第0章 阅读指南 1
本书概览 1
阅读方案 1
Internet和Web资源 2
标准 3
第1章 概述 4
计算机安全概念 4
威胁、攻击和资产 8
安全功能需求 12
开放系统的安全体系结构 14
计算机安全范畴 17
计算机安全发展趋势 18
计算机安全策略 21
推荐的读物和Web站点 22
关键术语、思考题和习题 24
附录1A重要的安全标准和文献 25
第2章 密码编码工具 27
用对称加密实现机密性 27
消息认证和散列函数 31
公钥加密 36
数字签名和密钥管理 40
随机数和伪随机数 42
实际应用:存储数据的加密 43
推荐的读物和Web站点 44
关键术语、思考题和习题 45
第3章 用户认证 49
认证方法 49
基于口令的认证 49
基于令牌的认证 58
生物特征认证 61
远程用户认证 64
用户认证中的安全问题 65
实际应用:虹膜生物特征认证系统 67
案例学习:ATM系统的安全问题 68
推荐的读物和Web站点 70
关键术语、思考题和习题 71
第4章 访问控制 73
访问控制原理 73
主体、客体和访问权 75
自主访问控制 76
实例:UNIX文件访问控制 81
基于角色的访问控制 83
案例学习:银行的RBAC系统 88
推荐的读物和Web站点 90
关键术语、思考题和习题 91
第5章 数据库安全 94
数据库管理系统 94
关系数据库 95
数据库访问控制 97
推理 101
统计数据库 103
数据库加密 109
推荐的读物 112
关键术语、思考题和习题 112
第6章 入侵检测 116
入侵者 116
入侵检测 119
基于主机的入侵检测 120
分布式基于主机的入侵检测 125
基于网络的入侵检测 126
分布式自适应入侵检测 129
入侵检测交换格式 131
蜜罐 133
实例系统:Snort 134
推荐的读物和Web站点 137
关键术语、思考题和习题 138
附录6A基率谬误 139
第7章 恶意软件 142
恶意软件的类型 142
病毒 145
病毒防范措施 149
蠕虫 152
bot 158
rootkit 160
推荐的读物和Web站点 162
关键术语、思考题和习题 163
第8章 拒绝服务攻击 166
拒绝服务攻击 166
洪泛攻击 171
分布式拒绝服务攻击 172
反射攻击与放大攻击 173
拒绝服务攻击防范 176
对拒绝服务攻击的响应 179
推荐的读物和Web站点 179
关键术语、思考题和习题 180
第9章 防火墙与入侵防护系统 183
防火墙的必要性 183
防火墙特征 183
防火墙类型 184
防火墙的布置 189
防火墙的部署和配置 191
入侵防护系统 195
一个例子:一体化威胁管理产品 197
推荐的读物和Web站点 200
关键术语、思考题和习题 201
第10章 可信计算与多级安全 204
计算机安全的Bell-LaPadula模型 204
其他计算机安全形式化模型 210
可信系统概念 214
多级安全的应用 217
可信计算与可信平台模块 221
信息技术安全评估通用准则 223
保证与评估 226
推荐的读物和Web站点 229
关键术语、思考题和习题 230
第11章 缓冲区溢出 233
栈溢出 233
防御缓冲区溢出 248
其他形式的溢出攻击 253
推荐的读物和Web站点 257
关键术语、思考题和习题 258
第12章 软件安全 260
软件安全问题 260
处理程序输入 262
编写安全程序代码 270
与操作系统和其他程序进行交互 273
处理程序输出 281
推荐的读物和Web站点 283
关键术语、思考题和习题 284
第13章 物理和基础设施安全 287
概述 287
物理安全威胁 288
物理安全的防御和减缓措施 292
物理安全破坏的恢复 294
威胁评估、计划和计划的实施 294
实例:某公司的物理安全策略 295
物理安全和逻辑安全的集成 297
推荐的读物和Web站点 299
关键术语、思考题和习题 300
第14章 人为因素 302
安全意识、培训和教育 302
机构安全策略 305
雇用实践和策略 309
电子邮件和因特网使用策略 311
实例:某公司的安全策略文档 312
推荐的读物和Web站点 313
关键术语、思考题和习题 314
附录14A良好实践的安全意识标准 314
附录14B良好实践的安全策略标准 318
第15章 安全审计 319
安全审计体系结构 319
安全审计迹 323
实现日志功能 326
审计迹分析 334
实例:一种集成的方法 336
推荐的读物和Web站点 338
关键术语、思考题和习题 339
第16章 IT安全管理与风险评估 341
IT安全管理 341
机构环境与安全策略 343
安全风险评估 344
细节化安全风险分析 346
案例研究:银星矿业 354
推荐的读物和Web站点 357
关键术语、思考题和习题 358
第17章 IT安全控制、计划和实施程序 360
IT安全管理的实施 360
安全控制或者保障措施 360
IT安全计划 364
安全控制的实施 365
实施的后续工作 367
案例分析:银星矿业 371
推荐的读物 373
关键术语、思考题和习题 374
第18章 IT安全中的法律与道德问题 376
网络犯罪和计算机犯罪 376
知识产权 379
隐私 383
道德问题 387
推荐的读物和Web站点 391
关键术语、思考题和习题 392
附录18A良好实践的信息隐私权标准 394
第19章 对称加密和消息认证 397
对称加密原理 397
数据加密标准 400
高级加密标准 401
流密码和RC4 405
分组密码的工作模式 408
对称加密设备的位置 412
密钥分发 413
推荐的读物和Web站点 414
关键术语、思考题和习题 414
第20章 公钥密码和消息认证 418
安全散列函数 418
HMAC 422
RSA公钥加密算法 424
Diffie-Hellman算法和其他非对称算法 428
推荐的读物和Web站点 430
关键术语、思考题和习题 431
第21章 Internet安全协议和标准 435
安全套接层(SSL)和传输层安全(TLS) 435
IPv4和IPv6的安全性 438
安全E-mail和S/MIME 442
推荐的读物和Web站点 444
关键术语、思考题和习题 444
附录21ARadix-64转换 446
第22章 Internet认证应用 448
Kerberos 448
X.509 452
公钥基础设施 454
联合身份管理 456
推荐的读物和Web站点 459
关键术语、思考题和习题 459
第23章 Linux安全 461
概述 461
Linux安全模型 461
深入Linux自主访问控制:文件系统安全 462
Linux漏洞 467
Linux系统加固 468
应用程序安全 473
强制访问控制 475
推荐的读物和Web站点 479
关键术语、思考题和习题 479
第24章 Windows和WindowsVista安全 482
Windows安全体系结构 482
Windows漏洞 487
Windows安全防御 487
浏览器防御 493
加密服务 493
通用标准 494
推荐的读物和Web站点 494
关键术语、思考题、习题和项目 495
附录A数论的相关内容 497
附录B随机数与伪随机数的生成 503
附录C密码学和网络安全教学项目 508