科技 类型
可以朗读 语音朗读
136千字 字数
2022-04-01 发行日期
展开全部

主编推荐语

本书以现实的安全入侵事件为例,让你更好地了解如何保护信息资产和防御攻击,以及如何营造更安全的环境。

内容简介

本书是对信息安全领域的高度概述。首先介绍了信息安全相关的基础性概念,如身份验证和授权;然后深入研究这些概念在运营、人力、物理、网络、操作系统、移动通信、嵌入式系统、物联网和安全应用等领域的实际应用;之后,介绍了如何评估安全性。

本书适合安全专业入门人员和网络系统管理员等阅读。

目录

  • 版权信息
  • 作者简介
  • 主要译者
  • 译者序
  • 前言
  • 关于技术审校者
  • 致谢
  • 第1章 信息安全概述
  • 1.1 信息安全的定义
  • 1.2 何时安全
  • 1.3 讨论安全问题的模型
  • 1.3.1 机密性、完整性和可用性三要素
  • 1.3.2 Parkerian六角模型
  • 1.4 攻击
  • 1.4.1 攻击类型
  • 1.4.2 威胁、漏洞和风险
  • 1.4.3 风险管理
  • 1.4.4 事件响应
  • 1.5 纵深防御
  • 1.6 小结
  • 1.7 习题
  • 第2章 身份识别和身份验证
  • 2.1 身份识别
  • 2.1.1 我们声称自己是谁
  • 2.1.2 身份证实
  • 2.1.3 伪造身份
  • 2.2 身份验证
  • 2.2.1 因子
  • 2.2.2 多因子身份验证
  • 2.2.3 双向验证
  • 2.3 常见身份识别和身份验证方法
  • 2.3.1 密码
  • 2.3.2 生物识别
  • 2.3.3 硬件令牌
  • 2.4 小结
  • 2.5 习题
  • 第3章 授权和访问控制
  • 3.1 什么是访问控制
  • 3.2 实施访问控制
  • 3.2.1 访问控制列表
  • 3.2.2 能力
  • 3.3 访问控制模型
  • 3.3.1 自主访问控制
  • 3.3.2 强制访问控制
  • 3.3.3 基于规则的访问控制
  • 3.3.4 基于角色的访问控制
  • 3.3.5 基于属性的访问控制
  • 3.3.6 多级访问控制
  • 3.4 物理访问控制
  • 3.5 小结
  • 3.6 习题
  • 第4章 审计和问责
  • 4.1 问责
  • 4.2 问责的安全效益
  • 4.2.1 不可否认性
  • 4.2.2 威慑
  • 4.2.3 入侵检测与防御
  • 4.2.4 记录的可接受性
  • 4.3 审计
  • 4.3.1 审计对象
  • 4.3.2 日志记录
  • 4.3.3 监视
  • 4.3.4 审计与评估
  • 4.4 小结
  • 4.5 习题
  • 第5章 密码学
  • 5.1 密码学历史
  • 5.1.1 凯撒密码
  • 5.1.2 加密机
  • 5.1.3 柯克霍夫原则
  • 5.2 现代密码工具
  • 5.2.1 关键字密码和一次性密码本
  • 5.2.2 对称和非对称密码学
  • 5.2.3 散列函数
  • 5.2.4 数字签名
  • 5.2.5 证书
  • 5.3 保护静态、动态和使用中的数据
  • 5.3.1 保护静态数据
  • 5.3.2 保护动态数据
  • 5.3.3 保护使用中的数据
  • 5.4 小结
  • 5.5 习题
  • 第6章 合规、法律和法规
  • 6.1 什么是合规
  • 6.1.1 合规类型
  • 6.1.2 不合规的后果
  • 6.2 用控制实现合规
  • 6.2.1 控制类型
  • 6.2.2 关键控制与补偿控制
  • 6.3 保持合规
  • 6.4 法律与信息安全
  • 6.4.1 政府相关监管合规
  • 6.4.2 特定行业法规合规
  • 6.4.3 美国以外的法律
  • 6.5 采用合规框架
  • 6.5.1 国际标准化组织
  • 6.5.2 美国国家标准与技术研究所
  • 6.5.3 自定义框架
  • 6.6 技术变革中的合规
  • 6.6.1 云中的合规
  • 6.6.2 区块链合规
  • 6.6.3 加密货币合规
  • 6.7 小结
  • 6.8 习题
  • 第7章 运营安全
  • 7.1 运营安全流程
  • 7.1.1 关键信息识别
  • 7.1.2 威胁分析
  • 7.1.3 漏洞分析
  • 7.1.4 风险评估
  • 7.1.5 对策应用
  • 7.2 运营安全定律
  • 7.2.1 第一定律:知道这些威胁
  • 7.2.2 第二定律:知道要保护什么
  • 7.2.3 第三定律:保护信息
  • 7.3 个人生活中的运营安全
  • 7.4 运营安全起源
  • 7.4.1 孙子
  • 7.4.2 乔治·华盛顿
  • 7.4.3 越南战争
  • 7.4.4 商业
  • 7.4.5 机构间OPSEC支援人员
  • 7.5 小结
  • 7.6 习题
  • 第8章 人因安全
  • 8.1 搜集信息实施社会工程学攻击
  • 8.1.1 人力情报
  • 8.1.2 开源情报
  • 8.1.3 其他类型的情报
  • 8.2 社会工程学攻击类型
  • 8.2.1 托词
  • 8.2.2 钓鱼攻击
  • 8.2.3 尾随
  • 8.3 通过安全培训计划来培养安全意识
  • 8.3.1 密码
  • 8.3.2 社会工程学培训
  • 8.3.3 网络使用
  • 8.3.4 恶意软件
