信息安全完全参考手册(第2版) pdf epub mobi txt 电子书下载 2026

简体网页||繁体网页

☆☆☆☆☆

出版者:清华大学出版社

作者:(美) 乌斯利(Ousley, M.R.) 著

出品人:

页数:696

译者:李洋，段洋，叶天斌译

出版时间:2014-9-1

价格:99.80 元

装帧:平装

isbn号码:9787302378167

丛书系列:安全技术经典译丛

图书标签:

信息安全
网络安全
计算机科学
网络生活
信息安全
网络安全
数据安全
安全技术
安全防护
渗透测试
漏洞分析
安全标准
风险管理
安全认证

下载链接在页面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 复制链接

想要找书就要到小美书屋

book.quotespace.org

立刻按 ctrl+D收藏本页

你会得到大惊喜!!

具体描述

开发和实施端到端的有效安全方案

当今的IT世界风起云涌，复杂的移动平台、云计算和无处不在的数据访问对每一位IT专业人士提出了新的安全需求。《信息安全完全参考手册(第2版)》是唯一综合性的，着眼于不断发展变化的威胁环境，提供供应商中立的有关信息保护全方面细节的专业书籍。本书通过全面修订和扩充以涵盖现代信息安全的各个方面——从概念到细节——提供了一站式的参考，既适用于初学者，也适用于经验丰富的专业人士。

本书探索了如何基于经过验证的方法论、风险分析、合规和业务需求，构建一个全面的安全方案。你将学会如何成功地保护数据、网络、计算机和应用程序。书中还深入介绍了数据保护、加密、信息权限管理、网络安全、入侵检测和防御、UNIX和Windows安全、虚拟化和云安全、安全应用程序开发、灾难恢复、计算机取证及现实世界的攻击和对策。书中最后提供了一个丰富的安全术语表，以及基于标准的参考，这对于专业人士和学生都是一个相当丰富的资源。

深入理解网络空间：现代安全架构与防御策略本书导言：在数字化浪潮席卷全球的今天，信息系统已成为社会运行的基石。从金融交易到公共服务，再到个人隐私数据的存储，无不依赖于安全、可靠的网络环境。然而，伴随而来的威胁也日益复杂和严峻。传统的边界防御模式在面对高度互联、移动化和云化的应用场景时显得力不从心。本书旨在提供一套全面的、前瞻性的视角，剖析当前网络空间面临的挑战，并系统性地构建现代化的信息安全防御体系。我们关注的重点不再仅仅是修补漏洞，而是如何通过战略规划、架构设计和持续运营，实现风险的有效管理和业务的弹性运行。 --- 第一部分：构建现代安全基石——架构与治理本部分将引领读者从宏观层面理解安全战略的制定与实施，强调安全是业务的赋能者而非阻碍者。第一章：安全治理与风险框架的演进深入探讨信息安全治理的最新趋势，如何将安全目标与企业的整体战略目标对齐。我们详细分析了基于风险的决策制定流程（Risk-Based Decision Making），涵盖了从风险识别、量化分析到缓解措施实施的完整生命周期。重点阐述了如何建立有效的安全管理体系（SMS），并结合ISO 27001和NIST网络安全框架（CSF）的最新版本，提供一套实用的、可落地的治理路线图。内容包括董事会层面的安全问责制（Accountability）构建、安全文化的培育，以及在敏捷开发环境中如何嵌入治理流程。第二章：零信任架构（ZTA）的深度解析与实践零信任不再是一个口号，而是构建现代安全边界的必然选择。本章彻底剖析了零信任的核心原则——“永不信任，始终验证”。我们详细拆解了ZTA的七个核心组成部分，包括身份验证（Identity as the New Perimeter）、微隔离（Microsegmentation）、设备健康评估和持续授权模型（Continuous Authorization）。书中提供了构建ZTA的实战蓝图，涵盖了从网络层到应用层的具体技术选型和部署策略，特别是针对混合云和远程办公场景下的实现细节。第三章：安全合规性工程与自动化在全球数据保护法规日益趋严的背景下（如GDPR、CCPA等），合规性已成为安全工作的重要驱动力。本章侧重于如何将合规要求转化为可执行的技术控制措施。我们将介绍如何利用自动化工具实现合规性监控的持续性，探讨安全信息和事件管理（SIEM）系统在合规报告中的作用，并提供建立内部审计和外部认证准备流程的最佳实践。 --- 第二部分：防御纵深——技术栈的升级与强化本部分深入技术层面，探讨如何利用先进的安全技术来抵御日益复杂的攻击向量。第四章：云环境下的安全实践：IaaS、PaaS与Serverless 云安全是当前安全工作的核心挑战之一。本书全面覆盖了多云环境下的安全难题，包括配置漂移（Configuration Drift）、身份与访问管理（IAM）的复杂性、数据驻留（Data Residency）的合规性要求。我们详细阐述了云安全态势管理（CSPM）、云工作负载保护平台（CWPP）的选型与集成。特别关注Serverless架构（如Lambda函数）的独特安全模型及上下文感知授权机制。第五章：应用安全成熟度模型（AppSec Maturity）与DevSecOps 软件供应链安全成为关注焦点。本章系统介绍如何将安全活动左移至软件开发生命周期的早期阶段。内容涵盖静态应用安全测试（SAST）、动态应用安全测试（DAST）、交互式安全测试（IAST）的最佳使用场景与集成，以及如何建立安全的依赖项管理流程（SCA）以应对开源组件的漏洞风险。同时，详细探讨了CI/CD流水线中的安全门（Security Gates）的设置与自动化策略。第六章：威胁情报驱动的防御与自动化响应（SOAR）被动防御已经不足以应对高频度的攻击。本章聚焦于如何有效利用威胁情报（TI）来指导防御策略的制定和威胁的预测。我们将介绍构建内部威胁情报平台的方法，以及如何将外部情报源（如MITRE ATT&CK框架）映射到现有的安全控制点上。此外，深入探讨安全编排、自动化与响应（SOAR）平台，如何通过Playbook自动化处理日常告警、遏制已知威胁，并将安全分析师从重复劳动中解放出来，专注于高价值的狩猎活动。 --- 第三部分：韧性与未来——高级防御与运营本部分展望未来安全趋势，并重点强调事件响应的有效性和业务的持续性保障。第七章：高级持久性威胁（APT）的检测与狩猎针对APT攻击链的深入分析，本书讲解了威胁狩猎（Threat Hunting）的科学方法论，包括基于假设的狩猎、行为分析驱动的狩猎。内容涵盖如何利用端点检测与响应（EDR）工具收集遥测数据，并利用机器学习技术识别“慢速、低调”的异常行为模式，以在攻击的早期阶段进行干预。我们还会详细分析攻击者常用的侧向移动技术和持久化机制。第八章：网络弹性与业务连续性规划（BCP）安全最终目标是确保业务的持续运行。本章侧重于弹性（Resilience）的概念，即系统在遭受攻击或故障后快速恢复的能力。详细阐述了灾难恢复（DR）与业务连续性规划的差异，重点介绍了针对勒索软件攻击的“三二一备份原则”的强化实践，以及如何进行定期的弹性演练（Resilience Drills）以验证恢复流程的有效性。第九章：身份安全与访问管理的现代化在零信任的背景下，身份成为新的边界。本章深入探讨了特权访问管理（PAM）在保护高风险账户中的关键作用，包括会话隔离、JIT（Just-in-Time）访问审批流程。此外，分析了无密码技术（Passwordless）的发展，如FIDO2标准在企业环境中的部署考量，以及身份治理与管理（IGA）如何确保最小权限原则的有效实施和定期审计。 --- 结语：本书并非一本简单的技术手册，而是一份面向未来信息安全领导者和资深工程师的战略指南。它要求读者跳出单一工具的思维定势，拥抱集成、自动化和以风险为中心的综合安全管理哲学。通过系统地学习和实践这些前沿的架构、流程与技术，您的组织将能够构建一个更具韧性、更适应现代数字业务环境的安全体系。

