第1章 信息安全的组织机构 1
1.1 轶事 1
1.2 引言 1
1.2.1 信息安全团队的位置 2
1.2.2 信息安全的位置:通过IT总监向上汇报 2
1.2.3 信息安全的位置:向审计负责人汇报 3
1.2.4 信息安全的位置:向CEO、CTO或CFO汇报 4
1.3 安全团队的使命 5
1.4 安全职能角色的工作内容 5
1.4.1 突发事件的管理和调查 6
1.4.2 法律法规方面的考虑 6
1.4.3 策略、标准和基准开发 7
1.4.4 业务咨询 7
1.4.5 体系结构和研究 8
1.4.6 评估和审计 8
1.4.7 运营安全 8
1.5 混合的安全团队:组织机构分析 9
1.5.1 交朋友 10
1.5.2 董事会 11
1.5.3 内部审计 11
1.5.4 法律方面的考虑 11
1.5.5 IT 11
1.6 做一个好的CISO 12
1.7 小结 13
第2章 信息安全策略 14
2.1 轶事 14
2.2 引言 15
2.3 策略、战略和标准:企业理论 15
2.3.1 战略 16
2.3.2 战术与策略 17
2.3.3 操作标准和过程 17
2.4 回到安全 18
2.5 安全战略和安全规划过程 18
2.6 重新讨论安全策略 22
2.7 重新讨论安全标准 25
2.8 一致性和执行 26
2.8.1 信息安全宣传:“胡萝卜” 27
2.8.2 积极执行:“大棒” 28
2.9 小结 29
第3章 术语、原理和概念 33
3.1 轶事 33
3.2 引言 33
3.3 CIA:保密性、完整性和可用性 34
3.3.1 保密性 34
3.3.2 完整性 34
3.3.3 可用性 35
3.3.4 认可 35
3.3.5 使用CIA的时机 36
3.4 弱点周期 36
3.5 控制的类型 38
3.5.1 保护控制 39
3.5.2 探测控制 39
3.5.3 恢复控制 39
3.5.4 管理控制 39
3.6 风险分析 40
3.6.1 风险分析的类型 40
3.6.2 定量分析 40
3.6.3 定性分析 41
3.6.4 它如何工作:长处和弱点 41
3.6.5 那么现在做什么 42
3.7 AAA 43
3.7.1 认证 43
3.7.2 授权 44
3.7.3 计费 44
3.7.4 真实生活中的AAA 45
3.8 其他需要知道的概念 45
3.8.1 最小特权 45
3.8.2 深度防御 45
3.8.3 故障处理方式 46
3.8.4 隐藏式安全 46
3.9 攻击的一般类型 46
3.9.1 网络枚举和发现 46
3.9.2 消息截获 47
3.9.3 消息注入/地址欺骗 47
3.9.4 会话劫持 47
3.9.5 拒绝服务 47
3.9.6 消息重放 47
3.9.7 社会工程学 47
3.9.8 对认证服务的暴力攻击 48
3.10 小结 48
第4章 信息安全法律法规 49
4.1 轶事 49
4.2 引言 50
4.3 英国的立法 50
4.3.1 计算机滥用法案1990 50
4.3.2 数据保护法案1998 51
4.3.3 其他的英国法案 53
4.4 美国法律 56
4.4.1 加利福尼亚SB 1 386 56
4.4.2 萨班斯—奥克斯利法案2002 57
4.4.3 格雷姆—里奇—比利雷法案(GLBA) 57
4.4.4 健康保险流通和责任法案(HIPAA) 58
4.4.5 美国爱国法2001 58
4.5 小结 58
第5章 信息安全标准和审核 60
5.1 轶事 60
5.2 引言 61
5.3 ISO/IEC 27001:2005:BS 7799现在的情况 67
5.4 PAS 56 67
5.4.1 PAS 56是什么 68
5.4.2 BCM生命周期的各个阶段 68
5.5 FIPS 140-2 70
5.5.1 是否应该关注FIPS 140-2 70
5.5.2 有哪些级别 70
5.6 通用标准认证 71
5.7 审核的类型 72
5.7.1 作为财务审计组成部分的计算机审核 72
5.7.2 银行审核 73
5.7.3 SAS 70 73
5.7.4 其他类型的审计 74
5.7.5 管理审计的技巧 75
5.8 小结 76
第6章 面试、老板和职员 77
6.1 轶事 77
6.2 引言 77
6.2.1 作为被面试者 77
6.2.2 面试问卷 80
6.2.3 作为面试者 82
6.3 老板 82
6.3.1 世界上最糟糕老板的亚军 83
6.3.2 世界上最糟糕的老板 83
