《信息安全实用教程》PDF下载

  • 购买积分:9 如何计算积分?
  • 作  者:(瑞士)大卫·贝森(DAVID BASIN),帕特里克·沙勒(PATRICK SCHALLER),迈克尔·施莱普菲儿著;张涛,王金双,赵敏译
  • 出 版 社:北京:国防工业出版社
  • 出版年份:2015
  • ISBN:9787118103489
  • 页数:164 页
图书介绍:全书共8章,第一章介绍基本安全原理的背景知识,第二章介绍实验所需的VirtualBox环境,第三章到第五章是网络和操作系统安全,第六、七章是Web应用安全和证书,第八章是风险分析。该书有4个附录:附录A-B详细介绍项目作业的需求文档和报告格式;附录C简要介绍Linux和实验需要的各种实用程序;附录D用于帮助对Linux类系统使用经验较少的读者。

第1章 安全原则 1

1.1 目标 1

1.2 问题情境 1

1.3 原则 2

1.3.1 简单性 2

1.3.2 开放式设计 2

1.3.3 分隔 3

1.3.4 最小泄露量 4

1.3.5 最小权限 5

1.3.6 最小信任和最大可信性 6

1.3.7 安全与安全默认值 7

1.3.8 完全仲裁 7

1.3.9 无单点故障 8

1.3.10 可追踪性 9

1.3.11 生成秘密 10

1.3.12 可用性 10

1.4 讨论 11

1.5 作业 11

1.6 练习 11

第2章 虚拟环境 13

2.1 目标 13

2.2 VirtualBox 13

2.2.1 安装新的虚拟机 14

2.2.2 网络 15

2.3 实验室环境 16

2.4 安装虚拟机 18

2.4.1 安装主机alice 18

2.4.2 安装主机bob 19

2.4.3 安装主机mallet 20

第3章 网络服务 22

3.1 目标 22

3.2 网络背景知识 22

3.2.1 网络层 23

3.2.2 传输层 24

3.3 攻击者的视角 25

3.3.1 信息收集 25

3.3.2 查找潜在漏洞 27

3.3.3 利用漏洞 28

3.3.4 易受攻击的配置 29

3.4 管理员的视角 31

3.5 应采取的行动 32

3.5.1 禁用服务 32

3.5.2 限制服务 34

3.6 练习 37

第4章 身份认证与访问控制 38

4.1 目标 38

4.2 身份认证 38

4.2.1 Telnet和远程Shell 38

4.2.2 安全Shell 40

4.3 用户ID和权限 42

4.3.1 文件访问权限 42

4.3.2 Setuid和Setgid 45

4.4 shell脚本安全 47

4.4.1 符号链接 47

4.4.2 临时文件 48

4.4.3 环境 49

4.4.4 数据验证 49

4.5 配额 50

4.6 改变根 52

4.7 练习 54

第5章 日志和日志分析 56

5.1 目标 56

5.2 登录机制和日志文件 56

5.2.1 远程登录 58

5.3 登录的问题 59

5.3.1 篡改和真实性 59

5.3.2 防干扰登录 59

5.3.3 输入验证 60

5.3.4 循环 60

5.4 入侵检测 60

5.4.1 日志分析 61

5.4.2 可疑文件和rootkits 62

5.4.3 完整性检查 63

5.5 练习 65

第6章 网络应用安全 66

6.1 目标 66

6.2 准备工作 66

6.3 黑盒审计 67

6.4 攻击网络应用 68

6.4.1 Joomla!的远程文件上传漏洞 68

6.4.2 远程命令执行 69

6.4.3 SQL注入 69

6.4.4 特权提升 71

6.5 用户身份验证和会话管理 72

6.5.1 基于PHP的认证机制 72

6.5.2 HTTP基本认证 73

6.5.3 基于cookie的会话管理 74

6.6 跨站脚本攻击(XSS) 76

6.6.1 持久性跨站脚本攻击 76

6.6.2 反射式跨站脚本攻击 77

6.6.3 基于DOM的跨站脚本攻击 78

6.7 SQL注入的再探讨 79

6.8 安全套接层 79

6.9 拓展阅读 81

6.10 练习 81

第7章 证书和公钥口令学 83

7.1 目标 83

7.2 公钥口令学基础 83

7.3 公钥分发和证书 84

7.4 创建口令和证书 86

7.5 管理一个认证中心 87

7.6 基于证书的客户端身份认证 89

7.7 练习 91

第8章 风险管理 95

8.1 目标 95

8.2 风险和风险管理 95

8.3 风险分析的核心元素 97

8.4 风险分析:一种实现 105

8.4.1 系统描述 105

8.4.2 利益相关者 107

8.4.3 资产和脆弱性 107

8.4.4 脆弱性 110

8.4.5 威胁源 112

8.4.6 风险和对策 113

8.4.7 总结 117

附录A 如何在实验课中使用本书 118

A.1 课程结构 118

A.2 项目 119

附录B 报告模板 124

B.1 系统特点 124

B.1.1 系统概述 124

B.1.2 系统功能 124

B.1.3 组件和子系统 124

B.1.4 界面 124

B.1.5 后门程序 124

B.1.6 其他材料 124

B.2 风险分析和安全措施 125

B.2.1 信息资产 125

B.2.2 威胁源 125

B.2.3 风险和对策 125

B.3 外部系统概述 126

B.3.1 背景 126

B.3.2 功能完备性 126

B.3.3 架构和安全概念 126

B.3.4 实现 126

B.3.5 后门程序 126

B.3.6 对比 126

附录C Linux基础知识和工具 127

C.1 系统文件 127

C.2 工具 128

C.2.1 变量 129

C.2.2 引号和通配符 129

C.2.3 流水线和反引号 130

C.2.4 ls,find和locate 130

C.2.5 we,sort,uniq,head和tail 130

C.2.6 ps,pgrep,kill和killall 130

C.2.7 grep 131

C.2.8 awk和sed 132

C.2.9 Tcpdump 133

附录D 问题答案 134

参考文献 158

索引 160