作者简介

Mark Rhodes-Ousley拥有20多年在信息安全领域，从项目管理到技术各个方面的经验。这些经验包括风险管理、安全策略、安全管理、技术/实施和运维、物理安全、灾难恢复和业务连续性规划。他有两个核心的理念：业务流程的重要性如同技术的重要性，因为安全需要依赖于人；安全应该是一个业务推动者，以提升客户体验为目标。Mark拥有CISSP、CISM和MCSE认证。

目录信息

第I部分概述
第1章信息安全概述 3
1.1 信息保护的重要性 3
1.2 信息安全的演变 5
1.3 合理的安全投资 7
1.3.1 业务灵活性 8
1.3.2 降低成本 8
1.3.3 可移植性 9
1.4 安全方法论 9
1.5 如何建立一个安全计划 12
1.5.1 授权 12
1.5.2 框架 13
1.5.3 评估 13
1.5.4 规划 13
1.5.5 实施 14
1.5.6 维护 14
1.6 不可能的工作 14
1.7 最薄弱的环节 15
1.8 战略与战术 16
1.9 业务流程与技术控制 17
1.10 本章小结 18
1.11 参考文献 19
第2章风险分析 21
2.1 风险定义 21
2.1.1 入侵载体 22
2.1.2 威胁源和目标 24
2.2 攻击的种类 25
2.2.1 恶意移动代码 26
2.2.2 高级持续性渗透攻击(APT) 35
2.2.3 手动攻击 36
2.3 风险分析 43
2.4 本章小结 44
2.5 参考文献 44
第3章遵循标准、法规和法律 47
3.1 信息安全标准 47
3.1.1 信息及相关技术控制目标(COBIT) 47
3.1.2 国际标准化组织(ISO) 27000系列 48
3.1.3 美国国家标准与技术研究院(NIST) 50
3.2 影响信息安全专家的法规 52
3.2.1 注意义务 53
3.2.2 Gramm-Leach-Bliley法案
(GLBA) 53
3.2.3 Sarbanes-Oxley法案 55
3.2.4 HIPAA隐私和安全规则 55
3.2.5 北美电力可靠性公司关键基础设施保护(NERC CIP) 57
3.2.6 PCI DSS：支付卡行业数据安全标准 57
3.3 影响信息安全专家的法律 58
3.3.1 黑客法律 59
3.3.2 电子通信法律 62
3.3.3 其他实质性法律 65
3.4 本章小结 67
3.5 参考文献 67
第4章安全设计原则 69
4.1 CIA三元组和其他模型 69
4.1.1 机密性 69
4.1.2 完整性 69
4.1.3 可用性 70
4.1.4 其他概念 70
4.2 防御模型 71
4.2.1 棒棒糖模型 71
4.2.2 洋葱模型 72
4.3 可信区域 73
4.4 网络防御的最佳实践 75
4.4.1 安全的物理环境 75
4.4.2 密码保护启动 76
4.4.3 密码保护CMOS 76
4.4.4 禁止USB和CD引导 76
4.4.5 加固操作系统 76
4.4.6 保持补丁更新 77
4.4.7 使用防病毒扫描程序(实时扫描) 77
4.4.8 使用防火墙软件 77
4.4.9 安全的网络共享权限 77
4.4.10 使用加密 78
4.4.11 保护应用程序 78
4.4.12 系统备份 82
4.4.13 实施ARP中毒防御 83
4.4.14 建立计算机安全防御计划 83
4.5 本章小结 85
4.6 参考文献 85
第5章安全策略、标准、流程和指南 87
5.1 安全策略 87
5.1.1 安全策略制定 88
5.1.2 安全策略参与者 89
5.1.3 安全策略阅读对象 90
5.1.4 策略种类 91
5.1.5 框架 91
5.1.6 安全意识 92
5.1.7 安全意识的重要性 93
5.1.8 意识计划的目标 93
5.1.9 提高效率 94
5.1.10 实施意识计划 95
5.1.11 执行 96
5.1.12 对供应商执行的策略 96
5.1.13 对员工执行的策略 97
5.1.14 基于软件的执行 97
5.1.15 安全策略主题示例 98
5.1.16 可接受的使用策略 98
5.1.17 计算机策略 99
5.1.18 网络策略 101
5.1.19 数据隐私策略 102
5.1.20 数据完整性策略 103
5.1.21 人事管理策略 105
5.1.22 安全管理策略 107
5.1.23 物理安全策略 108
5.2 安全标准 111
5.3 安全流程 112
5.4 安全指南 114
5.5 持续维护 115
5.6 本章小结 115
5.7 参考文献 116
第6章安全组织 117
6.1 角色和职责 117
6.1.1 安全职位 118
6.1.2 安全事件响应小组 123
6.2 安全管理服务 125
6.2.1 通过MSSP提供的服务 126
6.2.2 可以通过MSSP监控的服务 127
6.3 安全委员会、指导委员会或董事会 128
6.4 与人力资源的相互关系 128
6.5 本章小结 129
6.6 参考文献 129
第7章身份认证和授权 131
7.1 身份认证 131
7.1.1 用户名和密码 132
7.1.2 基于证书的认证 137
7.1.3 扩展认证协议(EAP) 141
7.1.4 生物识别 141
7.1.5 额外使用的认证 142
7.2 授权 142
7.2.1 用户权限 142
7.2.2 基于角色的授权(RBAC) 143
7.2.3 访问控制列表(ACL) 143
7.2.4 基于规则的授权 145
7.3 符合标准 145
7.3.1 NIST 146
7.3.2 ISO 27002 146
7.3.3 COBIT 146
7.4 本章小结 146
7.5 参考文献 147
第II部分数据安全
第8章非结构化数据安全 151
8.1 结构化数据与非结构化数据 151
8.2 静态的、传输中的以及使用中的 152
8.3 保护非结构化数据的途径 153
8.3.1 数据库 154
8.3.2 应用程序 156
8.3.3 网络 158
8.3.4 计算机 159
8.3.5 存储(本地、移动或网络) 161
8.3.6 打印到现实世界的数据 162
8.4 保护非结构化数据的新途径 163
8.4.1 数据丢失防护(DLP) 163
8.4.2 信息权限管理 164
8.5 本章小结 165
8.6 参考文献 165
第9章信息权限管理 167
9.1 概述 167
9.1.1 DRM和IRM的区别 168
9.1.2 EDRM、ERM、RMS、IRM如何命名 170
9.2 从加密演变到IRM 171
9.3 IRM技术细节 172
9.3.1 IRM技术的构成 172
9.3.2 架构 172
9.3.3 离线 182
9.3.4 非结构化数据格式 183
9.4 IRM入门 183
9.4.1 创建分类 183
9.4.2 用户供应 185
9.4.3 权限分配 185
9.4.4 保护内容 186
9.4.5 分发内容 186
9.4.6 安装和配置IRM客户端 187
