信息安全原理与技术-(第五版)

目 录第1章 介绍1.1 什么是计算机安全1.1.1 资源的价值1.1.2 脆弱点—威胁—控制的范式1.2 威胁1.2.1 机密性1.2.2 完整性1.2.3 可用性1.2.4 威胁的类型1.2.5 攻击者类型1.3 危害1.3.1 风险及常识1.3.2 方法—时机—动机1.4 脆弱点1.5 控制1.6 总结1.7 下一步是什么1.8 习题第2章 工具箱： 鉴别、 访问控制与加密2.1 身份鉴别2.1.1 识别与身份鉴别2.1.2 基于短语和事实的鉴别： 用户已知的事情2.1.3 基于生物特征鉴别技术的鉴别： 用户的一些特征2.1.4 基于令牌的身份鉴别： 你拥有的东西2.1.5 联合身份管理机制2.1.6 多因素鉴别2.1.7 安全鉴别2.2 访问控制2.2.1 访问策略2.2.2 实施访问控制2.2.3 面向程序的访问控制2.2.4 基于角色的访问控制2.3 密码编码学2.3.1 加密技术解决的问题2.3.2 术语2.3.3 des： 数据加密标准2.3.4 高级加密标准2.3.5 公开密钥密码体制2.3.6 从公钥加密到密钥分配2.3.7 检错码（error detecting codes）2.3.8 信任度2.3.9 证书： 可信的身份信息与公钥2.3.10 数字签名： 整合2.4 习题第3章 程序和编程3.1 无意的（非恶意的）程序漏洞3.1.1 缓冲区溢出3.1.2 不完全验证3.1.3 检查时刻到使用时刻的错误3.1.4 未公开的访问点3.1.5 大小差一错误3.1.6 整型溢出3.1.7 未以空终止符结尾的字符串3.1.8 参数长度、 类型和数值3.1.9 不安全的通用程序3.1.10 竞态条件3.2 恶意的代码： 恶意软件3.2.1 恶意软件： 病毒、 木马和蠕虫3.2.2 技术细节： 恶意代码3.3 对策3.3.1 用户的对策3.3.2 开发者的对策3.3.3 专门的安全对策3.3.4 无效的对策3.4 小结3.5 习题第4章 web和用户4.1 针对浏览器的攻击4.1.1 针对浏览器的攻击类型4.1.2 浏览器攻击如何成功： 识别失败与鉴别失败4.2 针对用户的web攻击4.2.1 虚假或误导的内容4.2.2 恶意的网页内容4.2.3 防止恶意网页4.3 获取用户或网站的数据4.3.1 有数据的代码4.3.2 网站数据： 用户的问题4.3.3 挫败数据攻击4.4 电子邮件攻击4.4.1 虚假电子邮件4.4.2 作为垃圾邮件的虚假电子邮件4.4.3 假(错误的)电子邮件头数据4.4.4 网络钓鱼4.4.5 防止电子邮件攻击4.5 小结4.6 习题第5章 操作系统5.1 操作系统的安全性5.1.1 背景： 操作系统结构5.1.2 普通操作系统的安全特性5.1.3 历史回顾5.1.4 受保护对象5.1.5 实现安全功能的操作系统工具5.2 安全操作系统的设计5.2.1 简约设计5.2.2 分层设计5.2.3 内核化设计5.2.4 引用监视器5.2.5 正确性和完整性5.2.6 安全设计原则5.2.7 可信系统5.2.8 可信系统的功能5.2.9 可信系统的研究成果5.3 rootkit5.3.1 手机rootkit5.3.2 rootkit躲避检测5.3.3 rootkit未经检查的操作5.3.4 索尼公司的xcp rootrootkit5.3.5 tdss rootkits5.3.6 其他rootkits5.4 小结5.5 习题第6章 网络6.1 网络的概念6.1.1 背景： 网络传输介质6.1.2 背景： 协议层6.1.3 背景： 寻址和路由选择6.2 网络通信的威胁6.2.1 截取： 偷听与窃听6.2.2 篡改、 伪造： 数据损坏6.2.3 中断： 服务失效6.2.4 端口扫描6.2.5 脆弱点总结6.3 无线网络安全6.3.1 wifi场景6.3.2 无线网络中的脆弱点6.3.3 故障的对策： wep（等效于有线加密）6.3.4 更强的协议族： wpa（wifi保护访问）6.4 拒绝服务6.4.1 例子： 爱沙尼亚海量网络故障6.4.2 服务是怎么被拒绝访问的6.4.3 洪泛（flooding）攻击的细节6.4.4 恶意代码导致的网络洪泛6.4.5 资源消耗的网络洪泛6.4.6 地址错误造成的拒绝服务6.4.7 流量重定向6.4.8 dns攻击6.4.9 利用已知的脆弱点6.4.10 物理隔离6.5 分布式拒绝服务6.5.1 脚本拒绝服务攻击6.5.2 bots6.5.3 僵尸网络6.5.4 恶意自主的移动代理6.5.5 自主移动防护代理6.6 网络安全中的密码学6.6.1 网络加密6.6.2 浏览器加密6.6.3 洋葱路由6.6.4 ip安全协议套件（ipsec）6.6.5 虚拟专用网络6.6.6 系统架构6.7 防火墙6.7.1 什么是防火墙6.7.2 防火墙设计6.7.3 防火墙的类型6.7.4 个人防火墙6.7.5 几种类型防火墙的比较6.7.6 防火墙配置举例6.7.7 网络地址转换（nat）6.7.8 