  • 8.3.5 个人设备
  • 8.3.6 清洁桌面策略
  • 8.3.7 熟悉政策和法规知识
  • 8.4 小结
  • 8.5 习题
  • 第9章 物理安全
  • 9.1 识别物理威胁
  • 9.2 物理安全控制
  • 9.2.1 威慑控制
  • 9.2.2 检测控制
  • 9.2.3 预防控制
  • 9.2.4 使用物理访问控制
  • 9.3 人员防护
  • 9.3.1 人的物理问题
  • 9.3.2 确保安全
  • 9.3.3 疏散
  • 9.3.4 行政管控
  • 9.4 数据防护
  • 9.4.1 数据的物理问题
  • 9.4.2 数据的可访问性
  • 9.4.3 残留数据
  • 9.5 设备防护
  • 9.5.1 设备的物理问题
  • 9.5.2 选址
  • 9.5.3 访问安全
  • 9.5.4 环境条件
  • 9.6 小结
  • 9.7 习题
  • 第10章 网络安全
  • 10.1 网络防护
  • 10.1.1 设计安全的网络
  • 10.1.2 使用防火墙
  • 10.1.3 实现网络入侵检测系统
  • 10.2 网络流量防护
  • 10.2.1 使用虚拟专用网络
  • 10.2.2 保护无线网络上的数据
  • 10.2.3 使用安全协议
  • 10.3 网络安全工具
  • 10.3.1 无线防护工具
  • 10.3.2 扫描器
  • 10.3.3 包嗅探器
  • 10.3.4 蜜罐
  • 10.3.5 防火墙工具
  • 10.4 小结
  • 10.5 习题
  • 第11章 操作系统安全
  • 11.1 操作系统强化
  • 11.1.1 删除所有不必要的软件
  • 11.1.2 删除所有不必要的服务
  • 11.1.3 更改默认账户
  • 11.1.4 应用最小权限原则
  • 11.1.5 执行更新
  • 11.1.6 启用日志记录和审计
  • 11.2 防范恶意软件
  • 11.2.1 反恶意软件工具
  • 11.2.2 可执行空间保护
  • 11.2.3 软件防火墙和主机入侵检测
  • 11.3 操作系统安全工具
  • 11.3.1 扫描器
  • 11.3.2 漏洞评估工具
  • 11.3.3 漏洞利用框架
  • 11.4 小结
  • 11.5 习题
  • 第12章 移动、嵌入式和物联网安全
  • 12.1 移动安全
  • 12.1.1 保护移动设备
  • 12.1.2 移动安全问题
  • 12.2 嵌入式安全
  • 12.2.1 嵌入式设备使用场景
  • 12.2.2 嵌入式设备安全问题
  • 12.3 物联网安全
  • 12.3.1 何为物联网设备
  • 12.3.2 物联网安全问题
  • 12.4 小结
  • 12.5 习题
  • 第13章 应用程序安全
  • 13.1 软件开发漏洞
  • 13.1.1 缓冲区溢出
  • 13.1.2 竞争条件
  • 13.1.3 输入验证攻击
  • 13.1.4 身份验证攻击
  • 13.1.5 授权攻击
  • 13.1.6 加密攻击
  • 13.2 Web安全
  • 13.2.1 客户端攻击
  • 13.2.2 服务器端攻击
  • 13.3 数据库安全
  • 13.3.1 协议问题
  • 13.3.2 未经身份验证的访问
  • 13.3.3 任意代码执行
  • 13.3.4 权限提升
  • 13.4 应用安全工具
  • 13.4.1 嗅探器
  • 13.4.2 Web应用程序分析工具
  • 13.4.3 模糊测试工具
  • 13.5 小结
  • 13.6 习题
  • 第14章 安全评估
  • 14.1 漏洞评估
  • 14.1.1 映射和发现
  • 14.1.2 扫描
  • 14.1.3 漏洞评估面临的技术挑战
  • 14.2 渗透测试
  • 14.2.1 渗透测试过程
  • 14.2.2 渗透测试分类
  • 14.2.3 渗透测试的对象
  • 14.2.4 漏洞赏金计划
  • 14.2.5 渗透测试面临的技术挑战
  • 14.3 这真的意味着你安全了吗
  • 14.3.1 现实测试
  • 14.3.2 你能检测到自己遭受的攻击吗
  • 14.3.3 今天安全并不意味着明天安全
  • 14.3.4 修复安全漏洞成本高昂
  • 14.4 小结
  • 14.5 习题
展开全部

评分及书评

评分不足
2个评分
  • 用户头像
    给这本书评了
    3.0
    入门级学习材料

    可以帮助初学者建立整体概念,了解网络安全的概况,不涉及技术细节,但涉及面广泛,作为入门材料还是值得一看的。

      转发
      评论
      用户头像
      给这本书评了
      5.0

      本书可称为囊括信息安全基础知识 / 框架的小而精的指南。说它 “基础”,是指其内容几乎涵盖信息安全领域全方位的基本概念,对于想要了解信息安全概貌的人而言,称得上是 “All-In-One” 宝典;说它 “小而精”,则是指其语言简洁、措辞精练;说它是 “指南”,指的是它可以充当引领读者开启安全领域学习和探索职业发展方向的 “地图”。

        转发
        评论

      出版方

      机械工业出版社有限公司

      机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。