有時(shí)候我會被詢問為什么要寫這本書，而我的答案可以總結(jié)為一個(gè)很簡單的故事。在我為一家大型審計(jì)公司工作時(shí)，一位審計(jì)人員曾打電話找我（我好像認(rèn)識他），他滿懷熱情地說：“您好，下周我要去參加一個(gè)安全管理人員職位的面試，我知道那意味著要與密碼和黑客打交道，但是您能告訴我一些更詳細(xì)的東西嗎？”

他一定認(rèn)為我是不小心掛斷了電話，因?yàn)樗�打回來兩次�?/p>

本書不是安全方面最全面的書籍，但我認(rèn)為它包含許多好的IT安全管理人員應(yīng)該掌握的內(nèi)容，它也是我的審計(jì)朋友絕不會購買的那種書籍。

信息安全與主流信息技術(shù)和其他業(yè)務(wù)領(lǐng)域的許多其他學(xué)科是不同的。雖然現(xiàn)在各個(gè)領(lǐng)域都有許多很好的書，但要獲得跨多個(gè)子領(lǐng)域的知識仍然很困難，而這一點(diǎn)對于一本成功的圖書來說至關(guān)重要。

安全是一個(gè)需要從業(yè)者在整個(gè)機(jī)構(gòu)中操作的領(lǐng)域，而不像IT那樣具有那么多功能。除了某些沒有其他替代方案的忠告之外，一位首席信息安全官（CISO）或安全管理人員可能會被要求提供許多安全方面的建議。有時(shí)候最好的建議可能是最大的希望。因此，敏感的安全官員努力在大多數(shù)領(lǐng)域擁有良好的基礎(chǔ)。但遺憾的是，許多人不是依靠知識（通過正規(guī)課程或自學(xué)獲得的）提出建議，而是使用權(quán)威的語氣、Google搜索或各種關(guān)于“安全策略”的定式來發(fā)號施令。有些專家看似知道所有東西，但是他們的建議往往有一半需要反過來使用，他們的建議經(jīng)常會導(dǎo)致項(xiàng)目延遲甚至罰款，浪費(fèi)公司幾十萬英磅的費(fèi)用。

本書基于作者極其豐富的實(shí)際經(jīng)驗(yàn)編寫而成。作為安全方面的專業(yè)人士，作者曾經(jīng)在安全機(jī)構(gòu)中最高和（可能是）最低的層次中工作過。這為作者提供了一個(gè)全面的視角，這種視角可能與其他許多圖書不一樣，但是它能夠幫助你擺正自己的觀點(diǎn)。例如，當(dāng)一些技術(shù)人員夸大防火墻的功能時(shí)，你可以使用從本書獲得的知識讓他們修正自己的觀點(diǎn)。

本書的每一章都以作者的“實(shí)際經(jīng)驗(yàn)”作為開始，內(nèi)容簡明扼要，但又能夠?yàn)樽x者提供一些重要的信息。

作者試圖通過本書解釋“我們?yōu)槭裁匆�這樣工作”這個(gè)問題。我不知道這是否是因?yàn)槲冶容^聰明，也許是因?yàn)槲夷觊L一些，在人們還正在試圖解決這個(gè)問題時(shí)，我已經(jīng)得到了答案。

