信息安全原理與技術(shù)（第五版）

第1章  介紹
1．1  什么是計(jì)算機(jī)安全
1．1．1  資源的價(jià)值
1．1．2  脆弱點(diǎn)―威脅―控制的范式
1．2  威脅
1．2．1  機(jī)密性
1．2．2  完整性
1．2．3  可用性
1．2．4  威脅的類型
1．2．5  攻擊者類型
1．3  危害
1．3．1  風(fēng)險(xiǎn)及常識(shí)
1．3．2  方法―時(shí)機(jī)―動(dòng)機(jī)
1．4  脆弱點(diǎn)
1．5  控制
1．6  總結(jié)
1．7  下一步是什么
1．8  習(xí)題
第2章  工具箱： 鑒別、 訪問控制與加密
2．1  身份鑒別
2．1．1  識(shí)別與身份鑒別
2．1．2  基于短語和事實(shí)的鑒別： 用戶已知的事情
2．1．3  基于生物特征鑒別技術(shù)的鑒別： 用戶的一些特征
2．1．4  基于令牌的身份鑒別： 你擁有的東西
2．1．5  聯(lián)合身份管理機(jī)制
2．1．6  多因素鑒別
2．1．7  安全鑒別
2．2  訪問控制
2．2．1  訪問策略
2．2．2  實(shí)施訪問控制
2．2．3  面向程序的訪問控制
2．2．4  基于角色的訪問控制
2．3  密碼編碼學(xué)
2．3．1  加密技術(shù)解決的問題
2．3．2  術(shù)語
2．3．3  DES： 數(shù)據(jù)加密標(biāo)準(zhǔn)
2．3．4  高級(jí)加密標(biāo)準(zhǔn)
2．3．5  公開密鑰密碼體制
2．3．6  從公鑰加密到密鑰分配
2．3．7  檢錯(cuò)碼（error detecting codes）
2．3．8  信任度
2．3．9  證書： 可信的身份信息與公鑰
2．3．10  數(shù)字簽名： 整合
2．4  習(xí)題
第3章  程序和編程
3．1  無意的（非惡意的）程序漏洞
3．1．1  緩沖區(qū)溢出
3．1．2  不完全驗(yàn)證
3．1．3  檢查時(shí)刻到使用時(shí)刻的錯(cuò)誤
3．1．4  未公開的訪問點(diǎn)
3．1．5  大小差一錯(cuò)誤
3．1．6  整型溢出
3．1．7  未以空終止符結(jié)尾的字符串
3．1．8  參數(shù)長度、 類型和數(shù)值
3．1．9  不安全的通用程序
3．1．10  競態(tài)條件
3．2  惡意的代碼： 惡意軟件
3．2．1  惡意軟件： 病毒、 木馬和蠕蟲
3．2．2  技術(shù)細(xì)節(jié)： 惡意代碼
3．3  對(duì)策
3．3．1  用戶的對(duì)策
3．3．2  開發(fā)者的對(duì)策
3．3．3  專門的安全對(duì)策
3．3．4  無效的對(duì)策
3．4  小結(jié)
3．5  習(xí)題
第4章  Web和用戶
4．1  針對(duì)瀏覽器的攻擊
4．1．1  針對(duì)瀏覽器的攻擊類型
4．1．2  瀏覽器攻擊如何成功： 識(shí)別失敗與鑒別失敗
4．2  針對(duì)用戶的Web攻擊
4．2．1  虛假或誤導(dǎo)的內(nèi)容
4．2．2  惡意的網(wǎng)頁內(nèi)容
4．2．3  防止惡意網(wǎng)頁
4．3  獲取用戶或網(wǎng)站的數(shù)據(jù)
4．3．1  有數(shù)據(jù)的代碼
4．3．2  網(wǎng)站數(shù)據(jù)： 用戶的問題
4．3．3  挫敗數(shù)據(jù)攻擊
4．4  電子郵件攻擊
4．4．1  虛假電子郵件
4．4．2  作為垃圾郵件的虛假電子郵件
4．4．3  假(錯(cuò)誤的)電子郵件頭數(shù)據(jù)
4．4．4  網(wǎng)絡(luò)釣魚
4．4．5  防止電子郵件攻擊
4．5  小結(jié)
4．6  習(xí)題
第5章  操作系統(tǒng)
5．1  操作系統(tǒng)的安全性
5．1．1  背景： 操作系統(tǒng)結(jié)構(gòu)
5．1．2  普通操作系統(tǒng)的安全特性
5．1．3  歷史回顧
5．1．4  受保護(hù)對(duì)象
5．1．5  實(shí)現(xiàn)安全功能的操作系統(tǒng)工具
5．2  安全操作系統(tǒng)的設(shè)計(jì)
5．2．1  簡約設(shè)計(jì)
5．2．2  分層設(shè)計(jì)
5．2．3  內(nèi)核化設(shè)計(jì)