数据丢失防护（date loss prevention）6.8 入侵检测和防御系统6.8.1 ids的种类6.8.2 其他入侵检测技术6.8.3 入侵防御系统6.8.4 入侵响应6.6.5 入侵检测系统的目标6.8.6 ids的能力和局限6.9 网络管理6.9.1 服务保障管理6.9.2 安全信息和事件管理（siem）6.10 小结6.11 习题第7章 数据库7.1 数据库简介7.1.1 数据库的概念7.1.2 数据库的组成7.1.3 数据库的优点7.2 数据库的安全需求7.2.1 数据库的完整性7.2.2 元素的完整性7.2.3 可审计性7.2.4 访问控制7.2.5 用户鉴别7.2.6 可用性7.2.7 完整性、 机密性和可用性7.3 可靠性和完整性7.3.1 操作系统提供的保护特性7.3.2 两阶段更新7.3.3 冗余/内在一致性7.3.4 恢复7.3.5 并发性/一致性7.4 数据库泄露7.4.1 敏感数据7.4.2 泄露类型7.4.3 防止泄露： 数据禁止和修改7.4.4 安全性与精确度7.5 数据挖掘和大数据7.5.1 数据挖掘7.5.2 大数据7.6 小结7.7 习题第8章 云计算8.1 云计算概念8.1.1 服务模式8.1.2 部署模式8.2 迁移到云端8.2.1 风险分析8.2.2 评估云服务提供商8.2.3 更换云服务提供商8.2.4 作为安全控制的云8.3 云安全工具与技术8.3.1 云环境下的数据保护8.3.2 云应用安全8.3.3 日志与事件响应8.4 云认证管理8.4.1 安全断言标记语言8.4.2 oauth协议8.4.3 oauth用于认证8.5 加固iaas8.5.1 公有iaas与私有网络的安全性对比8.6 小结8.6.1 本领域的发展方向8.6.2 更多参考8.7 习题第9章 计算机中的隐私9.1 隐私的概念9.1.1 信息隐私的各方面9.1.2 与计算机相关的隐私问题9.2 隐私的原理和政策9.2.1 公平信息策略9.2.2 美国的隐私法律9.2.3 美国政府网站的控制9.2.4 商业网站的控制9.2.5 非美国的隐私原则9.2.6 保护隐私的个人行为9.2.7 政府和隐私9.2.8 身份窃取9.3 鉴别和隐私9.3.1 鉴别意味着什么9.3.2 结论9.4 数据挖掘9.4.1 政府数据挖掘9.4.2 隐私保持的数据挖掘9.5 网站上的隐私9.5.1 了解在线环境9.5.2 网上付款9.5.3 门户网站注册9.5.4 这是谁的网页9.5.5 冲浪要留心9.5.6 间谍软件9.5.7 网上购物9.6 电子邮件安全性9.6.1 电子邮件将发往何处， 谁能够访问它9.6.2 电子邮件的拦截9.6.3 监控电子邮件9.6.4 匿名、 假名、 消失的电子邮件9.6.5 欺骗和垃圾邮件9.6.6 小结9.7 对新技术的影响9.7.1 rfid9.7.2 电子投票选举9.7.3 voip与skype9.7.4 云端的隐私9.7.5 有关新技术的结论9.8 领域前沿9.9 小结9.10 习题第10章 安全管理和事件10.1 安全计划10.1.1 组织和安全计划10.1.2 安全计划的内容10.1.3 安全计划编制组成员10.1.4 安全计划的承诺10.2 业务持续计划10.2.1 评估业务影响10.2.2 发展战略10.2.3 开发计划10.3 事件处理10.3.1 事故响应计划10.3.2 应急小组10.4 风险分析10.4.1 风险的性质10.4.2 风险分析的步骤10.4.3 赞成和反对风险分析的理由10.5 处理灾难10.5.1 自然灾难10.5.2 停电10.5.3 人为破坏10.5.4 敏感信息截取10.5.5 意外事故处理计划10.5.6 物理安全的回顾10.6 小结10.7 习题第11章 法律和道德问题11.1 程序和数据的保护11.1.1 版权11.1.2 专利11.1.3 商业秘密11.1.4 特殊情况11.2 信息和法律11.2.1 作为对象的信息11.2.2 与信息相关的法律问题11.2.3 法律制度11.2.4 计算机产品保护的小结11.3 雇员和雇主权利11.3.1 产品所有权11.3.2 雇佣合同11.4 软件故障的补救11.4.1 销售正确的软件11.4.2 报告软件错误11.5 计算机犯罪11.5.1 为什么要有计算机犯罪的单独类型11.5.2 为什么计算机犯罪很难定义11.5.3 为什么对计算机犯罪难以起诉11.5.4 法令实例11.5.5 国际范围11.5.6 为什么破获计算机犯罪困难重重11.5.7 什么样的计算机犯罪没有讨论11.5.8 计算机安全法律问题的小结11.6 计算机安全中的道德问题11.6.1 法律与道德之间的区别11.6.2 对道德的研究11.6.3 道德推理法11.7 道德的案例分析11.7.1 案例1： 计算机服务的使用11.7.2 案例2： 隐私权11.7.3 案例3： 拒绝服务11.7.4 案例4： 程序的所有权11.7.5 案例5： 专有资源11.7.6 1