關(guān)于作者
序
第1章 信息安全的組織機(jī)構(gòu) 1
1.1 軼事 1
1.2 引言 1
1.2.1 信息安全團(tuán)隊(duì)的位置 2
1.2.2 信息安全的位置：通過IT總監(jiān)向上匯報(bào) 2
1.2.3 信息安全的位置：向?qū)徲?jì)負(fù)責(zé)人匯報(bào) 3
1.2.4 信息安全的位置：向CEO、CTO或CFO匯報(bào) 4
1.3 安全團(tuán)隊(duì)的使命 5
1.4 安全職能角色的工作內(nèi)容 5
1.4.1 突發(fā)事件的管理和調(diào)查 6
1.4.2 法律法規(guī)方面的考慮 6
1.4.3 策略、標(biāo)準(zhǔn)和基準(zhǔn)開發(fā) 7
1.4.4 業(yè)務(wù)咨詢 7
1.4.5 體系結(jié)構(gòu)和研究 8
1.4.6 評估和審計(jì) 8
1.4.7 運(yùn)營安全 8
1.5 混合的安全團(tuán)隊(duì)：組織機(jī)構(gòu)分析 9
1.5.1 交朋友 10
1.5.2 董事會 11
1.5.3 內(nèi)部審計(jì) 11
1.5.4 法律方面的考慮 11
1.5.5 IT 11
1.6 做一個(gè)好的CISO 12
1.7 小結(jié) 13
第2章 信息安全策略 14
2.1 軼事 14
2.2 引言 15
2.3 策略、戰(zhàn)略和標(biāo)準(zhǔn)：企業(yè)理論 15
2.3.1 戰(zhàn)略 16
2.3.2 戰(zhàn)術(shù)與策略 17
2.3.3 操作標(biāo)準(zhǔn)和過程 17
2.4 回到安全 18
2.5 安全戰(zhàn)略和安全規(guī)劃過程 18
2.6 重新討論安全策略 22
2.7 重新討論安全標(biāo)準(zhǔn) 25
2.8 一致性和執(zhí)行 26
2.8.1 信息安全宣傳：“胡蘿卜” 27
2.8.2 積極執(zhí)行：“大棒” 28
2.9 小結(jié) 29
第3章 術(shù)語、原理和概念 33
3.1 軼事 33
3.2 引言 33
3.3 CIA：保密性、完整性和可用性 34
3.3.1 保密性 34
3.3.2 完整性 34
3.3.3 可用性 35
3.3.4 認(rèn)可 35
3.3.5 使用CIA的時(shí)機(jī) 36
3.4 弱點(diǎn)周期 36
3.5 控制的類型 38
3.5.1 保護(hù)控制 39
3.5.2 探測控制 39
3.5.3 恢復(fù)控制 39
3.5.4 管理控制 39
3.6 風(fēng)險(xiǎn)分析 40
3.6.1 風(fēng)險(xiǎn)分析的類型 40
3.6.2 定量分析 40
3.6.3 定性分析 41
3.6.4 它如何工作：長處和弱點(diǎn) 41
3.6.5 那么現(xiàn)在做什么 42
3.7 AAA 43
3.7.1 認(rèn)證 43
3.7.2 授權(quán) 44
3.7.3 計(jì)費(fèi) 44
3.7.4 真實(shí)生活中的AAA 45
3.8 其他需要知道的概念 45
3.8.1 最小特權(quán) 45
3.8.2 深度防御 45
3.8.3 故障處理方式 46
3.8.4 隱藏式安全 46
3.9 攻擊的一般類型 46
3.9.1 網(wǎng)絡(luò)枚舉和發(fā)現(xiàn) 46
3.9.2 消息截獲 47
3.9.3 消息注入/地址欺騙 47
3.9.4 會話劫持 47
3.9.5 拒絕服務(wù) 47
3.9.6 消息重放 47
3.9.7 社會工程學(xué) 47
3.9.8 對認(rèn)證服務(wù)的暴力攻擊 48
3.10 小結(jié) 48
第4章 信息安全法律法規(guī) 49
4.1 軼事 49
4.2 引言 50
4.3 英國的立法 50
4.3.1 計(jì)算機(jī)濫用法案1990 50
4.3.2 數(shù)據(jù)保護(hù)法案1998 51
4.3.3 其他的英國法案 53
4.4 美國法律 56
4.4.1 加利福尼亞SB 1386 56
4.4.2 薩班斯－奧克斯利法案2002 57
4.4.3 格雷姆－里奇－比利雷法案（GLBA） 57
4.4.4 健康保險(xiǎn)流通和責(zé)任法案（HIPAA） 58
4.4.5 美國愛國法2001 58
4.5 小結(jié) 58
第5章 信息安全標(biāo)準(zhǔn)和審核 60
5.1 軼事 60
5.2 引言 61
5.3 ISO/IEC 27001:2005:BS 7799現(xiàn)在的情況 67
5.4 PAS 56 67
5.4.1 PAS 56是什么 68
5.4.2 BCM生命周期的各個(gè)階段 68
5.5 FIPS 140-2 70
5.5.1 是否應(yīng)該關(guān)注FIPS 140-2 70
5.5.2 有哪些級別 70
5.6 通用標(biāo)準(zhǔn)認(rèn)證 71
5.7 審核的類型 72
5.7.1 作為財(cái)務(wù)審計(jì)組成部分的計(jì)算機(jī)審核 72
5.7.2 銀行審核 73
5.7.3 SAS 70 73
5.7.4 其他類型的審計(jì) 74
5.7.5 管理審計(jì)的技巧 75
5.8 小結(jié) 76
第6章 面試、老板和職員 77
6.1 軼事 77
6.2 引言 77
6.2.1 作為被面試者 77
6.2.2 面試問卷 80
6.2.3 作為面試者 82
6.3 老板 82
6.3.1 世界上最糟糕老板的亞軍 83
6.3.2 世界上最糟糕的老板 83
6.4 最糟糕的雇員 84
6.5 小結(jié) 85
第7章 基礎(chǔ)設(shè)施的安全 86
7.1 軼事 86
7.2 引言 87
7.2.1 網(wǎng)絡(luò)周邊的安全性 87
7.2.2 公司防火墻 88
7.2.3 遠(yuǎn)程訪問DMZ 92
