简介
大多数人不会太关注安全问题,直到他们的个人或商业系统受到攻击。
这种发人深省的现象证
明了数字安全不仅值得思考,而且是个迷人的话题。犯罪分子通过大量创新
取得成功,因此防
御他们的人们也必须具有同样的创新精神。
《安全之美》包括以下内容:
个人信息背后的经济:它的运作方式、犯罪分子之间的关系以及他们攻
击“猎物”的新方法。
社交网络、云计算及其他流行趋势如何帮助或损害在线安全。
度量指标、需求收集、设计和法律如何将安全提高到一个新水平。
PGP不为人知的真实历史。
《安全之美》由Andy Oram和John Viega编写。
目录
《安全之美(分享卓越安全专家的思考)》
前言
第1章 心理上的安全陷阱 1
(作者:peiter“mudge”zatko)
1.1 习得性无助和无从选择 2
1.1.1 实例:microsoft是如何允许l0phtcrack的 3
1.1.2 密码和身份认证可以从一开始就做得更好 6
1.1.3 客户的习得性无助—无从选择 8
1.2 确认陷阱 9
1.2.1 概念简介 10
1.2.2 分析师确认陷阱 11
1.2.3 陈腐的威胁模型 11
1.2.4 正确理解功能 12
1.3 功能锁定 13
1.3.1 安全位置的潜在风险 14
1.3.2 降低成本与未来收益:isp实例 15
1.3.3 降低成本与未来收益:能源实例 16
1.4 小结 19
第2章 无线网络:社会工程的沃土 21
(作者:jim stickley)
.2.1 轻松赚钱 22
2.1.1 设置攻击 23
2.1.2 隐私的聚宝盆 24
2.1.3 web安全的基本缺陷:不要相信可信系统 25
2.1.4 建立无线信任 25
2.1.5 采用可靠的解决方案 26
2.2 无线也疯狂 27
2.2.1 无线侧信道 28
2.2.2 无线接入点自身如何 30
2.3 无线仍然是未来 30
第3章 美丽的安全度量指标 31
(作者:elizabeth a. nichols)
3.1 安全度量指标的类比:健康 32
3.1.1 不合理的期待 33
3.1.2 数据透明性 33
3.1.3 合理的度量指标 34
3.2 安全度量指标的实例 36
3.2.1 巴林银行:内部侵害 36
3.2.2 tjx:外部侵害 46
3.2.3 其他公共数据来源 56
3.3 小结 57
第4章 安全漏洞的地下经济 59
(作者:chenxi wang)
4.1 地下网络的组成和基础设施 60
4.1.1 地下通信基础设施 61
4.1.2 攻击基础设施 61
4.2 回报 62
4.2.1 数据交换 62
4.2.2 信息来源 63
4.2.3 攻击向量 64
4.2.4 洗钱游戏 66
4.3 如何对抗日益增长的地下网络经济 66
4.3.1 降低数据的价值 67
4.3.2 信息的权限分离 67
4.3.3 构建动力/回报结构 67
4.3.4 为数据责任建立评估和声誉体系 67
4.4 小结 68
第5章 美丽的交易:重新思考电子商务的安全 69
(作者:ed bellis)
5.1 解构商业 70
5.1.1 分析安全环境 71
5.2 微弱的改良尝试 71
5.2.1 3d安全 72
5.2.2 安全电子交易 74
5.2.3 单用途和多用途虚拟卡 75
5.2.4 破灭的动机 75
5.3 重塑电子商务:新的安全模型 78
5.3.1 需求1:消费者必须通过认证 78
5.3.2 需求2:商家必须通过认证 79
5.3.3 需求3:交易必须经过授权 79
5.3.4 需求4:认证数据不应被认证方和被认证方之外的其他各方所共享 79
5.3.5 需求5:过程不能完全依赖共享秘密 80
5.3.6 需求6:认证应该是可移植的(不受硬件或协议所限) 80
5.3.7 需求7:数据和交易的机密性和完整性必须得到维护 80
5.4 新模型 80
第6章 捍卫在线广告:新狂野西部的盗匪和警察 83
(作者:benjamin edelman )
6.1 对用户的攻击 83
6.1.1 充满漏洞的横幅广告 83
6.1.2 恶意链接广告 86
6.1.3 欺骗式广告 88
6.2 广告客户也是受害者 91
