互联网 类型
8.0 豆瓣评分
可以朗读 语音朗读
329千字 字数
2015-04-01 发行日期
展开全部

主编推荐语

微软资深安全技术专家,深入阐释威胁建模的一切!

内容简介

如果你是一名软件开发人员、系统管理人员或者安全专业人员,本书将告诉你在安全开发软件肋生命周期中或者软件和系统总体设计的过程中如何使用威胁建模方法。在本书中,安全技术专家Adam shostack系统且深入阐释了自己对威胁建模的理解与实践。与其他书籍不同,本书详细介绍如何从开始设计软件、计算机服务和计算机系统时就构建与提升其安全性。

目录

  • 版权信息
  • 译者序 威胁建模——网络安全的“银弹”
  • 前言
  • 鸣谢
  • 第一部分 入门指南
  • 第1章 潜心开始威胁建模
  • 1.1 学习威胁建模
  • 1.2 独立威胁建模
  • 1.3 潜心开始威胁建模的检查列表
  • 1.4 小结
  • 第2章 威胁建模策略
  • 2.1 “你的威胁模型是什么样?”
  • 2.2 集体研讨
  • 2.3 系统的威胁建模方法
  • 2.4 软件模型
  • 2.5 小结
  • 第二部分 发现威胁
  • 第3章 STRIDE方法
  • 3.1 理解STRIDE方法及其为何有用
  • 3.2 假冒威胁
  • 3.3 篡改威胁
  • 3.4 否认威胁
  • 3.5 信息泄露威胁
  • 3.6 拒绝服务威胁
  • 3.7 权限提升威胁
  • 3.8 扩展示例:针对Acme-DB的STRIDE威胁
  • 3.9 STRIDE变种
  • 3.10 准出条件
  • 3.11 小结
  • 第4章 攻击树
  • 4.1 使用攻击树
  • 4.2 展现一个攻击树
  • 4.3 攻击树示例
  • 4.4 真实的攻击树
  • 4.5 有关攻击树的观点
  • 4.6 小结
  • 第5章 攻击库
  • 5.1 攻击库属性
  • 5.2 CAPEC
  • 5.3 OWASP前十名
  • 5.4 小结
  • 第6章 隐私工具
  • 6.1 Solove的隐私分类
  • 6.2 互联网协议的隐私考虑
  • 6.3 隐私影响评估
  • 6.4 Nymity Slider和隐私棘轮
  • 6.5 语境完整性
  • 6.6 LINDDUN助记符
  • 6.7 小结
  • 第三部分 管理和解决威胁
  • 第7章 处理和管理威胁
  • 7.1 开始威胁建模项目
  • 7.2 深入分析减缓方法
  • 7.3 利用表格和列表跟踪
  • 7.4 威胁建模的特定场景元素
  • 7.5 小结
  • 第8章 防御策略及技术
  • 8.1 减缓威胁的策略及技术
  • 8.2 利用模式解决威胁
  • 8.3 减缓隐私威胁
  • 8.4 小结
  • 第9章 解决威胁时的权衡
  • 9.1 风险管理的经典策略
  • 9.2 为风险管理选择减缓措施
  • 9.3 针对特定威胁的优先级方法
  • 9.4 通过接受风险来减缓威胁
  • 9.5 减缓策略中的军备竞赛
  • 9.6 小结
  • 第10章 验证威胁是否已解决
  • 10.1 测试威胁减缓
  • 10.2 检查你获取的代码
  • 10.3 问答式威胁建模
  • 10.4 解决威胁的过程各方面
  • 10.5 表格与列表
  • 10.6 小结
  • 第11章 威胁建模工具
  • 11.1 通用工具
  • 11.2 开放源代码工具
  • 11.3 商业工具
  • 11.4 尚不存在的工具
  • 11.5 小结
  • 第四部分 科技和棘手领域的威胁建模
  • 第12章 需求手册
  • 12.1 为何需要“手册”
  • 12.2 需求、威胁、减缓威胁之间相互作用
  • 12.3 商业需求
  • 12.4 防御/检测/响应需求框架
  • 12.5 人员/过程/技术作为需求的框架
  • 12.6 开发需求与采购需求
  • 12.7 合规性驱动的需求
  • 12.8 隐私需求
  • 12.9 STRIDE需求
  • 12.10 非需求
  • 12.11 小结
  • 第13章 网络与云威胁
  • 13.1 网络威胁
  • 13.2 云租户威胁
  • 13.3 云供应者威胁
  • 13.4 移动威胁
  • 13.5 小结
  • 第14章 账户与身份识别
  • 14.1 账户生命周期
  • 14.2 认证
  • 14.3 账户恢复
  • 14.4 姓名、ID和SSN
  • 14.5 小结
  • 第15章 人类因素与可用性
  • 15.1 人的模型
  • 15.2 软件情景模型
  • 15.3 威胁引出技术
  • 15.4 解决人类因素的工具和技术
  • 15.5 用户界面工具和技术
  • 15.6 测试人类因素
  • 15.7 有关可用性与仪式的观点
  • 15.8 小结
  • 第16章 密码系统威胁
  • 16.1 密码原语
  • 16.2 典型威胁角色
  • 16.3 针对密码系统的攻击
  • 16.4 用密码创建
  • 16.5 关于密码需要记住的事情
  • 16.6 加密系统:Kerckhoffs及其原则
  • 16.7 小结
  • 第五部分 更上一层楼
  • 第17章 将威胁建模带到你的组织机构中
  • 17.1 如何引入威胁建模
  • 17.2 谁做什么
  • 17.3 在开发生命周期中的威胁建模
  • 17.4 克服对威胁建模的反对声音
  • 17.5 小结
  • 第18章 试验方法
  • 18.1 查看缝隙
  • 18.2 操作威胁模型
  • 18.3 “宽街”分类法
  • 18.4 博弈机器学习
  • 18.5 对一家企业进行威胁建模
  • 18.6 针对威胁建模方法的威胁
  • 18.7 如何实验
  • 18.8 小结
  • 第19章 成功的设计
  • 19.1 理解流程
  • 19.2 了解参与者
  • 19.3 边界对象
  • 19.4 “最好”是“好”的敌人
  • 19.5 展望未来
  • 19.6 小结
  • 附录A 有用的工具
  • 附录B 威胁树
  • 附录C 攻击者列表
  • 附录D 权限提升纸牌游戏
  • 附录E 案例研究
  • 术语表
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

机械工业出版社有限公司

机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。