9.4.7 身份认证 187
9.4.8 授权 188
9.4.9 权限检索和存储 188
9.4.10 内容访问和权限调用 188
9.4.11 访问审计和报表 188
9.4.12 权限撤销 188
9.5 本章小结 188
9.6 参考文献 189
第10章加密 191
10.1 加密简史 191
10.1.1 早期编码 191
10.1.2 更现代的代码 192
10.2 对称密钥加密 193
10.3 公钥加密算法 195
10.4 公钥基础设施 195
10.4.1 结构和功能 196
10.4.2 CA的层次 196
10.4.3 证书的模板和注册 196
10.4.4 撤销 197
10.4.5 角色分离 197
10.4.6 交叉认证 198
10.5 遵循标准 198
10.5.1 NIST 198
10.5.2 ISO 27002 198
10.5.3 COBIT 198
10.6 本章小结 199
10.7 参考文献 199
第11章存储安全 201
11.1 存储安全的演化 201
11.2 现代存储安全 202
11.2.1 存储基础设施 202
11.2.2 存储网络 204
11.2.3 阵列 205
11.2.4 服务器 205
11.2.5 管理通道 206
11.2.6 数据的风险 206
11.3 风险整治 208
11.3.1 机密性风险 208
11.3.2 完整性风险 211
11.3.3 可用性风险 212
11.4 最佳实践 214
11.4.1 分区 214
11.4.2 阵列 214
11.4.3 服务器 214
11.4.4 员工 214
11.4.5 异地数据存储 214
11.5 本章小结 215
11.6 参考文献 215
第12章数据库安全 217
12.1 常用的数据库安全概念 217
12.2 理解数据库安全层次 218
12.2.1 服务器级安全 218
12.2.2 网络级安全 219
12.2.3 操作系统安全 220
12.3 理解数据库级安全 221
12.3.1 数据库管理安全 221
12.3.2 数据库角色和权限 222
12.3.3 对象级安全 223
12.3.4 使用其他数据库对象的安全 225
12.4 使用应用程序安全 226
12.4.1 应用程序级安全性的限制 228
12.4.2 支持互联网应用程序 228
12.5 数据库备份与恢复 230
12.5.1 确定备份约束 230
12.5.2 确定恢复需求 231
12.5.3 数据库备份的类型 231
12.6 保持服务器更新 232
12.7 数据库审计与监控 232
12.7.1 审查审计日志 233
12.7.2 数据库监控 234
12.8 本章小结 234
12.9 参考文献 234
第Ⅲ部分网络安全
第13章网络安全设计 237
13.1 安全的网络设计简介 238
13.1.1 可接受的风险 238
13.1.2 网络的安全设计 238
13.1.3 设计合适的网络 239
13.1.4 安全的成本 239
13.2 性能 240
13.3 可用性 242
13.4 安全性 244
13.4.1 无线对边界的影响 245
13.4.2 远程访问注意事项 246
13.4.3 内部安全实践 246
13.4.4 内部网、外部网和DMZ区 247
13.4.5 出站过滤 250
13.5 遵循的标准 251
13.5.1 NIST 251
13.5.2 ISO 27002 251
13.5.3 COBIT 252
13.6 本章小结 252
13.7 参考文献 252
第14章网络设备安全 253
14.1 路由器和交换机基线配置 253
14.1.1 MAC地址、IP地址和ARP 253
14.1.2 TCP/IP协议 254
14.1.3 集线器 256
14.1.4 交换机 257
14.1.5 路由器 258
14.2 网络加固 260
14.2.1 安装补丁 260
14.2.2 交换机安全实践 260
14.2.3 访问控制列表 261
14.2.4 禁用多余服务 261
14.2.5 管理实践 262
14.2.6 互联网消息控制协议(ICMP) 266
14.2.7 反欺骗及源路由 267
14.2.8 日志 268
14.3 本章小结 268
14.4 参考文献 268
第15章防火墙 269
15.1 概述 269
15.1.1 防火墙的发展历程 269
15.1.2 应用控制 270
15.1.3 防火墙的必备功能 271
15.1.4 防火墙核心功能 272
15.1.5 防火墙附加功能 275
15.2 防火墙设计 276
15.2.1 防火墙的优势和劣势 276
15.2.2 防火墙部署 277
15.2.3 防火墙配置 277
15.3 本章小结 277
15.4 参考文献 277
第16章虚拟专用网 279
16.1 VPN的工作原理 279
16.2 VPN协议 280
16.2.1 IPSec 280
16.2.2 认证头AH 281
16.2.3 封装安全载荷ESP 281
16.2.4 AH和ESP比较 282
16.2.5 点对点隧道协议PPTP 282
16.2.6 基于IPSec的二层隧道协议L2TP 282
16.2.7 SSL VPNs 282
16.3 远程访问VPN的安全 283
16.3.1 认证过程 283
16.3.2 客户端配置 284
16.3.3 客户端网络环境 286
16.3.4 离线客户活动 288
16.4 站到站VPN的安全 289
16.5 本章小结 289
16.6 参考文献 290
第17章无线网络的安全性 291
17.1 射频安全性基础知识 292
17.1.1 射频知识安全效益 292
17.1.2 第一层的安全解决方案 293
17.2 数据链路层的无线安全功能、缺陷和威胁 302
17.2.1 果壳中的802.11和802.15数据链路层 302
17.2.2 802.11和802.15数据链路层的漏洞和威胁 303
17.2.3 封闭系统的SSID、MAC 过滤和协议过滤 304
17.2.4 内置蓝牙网络数据链路的安全和威胁 304
17.3 无线漏洞和缓解 305
17.3.1 有线侧漏 305
17.3.2 流氓接入点 306
17.3.3 错误配置接入点 307
17.3.4 无线钓鱼 307
17.3.5 客户端隔离 307
17.4 无线网络的强化措施和建议 308
17.4.1 无线安全标准 308
17.4.2 临时密钥完整性协议和计数器模式CBC-MAC协议 308
17.4.3 基于802.1x的认证和EAP方法 309
17.5 无线入侵检测和预防 310
17.5.1 无线IPS和IDS 311
17.5.2 蓝牙IPS 312
17.6 无线网络定位和安全网关 312
17.7 本章小结 313
17.8 参考文献 313
第18章入侵检测和入侵防御系统 315
18.1 IDS的概念 315