6.2.1 虚假的印象 92
6.2.2 避开容易受骗的cpm广告 93
6.2.3 广告客户为何不奋起反击 97
6.2.4 其他采购环境的教训:在线采购的特殊挑战 98
6.3 创建在线广告的责任制 98
第7章 pgp信任网络的演变 99
(作者:phil zimmermann和jon callas)
7.1 pgp和openpgp 99
7.2 信任、验证和授权 100
7.2.1 直接信任 101
7.2.2 层次式信任 101
7.2.3 累积式信任 102
7.2.4 基本的pgp信任网络 104
7.2.5 最早的信任网络的毛边 106
7.3 pgp和加密的历史 108
7.3.1 早期的pgp 108
7.3.2 专利和输出问题 109
7.3.3 密码战争 110
7.3.4 从pgp 3到openpgp 111
7.4 对最初信任网络的改进 111
7.4.1 撤销 111
7.4.2 伸缩性问题 114
7.4.3 签名的膨胀和困扰 115
7.4.4 证书内偏好 117
7.4.5 pgp全球目录 118
7.4.6 可变信任评分 119
7.5 未来研究的有趣领域 119
7.5.1 超级合法 119
7.5.2 社交网络和流量分析 119
7.6 参考资料 120
第8章 开源honeyclient:先发制人的客户端漏洞检测 123
(作者:kathy wang)
8.1 进入honeyclient 124
8.2 世界上第一个开源honeyclient简介 125
8.3 第二代honeyclient 127
8.4 honeyclient的操作结果 130
8.4.1 windows xp的透明活动 130
8.4.2 honeyclient数据的存储和关联 131
8.5 漏洞攻击的分析 132
8.6 当前honeyclient实现的限制 134
8.7 相关的工作 135
8.8 honeyclient的未来 137
第9章 未来的安全齿轮和杠杆 139
(作者:mark curphey)
9.1 云计算和web服务:这里是单机 141
9.1.1 创建者和破坏者 142
9.1.2 云计算和web服务是拯救方案 144
9.1.3 新曙光 145
9.2 结合人、流程和技术:业务流程管理的潜力 146
9.2.1 发散型世界的发散型安全 146
9.2.2 bpm作为多站点安全的指导方针 147
9.3 社交网络:当人们开始通信时,大变革发生了 149
9.3.1 社交网络的艺术状态和潜力 150
9.3.2 安全行业的社交网络 151
9.3.3 数字中的安全 152
9.4 信息安全经济:超级数据解析和网络新规则 153
9.5 长尾变型的平台:未来为什么会截然不同 156
9.5.1 生产工具的大众化 156
9.5.2 发行渠道的大众化 157
9.5.3 连接供应和需求 158
9.6 小结 158
9.7 致谢 159
第10章 安全设计 161
(作者:john mcmanus)
10.1 无意义的指标 162
10.2 市场还是质量 164
10.3 符合准则的系统开发周期的作用 168
10.4 结论:安全之美是系统之美的象征 170
第11章 促使公司思考:未来的软件安全吗 173
(作者:jim routh)
11.1 隐式的需求也可能非常强大 173
11.2 公司为什么需要安全的软件 175
11.2.1 如何制订安全计划 176
11.2.2 修正问题 178
11.2.3 把安全计划扩展到外包 179
11.3 对现有的软件进行安全化 180
11.4 分析:如何使世界上的软件更安全 182
11.4.1 最好的软件开发人员创建了具有漏洞的代码 182
11.4.2 microsoft领先一步 183
11.4.3 软件开发商给了我们想要的,却不是我们需要的 184
第12章 信息安全律师来了 187
(作者:randy v. sabett)
12.1 文化 188
12.2 平衡 190
12.2.1 数字签名指南 190
12.2.2 加利福尼亚数据隐私法 191
