新書推薦:
《
想通了:清醒的人先享受自由
》
售價:HK$
60.5
《
功能训练处方:肌骨损伤与疼痛的全周期管理
》
售價:HK$
140.8
《
软体机器人技术
》
售價:HK$
97.9
《
叙事话语·新叙事话语
》
售價:HK$
74.8
《
奴隶船:海上奴隶贸易400年
》
售價:HK$
75.9
《
纸上博物馆·美索不达米亚:文明的诞生(破译古老文明的密码,法国伽利玛原版引进,150+资料图片)
》
售價:HK$
85.8
《
米塞斯的经济学课:讲座与演讲精选集
》
售價:HK$
74.8
《
人工智能大模型导论 科大讯飞校企合编教材
》
售價:HK$
75.9
|
| 內容簡介: |
计算机安全是信息科学与技术中极为重要的研究领域之一。本书覆盖了计算机安全中的各个方面,不仅包括相关 技术和应用,还包含管理方面的内容。全书包括 5 个部分共 24 章:第 1 部分计算机安全技术和原理,涵盖了支持有 效安全策略所必需的所有技术领域;第 2 部分软件安全和可信系统,主要涉及软件开发和运行带来的安全问题及相应 的对策;第 3 部分管理问题,主要讨论信息安全与计算机安全在管理方面的问题,以及与计算机安全相关的法律与道 德方面的问题;第 4 部分密码编码算法,包括各种类型的加密算法和其他类型的密码算法;第 5 部分网络安全,关注 的是为在 Internet 上进行通信提供安全保障的协议和标准及无线网络安全等问题。每章都附有习题并介绍了相关阅读 材料,以便有兴趣的读者进一步钻研探索。
本书在保持前四版特色的同时,特别补充了计算机安全领域的新进展和新技术,以反映计算机安全领域新的发展 状况。本书可作为高等院校网络空间安全相关专业的本科生或研究生教材,也可供专业技术人员或学术研究人员阅读 参考。
|
| 關於作者: |
威廉 ?斯托林斯博士(Dr. William Stallings)已撰写著作 18 部,包含这些著作的修订版在 内,已出版 70 多本有关计算机安全方面的书籍。他的作品出现在很多 ACM 和 IEEE 的系列出 版物中,包括电气与电子工程师协会会报(Proceedings of the IEEE)和 ACM 计算评论(ACM Computing Reviews)。他曾 13 次获得教材和学术专著作者协会(Text and Academic Authors Association)颁发的年度最佳计算机科学教材的奖项。
劳里 ? 布朗博士(Dr. Lawrie Brown)是澳大利亚国防大学(Australian Defence Force Academy ,UNSW@ADFA)信息技术与电子工程学院的一名高级讲师。
他的专业兴趣涉及通信和计算机系统安全及密码学,包括研究伪匿名认证、身份认证和 Web 环境下的可信及安全、使用函数式编程语言 Erlang 设计安全的远端代码执行环境,以及 LOKI 族分组密码的设计与实现。
|
| 目錄:
|
第1章 概述 1
1.1 计算机安全的概念 2
1.2 威胁、攻击和资产 9
1.3 安全功能要求 15
1.4 基本安全设计原则 17
1.5 攻击面和攻击树 21
1.6 计算机安全策略 24
1.7 标准 26
1.8 关键术语、复习题和习题 27
第一部分 计算机安全技术与原理
第2章 密码编码工具 30
2.1 用对称加密实现机密性 31
2.2 消息认证和哈希函数 37
2.3 公钥加密 45
2.4 数字签名和密钥管理 50
2.5 随机数和伪随机数 55
2.6 实际应用:存储数据的加密 57
2.7 关键术语、复习题和习题 58
第3章 用户认证 63
3.1 数字用户认证方法 64
3.2 基于口令的认证 69
3.3 基于令牌的认证 80
3.4 生物特征认证 89
3.5 远程用户认证 94
3.6 用户认证中的安全问题 97
3.7 实际应用:虹膜生物特征认证系统 99
3.8 案例学习:ATM 系统的安全问题 101