6.4 最糟糕的雇员 84
6.5 小结 85
第7章 基础设施的安全 86
7.1 轶事 86
7.2 引言 87
7.2.1 网络周边的安全性 87
7.2.2 公司防火墙 88
7.2.3 远程访问DMZ 92
7.3 电子商务 93
7.4 检查 98
7.5 小结 98
第8章 防火墙 100
8.1 轶事 100
8.2 引言 100
8.2.1 防火墙的概念和作用 100
8.2.2 为什么需要防火墙 102
8.3 防火墙结构和设计 103
8.3.1 防火墙类型 103
8.3.2 防火墙的功能 105
8.4 其他类型的防火墙 110
8.4.1 隐形防火墙 110
8.4.2 虚拟防火墙 111
8.5 商业防火墙 111
8.5.1 Cisco PIX 111
8.5.2 Check Point Fire Wall-1 116
8.6 小结 123
第9章 入侵检测系统:原理 125
9.1 轶事 125
9.2 引言 126
9.3 使用IDS的原因 127
9.4 恼人的NIDS 129
9.4.1 探测缺陷 130
9.4.2 糟糕的部署 134
9.4.3 糟糕的配置 138
9.5 致善于技术钻研的读者 142
9.5.1 Snort 142
9.5.2 RealSecure 143
9.6 小结 146
第10章 入侵检测系统:实践 147
10.1 轶事 147
10.2 引言:诀窍、技巧和方法 148
10.2.1 部署NIDS:隐形模式 148
10.2.2 生成端口 149
10.2.3 分路器技术 150
10.2.4 非对称路由 152
10.3 IDS部署方法论 153
10.4 选择 154
10.5 部署 155
10.5.1 规划传感器位置并分配位置风险 156
10.5.2 建立监控策略和攻击严重等级 157
10.5.3 响应 159
10.5.4 进一步动作:IPS 160
10.6 信息管理 161
10.6.1 日志管理 162
10.6.2 控制台管理 162
10.7 事件响应和危机管理 163
10.7.1 识别 164
10.7.2 记录 164
10.7.3 通知 164
10.7.4 围堵对策 164
10.7.5 评估 165
10.7.6 恢复 165
10.7.7 清除 165
10.7.8 其他有价值的技巧 166
10.8 测试和微调 166
10.8.1 微调 166
10.8.2 测试 167
10.9 小结 168
第11章 入侵阻止和保护 169
11.1 轶事 169
11.2 引言 170
11.3 IPS的概念 170
11.4 主动响应:IPS的作用 171
11.5 快速浏览IPS实现产品 172
11.5.1 具有主动响应的传统IDS 172
11.5.2 嵌入式保护 173
11.5.3 欺骗技术 175
11.5.4 扩展的主机操作系统保护 176
11.6 部署的示例 177
11.6.1 对付DDoS攻击 177
11.6.2 一个开源嵌入式IDS/IPS:Hogwash 180
11.7 小结 183
第12章 网络渗透测试 184
12.1 轶事 184
12.2 引言 185
12.3 渗透测试的类型 186
12.3.1 网络渗透测试 186
12.3.2 应用程序渗透测试 186
12.3.3 周期性网络弱点评估 186
12.3.4 物理安全性 186
12.4 网络渗透测试 187
12.4.1 Internet测试过程 187
12.4.2 测试阶段 188
12.4.3 内部渗透测试 194
12.4.4 应用程序渗透测试 194
12.5 所需的控制和文件工作 197
12.5.1 赔偿和法律保护 197
12.5.2 范围和规划 197
12.6 渗透测试和黑客攻击的区别 198
12.7 小结 201
第13章 应用程序安全缺陷和应用程序测试 202
13.1 轶事 202
13.2 引言 202
13.3 配置管理 204
13.4 未经验证的输入 205
13.4.1 缓冲溢出 206
13.4.2 跨站点脚本 206
13.4.3 SQL注入 209
13.4.4 命令注入 211
13.5 糟糕的身份控制 212
13.5.1 强迫浏览 213
13.5.2 URL参数篡改 214
13.5.3 不安全的存储 214
13.6 修复工作 215
13.7 致善于技术钻研的读者 216
13.8 小结 218