5．2．4  引用監(jiān)視器
5．2．5  正確性和完整性
5．2．6  安全設(shè)計(jì)原則
5．2．7  可信系統(tǒng)
5．2．8  可信系統(tǒng)的功能
5．2．9  可信系統(tǒng)的研究成果
5．3  rootkit
5．3．1  手機(jī)rootkit
5．3．2  rootkit躲避檢測(cè)
5．3．3  rootkit未經(jīng)檢查的操作
5．3．4  索尼公司的XCP rootrootkit
5．3．5  TDSS rootkits
5．3．6  其他rootkits
5．4  小結(jié)
5．5  習(xí)題
第6章  網(wǎng)絡(luò)
6．1  網(wǎng)絡(luò)的概念
6．1．1  背景： 網(wǎng)絡(luò)傳輸介質(zhì)
6．1．2  背景： 協(xié)議層
6．1．3  背景： 尋址和路由選擇
6．2  網(wǎng)絡(luò)通信的威脅
6．2．1  截?。?偷聽與竊聽
6．2．2  篡改、 偽造： 數(shù)據(jù)損壞
6．2．3  中斷： 服務(wù)失效
6．2．4  端口掃描
6．2．5  脆弱點(diǎn)總結(jié)
6．3  無線網(wǎng)絡(luò)安全
6．3．1  WiFi場景
6．3．2  無線網(wǎng)絡(luò)中的脆弱點(diǎn)
6．3．3  故障的對(duì)策： WEP（等效于有線加密）
6．3．4  更強(qiáng)的協(xié)議族： WPA（WiFi保護(hù)訪問）
6．4  拒絕服務(wù)
6．4．1  例子： 愛沙尼亞海量網(wǎng)絡(luò)故障
6．4．2  服務(wù)是怎么被拒絕訪問的
6．4．3  洪泛（flooding）攻擊的細(xì)節(jié)
6．4．4  惡意代碼導(dǎo)致的網(wǎng)絡(luò)洪泛
6．4．5  資源消耗的網(wǎng)絡(luò)洪泛
6．4．6  地址錯(cuò)誤造成的拒絕服務(wù)
6．4．7  流量重定向
6．4．8  DNS攻擊
6．4．9  利用已知的脆弱點(diǎn)
6．4．10  物理隔離
6．5  分布式拒絕服務(wù)
6．5．1  腳本拒絕服務(wù)攻擊
6．5．2  Bots
6．5．3  僵尸網(wǎng)絡(luò)
6．5．4  惡意自主的移動(dòng)代理
6．5．5  自主移動(dòng)防護(hù)代理
6．6  網(wǎng)絡(luò)安全中的密碼學(xué)
6．6．1  網(wǎng)絡(luò)加密
6．6．2  瀏覽器加密
6．6．3  洋蔥路由
6．6．4  IP安全協(xié)議套件（IPsec）
6．6．5  虛擬專用網(wǎng)絡(luò)
6．6．6  系統(tǒng)架構(gòu)
6．7  防火墻
6．7．1  什么是防火墻
6．7．2  防火墻設(shè)計(jì)
6．7．3  防火墻的類型
6．7．4  個(gè)人防火墻
6．7．5  幾種類型防火墻的比較
6．7．6  防火墻配置舉例
6．7．7  網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）
6．7．8  數(shù)據(jù)丟失防護(hù)（Date Loss Prevention）
6．8  入侵檢測(cè)和防御系統(tǒng)
6．8．1  IDS的種類
6．8．2  其他入侵檢測(cè)技術(shù)
6．8．3  入侵防御系統(tǒng)
6．8．4  入侵響應(yīng)
6．6．5  入侵檢測(cè)系統(tǒng)的目標(biāo)
6．8．6  IDS的能力和局限
6．9  網(wǎng)絡(luò)管理
6．9．1  服務(wù)保障管理
6．9．2  安全信息和事件管理（SIEM）
6．10  小結(jié)
6．11  習(xí)題
第7章  數(shù)據(jù)庫
7．1  數(shù)據(jù)庫簡介
7．1．1  數(shù)據(jù)庫的概念
7．1．2  數(shù)據(jù)庫的組成
7．1．3  數(shù)據(jù)庫的優(yōu)點(diǎn)
7．2  數(shù)據(jù)庫的安全需求
7．2．1  數(shù)據(jù)庫的完整性
7．2．2  元素的完整性
7．2．3  可審計(jì)性
7．2．4  訪問控制
7．2．5  用戶鑒別
7．2．6  可用性
7．2．7  完整性、 機(jī)密性和可用性
7．3  可靠性和完整性
7．3．1  操作系統(tǒng)提供的保護(hù)特性