3.9 关键术语、复习题和习题 103
第4 章 访问控制 106
4.1 访问控制原理 107
4.2 主体、客体和访问权 110
4.3 自主访问控制 111
4.4 实例:UNIX 文件访问控制 118
4.5 强制访问控制 121
4.6 基于角色的访问控制 124
4.7 基于属性的访问控制 129
4.8 身份、凭证和访问管理 135
4.9 信任框架 139
4.10 案例学习:银行的RBAC 系统 143
4.11 关键术语、复习题和习题 145
第5 章 数据库与数据中心安全 149
5.1 数据库安全需求 150
5.2 数据库管理系统 151
5.3 关系数据库 153
5.4 SQL 注入攻击 157
5.5 数据库访问控制 163
5.6 推理 168
5.7 数据库加密 170
5.8 数据中心安全 174
5.9 关键术语、复习题和习题 180
第6章 恶意软件 185
6.1 恶意软件的类型 187
6.2 高级持续性威胁 189
6.3 传播—感染内容—病毒 190
6.4 传播—漏洞利用—蠕虫 195
6.5 传播—社会工程学—垃圾电子邮件、木马 204
6.6 载荷—系统损坏 207
6.7 载荷—攻击代理—僵尸程序(zmobie,bots) 209
6.8 载荷—信息窃取—键盘记录器、网络钓鱼、间谍软件 211
6.9 载荷—隐蔽—后门、rootkit 213
6.10 对抗手段 216
6.11 关键术语、复习题和习题 222
第7章 拒绝服务攻击 226
7.1 拒绝服务攻击定义 227
7.2 洪泛攻击 235
7.3 分布式拒绝服务攻击 236
7.4 基于应用程序的带宽攻击 238
7.5 反射攻击与放大攻击 241
7.6 拒绝服务攻击防范 245
7.7 对拒绝服务攻击的响应 249
7.8 关键术语、复习题和习题 250
第8章 入侵检测 253
8.1 入侵者 254
8.2 入侵检测定义 260
8.3 分析方法 263
8.4 基于主机的入侵检测 266
8.5 基于网络的入侵检测 270
8.6 分布式或混合式入侵检测 276
8.7 入侵检测交换格式 278
8.8 蜜罐 281
8.9 实例系统:Snort 283
8.10 关键术语、复习题和习题 287
第9 章 防火墙与入侵防御系统 290
9.1 防火墙的必要性 291
9.2 防火墙的特征和访问策略 292
9.3 防火墙的类型 294
9.4 防火墙的布置 300
9.5 防火墙的部署和配置 303
9.6 入侵防御系统 308
9.7 实例:一体化威胁管理产品 312
9.8 关键术语、复习题和习题 316
第二部分 软件和系统安全
第10 章 缓冲区溢出 321
10.1 栈溢出 323
10.2 针对缓冲区溢出的防御 344
10.3 其他形式的溢出攻击 350
10.4 关键术语、复习题和习题 357
第11 章 软件安全 359
11.1 软件安全问题 360
11.2 处理程序输入 364
11.3 编写安全程序代码 376
11.4 与操作系统和其他程序进行交互 380
11.5 处理程序输出 393
11.6 关键术语、复习题和习题 395
第12章 操作系统安全 399
12.1 操作系统安全简介 402
12.2 系统安全规划 402
12.3 操作系统加固 403
12.4 应用安全 407
12.5 安全维护 408
12.6 Linux/UNIX安全 410
12.7 Windows安全 413
12.8 虚拟化安全 415
12.9 可信的计算机系统 423
12.10 可信平台模块 426
12.11 关键术语、复习题和习题 430
第13章 云和IoT安全 433
13.1 云计算 434
13.2 云安全的概念 442
13.3 云安全方法 445
13.4 物联网(IoT) 454
13.5 IoT安全 458
13.6 关键术语与复习题 467