18.1.1 威胁类型 316
18.1.2 第一代的IDS 319
18.1.3 第二代的IDS 320
18.2 IDS的种类及检测模型 320
18.2.1 基于主机的IDS(HIDS) 321
18.2.2 基于网络的IDS(NIDS) 322
18.2.3 异常检测(AD)模型 323
18.2.4 应该使用什么类型的IDS 326
18.3 IDS的特点 326
18.3.1 IDS终端用户界面 326
18.3.2 入侵防御系统(IPS) 327
18.3.3 IDS的管理 328
18.3.4 IDS日志和警报 330
18.4 IDS部署注意事项 331
18.4.1 IDS微调 331
18.4.2 IPS部署计划 332
18.5 安全信息和事件管理(SIEM) 333
18.5.1 数据聚合 333
18.5.2 分析 335
18.5.3 操作界面 335
18.5.4 其他SIEM产品特点 336
18.6 本章小结 336
18.7 参考文献 337
第19章网络电话和程控交换机安全 339
19.1 背景 339
19.2 VoIP部件 341
19.2.1 呼叫控制 342
19.2.2 语音和媒体网关和网守 342
19.2.3 多会议单元 343
19.2.4 硬件终端 344
19.2.5 软件终端 344
19.2.6 呼叫和联络中心组件 345
19.2.7 语音信箱系统 345
19.3 VoIP的漏洞及对策 346
19.3.1 老生常谈，故伎重演：原始黑客 346
19.3.2 漏洞和攻击 348
19.3.3 协议 350
19.3.4 安全性：系统集成商和VoIP托管 356
19.4 PBX 360
19.4.1 破解PBX 361
19.4.2 保护PBX 361
19.5 TEM：电信费用管理 362
19.6 本章小结 362
19.7 参考文献 363
第Ⅳ部分计算机安全
第20章操作系统安全模型 367
20.1 操作系统安全模型 367
20.1.1 底层协议是不安全的 367
20.1.2 访问控制列表 369
20.1.3 强制访问控制(MAC)与自主访问控制(DAC) 369
20.2 经典安全模型 370
20.2.1 Bell-LaPadula模型 370
20.2.2 Biba模型 370
20.2.3 Clark-Wilson模型 371
20.2.4 TCSEC 371
20.2.5 标签 373
20.3 参考监视器 374
20.3.1 参考监视器的概念 374
20.3.2 Windows安全参考监视器 374
20.4 可信计算 375
20.5 操作系统安全的国际标准 375
20.5.1 通用标准 375
20.5.2 通用标准的起源 376
20.5.3 通用标准部分 376
20.5.4 保护配置文件和安全目标 377
20.5.5 通用标准存在的问题 377
20.6 本章小结 377
20.7 参考文献 377
第21章 Unix安全 379
21.1 初始化安装 379
21.2 保护Unix系统 380
21.2.1 减少攻击面 381
21.2.2 安装安全软件 382
21.2.3 配置安全设置 387
21.2.4 保持软件更新 393
21.3 把服务器放入网络区域 393
21.4 加强身份验证流程 393
21.4.1 需要强有力的密码 393
21.4.2 采用其他密码方式 394
21.4.3 限制系统的物理访问 394
21.5 限制管理员的数量和管理员的特权 395
21.6 备份系统 395
21.7 订阅安全列表 395
21.8 符合标准 396
21.9 本章小结 397
21.10 参考文献 397
第22章 Windows操作系统的安全性 399
22.1 确保Windows操作系统的安全性 399
22.1.1 禁用Windows系统服务项目和删除软件 400
22.1.2 安全配置剩余软件 406
22.1.3 使用组策略来管理设置 407
22.1.4 计算机策略 407
22.1.5 用户策略 408
22.1.6 安全配置和分析 410
22.1.7 组策略 411
22.1.8 安装安全软件 414
22.1.9 应用程序白名单 415
22.1.10 定期安装系统补丁 415
22.1.11 将网络划分为信任区域 416
22.1.12 屏蔽和过滤对服务的
访问 416
22.1.13 减轻欺诈端口的影响 416
22.1.14 加强认证过程 417
22.1.15 要求、促进和训练用户使用高强度密码 417
22.1.16 使用密码替代品 418
22.1.17 应用技术和物理控制保护接入点 419
22.1.18 修改Windows身份验证系统的默认设置 419
22.1.19 限制管理员的数量以及特权 420
22.1.20 需要用管理员权限访问文件和注册表的应用程序 420
22.1.21 权限提升的需要 421
22.1.22 程序员作为管理员 421
22.1.23 要求管理员使用runas 421
22.2 活动目录域体系结构 422
22.2.1 逻辑安全边界 422
22.2.2 基于角色的管理 428
22.2.3 基于角色的安全配置方法 429
22.3 遵循标准 430
22.3.1 NIST 430
22.3.2 ISO 27002 431
22.3.3 COBIT 432
22.4 本章小结 432
22.5 参考文献 432
第23章保护基础设施服务 435
23.1 电子邮件 435
23.1.1 协议的缺陷及应对措施 436
23.1.2 垃圾邮件及垃圾邮件控制 447
23.1.3 恶意软件及恶意软件控制 450
23.2 Web服务器 450
23.2.1 攻击的类型 451
23.2.2 Web服务器的保护 453
23.3 DNS服务器 454
23.3.1 安装补丁 455
23.3.2 阻止未经许可的区域传输 455
23.3.3 DNS缓存污染 456
23.4 代理服务器 456
23.4.1 HTTP代理 456
23.4.2 FTP代理 457
23.4.3 直接映射 457
23.4.4 POP3代理 458
23.4.5 HTTP连接 458
23.4.6 反向代理 458
23.5 本章小结 459
23.6 参考文献 459
第24章虚拟机和云计算 461
24.1 虚拟机 461
24.1.1 保护管理程序 461
24.1.2 保护客机操作系统 462
24.1.3 保护虚拟存储器 462
24.1.4 保护虚拟网络 463
24.1.5 NIST Special Publication 800-125 463
24.2 云计算 463
24.2.1 云服务类型 464
24.2.2 云计算的安全效益 464
24.2.3 安全考虑 465
24.2.4 云计算风险和补救 467
24.3 本章小结 476
24.4 参考文献 476
第25章确保移动设备的安全性 479
