控制33<br/>3.1　什么是访问控制33<br/>3.2　实施访问控制35<br/>3.2.1　访问控制列表35<br/>3.2.2　能力40<br/>3.3　访问控制模型40<br/>3.3.1　自主访问控制41<br/>3.3.2　强制访问控制41<br/>3.3.3　基于规则的访问控制41<br/>3.3.4　基于角色的访问控制42<br/>3.3.5　基于属性的访问控制42<br/>3.3.6　多级访问控制43<br/>3.4　物理访问控制46<br/>3.5　小结47<br/>3.6　习题48<br/>第4章　审计和问责49<br/>4.1　问责50<br/>4.2　问责的安全效益51<br/>4.2.1　不可否认性51<br/>4.2.2　威慑52<br/>4.2.3　入侵检测与防御52<br/>4.2.4　记录的可接受性52<br/>4.3　审计53<br/>4.3.1　审计对象53<br/>4.3.2　日志记录54<br/>4.3.3　监视55<br/>4.3.4　审计与评估55<br/>4.4　小结56<br/>4.5　习题57<br/>第5章　密码学58<br/>5.1　密码学历史58<br/>5.1.1　凯撒密码59<br/>5.1.2　加密机59<br/>5.1.3　柯克霍夫原则63<br/>5.2　现代密码工具64<br/>5.2.1　关键字密码和一次性密码本64<br/>5.2.2　对称和非对称密码学66<br/>5.2.3　散列函数69<br/>5.2.4　数字签名70<br/>5.2.5　证书71<br/>5.3　保护静态、动态和使用中的数据72<br/>5.3.1　保护静态数据72<br/>5.3.2　保护动态数据74<br/>5.3.3　保护使用中的数据75<br/>5.4　小结75<br/>5.5　习题76<br/>第6章　合规、法律和法规77<br/>6.1　什么是合规77<br/>6.1.1　合规类型78<br/>6.1.2　不合规的后果78<br/>6.2　用控制实现合规79<br/>6.2.1　控制类型79<br/>6.2.2　关键控制与补偿控制80<br/>6.3　保持合规80<br/>6.4　法律与信息安全81<br/>6.4.1　政府相关监管合规81<br/>6.4.2　特定行业法规合规83<br/>6.4.3　美国以外的法律85<br/>6.5　采用合规框架86<br/>6.5.1　国际标准化组织86<br/>6.5.2　美国国家标准与技术研究所86<br/>6.5.3　自定义框架87<br/>6.6　技术变革中的合规87<br/>6.6.1　云中的合规88<br/>6.6.2　区块链合规90<br/>6.6.3　加密货币合规90<br/>6.7　小结91<br/>6.8　习题91<br/>第7章　运营安全92<br/>7.1　运营安全流程92<br/>7.1.1　关键信息识别93<br/>7.1.2　威胁分析93<br/>7.1.3　漏洞分析94<br/>7.1.4　风险评估94<br/>7.1.5　对策应用95<br/>7.2　运营安全定律95<br/>7.2.1　第一定律：知道这些威胁95<br/>7.2.2　第二定律：知道要保护什么96<br/>7.2.3　第三定律：保护信息96<br/>7.3　个人生活中的运营安全97<br/>7.4　运营安全起源98<br/>7.4.1　孙子99<br/>7.4.2　乔治·华盛顿99<br/>7.4.3　越南战争100<br/>7.4.4　商业100<br/>7.4.5　机构间OPSEC支援人员101<br/>7.5　小结102<br/>7.6　习题102<br/>第8章　人因安全103<br/>8.1　搜集信息实施社会工程学攻击103<br/>8.1.1　人力情报104<br/>8.1.2　开源情报104<br/>8.1.3　其他类型的情报109<br/>8.2　社会工程学攻击类型110<br/>8.2.1　托词110<br/>8.2.2　钓鱼攻击110<br/>8.2.3　尾随111<br/>8.3　通过安全培训计划来培养安全意识112<br/>8.3.1　密码112<br/>8.3.2　社会工程学培训113<br/>8.3.3　网络使用113<br/>8.3.4　恶意软件114<br/>8.3.5　个人设备114<br/>8.3.6　清洁桌面策略114<br/>8.3.7　熟悉政策和法规知识114<br/>8.4　小结115<br/>8.5　习题115<br/>第9章　物理安全117<br/>9.1　识别物理威胁117<br/>9.2　物理安全控制118<br/>9.2.1　威慑控制118<br/>9.2.2　检测控制118<br/>9.2.3　预防控制119<br/>9.2.4　使用物理访问控制120<br/>9.3　