第三部分 管 理 问 题
第14章 IT安全管理与风险评估 468
14.1 IT安全管理 469
14.2 组织的情境和安全策略 473
14.3 安全风险评估 475
14.4 详细的安全风险分析 478
14.5 案例学习:银星矿业 490
14.6 关键术语、复习题和习题 495
第15 章 IT 安全控制、计划和规程 498
15.1 IT 安全管理的实施 499
15.2 安全控制或保障措施 499
15.3 IT 安全计划 508
15.4 控制的实施 508
15.5 监控风险 510
15.6 案例分析:银星矿业 512
15.7 关键术语、复习题和习题 515
第16 章 物理和基础设施安全 517
16.1 概述 518
16.2 物理安全威胁 519
16.3 物理安全的防御和减缓措施 526
16.4 物理安全破坏的恢复 529
16.5 实例:某公司的物理安全策略 529
16.6 物理安全和逻辑安全的集成 530
16.7 关键术语、复习题和习题 536
第17 章 人力资源安全 538
17.1 安全意识、培训和教育 539
17.2 雇用实践和策略 546
17.3 可接受的使用策略 550
17.4 计算机安全事件响应团队 551
17.5 关键术语、复习题和习题 558
第18 章 安全审计 560
18.1 安全审计体系结构 562
18.2 安全审计迹 566
18.3 实现日志功能 571
18.4 审计迹分析 582
18.5 安全信息和事件管理 586
18.6 关键术语、复习题和习题 588
第19章 法律与道德问题 590
19.1 网络犯罪与计算机犯罪 591
19.2 知识产权 595
19.3 隐私权 601
19.4 道德问题 608
19.5 关键术语、复习题和习题 614
第四部分 密 码 算 法
第20章 对称加密和消息机密性 618
20.1 对称加密原理 619
20.2 数据加密标准 624
20.3 高级加密标准 626
20.4 流密码和RC4 632
20.5 分组密码的工作模式 636
20.6 密钥分发 641
20.7 关键术语、复习题和习题 643
第21章 公钥密码和消息认证 648
21.1 安全哈希函数 649
21.2 HMAC 655
21.3 认证加密 658
21.4 RSA公钥加密算法 661
21.5 Diffie-Hellman和其他非对称算法 667
21.6 关键术语、复习题和习题 671
第五部分 网 络 安 全
第22 章 Internet 安全协议和标准 675
22.1 安全E-mail 和S/MIME 676
22.2 域名密钥识别邮件标准 679
22.3 安全套接层和传输层安全 683
22.4 HTTPS 690
22.5 IPv4 和IPv6 的安全性 691
22.6 关键术语、复习题和习题 696
第23 章 Internet 认证应用 699
23.1 Kerberos 700
23.2 X.509 706
23.3 公钥基础设施 709
23.4 关键术语、复习题和习题 712
第24 章 无线网络安全 715
24.1 无线安全 716
24.2 移动设备安全 719
24.3 IEEE 802.11 无线局域网概述 723
24.4 IEEE 802.11i 无线局域网安全 729
24.5 关键术语、复习题和习题 744
附录A 计算机安全教学项目和其他学生练习 747
A.1 黑客项目 748
A.2 实验室练习项目 749
A.3 安全教育(SEED)项目 749
A.4 研究项目 751
A.5 编程项目 751
A.6 实际的安全评估 752
A.7 防火墙项目 752
A.8 案例分析 752
A.9 阅读/报告作业 753
A.10 写作作业 753
|
| 內容試閱:
|
献给爱妻特里西娅!
——威廉·斯托林斯
献给我所有的家人和朋友,是你们的帮助使这一切成为可能!