12.2.3 安全的投资回报率 192
12.3 通信 194
12.3.1 技术狂为何需要律师 194
12.3.2 来自顶层的推动力,通过合作实现 197
12.3.3 数据泄露小虎队 197
12.4 正确做事 198
第13章 美丽的日志处理 199
(作者:anton chuvakin)
13.1 安全法律和标准中的日志 199
13.2 聚焦日志 200
13.3 什么时候日志是极为珍贵的 201
13.4 日志所面临的困难 202
13.5 案例研究:瘫痪服务器的背后 204
13.5.1 事故的架构和环境 204
13.5.2 被观察的事件 204
13.5.3 调查开始 204
13.5.4 使数据起死回生 206
13.5.5 小结 207
13.6 未来的日志 207
13.6.1 来源的扩大化 207
13.6.2 未来的日志分析和管理工具 208
13.7 结论 209
第14章 事件检测:寻找剩余的68% 211
(作者:grant geyer和brian dunphy)
14.1 一个常见起点 212
14.2 改进与上下文相关的检测 213
14.2.1 用流量分析提高覆盖率 214
14.2.2 对监测列表进行综合分析 216
14.3 使用主机日志增强洞察力 217
14.3.1 创建富有弹性的检测模型 218
14.4 小结 222
第15章 无需真实数据就能出色完成工作 225
(作者:peter wayner)
15.1 数据半透明化的工作原理 226
15.2 一个现实的例子 228
15.3 为便利而存储的个人数据 230
15.4 如何权衡 230
15.5 进一步深入 231
15.6 参考资料 232
第16章 铸造新词:pc安全剧场 233
(作者:michael wood和fernando francisco)
16.1 攻击不断增加,防御不断倒退 234
16.1.1 在internet的传送带上 234
16.1.2 不正当行为的回报 235
16.1.3 暴徒的响应 236
16.2 揭穿假象 237
16.2.1 严格审查:传统的和更新的反病毒扫描 237
16.2.2 沙盒和虚拟化:新的银弹 240
16.3 桌面安全的更佳实践 242
16.4 小结 243
附录 作者简介 245
前言
第1章 心理上的安全陷阱 1
(作者:peiter“mudge”zatko)
1.1 习得性无助和无从选择 2
1.1.1 实例:microsoft是如何允许l0phtcrack的 3
1.1.2 密码和身份认证可以从一开始就做得更好 6
1.1.3 客户的习得性无助—无从选择 8
1.2 确认陷阱 9
1.2.1 概念简介 10
1.2.2 分析师确认陷阱 11
1.2.3 陈腐的威胁模型 11
1.2.4 正确理解功能 12
1.3 功能锁定 13
1.3.1 安全位置的潜在风险 14
1.3.2 降低成本与未来收益:isp实例 15
1.3.3 降低成本与未来收益:能源实例 16
1.4 小结 19
第2章 无线网络:社会工程的沃土 21
(作者:jim stickley)
.2.1 轻松赚钱 22
2.1.1 设置攻击 23
2.1.2 隐私的聚宝盆 24
2.1.3 web安全的基本缺陷:不要相信可信系统 25
2.1.4 建立无线信任 25
2.1.5 采用可靠的解决方案 26
2.2 无线也疯狂 27
2.2.1 无线侧信道 28
2.2.2 无线接入点自身如何 30
2.3 无线仍然是未来 30
第3章 美丽的安全度量指标 31
(作者:elizabeth a. nichols)
3.1 安全度量指标的类比:健康 32
3.1.1 不合理的期待 33
3.1.2 数据透明性 33
3.1.3 合理的度量指标 34
3.2 安全度量指标的实例 36
3.2.1 巴林银行:内部侵害 36
3.2.2 tjx:外部侵害 46
3.2.3 其他公共数据来源 56
3.3 小结 57
第4章 安全漏洞的地下经济 59
(作者:chenxi wang)
4.1 地下网络的组成和基础设施 60
4.1.1 地下通信基础设施 61