25.1 移动设备风险 479
25.1.1 设备风险 479
25.1.2 应用程序风险 481
25.2 移动设备安全 482
25.2.1 内置的安全功能 482
25.2.2 移动设备管理 484
25.2.3 数据丢失防护 487
25.3 本章小结 487
25.4 参考文献 487
第Ⅴ部分　应用程序安全
第26章安全的应用程序设计 491
26.1 安全开发生命周期 491
26.2 应用程序安全实践 492
26.2.1 安全培训 492
26.2.2 安全开发基础设施 492
26.2.3 安全要求 493
26.2.4 安全设计 493
26.2.5 威胁建模 493
26.2.6 安全编码 493
26.2.7 安全代码审查 493
26.2.8 安全测试 493
26.2.9 安全文档 493
26.2.10 安全发布管理 494
26.2.11 相关补丁监控 494
26.2.12 产品安全事件响应 494
26.2.13 决策继续 494
26.3 Web应用程序安全 494
26.3.1 SQL注入 494
26.3.2 表单和脚本 499
26.3.3 cookie和会话管理 500
26.3.4 一般攻击 502
26.3.5 Web应用程序安全结论 502
26.4 客户端应用程序安全 503
26.4.1 运行权限 503
26.4.2 应用程序管理 504
26.4.3 与操作系统安全的集成 504
26.4.4 应用程序更新 505
26.5 远程管理安全 506
26.5.1 实施远程管理的原因 506
26.5.2 使用Web界面进行远程管理 506
26.5.3 验证基于Web的远程管理 507
26.5.4 自定义远程管理 508
26.6 本章小结 509
26.7 参考文献 509
第27章编写安全软件 511
27.1 安全漏洞：原因及预防 511
27.1.1 缓冲区溢出 512
27.1.2 整数溢出 515
27.1.3 跨站点脚本 517
27.1.4 SQL注入 522
27.2 白名单与黑名单 525
27.3 本章小结 526
27.4 参考文献 526
第28章 J2EE安全 527
28.1 Java和J2EE概述 527
28.1.1 Java语言 527
28.1.2 对JVM的攻击 529
28.2 J2EE架构 529
28.2.1 servlet 529
28.2.2 JSP 530
28.2.3 EJB 532
28.2.4 容器 533
28.3 认证和授权 534
28.3.1 J2EE认证 534
28.3.2 J2EE授权 535
28.4 协议 536
28.4.1 HTTP 537
28.4.2 HTTPS 538
28.4.3 Web服务协议 540
28.4.4 IIOP 540
28.4.5 JRMP 542
28.4.6 专有通信协议 542
28.4.7 JMS 543
28.4.8 JDBC 543
28.5 本章小结 543
28.6 参考文献 544
第29章 Windows .NET安全 545
29.1 .NET的核心安全功能 545
29.1.1 托管代码 545
29.1.2 基于角色的安全性 549
29.1.3 代码访问安全性 552
29.1.4 应用程序域和独立存储 559
29.2 .NET中的应用程序级安全 562
29.2.1 使用加密功能 562
29.2.2 .NET远程调用安全性 569
29.2.3 保护Web服务和Web应用程序 570
29.3 本章小结 572
29.4 参考文献 573
第30章控制应用程序行为 575
30.1 基于网络的应用程序控制 575
30.1.1 访问控制面临的问题 576
30.1.2 应用程序可见度 577
30.1.3 控制应用程序通信 578
30.2 基于计算机的应用程序控制 579
30.2.1 应用程序白名单软件 580
30.2.2 应用程序安全设置 581
30.3 本章小结 583
30.4 参考文献 583
第Ⅵ部分　安全操作
第31章安全操作管理 587
31.1 沟通和报告 587
31.2 变更管理 589
31.3 合法使用执法 591
31.3.1 合法使用执法的例子 591
31.3.2 主动执法 591
31.4 行政安全 592
31.5 管理措施 592
31.6 问责控制 593
31.7 紧跟时事 597
31.8 事件响应 598
31.9 本章小结 599
31.10 参考文献 600
第32章灾难恢复、业务连续性、备份
以及高可用性 601
32.1 灾难恢复 601
32.2 业务连续性计划 602
32.2.1 业务连续性计划的4个组成部分 602
32.2.2 第三方供应商问题 605
32.2.3 认知培训计划 605
32.3 备份 606
32.3.1 传统备份方法 606
32.3.2 非传统备份方案和前沿方法 610
32.3.3 备份策略 610
32.4 高可用性 611
32.4.1 自动冗余方法 612
32.4.2 手动冗余方法 614
32.5 遵循标准 614
32.5.1 ISO 27002 614
32.5.2 COBIT 615
32.6 本章小结 616
32.7 参考文献 616
第33章事件响应和取证分析 617
33.1 事件响应 617
33.1.1 事件检测 618
33.1.2 响应和控制 618
33.1.3 恢复和重新开始 619
33.1.4 评估和改进 619
33.2 取证 620
33.2.1 法律要求 620
33.2.2 证据采集 621
33.2.3 证据分析 624
33.3 在事件响应过程中遵循法律 628
33.3.1 是否联系执法 628
33.3.2 证据保全 629
33.3.3 保密和特权问题 631
33.4 本章小结 632
33.5 参考文献 632
第Ⅶ部分　物理安全性
第34章物理安全性 637
34.1 资产的分类 637
34.2 物理脆弱性评估 638
34.2.1 建筑 638
34.2.2 计算机设备和外围设备 638
34.2.3 文档 638
34.2.4 记录和设备 639
34.3 选择安全的站点位置 639
34.3.1 便利性 639
34.3.2 采光 640
34.3.3 邻近其他建筑物 640
34.3.4 靠近执法和应急响应点 640
34.3.5 射频和无线传输拦截 640
34.3.6 公共设备的可靠性 640
34.3.7 建造和挖掘 641
34.4 保护资产：锁和入口控制 641
34.4.1 锁 641
34.4.2 入口控制 642
34.5 物理入侵检测 643
34.5.1 闭路电视 643
34.5.2 警报器 643
34.6 遵循标准 643
34.6.1 ISO 27002 643
34.6.2 COBIT 644
34.7 本章小结 646
34.8 参考文献 646
术语表 647
· · · · · · (收起)