——劳里·布朗
序言
第5版新增内容
自本书第4版出版以来,计算机安全领域的知识又不断出现了一些发展和创新。在新的版本中,我们试图捕获和展现这些新的发展和创新,同时保持对整个领域的广泛和全面的覆盖。第5版进行了大量改进,使其更加适用于教学并易于阅读。同时,我们也更新了参考资料,引入了最新的安全事件。此外,还有一些更实质性的改动贯穿全书。以下是其中一些最明显的修订。
多因素身份认证和移动身份认证(multi-factor authentication and mobile authentication):第3章新增了多因素身份认证(multi-factor authentication,MFA)的相关内容。新增内容要求用户提供两个或更多的证据(或因素)来验证其身份。这种方法越来越多地被应用于解决仅使用口令进行身份验证的已知问题,通常涉及使用硬件身份验证令牌、通过短信(SMS)或移动设备上的身份验证应用程序来实现。
强制访问控制(mandatory access control,MAC):第4章包含一些有关强制访问控制的修订内容,这些内容曾在在线版的第27章中提及。近期发布的一些Linux、macOS和Windows系统已经将这些控制作为底层安全增强功能的一部分。
社会工程学和勒索软件攻击(social engineering and ransomware attacks):第6章和第8章更新了关于社会工程学及其在勒索软件攻击中的应用讨论。这反映了此类攻击事件发生率的不断提高以及开展防御的必要性。正如在第17章所讨论的,这些防御措施包括加强安全意识培训。
供应链和商业电子邮件攻击(supply-chain and business email compromise attacks):第8章增加了关于供应链和商业电子邮件攻击(business email compromise,BEC)的内容,其中包括最近的SolarWinds攻击。近年来,许多商业和政府组织都受到了此类攻击的威胁。
更新最危险软件错误列表(updated list of the most dangerous software errors):第11章提供了最新的25个最危险软件错误列表。同时,本章还讨论了最近被广泛利用的针对Apache Log4j包的代码注入攻击。
更新基本控制列表(updated list of essential controls):第12章更新了基本控制列表,包括澳大利亚信号局的“基本八项”。所有组织都应采用这些策略来提高其操作系统的安全性。
可信计算机系统(trusted computer systems):第12章包含一些关于可信计算机系统的修订讨论,这些讨论曾在在线版的
第27章中提及,与某些政府组织中使用的安全系统相关。
更新安全控制列表(updated list of security controls):第15章大幅度更新了NIST安全控制列表,在解决组织中已识别的安全风险时应考虑这些安全控制。
安全意识和培训(security awareness and training):第17章包含对人员安全意识和培训的大幅修订。鉴于由故意或意外的人员行为导致的安全事件不断增加,本章内容尤为重要。
欧盟通用数据保护条例(European Union General Data Protection Regulation):第19章新增了一节,介绍欧盟2016年颁布的通用数据保护条例。该条例实际上是全球个人数据保护、收集、访问和使用的标准。
ChaCha20流密码(the ChaCha20 stream cipher):第20章新增了一节,详细介绍ChaCha20流密码,替代了现已废弃的RC4密码的相关内容。
伽罗瓦计数器模式(Galois counter mode):附录E对用于分组密码的新型伽罗瓦计数器认证加密模式进行详细介绍。
背景
近几年,人们在高等教育中对计算机安全及相关主题的关注程度与日俱增。导致这一状况的因素很多,其中两个突出的因素是:
(1)由于信息系统、数据库和基于Internet的分布式系统与通信已经广泛应用于商业领域,再加上愈演愈烈的各种与安全相关的攻击,各类组织机构现在开始意识到必须拥有一个全面的信息安全策略。这个策略包括使用特定的硬件与软件和训练专业人员等。
(2)计算机安全教育,也就是通常所说的信息安全教育(information security education)或者信息保障教育(information assurance education)。由于与国防和国土安全密切相关,在美国和其他许多国家,计算机安全教育已经成为一个国家目标。许多组织,如信息系统安全教育委员会(the Colloquium for Information System Security Education)和国家安全局(the National Security Agency’s,NSA’s)的信息保障课件评估组织(Information Assurance Courseware Evaluation (IACE) Program),以政府的身份领导着计算机安全教育标准的制定。
