系統(tǒng)安全工藝

前言

“我認(rèn)為這本《系統(tǒng)安全工藝》是當(dāng)今市面上最棒的軟件安全書籍之一。其內(nèi)容廣而深、覆蓋的內(nèi)容有密碼學(xué)、網(wǎng)絡(luò)構(gòu)建、操作系統(tǒng)、Web、人機(jī)交互、以及如何通過(guò)改進(jìn)硬件來(lái)提高軟件系統(tǒng)安全性。簡(jiǎn)而言之，《系統(tǒng)安全工藝》適合所有系統(tǒng)安全從業(yè)者，并且也可以選作大學(xué)計(jì)算機(jī)科學(xué)課程的教材?！薄狤dward Bonver，CISSP（信息系統(tǒng)安全認(rèn)證專業(yè)人員）、Symantec公司產(chǎn)品安全的資深QA工程師“這將會(huì)是一次有趣的、令人興奮的閱讀：該書囊括了各種有關(guān)計(jì)算機(jī)安全應(yīng)用和誤用的實(shí)例，是一本獨(dú)特而新穎的書籍。我期望《系統(tǒng)安全工藝》能夠激發(fā)廣大學(xué)生朋友投身到安全技術(shù)領(lǐng)域中來(lái)；同時(shí)，該書還能夠滿足安全專家們的需要?！薄狶.Felipe Perrone，Bucknell大學(xué)計(jì)算機(jī)科學(xué)系教授過(guò)去，僅有專家對(duì)計(jì)算機(jī)安全感興趣，但是，現(xiàn)在它已經(jīng)成為社會(huì)中每個(gè)人都需要關(guān)注的內(nèi)容。生活中經(jīng)常需要計(jì)算，一旦計(jì)算機(jī)遭到破壞將會(huì)引發(fā)非常嚴(yán)重的后果。但試圖掌控計(jì)算中的全部細(xì)節(jié)問(wèn)題幾乎是不可能的，參與計(jì)算的多個(gè)方面都存在復(fù)雜性問(wèn)題，如獨(dú)立構(gòu)件和計(jì)算硬件、操作系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)協(xié)議，以及使用這些系統(tǒng)的人為因素等。安全是每個(gè)人都應(yīng)關(guān)注的問(wèn)題，一個(gè)非常直接的問(wèn)題是如何讓每個(gè)參與者都明白安全方面的知識(shí)和安全的重要性。從軟件工程師、經(jīng)理、律師，以及任何其他人的職業(yè)生涯可以看出，研究者和從業(yè)者不僅需要關(guān)注安全涉及的廣度，還需要關(guān)注其深度，如安全的發(fā)展趨勢(shì)和準(zhǔn)則等。現(xiàn)在，安全研究文獻(xiàn)過(guò)多關(guān)注于系統(tǒng)管理、密碼學(xué)體制、桔皮書或者NSA標(biāo)準(zhǔn)，計(jì)算機(jī)科學(xué)研究人員和計(jì)算機(jī)安全從業(yè)人員能夠輕易地發(fā)現(xiàn)詳細(xì)描述某些特定工具的書籍，這些工具可以用來(lái)對(duì)系統(tǒng)安全性進(jìn)行評(píng)估，但是，這些書籍并沒(méi)有向讀者闡述更為本質(zhì)的問(wèn)題：人們?yōu)槭裁匆_(kāi)發(fā)這些工具？如何和何時(shí)使用恰當(dāng)?shù)墓ぞ邅?lái)解決特定的問(wèn)題。此外，現(xiàn)有文獻(xiàn)也無(wú)法輔助人們開(kāi)發(fā)出安全的系統(tǒng)，很多工具能夠有效地輔助系統(tǒng)審計(jì)員進(jìn)行審計(jì)，但對(duì)于安全系統(tǒng)開(kāi)發(fā)人員則沒(méi)有幫助。

內(nèi)容概要

　　《系統(tǒng)安全工藝》首先快速回顧了計(jì)算機(jī)安全方面的歷史，隨后窺視了安全的前景，展示了安全的新挑戰(zhàn)和如何應(yīng)對(duì)這些挑戰(zhàn)，并提供了一套體系以幫助理解當(dāng)前的系統(tǒng)安全及其薄弱點(diǎn)。接下來(lái)，《系統(tǒng)安全工藝》系統(tǒng)地介紹了構(gòu)建系統(tǒng)安全的基本構(gòu)建塊，還將這些構(gòu)建塊運(yùn)用到現(xiàn)在的應(yīng)用中，并思考了當(dāng)前涌現(xiàn)的一些重要技術(shù)，如基于硬件的安全技術(shù)等。不論是系統(tǒng)安全從業(yè)者、開(kāi)發(fā)人員、責(zé)任者還是管理員，都能夠通過(guò)《系統(tǒng)安全工藝》更深層地理解安全形勢(shì)以應(yīng)對(duì)新的安全問(wèn)題挑戰(zhàn)。