读后感

评分☆☆☆☆☆

用户评价

评分☆☆☆☆☆

我不得不说，这本“巨著”的价值，绝对是对得起它沉甸甸的分量。我尝试过许多信息安全相关的书籍，但很少有哪一本能像它这样，在我脑海中留下如此深刻的印记。它不仅仅是知识的堆叠，更是一种思维方式的引导。在阅读的过程中，我能够明显感受到作者在梳理信息安全这个复杂学科时所付出的巨大努力，以及他们试图构建一套完整、逻辑清晰的知识体系的决心。它在讲解的过程中，并没有简单地将各种安全技术和概念“平铺直叙”，而是通过深入浅出的分析，揭示了这些技术背后的原理和设计思想。这对于我理解“为什么”以及“如何”做得更好，有着至关重要的作用。我记得有一次，我正在尝试理解一种新型的网络攻击方式，当时我查阅了多篇论文和技术报告，但始终未能抓住其核心。直到我在这本书中找到了相关的章节，它将这种攻击方式与更基础的网络协议和安全机制联系起来，并详细阐述了其攻击路径和防御策略。这种“追根溯源”式的讲解，让我一下子就明白了问题的本质，也让我能够更有效地进行防范。而且，它在介绍各种安全解决方案时，非常注重实际操作性和可落地性。书中提供的代码示例、配置指导，以及对不同场景下适用性分析，都非常有参考价值。我曾经根据书中的指导，成功部署了一个企业级的入侵检测系统，在实践中，我发现书中的很多细节和注意事项，都极大地帮助我规避了潜在的风险，并优化了部署效果。它不仅仅教会了我“做什么”，更教会了我“如何做得更稳妥”。这本书给我的感觉，就像一个经验丰富且学识渊博的导师，他不仅拥有深厚的技术功底，更重要的是，他能够用清晰、有条理的方式，将复杂的知识传授给你，让你在掌握知识的同时，也能提升自己的思维能力和解决问题的能力。它已经成为我日常工作中不可或缺的参考资料，是我在面对各种信息安全挑战时，最信赖的“智囊团”。

评分☆☆☆☆☆

坦白说，我当初选择入手这本“宝典”，很大程度上是因为它在业内口碑极佳，大家都称赞其为信息安全领域的“必读之作”。而实际的阅读体验，也确实没有让我失望。它给我的第一印象就是“全”。从基础的网络协议安全，到深入的应用程序安全，再到复杂的安全管理和法律法规，几乎涵盖了信息安全领域的方方面面。而且，这种“全”并非简单的堆砌，而是构建在一个清晰、严谨的逻辑框架之上。它就像一位经验丰富的老船长，能够带领你在信息安全的海洋里，稳稳地航行。我记得我曾经在一个项目中，需要评估一个遗留系统的安全风险。当时我对这个系统内部的很多安全机制都不太了解，感到非常棘手。幸好，我在这本书中找到了关于系统安全架构、风险评估方法论以及常见漏洞类型等章节。通过对照书中的描述，我能够非常快速地识别出该系统的潜在风险点，并制定出相应的缓解措施。这本书给我最大的感受就是，它能够帮助我建立起一个“全局观”。在信息安全领域，我们很容易被某个具体的安全技术或者某个特定的攻击手法所吸引，而忽略了整体的安全态势。这本书却能够帮助我从更高的层面去理解信息安全，它让我明白，信息安全不是孤立的，而是需要一个整体性的、协同性的防护体系。它不仅仅是技术问题，更是管理问题，是流程问题，甚至是人的问题。在它面前，我感到自己仿佛被提升到了一个更高的维度，能够更清晰地看到整个信息安全的面貌。这对于我在工作中制定更有效的安全策略，有着不可估量的价值。我经常把它放在我的书桌上，随时翻阅，它是我在信息安全道路上，最可靠的“指路明灯”。