由此可预见,关于计算机安全的课程在未来的大学、社区学院和其他与计算机安全及相关领域相关的教育机构中会越来越多。
目标
本书的目标是概览计算机安全领域的最新发展状况。计算机安全设计者和安全管理者面临的核心问题主要包括定义计算机和网络系统面临的威胁,评估这些威胁可能导致的风险,以及制定应对这些威胁的恰当的、便于使用的策略。
本书将就以下主题展开论述。
原理(principles):虽然本书涉及的范围很广,但有一些基本原理会以主题的形式重复出现在一些领域并与相应的领域统一成一体,如有关认证和访问控制的原理。本书重点介绍了这些原理并且探讨了其在计算机安全一些特殊领域的应用。
设计方法(design approaches):本书探讨了多种满足特定计算机安全需求的方法。
标准(standards):在计算机安全领域,标准将越来越重要,甚至会处于主导地位。要想对某项技术当前的状况和未来的发展趋势有正确的认识,需要充分讨论与其相关的标准。
现实的实例(real-world examples):本书的许多章中都包含一些这样的小节,专门用来展示相关原理在现实环境中的应用情况。
支持ACM/IEEE网络安全课程体系2017
本书兼顾学术研究人员和专业技术人员等读者群。作为教科书,本书面向的对象主要是计算机科学、计算机工程和电子工程专业的本科生,授课时间可以是一个学期,也可以是两个学期。本书第5版的设计目标是支持ACM/IEEE网络安全课程体系2017(CSEC 2017)推荐的内容。CSEC 2017课程体系推荐的内容包含8个知识领域,如表0-1所示。本书还提出了6个跨学科概念,旨在帮助学生探索知识领域之间的联系,这对于他们理解这些知识领域非常重要,且不受底层计算学科的限制。这些概念将在第1章详细介绍,具体如下。
机密性(confidentiality):限制对系统数据和信息的访问权限,仅授权人员可访问。
完整性(integrity):确保数据和信息是准确和可信的。
可用性(availability):数据、信息和系统均可访问。
风险(risk):潜在的收益或损失。
敌手思维(adversarial thinking):一种考虑敌手力量的潜在行动来对抗预期结果的思维过程。
系统思维(systems thinking):一种考虑社会和技术约束之间相互作用,以实现可靠运作的思维过程。
表0-1 本书覆盖CSEC 2017 网络安全课程情况
知识单元 要 素 本书覆盖情况
数据安全 基础密码学概念
数字取证
端到端安全通信
数据完整性和认证
信息存储安全 第一部分 计算机安全技术与原理
第三部分 管理问题
第四部分 密码算法
第五部分 网络安全
软件安全 基础设计原则,包括最小特权、开放式设计和抽象化
安全需求和设计角色
实现问题
静态和动态测试
配置和修补程序
道德,特别是在开发、测试和漏洞披露方面 第1章 概述
第二部分 软件和系统安全
第19章 法律与道德问题
组件安全 系统组件漏洞
组件生命周期
安全组件设计原则
供应链管理安全
安全测试
逆向工程 第1章 概述
第8章 入侵检测
第10章 缓冲区溢出
第11章 软件安全
连接安全 系统、架构、模型和标准
物理组件接口
软件组件接口
连接攻击
传输攻击 第五部分 网络安全
第8章 入侵检测
第9章 防火墙与入侵防御系统
第13章 云和IoT安全
系统安全 整体分析
安全政策
认证
访问控制
监控
恢复
测试
文档 第1章 概述
第3章 用户认证
第4章 访问控制
第14章 IT安全管理与风险评估
第15章 IT安全控制、计划和规程
人员安全 身份管理
社会工程学
意识和理解
社会行为隐私和安全
个人数据隐私和安全 第3章 用户认证
第4章 访问控制
第17章 人力资源安全
第19章 法律与道德问题
组织安全 风险管理
治理和政策
法律、道德和合规性
战略与规划 第14章 IT安全管理与风险评估
第15章 IT安全控制、计划和规程
第17章 人力资源安全
第19章 法律与道德问题
社会安全 网络犯罪
网络法规
网络道德
网络政策
隐私 第8章 入侵检测
第19章 法律与道德问题
覆盖CISSP科目领域情况