作者簡(jiǎn)介

作者：(美國(guó))SeanSmith (美國(guó))John Marchesini 譯者：黃清元 李化SeanSmith博士是Dartmouth大學(xué)的教授,負(fù)責(zé)教授計(jì)算機(jī)科學(xué)和研究真實(shí)世界可信系統(tǒng)的開(kāi)發(fā)，他所致力的項(xiàng)目(研究GoodSamaritans對(duì)wikipedia的影響)被NetworkWodd雜志評(píng)選為25大最酷，最前沿的IT研究項(xiàng)目之一，他投身子信息安全方向的研究已15年，擁有多項(xiàng)專利成果，著有TrustedComputing.Platforms：DesignandApplications一書。JohnMarchesini博士，擁有休斯頓大學(xué)的碩士學(xué)位和達(dá)特茅斯學(xué)院的計(jì)算機(jī)科學(xué)博士學(xué)位，他曾經(jīng)是Symantec公司的資深安全工程師，還是產(chǎn)品安全組的一員，現(xiàn)在是EminentWareLLC的首席安全架構(gòu)師。

書籍目錄

第1部分 歷史背景第1章 安全概述1.1 安全的傳統(tǒng)定義1.2 訪問(wèn)控制矩陣1.3 其他觀點(diǎn)1.4 安全狀態(tài)和訪問(wèn)控制矩陣1.5 其他安全難題1.6 本章小結(jié)1.7 思考和實(shí)踐第2章 舊約2.1 基本框架2.2 安全模型2.3 桔皮書2.4 信息安全.作業(yè)安全和工作安全2.5 本章小結(jié)2.6 思考和實(shí)踐第3章 舊準(zhǔn)則,新環(huán)境3.1 桔皮書是否解決了錯(cuò)誤問(wèn)題3.2 是否因缺乏政府支持而虎頭蛇尾3.3 舊準(zhǔn)則是否太不實(shí)用3.4 Saltzer牙口SChrOeder3.5 舊準(zhǔn)則在現(xiàn)代計(jì)算環(huán)境中的適用性3.6 本章小結(jié)3.7 思考和實(shí)踐第Ⅱ部分　安全與現(xiàn)代計(jì)算場(chǎng)景第4章 操作系統(tǒng)安全4.1 操作系統(tǒng)的背景4.2 操作系統(tǒng)安全的基本概念和原理4.3 真實(shí)操作系統(tǒng)：幾乎實(shí)現(xiàn)了所有功能4.4 針對(duì)操作系統(tǒng)的攻擊4.5 選擇何種操作系統(tǒng)4.6 本章小結(jié)4.7 思考和實(shí)踐第5章 網(wǎng)絡(luò)安全5.1 基本框架5.2 協(xié)議5.3 網(wǎng)絡(luò)攻防5.4 新技術(shù).新問(wèn)題5.5 本章小結(jié)5.6 思考和實(shí)踐第6章 安全實(shí)現(xiàn)6.1 緩沖區(qū)溢出6.2 參數(shù)驗(yàn)證和其他問(wèn)題6.3 TOCTOU6.4 惡意軟件6.5 編程語(yǔ)言安全6.6 開(kāi)發(fā)周期內(nèi)的安全6.7 本章小結(jié)6.8 思考與實(shí)踐第Ⅲ部分 安全系統(tǒng)的構(gòu)成模塊第7章 密碼學(xué)7.1 框架和術(shù)語(yǔ)7.2 隨機(jī)化7.3 對(duì)稱密碼學(xué)7.4 對(duì)稱密碼學(xué)的應(yīng)用7.5 公鑰密碼學(xué)7.6 hash函數(shù)7.7 公鑰的實(shí)現(xiàn)問(wèn)題7.8 過(guò)去和未來(lái)7.9 本章小結(jié)7.10 思考與實(shí)踐第8章 密碼破解8.1 非暴力破解對(duì)稱密鑰8.2 暴力破解對(duì)稱密鑰8.3 非因式分解方法破解公鑰8.4 密碼機(jī)制實(shí)現(xiàn)破解8.5 模數(shù)分解的可能性8.6 本章小結(jié)8.7 思考與實(shí)踐第9章 身份認(rèn)證9.1 基本框架9.2 人的身份認(rèn)證9.3 人為因素9.4 從機(jī)器的角度看身份認(rèn)證9.5 高級(jí)方法9.6 案例研究9.7 其他問(wèn)題9.8 本章小結(jié)9.9 思考與實(shí)踐第10章 公鑰基礎(chǔ)設(shè)施.10.1 基本定義10.2 基本結(jié)構(gòu)10.3 復(fù)雜性10.4 多證書中心lO.5 證書回收10.6 X.5 09方案10.7 反對(duì)觀點(diǎn)10.8 當(dāng)前存在的問(wèn)題10.9 本章小結(jié)10.10 思考與實(shí)踐第11章 標(biāo)準(zhǔn)、實(shí)施和測(cè)試11.1 標(biāo)準(zhǔn)11.2 策略實(shí)施11.3 測(cè)試11.4 本章小結(jié)11.5 思考和實(shí)踐第Ⅳ部分 應(yīng)用第12章 Web及其安全12.1 基本結(jié)構(gòu)12.2 安全技術(shù)12.3 隱私問(wèn)題12.4 Web服務(wù)12.5 本章小結(jié)12.6 思考與實(shí)踐第13章 辦公工具及其安全13.1 Word13.2 Lotus1-2-313.3 PDF13.4 剪切-粘貼13.5 PKI和辦公工具13.6 概念模型13.7 本章小結(jié)13.8 思考與實(shí)踐第14章 貨幣、時(shí)間、屬性14.1 貨幣14.2 1時(shí)間14.3 屬性14.4 本章小結(jié)14.5 思考與實(shí)踐第Ⅴ部分新型工具第15章 形式化方法和安全15.1 規(guī)范15.2 邏輯15.3 實(shí)現(xiàn)15.4 案例研究15.5 了解你的銀行賬號(hào)15.6 自動(dòng)形式化方法的不足15.7 本章小結(jié)15.8 思考與實(shí)踐第16章 基于硬件的安全16.1 數(shù)據(jù)殘留16.2 攻擊和防御16.3 工具16.4 其他體系結(jié)構(gòu)16.5 發(fā)展趨勢(shì)16.6 本章小結(jié)16.7 思考與實(shí)踐第17章 搜索有害位17.1 AI工具17.2 應(yīng)用分類17.3 案例研究17.4 實(shí)壩17.5 本章小結(jié)17.6 思考與實(shí)踐第18章 人為因素18.1 最后一程18.2 設(shè)計(jì)準(zhǔn)則18.3 其他因素18.4 信任18.5 本章小結(jié)18.6 思考與實(shí)踐附錄A 相關(guān)理論A.1 關(guān)系、序、格A.2 函數(shù)A.3 可計(jì)算性理論A.4 框架A.5 量廣物理和量子計(jì)算參考文獻(xiàn)