评分☆☆☆☆☆

”作为分隔符。这些评价将避免提及书名本身，也绝不会透露“信息安全完全参考手册(第2版)”这本书的具体内容，而是从一个深度参与信息安全领域，并且曾深入研读一本“权威参考书”的读者视角出发，去描绘阅读体验和它对自身成长的影响。这套书的出现，简直就是我信息安全学习路上的“定海神针”。我记得当年刚入行的时候，面对纷繁复杂的概念和技术，简直是雾里看花，摸不着头脑。各种安全标准、协议、攻击手法，都像是一个个难以逾越的高墙。我当时的状态，就像一个站在广阔沙漠里的旅人，找不到方向，也缺乏足够的水源和工具。幸好，我当时在一位前辈的推荐下，找到了这本“参考手册”。从翻开第一页开始，我便被它那种系统性、全面性的叙述所震撼。它不仅仅是罗列知识点，而是将信息安全这个庞大的体系，像一个精密的齿轮组一样，将每一个组件都清晰地呈现出来，并阐述它们之间是如何相互作用、相互影响的。书中的结构设计堪称艺术，每一章都像是一个独立但又彼此连接的小宇宙，从基础理论到高级实践，循序渐进，逻辑严谨。我尤其喜欢它在讲解一些复杂算法或者攻击原理时，那种抽丝剥茧般的分析方式，通过大量的图示和案例，将晦涩难懂的概念变得直观易懂。这大大降低了我的学习门槛，让我能够更快速地掌握核心要义。更重要的是，它并没有止步于理论的陈述，而是深入到实际应用层面，提供了大量可以直接参考的最佳实践和解决方案。这对于我这样一个需要在实际工作中解决安全问题的人来说，简直是雪中送炭。我曾经为了解决一个特定的日志分析难题，翻遍了无数的博客和论坛，却收效甚微。直到我在这本书中找到了关于异常检测和日志关联分析的详细章节，并结合其中提供的案例，才豁然开朗，找到了解决问题的关键思路。这本书就像一位经验丰富的老兵，将他毕生的宝贵经验倾囊相授，让我在少走了许多弯路。它的价值，早已超越了一本技术书籍本身，它已经成为我信息安全知识体系的基石，是我在面对各种挑战时，最可靠的后盾。我常常在工作遇到瓶颈时，会重新翻阅其中的某些章节，每次都能从中获得新的启发和灵感，让我能够以更成熟、更专业的视角去审视问题，并提出更有效的解决方案。

评分☆☆☆☆☆

我一直相信，一本真正优秀的技术书籍，不仅仅是传递知识，更重要的是，它能够帮助读者建立起一套完整的思维模式和解决问题的能力。而我手中的这本“思维训练手册”，正是这样一本让我受益匪浅的著作。它不仅仅罗列了各种信息安全技术和工具，更重要的是，它通过对这些技术和工具的深入剖析，引导读者去思考“为什么”以及“如何”做到更好。我记得我曾经为了理解一个复杂的网络攻击，查阅了很多技术文档，但始终觉得停留在“知其然”的层面。直到我在这本书中找到了关于攻击溯源和威胁情报分析的章节，它通过案例分析，展示了如何从海量的信息中提取有价值的线索，并逐步还原攻击的真相。这种“侦探式”的学习过程，让我深刻体会到了信息安全工作中的逻辑推理和分析能力的重要性。而且，它在讲解各种安全防御策略时，并没有简单地给出一个“标准答案”，而是鼓励读者去思考不同场景下的最优解。它会引导你分析问题的本质，并根据实际情况，灵活地运用所学的知识。我曾经在工作中，需要为一个大型企业设计一套全面的安全防护体系。当时我遇到的最大挑战是，如何在一个复杂的业务环境中，构建一个既能满足合规要求，又能有效抵御各种安全威胁的弹性安全架构。在这本书的指导下，我开始学习如何进行风险评估，如何分析业务需求，以及如何将技术、管理和流程有机地结合起来。这本书为我提供了宝贵的思维框架，让我能够以更加系统和全面的视角去解决问题。它已经成为我提升信息安全思维能力和解决复杂问题的“训练营”，也是我进行职业发展的重要助力。

评分☆☆☆☆☆

我之前对信息安全的一些概念，理解得有些零散，总感觉像是在拼凑一块不完整的拼图。直到我接触了这本书，才真正体会到什么叫做“体系化”的学习。它不仅仅是罗列各种安全技术和工具，而是将信息安全这个庞大的领域，通过严谨的逻辑和清晰的脉络，有机地串联起来。从基础的网络通信安全，到复杂的加密算法，再到具体的安全防护措施，它都做到了面面俱到，而且层次分明。我记得我曾经为了理解某种特定的网络攻击，花了很多时间去查阅零散的资料，但总感觉抓不住重点。直到我在这本书中找到了相关的章节，它将这种攻击方式置于整个网络通信的上下文中进行剖析，并详细阐述了其所利用的网络协议漏洞以及防御方法。这种“全局视角”的讲解，让我一下子就茅塞顿开，明白了攻击的根本原因以及有效的应对之道。而且，它在讲解技术细节的同时，也十分注重安全哲学的探讨。它会让你思考“为什么”要构建这样的安全体系，以及“什么样的”安全才是真正有效的安全。这对于我提升信息安全的“道”的层面，有着非常重要的意义。我曾经在工作中，面临着一个非常棘手的安全策略制定问题。当时我陷入了技术和管理的泥潭，不知道该如何平衡。偶然的机会，我在这本书中找到了关于安全策略的制定原则和最佳实践的章节。它让我认识到，安全策略的制定，不仅仅是技术人员的事情，更需要业务、管理等多方面的协同。这本书为我提供了宝贵的思路，帮助我打破了思维定势，并最终制定出了一套行之有效的安全策略。它已经成为我解决复杂信息安全问题的“法宝”，也是我提升自身专业素养的重要途径。