7．3．2  兩階段更新
7．3．3  冗余/內(nèi)在一致性
7．3．4  恢復(fù)
7．3．5  并發(fā)性/一致性
7．4  數(shù)據(jù)庫泄露
7．4．1  敏感數(shù)據(jù)
7．4．2  泄露類型
7．4．3  防止泄露： 數(shù)據(jù)禁止和修改
7．4．4  安全性與精確度
7．5  數(shù)據(jù)挖掘和大數(shù)據(jù)
7．5．1  數(shù)據(jù)挖掘
7．5．2  大數(shù)據(jù)
7．6  小結(jié)
7．7  習(xí)題
第8章  云計(jì)算
8．1  云計(jì)算概念
8．1．1  服務(wù)模式
8．1．2  部署模式
8．2  遷移到云端
8．2．1  風(fēng)險(xiǎn)分析
8．2．2  評(píng)估云服務(wù)提供商
8．2．3  更換云服務(wù)提供商
8．2．4  作為安全控制的云
8．3  云安全工具與技術(shù)
8．3．1  云環(huán)境下的數(shù)據(jù)保護(hù)
8．3．2  云應(yīng)用安全
8．3．3  日志與事件響應(yīng)
8．4  云認(rèn)證管理
8．4．1  安全斷言標(biāo)記語言
8．4．2  OAuth協(xié)議
8．4．3  OAuth用于認(rèn)證
8．5  加固IaaS
8．5．1  公有IaaS與私有網(wǎng)絡(luò)的安全性對(duì)比
8．6  小結(jié)
8．6．1  本領(lǐng)域的發(fā)展方向
8．6．2  更多參考
8．7  習(xí)題
第9章  計(jì)算機(jī)中的隱私
9．1  隱私的概念
9．1．1  信息隱私的各方面
9．1．2  與計(jì)算機(jī)相關(guān)的隱私問題
9．2  隱私的原理和政策
9．2．1  公平信息策略
9．2．2  美國的隱私法律
9．2．3  美國政府網(wǎng)站的控制
9．2．4  商業(yè)網(wǎng)站的控制
9．2．5  非美國的隱私原則
9．2．6  保護(hù)隱私的個(gè)人行為
9．2．7  政府和隱私
9．2．8  身份竊取
9．3  鑒別和隱私
9．3．1  鑒別意味著什么
9．3．2  結(jié)論
9．4  數(shù)據(jù)挖掘
9．4．1  政府?dāng)?shù)據(jù)挖掘
9．4．2  隱私保持的數(shù)據(jù)挖掘
9．5  網(wǎng)站上的隱私
9．5．1  了解在線環(huán)境
9．5．2  網(wǎng)上付款
9．5．3  門戶網(wǎng)站注冊(cè)
9．5．4  這是誰的網(wǎng)頁
9．5．5  沖浪要留心
9．5．6  間諜軟件
9．5．7  網(wǎng)上購物
9．6  電子郵件安全性
9．6．1  電子郵件將發(fā)往何處， 誰能夠訪問它
9．6．2  電子郵件的攔截
9．6．3  監(jiān)控電子郵件
9．6．4  匿名、 假名、 消失的電子郵件
9．6．5  欺騙和垃圾郵件
9．6．6  小結(jié)
9．7  對(duì)新技術(shù)的影響
9．7．1  RFID
9．7．2  電子投票選舉
9．7．3  VoIP與Skype
9．7．4  云端的隱私
9．7．5  有關(guān)新技術(shù)的結(jié)論
9．8  領(lǐng)域前沿
9．9  小結(jié)
9．10  習(xí)題
第10章  安全管理和事件
10．1  安全計(jì)劃
10．1．1  組織和安全計(jì)劃
10．1．2  安全計(jì)劃的內(nèi)容
10．1．3  安全計(jì)劃編制組成員
10．1．4  安全計(jì)劃的承諾
10．2  業(yè)務(wù)持續(xù)計(jì)劃
10．2．1  評(píng)估業(yè)務(wù)影響
10．2．2  發(fā)展戰(zhàn)略
10．2．3  開發(fā)計(jì)劃
10．3  事件處理
10．3．1  事故響應(yīng)計(jì)劃
10．3．2  應(yīng)急小組
10．4  風(fēng)險(xiǎn)分析
10．4．1  風(fēng)險(xiǎn)的性質(zhì)
10．4．2  風(fēng)險(xiǎn)分析的步驟
10．4．3  贊成和反對(duì)風(fēng)險(xiǎn)分析的理由
10．5  處理災(zāi)難
10．5．1  自然災(zāi)難
10．5．2  停電
10．5．3  人為破壞
10．5．4  敏感信息截取