章節(jié)摘錄

插圖：從定義上來(lái)看，廣域網(wǎng)是范圍較廣的網(wǎng)絡(luò)。如果按照每英尺的開(kāi)銷來(lái)看，廣域網(wǎng)雖然速度較慢，但也比較便宜。現(xiàn)實(shí)的廣域網(wǎng)所使用的介質(zhì)要超出人們的想象：電話線、衛(wèi)星等。廣域網(wǎng)絡(luò)也引發(fā)了一些范圍較大時(shí)需要關(guān)注的問(wèn)題，如拓?fù)浜头指睢，F(xiàn)實(shí)世界的網(wǎng)絡(luò)拓?fù)浞浅Ｓ腥?。例如，美?guó)的電信網(wǎng)絡(luò)最近出現(xiàn)了異常，就是由網(wǎng)絡(luò)拓?fù)涞母拍钅Ｐ秃臀锢碚鎸?shí)模型不匹配引發(fā)的；有人設(shè)法破壞了關(guān)鍵網(wǎng)絡(luò)線路和其備用線路，通過(guò)復(fù)雜的業(yè)務(wù)關(guān)系，最終也會(huì)引發(fā)網(wǎng)絡(luò)拓?fù)涓拍钅Ｐ团c物理真實(shí)模型的不匹配。另外一個(gè)例子，人們?cè)诶L制廣域網(wǎng)絡(luò)拓?fù)鋾r(shí)發(fā)現(xiàn)，企業(yè)之間的鏈接有聚合的趨勢(shì)，但是為什么出現(xiàn)聚合則原因不明。5.1.2查找聯(lián)網(wǎng)機(jī)器一旦有大量的機(jī)器參與網(wǎng)絡(luò)互聯(lián)，下一步就是設(shè)法找到那些機(jī)器。首先，需要命名這些機(jī)器，即主機(jī)名（hostname）。主機(jī)名是人類可理解的機(jī)器名，如WWW.CS.dartmouth.edu。這些名稱遵循特定的層次結(jié)構(gòu)：.edu域、在該域的.dartmouth組織以及.cs子組。簡(jiǎn)單說(shuō)來(lái)，主機(jī)名是唯一的，每臺(tái)機(jī)器對(duì)應(yīng)一個(gè)主機(jī)名，反之亦然。但實(shí)際中可能并非如此，例如，一個(gè)服務(wù)器名可能對(duì)應(yīng)很多臺(tái)主機(jī)，這主要是出于負(fù)載均衡的考慮，一臺(tái)機(jī)器也可能有兩個(gè)不同的名稱。

編輯推薦

《系統(tǒng)安全工藝》是深受讀者喜愛(ài)的。權(quán)威專家旁征博引，深入剖析安全體系的竭誠(chéng)之作最新的系統(tǒng)安全及其薄弱點(diǎn)的詳細(xì)說(shuō)明；為全面認(rèn)識(shí)安全體系，擁有解決問(wèn)題的敏銳思維鋪路搭橋內(nèi)容涉獵廣泛，敘述客觀、生動(dòng)，見(jiàn)解獨(dú)到

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    系統(tǒng)安全工藝 PDF格式下載

---