评分☆☆☆☆☆

我一直对信息安全这个领域充满好奇，但总觉得入门困难，概念太多，难以系统地学习。幸运的是，我在这本书中找到了我所需要的“引路人”。它以一种非常友好的方式，将信息安全这个庞杂的学科，分解成易于理解的部分，并且循序渐进地引导读者深入。我记得我刚开始接触这本书的时候，对于很多基础概念的理解都比较模糊。但是，书中通过大量的类比、图示和生动的案例，将这些抽象的概念变得具体而直观。例如，在讲解访问控制模型的时候，它用了一个生动的比喻，将权限的管理比作一个大型图书馆的图书借阅系统，让我一下子就理解了不同角色的权限分配逻辑。而且，它在介绍各种安全技术的时候，都会深入浅出地解释其背后的原理，并阐述其在实际应用中的作用。这让我不仅知其然，更知其所以然。我曾经为了理解某种数据加密算法的原理，查阅了很多资料，但始终觉得难以理解。直到我在这本书中找到了相关的章节，它通过简洁的数学推导和清晰的流程图，将算法的原理剖析得淋漓尽致，让我能够轻松地掌握其核心。这本书给我最大的感受就是，它能够让你在轻松愉快的氛围中，完成知识的吸收。它不仅仅是一本技术书籍，更像是一位循循善诱的老师，用他丰富而精炼的语言，将复杂的知识娓娓道来。它已经成为我进行信息安全知识拓展和技能提升的“启蒙导师”，也是我向身边对信息安全感兴趣的朋友们强烈推荐的“入门宝典”。

评分☆☆☆☆☆

说实话，在信息安全这个日新月异的领域，一本能够及时更新，并保持权威性的参考书，简直是开发者和安全从业者的福音。而我手中的这本“百科全书”，正是这样一本让我受益匪浅的著作。它所提供的知识，并非停留在陈旧的理论层面，而是紧密结合了当前最新的安全威胁、攻击技术以及防御手段。我记得我曾经为了学习如何应对新型的APT攻击，查阅了很多最新发布的安全报告。但是，很多报告的内容都比较碎片化，难以形成一个完整的认识。直到我在这本书中找到了关于高级持续性威胁（APT）的详细章节，它不仅梳理了APT攻击的发展历程，还深入分析了其攻击模式、常用工具以及有效的防御策略。这种结构化的讲解，让我能够对APT攻击有一个更加系统和全面的理解，也为我制定更有效的防御措施提供了坚实的基础。而且，它在讲解技术细节的同时，也非常注重对安全原理的阐述。它会告诉你“为什么”这样做，而不是仅仅告诉你“怎么做”。这种对原理的深入挖掘，让我能够更好地理解不同技术之间的联系，并能够根据实际情况，灵活地运用所学的知识。我曾经在一个项目中，需要设计一个面向未来的安全架构。当时我遇到的最大挑战是，如何在一个快速变化的网络环境中，构建一个既能抵御已知威胁，又能应对未知威胁的弹性安全体系。在这本书的指引下，我开始关注那些具有前瞻性的安全设计理念，比如零信任架构、威胁情报驱动的安全等。这本书为我提供了丰富的理论基础和实践案例，让我能够将这些先进的安全理念，有效地融入到我的设计中。它就像一位目光远大的战略家，不仅能为你指明方向，更能为你提供实现目标的具体方法。它已经成为我进行安全战略规划和技术创新的重要参考。

评分☆☆☆☆☆

我一直认为，信息安全这个领域，更新换代的速度非常快，所以一本能够经得起时间考验的书籍，其价值就显得尤为珍贵。而我手中的这本“参考指南”，恰恰就是这样一本著作。它所涵盖的内容，虽然非常广泛，但并没有流于表面。相反，它在很多细节上都做到了深入的挖掘和剖析。我尤其欣赏它在处理一些具有争议性或者多方面解读的安全问题时，所展现出的客观和平衡。它不仅仅是介绍一种技术或者一种方法，而是会从不同的角度去分析其优缺点，以及在不同环境下的适用性。这对于我这样需要综合考虑各种因素来做出安全决策的人来说，至关重要。我记得曾经为了评估一种新的加密算法的安全性，我查阅了很多资料，但始终没有找到一个全面的评估框架。直到我在这本书中找到了关于密码学理论和实践的章节，它提供了一个非常系统性的评估方法，并详细列出了需要考虑的关键因素，如算法的理论基础、已知的攻击手段、性能表现等等。这让我在后续的评估工作中，能够更加有条理，也更加全面。而且，它在语言的运用上，也十分精炼和准确。虽然主题非常专业，但作者依然能够用清晰、易懂的语言来解释复杂的概念，避免了不必要的术语堆砌。这使得我在阅读过程中，能够保持高度的专注，并有效地吸收知识。它不仅仅是一本技术手册，更像是一本信息安全领域的“百科全书”，它能够帮助我建立起一个更加完善和扎实的知识体系。我常常会在阅读的过程中，将书中的内容与其他我了解的知识进行对比和印证，每次都能从中获得新的理解和视角。它已经不仅仅是一本我用来查询资料的书，更是我用来提升自己理论深度和实践视野的“催化剂”。

评分☆☆☆☆☆

收到，我将以读者的口吻，为您创作10段风格各异、详尽且自然的图书评价，每段不少于300字，并使用“

评分☆☆☆☆☆

信息安全领域，知识更新的速度是惊人的，一本能够跟上时代步伐，并提供最新、最权威信息的参考书，对于从业者来说，是多么的宝贵。而我手中的这本“时事更新指南”，恰恰满足了我的这一需求。它所提供的知识，不仅仅是对现有技术的梳理，更是对新兴安全威胁和防御策略的前瞻性探讨。我记得我曾经为了理解当前流行的“零信任”安全模型，查阅了很多最新的行业报告和技术文章。但是，这些资料大多比较零散，难以形成一个完整的体系。直到我在这本书中找到了关于零信任架构的详细章节，它不仅解释了零信任的核心理念，还深入探讨了其在不同场景下的应用，以及实现过程中可能遇到的挑战和解决方案。这种结构化的讲解，让我能够对零信任模型有一个更加系统和全面的认识，也为我未来在工作中落地零信任架构提供了坚实的指导。而且，它在介绍新技术和新概念时，非常注重对其安全影响的分析。它会告诉你，一项新技术在带来便利的同时，可能带来哪些新的安全风险，以及如何有效地规避这些风险。这让我能够在拥抱新技术的同时，保持警惕，并提前做好安全防护。我曾经在工作中，需要评估一款新兴的物联网设备的安全性。当时我对物联网安全的一些最新威胁并不太了解，感到非常困惑。在这本书的指引下，我开始关注物联网安全领域最新的攻击手法和防御措施，并了解了相关的安全标准和法规。这本书为我提供了宝贵的知识储备，让我能够对这款设备进行更全面、更深入的安全评估。它已经成为我了解和掌握最新信息安全动态的“信息源”，也是我进行前瞻性安全研究的重要参考。

评分☆☆☆☆☆