7.3 電子商務(wù) 93
7.4 檢查 98
7.5 小結(jié) 98
第8章 防火墻 100
8.1 軼事 100
8.2 引言 100
8.2.1 防火墻的概念和作用 100
8.2.2 為什么需要防火墻 102
8.3 防火墻結(jié)構(gòu)和設(shè)計(jì) 103
8.3.1 防火墻類型 103
8.3.2 防火墻的功能 105
8.4 其他類型的防火墻 110
8.4.1 隱形防火墻 110
8.4.2 虛擬防火墻 111
8.5 商業(yè)防火墻 111
8.5.1 Cisco PIX 111
8.5.2 Check Point FireWall-1 116
8.6 小結(jié) 123
第9章 入侵檢測系統(tǒng)：原理 125
9.1 軼事 125
9.2 引言 126
9.3 使用IDS的原因 127
9.4 惱人的NIDS 129
9.4.1 探測缺陷 130
9.4.2 糟糕的部署 134
9.4.3 糟糕的配置 138
9.5 致善于技術(shù)鉆研的讀者 142
9.5.1 Snort 142
9.5.2 RealSecure 143
9.6 小結(jié) 146
第10章 入侵檢測系統(tǒng)：實(shí)踐 147
10.1 軼事 147
10.2 引言：訣竅、技巧和方法 148
10.2.1 部署NIDS：隱形模式 148
10.2.2 生成端口 149
10.2.3 分路器技術(shù) 150
10.2.4 非對稱路由 152
10.3 IDS部署方法論 153
10.4 選擇 154
10.5 部署 155
10.5.1 規(guī)劃傳感器位置并分配位置風(fēng)險(xiǎn) 156
10.5.2 建立監(jiān)控策略和攻擊嚴(yán)重等級 157
10.5.3 響應(yīng) 159
10.5.4 進(jìn)一步動作：IPS 160
10.6 信息管理 161
10.6.1 日志管理 162
10.6.2 控制臺管理 162
10.7 事件響應(yīng)和危機(jī)管理 163
10.7.1 識別 164
10.7.2 記錄 164
10.7.3 通知 164
10.7.4 圍堵對策 164
10.7.5 評估 165
10.7.6 恢復(fù) 165
10.7.7 清除 165
10.7.8 其他有價(jià)值的技巧 166
10.8 測試和微調(diào) 166
10.8.1 微調(diào) 166
10.8.2 測試 167
10.9 小結(jié) 168
第11章 入侵阻止和保護(hù) 169
11.1 軼事 169
11.2 引言 170
11.3 IPS的概念 170
11.4 主動響應(yīng)：IPS的作用 171
11.5 快速瀏覽IPS實(shí)現(xiàn)產(chǎn)品 172
11.5.1 具有主動響應(yīng)的傳統(tǒng)IDS 172
11.5.2 嵌入式保護(hù) 173
11.5.3 欺騙技術(shù) 175
11.5.4 擴(kuò)展的主機(jī)操作系統(tǒng)保護(hù) 176
11.6 部署的示例 177
11.6.1 對付DDoS攻擊 177
11.6.2 一個(gè)開源嵌入式IDS/IPS：Hogwash 180
11.7 小結(jié) 183
第12章 網(wǎng)絡(luò)滲透測試 184
12.1 軼事 184
12.2 引言 185
12.3 滲透測試的類型 186
12.3.1 網(wǎng)絡(luò)滲透測試 186
12.3.2 應(yīng)用程序滲透測試 186
12.3.3 周期性網(wǎng)絡(luò)弱點(diǎn)評估 186
12.3.4 物理安全性 186
12.4 網(wǎng)絡(luò)滲透測試 187
12.4.1 Internet測試過程 187
12.4.2 測試階段 188
12.4.3 內(nèi)部滲透測試 194
12.4.4 應(yīng)用程序滲透測試 194
12.5 所需的控制和文件工作 197
12.5.1 賠償和法律保護(hù) 197
12.5.2 范圍和規(guī)劃 197
12.6 滲透測試和黑客攻擊的區(qū)別 198
12.7 小結(jié) 201
第13章 應(yīng)用程序安全缺陷和應(yīng)用程序測試 202
13.1 軼事 202
13.2 引言 202
13.3 配置管理 204
13.4 未經(jīng)驗(yàn)證的輸入 205
13.4.1 緩沖溢出 206
13.4.2 跨站點(diǎn)腳本 206
13.4.3 SQL注入 209
13.4.4 命令注入 211
13.5 糟糕的身份控制 212
13.5.1 強(qiáng)迫瀏覽 213
13.5.2 URL參數(shù)篡改 214
13.5.3 不安全的存儲 214
13.6 修復(fù)工作 215
13.7 致善于技術(shù)鉆研的讀者 216
13.8 小結(jié) 218本書是一本介紹信息安全管理的實(shí)戰(zhàn)指南，通俗易懂，實(shí)例豐富，并且提供了作者大量的實(shí)際經(jīng)驗(yàn)。全書從信息安全的組織機(jī)構(gòu)開始，對信息安全的原理、概念、法律法規(guī)和標(biāo)準(zhǔn)以及審核進(jìn)行全面介紹后，結(jié)合各種實(shí)際經(jīng)驗(yàn)分析，深入介紹了信息安全管理的切實(shí)方法。全書共分為13章，首先介紹了信息安全組織機(jī)構(gòu)、策略、概念、法規(guī)和標(biāo)準(zhǔn)。然后用實(shí)際經(jīng)歷介紹了信息安全職位的面試和職員情況，最后全面介紹了信息安全管理方面所用工具的原理、使用方法以及各種安全測試方法。
本書通俗易懂，實(shí)例豐富，并且提供了作者的大量實(shí)際經(jīng)驗(yàn)，不但是一本適合信息安全專業(yè)人士的實(shí)戰(zhàn)指南，而且是一本適合各類關(guān)注信息安全的人士閱讀的參考讀物。