10．5．5  意外事故處理計(jì)劃
10．5．6  物理安全的回顧
10．6  小結(jié)
10．7  習(xí)題
第11章  法律和道德問題
11．1  程序和數(shù)據(jù)的保護(hù)
11．1．1  版權(quán)
11．1．2  專利
11．1．3  商業(yè)秘密
11．1．4  特殊情況
11．2  信息和法律
11．2．1  作為對(duì)象的信息
11．2．2  與信息相關(guān)的法律問題
11．2．3  法律制度
11．2．4  計(jì)算機(jī)產(chǎn)品保護(hù)的小結(jié)
11．3  雇員和雇主權(quán)利
11．3．1  產(chǎn)品所有權(quán)
11．3．2  雇傭合同
11．4  軟件故障的補(bǔ)救
11．4．1  銷售正確的軟件
11．4．2  報(bào)告軟件錯(cuò)誤
11．5  計(jì)算機(jī)犯罪
11．5．1  為什么要有計(jì)算機(jī)犯罪的單獨(dú)類型
11．5．2  為什么計(jì)算機(jī)犯罪很難定義
11．5．3  為什么對(duì)計(jì)算機(jī)犯罪難以起訴
11．5．4  法令實(shí)例
11．5．5  國際范圍
11．5．6  為什么破獲計(jì)算機(jī)犯罪困難重重
11．5．7  什么樣的計(jì)算機(jī)犯罪沒有討論
11．5．8  計(jì)算機(jī)安全法律問題的小結(jié)
11．6  計(jì)算機(jī)安全中的道德問題
11．6．1  法律與道德之間的區(qū)別
11．6．2  對(duì)道德的研究
11．6．3  道德推理法
11．7  道德的案例分析
11．7．1  案例1： 計(jì)算機(jī)服務(wù)的使用
11．7．2  案例2： 隱私權(quán)
11．7．3  案例3： 拒絕服務(wù)
11．7．4  案例4： 程序的所有權(quán)
11．7．5  案例5： 專有資源
11．7．6  案例6： 欺詐
11．7．7  案例7： 信息的準(zhǔn)確性
11．7．8  案例8： 黑客和快客的道德
11．7．9  案例9： 真實(shí)再現(xiàn)
11．7．10  對(duì)計(jì)算機(jī)道德的小結(jié)
11．8  小結(jié)
11．9  習(xí)題
第12章  密碼學(xué)精講
12．1  密碼學(xué)
12．1．1  密碼分析
12．1．2  密碼學(xué)基礎(chǔ)
12．1．3  一次一密密碼本（One?Time Pads）
12．1．4  統(tǒng)計(jì)分析
12．1．5  “安全的”加密算法由什么構(gòu)成
12．2  對(duì)稱加密算法
12．2．1  DES
12．2．2  AES
12．2．3  RC2、 RC4、 RC5和RC6
12．3  RSA非對(duì)稱加密
12．3．1  RSA算法
12．3．2  RSA算法的健壯性
12．4  消息摘要
12．4．1  哈希函數(shù)
12．4．2  單向哈希函數(shù)
12．4．3  消息摘要算法
12．5  數(shù)字簽名
12．5．1  橢圓曲線加密體制
12．5．2  El Gamal與數(shù)字簽名算法
12．5．3  2012年國家安全局(NSA)密碼學(xué)爭論
12．6  量子密碼學(xué)
12．6．1  量子物理學(xué)
12．6．2  光子接收
12．6．3  光子密碼學(xué)
12．6．4  實(shí)現(xiàn)
12．7  小結(jié)
第13章  新興問題
13．1  物聯(lián)網(wǎng)
13．1．1  醫(yī)療設(shè)備
13．1．2  移動(dòng)電話
13．1．3  物聯(lián)網(wǎng)安全
13．2  網(wǎng)絡(luò)安全經(jīng)濟(jì)學(xué)
13．2．1  制定一個(gè)商業(yè)方案
13．2．2  定量的安全性
13．2．3  近期的研究和未來的趨勢(shì)
13．3  電子投票
13．3．1  什么是電子投票
13．3．2  什么才是公平公正的選舉
13．3．3  有哪些關(guān)鍵因素
13．4  網(wǎng)絡(luò)戰(zhàn)爭
13．4．1  什么是網(wǎng)絡(luò)戰(zhàn)爭
13．4．2  可能出現(xiàn)的網(wǎng)絡(luò)戰(zhàn)爭案例
13．4．3  致命的問題
13．5  小結(jié)
參考文獻(xiàn)