4.1.2 攻击基础设施 61
4.2 回报 62
4.2.1 数据交换 62
4.2.2 信息来源 63
4.2.3 攻击向量 64
4.2.4 洗钱游戏 66
4.3 如何对抗日益增长的地下网络经济 66
4.3.1 降低数据的价值 67
4.3.2 信息的权限分离 67
4.3.3 构建动力/回报结构 67
4.3.4 为数据责任建立评估和声誉体系 67
4.4 小结 68
第5章 美丽的交易:重新思考电子商务的安全 69
(作者:ed bellis)
5.1 解构商业 70
5.1.1 分析安全环境 71
5.2 微弱的改良尝试 71
5.2.1 3d安全 72
5.2.2 安全电子交易 74
5.2.3 单用途和多用途虚拟卡 75
5.2.4 破灭的动机 75
5.3 重塑电子商务:新的安全模型 78
5.3.1 需求1:消费者必须通过认证 78
5.3.2 需求2:商家必须通过认证 79
5.3.3 需求3:交易必须经过授权 79
5.3.4 需求4:认证数据不应被认证方和被认证方之外的其他各方所共享 79
5.3.5 需求5:过程不能完全依赖共享秘密 80
5.3.6 需求6:认证应该是可移植的(不受硬件或协议所限) 80
5.3.7 需求7:数据和交易的机密性和完整性必须得到维护 80
5.4 新模型 80
第6章 捍卫在线广告:新狂野西部的盗匪和警察 83
(作者:benjamin edelman )
6.1 对用户的攻击 83
6.1.1 充满漏洞的横幅广告 83
6.1.2 恶意链接广告 86
6.1.3 欺骗式广告 88
6.2 广告客户也是受害者 91
6.2.1 虚假的印象 92
6.2.2 避开容易受骗的cpm广告 93
6.2.3 广告客户为何不奋起反击 97
6.2.4 其他采购环境的教训:在线采购的特殊挑战 98
6.3 创建在线广告的责任制 98
第7章 pgp信任网络的演变 99
(作者:phil zimmermann和jon callas)
7.1 pgp和openpgp 99
7.2 信任、验证和授权 100
7.2.1 直接信任 101
7.2.2 层次式信任 101
7.2.3 累积式信任 102
7.2.4 基本的pgp信任网络 104
7.2.5 最早的信任网络的毛边 106
7.3 pgp和加密的历史 108
7.3.1 早期的pgp 108
7.3.2 专利和输出问题 109
7.3.3 密码战争 110
7.3.4 从pgp 3到openpgp 111
7.4 对最初信任网络的改进 111
7.4.1 撤销 111
7.4.2 伸缩性问题 114
7.4.3 签名的膨胀和困扰 115
7.4.4 证书内偏好 117
7.4.5 pgp全球目录 118
7.4.6 可变信任评分 119
7.5 未来研究的有趣领域 119
7.5.1 超级合法 119
7.5.2 社交网络和流量分析 119
7.6 参考资料 120
第8章 开源honeyclient:先发制人的客户端漏洞检测 123
(作者:kathy wang)
8.1 进入honeyclient 124
8.2 世界上第一个开源honeyclient简介 125
8.3 第二代honeyclient 127
8.4 honeyclient的操作结果 130
8.4.1 windows xp的透明活动 130
8.4.2 honeyclient数据的存储和关联 131
8.5 漏洞攻击的分析 132
8.6 当前honeyclient实现的限制 134
8.7 相关的工作 135
8.8 honeyclient的未来 137
第9章 未来的安全齿轮和杠杆 139
(作者:mark curphey)
9.1 云计算和web服务:这里是单机 141
9.1.1 创建者和破坏者 142
9.1.2 云计算和web服务是拯救方案 144
9.1.3 新曙光 145
9.2 结合人、流程和技术:业务流程管理的潜力 146
9.2.1 发散型世界的发散型安全 146
9.2.2 bpm作为多站点安全的指导方针 147
9.3 社交网络:当人们开始通信时,大变革发生了 149