人员防护120<br/>9.3.1　人的物理问题120<br/>9.3.2　确保安全121<br/>9.3.3　疏散121<br/>9.3.4　行政管控122<br/>9.4　数据防护123<br/>9.4.1　数据的物理问题123<br/>9.4.2　数据的可访问性124<br/>9.4.3　残留数据124<br/>9.5　设备防护125<br/>9.5.1　设备的物理问题125<br/>9.5.2　选址126<br/>9.5.3　访问安全127<br/>9.5.4　环境条件127<br/>9.6　小结128<br/>9.7　习题128<br/>第10章　网络安全129<br/>10.1　网络防护130<br/>10.1.1　设计安全的网络130<br/>10.1.2　使用防火墙130<br/>10.1.3　实现网络入侵检测系统133<br/>10.2　网络流量防护134<br/>10.2.1　使用虚拟专用网络134<br/>10.2.2　保护无线网络上的数据135<br/>10.2.3　使用安全协议136<br/>10.3　网络安全工具136<br/>10.3.1　无线防护工具137<br/>10.3.2　扫描器137<br/>10.3.3　包嗅探器137<br/>10.3.4　蜜罐139<br/>10.3.5　防火墙工具139<br/>10.4　小结140<br/>10.5　习题140<br/>第11章　操作系统安全141<br/>11.1　操作系统强化141<br/>11.1.1　删除所有不必要的软件142<br/>11.1.2　删除所有不必要的服务143<br/>11.1.3　更改默认账户144<br/>11.1.4　应用最小权限原则144<br/>11.1.5　执行更新145<br/>11.1.6　启用日志记录和审计146<br/>11.2　防范恶意软件146<br/>11.2.1　反恶意软件工具146<br/>11.2.2　可执行空间保护147<br/>11.2.3　软件防火墙和主机入侵检测148<br/>11.3　操作系统安全工具148<br/>11.3.1　扫描器149<br/>11.3.2　漏洞评估工具150<br/>11.3.3　漏洞利用框架150<br/>11.4　小结152<br/>11.5　习题153<br/>第12章　移动、嵌入式和物联网安全154<br/>12.1　移动安全154<br/>12.1.1　保护移动设备155<br/>12.1.2　移动安全问题156<br/>12.2　嵌入式安全159<br/>12.2.1　嵌入式设备使用场景159<br/>12.2.2　嵌入式设备安全问题161<br/>12.3　物联网安全162<br/>12.3.1　何为物联网设备163<br/>12.3.2　物联网安全问题165<br/>12.4　小结167<br/>12.5　习题167<br/>第13章　应用程序安全168<br/>13.1　软件开发漏洞169<br/>13.1.1　缓冲区溢出170<br/>13.1.2　竞争条件170<br/>13.1.3　输入验证攻击171<br/>13.1.4　身份验证攻击171<br/>13.1.5　授权攻击172<br/>13.1.6　加密攻击172<br/>13.2　Web安全173<br/>13.2.1　客户端攻击173<br/>13.2.2　服务器端攻击174<br/>13.3　数据库安全176<br/>13.3.1　协议问题176<br/>13.3.2　未经身份验证的访问177<br/>13.3.3　任意代码执行178<br/>13.3.4　权限提升178<br/>13.4　应用安全工具179<br/>13.4.1　嗅探器179<br/>13.4.2　Web应用程序分析工具180<br/>13.4.3　模糊测试工具182<br/>13.5　小结183<br/>13.6　习题183<br/>第14章　安全评估185<br/>14.1　漏洞评估185<br/>14.1.1　映射和发现186<br/>14.1.2　扫描187<br/>14.1.3　漏洞评估面临的技术挑战188<br/>14.2　渗透测试189<br/>14.2.1　渗透测试过程189<br/>14.2.2　渗透测试分类191<br/>14.2.3　渗透测试的对象192<br/>14.2.4　漏洞赏金计划194<br/>14.2.5　渗透测试面临的技术挑战194<br/>14.3　这真的意味着你安全了吗195<br/>14.3.1　现实测试195<br/>14.3.2　你能检测到自己遭受的攻击吗196<br/>14.3.3　今天安全并不意味着明天安全198<br/>14.3.4　修复安全漏洞成本高昂199<br/>14.4　小结199<br/>14.5　习题200