1. 零基礎(chǔ)玩轉(zhuǎn)國產(chǎn)大模型DeepSeek [徐永冰 張帥 編著]
2. 網(wǎng)絡(luò)工程師5天修煉（適配第6版考綱） [主編　朱小平 施游]
3. 信息系統(tǒng)項(xiàng)目管理師考試32小時(shí)通關(guān)（適用第4版考綱） [薛大龍]
4. 信息系統(tǒng)管理工程師考試32小時(shí)通關(guān)（適配第2版考綱） [薛大龍　劉偉]
5. 土木工程材料檢測實(shí)訓(xùn) [洪曉江 達(dá)則曉麗 錢波]
6. 科技信息檢索與論文寫作實(shí)用教程 [李振華]
7. 傳統(tǒng)山水畫論解讀與實(shí)踐 [陳鈉 著]
8. Python數(shù)據(jù)庫編程 [主編 殷樹友 邢 翀]
9. 計(jì)算機(jī)基礎(chǔ)實(shí)訓(xùn)指導(dǎo) [主編 袁春萍 朱妮]
10. 嵌入式人工智能技術(shù)應(yīng)用（數(shù)字教材） [主編 胡娜 楊國勇 晏廷榮]
11. Vienna整流器技術(shù) [桂存兵 著]
12. 變頻器與伺服應(yīng)用 [陳剛 葉云飛]
13. 物聯(lián)網(wǎng)工程設(shè)計(jì)與實(shí)踐 [湯琳 李敏]
14. 爐邊夜話——深入淺出話AI [汪建　著]
15. 電商運(yùn)營與管理 [鐘肖英 陳瀟]
16. Java面向?qū)ο蟪绦蛟O(shè)計(jì) [主編 姜春磊 陳虹潔]
17. 信息技術(shù)基礎(chǔ)（Windows 10+WPS Office）（微課版） [主編　石利平　田輝平　謝盛嘉]
18. 人工智能應(yīng)用 [主編　陳　萍　劉培培　陳孟軍]
19. 大學(xué)生職業(yè)發(fā)展與就業(yè)指導(dǎo) [主編　劉志堅(jiān)]
20. 高級辦公應(yīng)用項(xiàng)目教程 [主編 屈晶 趙成麗]
21. 微信小程序開發(fā)項(xiàng)目實(shí)戰(zhàn)（微課版） [主編 黃龍泉 郭峰 朱倩]
22. 企業(yè)檔案工作實(shí)戰(zhàn)寶典百問百答 [華俊 盧秀英 邵甜甜 著]
23. 計(jì)算機(jī)網(wǎng)絡(luò)原理及應(yīng)用 [主編 唐繼勇 葉坤 孫夢娜]
24. 大學(xué)生創(chuàng)業(yè)基礎(chǔ) [主編 王麗莉 王 楊]
25. 船舶輔機(jī) [主編 王連海 于洋 姜淑翠]
26. 大學(xué)生就業(yè)指導(dǎo) [主編 王麗莉 董宴廷]
27. 系統(tǒng)架構(gòu)設(shè)計(jì)師章節(jié)習(xí)題與考點(diǎn)特訓(xùn) [主編 薛大龍 鄒月平]
28. 高校學(xué)生工作探索與實(shí)踐 [郭亮 著]
29. 大學(xué)生情商管理 [方雄 著]
30. 2023年長沙市會展業(yè)發(fā)展報(bào)告 [主編 周棟良]