有時(shí)候我會(huì)被詢問(wèn)為什么要寫(xiě)這本書(shū)，而我的答案可以總結(jié)為一個(gè)很簡(jiǎn)單的故事。在我為一家大型審計(jì)公司工作時(shí)，一位審計(jì)人員曾打電話找我（我好像認(rèn)識(shí)他），他滿懷熱情地說(shuō)：“您好，下周我要去參加一個(gè)安全管理人員職位的面試，我知道那意味著要與密碼和黑客打交道，但是您能告訴我一些更詳細(xì)的東西嗎？”

他一定認(rèn)為我是不小心掛斷了電話，因?yàn)樗�打回�?lái)兩次！

本書(shū)不是安全方面最全面的書(shū)籍，但我認(rèn)為它包含許多好的IT安全管理人員應(yīng)該掌握的內(nèi)容，它也是我的審計(jì)朋友絕不會(huì)購(gòu)買(mǎi)的那種書(shū)籍。

信息安全與主流信息技術(shù)和其他業(yè)務(wù)領(lǐng)域的許多其他學(xué)科是不同的。雖然現(xiàn)在各個(gè)領(lǐng)域都有許多很好的書(shū)，但要獲得跨多個(gè)子領(lǐng)域的知識(shí)仍然很困難，而這一點(diǎn)對(duì)于一本成功的圖書(shū)來(lái)說(shuō)至關(guān)重要。

安全是一個(gè)需要從業(yè)者在整個(gè)機(jī)構(gòu)中操作的領(lǐng)域，而不像IT那樣具有那么多功能。除了某些沒(méi)有其他替代方案的忠告之外，一位首席信息安全官（CISO）或安全管理人員可能會(huì)被要求提供許多安全方面的建議。有時(shí)候最好的建議可能是最大的希望。因此，敏感的安全官員努力在大多數(shù)領(lǐng)域擁有良好的基礎(chǔ)。但遺憾的是，許多人不是依靠知識(shí)（通過(guò)正規(guī)課程或自學(xué)獲得的）提出建議，而是使用權(quán)威的語(yǔ)氣、Google搜索或各種關(guān)于“安全策略”的定式來(lái)發(fā)號(hào)施令。有些專家看似知道所有東西，但是他們的建議往往有一半需要反過(guò)來(lái)使用，他們的建議經(jīng)常會(huì)導(dǎo)致項(xiàng)目延遲甚至罰款，浪費(fèi)公司幾十萬(wàn)英磅的費(fèi)用。

本書(shū)基于作者極其豐富的實(shí)際經(jīng)驗(yàn)編寫(xiě)而成。作為安全方面的專業(yè)人士，作者曾經(jīng)在安全機(jī)構(gòu)中最高和（可能是）最低的層次中工作過(guò)。這為作者提供了一個(gè)全面的視角，這種視角可能與其他許多圖書(shū)不一樣，但是它能夠幫助你擺正自己的觀點(diǎn)。例如，當(dāng)一些技術(shù)人員夸大防火墻的功能時(shí)，你可以使用從本書(shū)獲得的知識(shí)讓他們修正自己的觀點(diǎn)。

本書(shū)的每一章都以作者的“實(shí)際經(jīng)驗(yàn)”作為開(kāi)始，內(nèi)容簡(jiǎn)明扼要，但又能夠?yàn)樽x者提供一些重要的信息。

作者試圖通過(guò)本書(shū)解釋“我們?yōu)槭裁匆�這樣工作”這個(gè)問(wèn)題。我不知道這是否是因?yàn)槲冶容^聰明，也許是因?yàn)槲夷觊L(zhǎng)一些，在人們還正在試圖解決這個(gè)問(wèn)題時(shí)，我已經(jīng)得到了答案。