9.3.1 社交网络的艺术状态和潜力 150
9.3.2 安全行业的社交网络 151
9.3.3 数字中的安全 152
9.4 信息安全经济:超级数据解析和网络新规则 153
9.5 长尾变型的平台:未来为什么会截然不同 156
9.5.1 生产工具的大众化 156
9.5.2 发行渠道的大众化 157
9.5.3 连接供应和需求 158
9.6 小结 158
9.7 致谢 159
第10章 安全设计 161
(作者:john mcmanus)
10.1 无意义的指标 162
10.2 市场还是质量 164
10.3 符合准则的系统开发周期的作用 168
10.4 结论:安全之美是系统之美的象征 170
第11章 促使公司思考:未来的软件安全吗 173
(作者:jim routh)
11.1 隐式的需求也可能非常强大 173
11.2 公司为什么需要安全的软件 175
11.2.1 如何制订安全计划 176
11.2.2 修正问题 178
11.2.3 把安全计划扩展到外包 179
11.3 对现有的软件进行安全化 180
11.4 分析:如何使世界上的软件更安全 182
11.4.1 最好的软件开发人员创建了具有漏洞的代码 182
11.4.2 microsoft领先一步 183
11.4.3 软件开发商给了我们想要的,却不是我们需要的 184
第12章 信息安全律师来了 187
(作者:randy v. sabett)
12.1 文化 188
12.2 平衡 190
12.2.1 数字签名指南 190
12.2.2 加利福尼亚数据隐私法 191
12.2.3 安全的投资回报率 192
12.3 通信 194
12.3.1 技术狂为何需要律师 194
12.3.2 来自顶层的推动力,通过合作实现 197
12.3.3 数据泄露小虎队 197
12.4 正确做事 198
第13章 美丽的日志处理 199
(作者:anton chuvakin)
13.1 安全法律和标准中的日志 199
13.2 聚焦日志 200
13.3 什么时候日志是极为珍贵的 201
13.4 日志所面临的困难 202
13.5 案例研究:瘫痪服务器的背后 204
13.5.1 事故的架构和环境 204
13.5.2 被观察的事件 204
13.5.3 调查开始 204
13.5.4 使数据起死回生 206
13.5.5 小结 207
13.6 未来的日志 207
13.6.1 来源的扩大化 207
13.6.2 未来的日志分析和管理工具 208
13.7 结论 209
第14章 事件检测:寻找剩余的68% 211
(作者:grant geyer和brian dunphy)
14.1 一个常见起点 212
14.2 改进与上下文相关的检测 213
14.2.1 用流量分析提高覆盖率 214
14.2.2 对监测列表进行综合分析 216
14.3 使用主机日志增强洞察力 217
14.3.1 创建富有弹性的检测模型 218
14.4 小结 222
第15章 无需真实数据就能出色完成工作 225
(作者:peter wayner)
15.1 数据半透明化的工作原理 226
15.2 一个现实的例子 228
15.3 为便利而存储的个人数据 230
15.4 如何权衡 230
15.5 进一步深入 231
15.6 参考资料 232
第16章 铸造新词:pc安全剧场 233
(作者:michael wood和fernando francisco)
16.1 攻击不断增加,防御不断倒退 234
16.1.1 在internet的传送带上 234
16.1.2 不正当行为的回报 235
16.1.3 暴徒的响应 236
16.2 揭穿假象 237
16.2.1 严格审查:传统的和更新的反病毒扫描 237
16.2.2 沙盒和虚拟化:新的银弹 240
16.3 桌面安全的更佳实践 242
16.4 小结 243
附录 作者简介 245
Beautiful security
- 名称
- 类型
- 大小
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×