本书涵盖了注册信息系统安全师(CISSP)认证所规定的所有科目领域。国际信息系统安全认证协会(ISC)2所设立的CISSP认证被认为是信息安全领域认证中的“黄金准则”,是安全产业唯一被广泛认可的认证,包括美国国防部和许多金融机构在内的组织机构,都要求其网络安全部门的人员具有CISSP认证资格。2004年,CISSP成为首个获取ISO/IEC 17024(经营人员认证机构的一般要求(general requirements for bodies operating certification of persons))官方认证的信息技术项目。
CISSP考试基于公共知识体系(CBK),信息安全实践大纲由国际信息系统安全认证协会(ISC)2开发和维护,这是一个非营利的组织。CBK确定了组成CISSP认证要求的知识体系的8个领域。
这8个知识域如下,且均包含在本书中。
安全和风险管理:机密性、完整性和可用性概念,安全管理原则,风险管理,合规性,法律和法规问题,职业道德,安全策略、标准、规程和指南(第14章)。
资产安全:信息和资产分类、所有权(如数据所有者、系统所有者)、隐私保护、适当存留、数据安全控制、处置要求(如标记、标注和存储)(第5、15、16、19章)。
安全架构和工程:工程过程使用安全设计原则,安全模型,安全评估模型,信息系统安全功能,安全架构、设计和解决方案元素漏洞,基于Web的系统漏洞,移动系统漏洞,嵌入式设备和网络物理系统漏洞,密码学,场地和设施设计的安全原则,物理安全(第1、2、13、15、16章)。
通信和网络安全:安全网络架构设计(如IP和非IP协议、分段)、安全网络组件、安全通信信道、网络攻击(第五部分)。
身份和访问管理:物理和逻辑资产控制、人和设备的身份认证、身份即服务(如云身份)、第三方身份服务(如本地服务)、访问控制攻击、身份和访问配置生命周期(如配置审查)(第3、4、8、9章)。
安全评估与测试:评估与测试策略、安全过程数据(如管理和运行控制)、安全控制测试、测试输出(如自动化方式、手工方式)、安全架构漏洞(第14、15、18章)。
安全运营:调查支持和需求、日志和监视活动、资源配置、基本安全操作概念、资源保护技术、事故管理、预防法、补丁和漏洞管理、变更管理过程、恢复策略、灾难恢复过程和计划、业务连续性计划和演练、物理安全、个人安全问题(第11、12、15、16、17章)。
软件开发安全:软件开发生命周期中的安全、开发环境安全控制、软件安全有效性、获取软件安全影响(第二部分)。
支持NCAE-C 认证
美国网络安全卓越学术中心 (the National Centers of Academic Excellence in Cybersecurity,NCAE-C) 项目由美国国家安全局(the National Security Agency)主导。该项目的合作伙伴包括网络安全和基础设施安全局(the Cybersecurity and Infrastructure Security Agency,CISA)及联邦调查局(the Federal Bureau of Investigation,FBI)。NCAE-C项目办公室与多个重要机构保持密切联系,包括美国国家标准与技术研究院(the National Institute of Standards and Technology,NIST)、美国国家自然科学基金会(the National Science Foundation,NSF)、国防部首席信息官办公室(the Department of Defense Office of the Chief Information Officer,DoD-CIO)和美国网络司令部(US Cyber Command,CYBERCOM)。该项目的目的是通过促进在网络防御领域高等教育和科研的发展,培养具备网络防御专业知识的专业人员,以扩大网络安全工作队伍,减少国家基础设施中的漏洞。该项目主要包含三个学术研究方向:网络防御、网络研究和网络运营。为了达到这个目的,美国国家安全局/国土安全部定义了一组知识单元,这些知识单元必须包含在课程体系中,才能被NCAC-C纳入。每一个知识单元都由要求涵盖的最基本的一些主题及一个或多个学习目标构成,是否纳入取决于是否具有一定数量的核心和可选知识单元。
在网络防御领域,2022年的基础知识单元(foundation knowledge units)如下:
网络安全基础(cybersecurity foundations):本单元旨在帮助学生理解网络安全背后的基础概念,包括攻击、防御和事件应答。
网络安全原则(cybersecurity principles):本单元旨在传授学生基本的安全设计基础知识,帮助其创建安全的系统。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