關(guān)于作者
序
第1章 信息安全的組織機(jī)構(gòu) 1
1.1 軼事 1
1.2 引言 1
1.2.1 信息安全團(tuán)隊(duì)的位置 2
1.2.2 信息安全的位置：通過(guò)IT總監(jiān)向上匯報(bào) 2
1.2.3 信息安全的位置：向?qū)徲?jì)負(fù)責(zé)人匯報(bào) 3
1.2.4 信息安全的位置：向CEO、CTO或CFO匯報(bào) 4
1.3 安全團(tuán)隊(duì)的使命 5
1.4 安全職能角色的工作內(nèi)容 5
1.4.1 突發(fā)事件的管理和調(diào)查 6
1.4.2 法律法規(guī)方面的考慮 6
1.4.3 策略、標(biāo)準(zhǔn)和基準(zhǔn)開(kāi)發(fā) 7
1.4.4 業(yè)務(wù)咨詢 7
1.4.5 體系結(jié)構(gòu)和研究 8
1.4.6 評(píng)估和審計(jì) 8
1.4.7 運(yùn)營(yíng)安全 8
1.5 混合的安全團(tuán)隊(duì)：組織機(jī)構(gòu)分析 9
1.5.1 交朋友 10
1.5.2 董事會(huì) 11
1.5.3 內(nèi)部審計(jì) 11
1.5.4 法律方面的考慮 11
1.5.5 IT 11
1.6 做一個(gè)好的CISO 12
1.7 小結(jié) 13
第2章 信息安全策略 14
2.1 軼事 14
2.2 引言 15
2.3 策略、戰(zhàn)略和標(biāo)準(zhǔn)：企業(yè)理論 15
2.3.1 戰(zhàn)略 16
2.3.2 戰(zhàn)術(shù)與策略 17
2.3.3 操作標(biāo)準(zhǔn)和過(guò)程 17
2.4 回到安全 18
2.5 安全戰(zhàn)略和安全規(guī)劃過(guò)程 18
2.6 重新討論安全策略 22
2.7 重新討論安全標(biāo)準(zhǔn) 25
2.8 一致性和執(zhí)行 26
2.8.1 信息安全宣傳：“胡蘿卜” 27
2.8.2 積極執(zhí)行：“大棒” 28
2.9 小結(jié) 29
第3章 術(shù)語(yǔ)、原理和概念 33
3.1 軼事 33
3.2 引言 33
3.3 CIA：保密性、完整性和可用性 34
3.3.1 保密性 34
3.3.2 完整性 34
3.3.3 可用性 35
3.3.4 認(rèn)可 35
3.3.5 使用CIA的時(shí)機(jī) 36
3.4 弱點(diǎn)周期 36
3.5 控制的類型 38
3.5.1 保護(hù)控制 39
3.5.2 探測(cè)控制 39
3.5.3 恢復(fù)控制 39
3.5.4 管理控制 39
3.6 風(fēng)險(xiǎn)分析 40
3.6.1 風(fēng)險(xiǎn)分析的類型 40
3.6.2 定量分析 40
3.6.3 定性分析 41
3.6.4 它如何工作：長(zhǎng)處和弱點(diǎn) 41
3.6.5 那么現(xiàn)在做什么 42
3.7 AAA 43
3.7.1 認(rèn)證 43
3.7.2 授權(quán) 44
3.7.3 計(jì)費(fèi) 44
3.7.4 真實(shí)生活中的AAA 45
3.8 其他需要知道的概念 45
3.8.1 最小特權(quán) 45
3.8.2 深度防御 45
3.8.3 故障處理方式 46
3.8.4 隱藏式安全 46
3.9 攻擊的一般類型 46
3.9.1 網(wǎng)絡(luò)枚舉和發(fā)現(xiàn) 46
3.9.2 消息截獲 47
3.9.3 消息注入/地址欺騙 47
3.9.4 會(huì)話劫持 47
3.9.5 拒絕服務(wù) 47
3.9.6 消息重放 47
3.9.7 社會(huì)工程學(xué) 47
3.9.8 對(duì)認(rèn)證服務(wù)的暴力攻擊 48
3.10 小結(jié) 48
第4章 信息安全法律法規(guī) 49
4.1 軼事 49
4.2 引言 50
4.3 英國(guó)的立法 50
4.3.1 計(jì)算機(jī)濫用法案1990 50
4.3.2 數(shù)據(jù)保護(hù)法案1998 51
4.3.3 其他的英國(guó)法案 53
4.4 美國(guó)法律 56
4.4.1 加利福尼亞SB 1386 56
4.4.2 薩班斯－奧克斯利法案2002 57
4.4.3 格雷姆－里奇－比利雷法案（GLBA） 57
4.4.4 健康保險(xiǎn)流通和責(zé)任法案（HIPAA） 58
4.4.5 美國(guó)愛(ài)國(guó)法2001 58
4.5 小結(jié) 58
第5章 信息安全標(biāo)準(zhǔn)和審核 60
5.1 軼事 60
5.2 引言 61
5.3 ISO/IEC 27001:2005:BS 7799現(xiàn)在的情況 67
5.4 PAS 56 67
5.4.1 PAS 56是什么 68
5.4.2 BCM生命周期的各個(gè)階段 68
5.5 FIPS 140-2 70
5.5.1 是否應(yīng)該關(guān)注FIPS 140-2 70
5.5.2 有哪些級(jí)別 70
5.6 通用標(biāo)準(zhǔn)認(rèn)證 71
5.7 審核的類型 72
5.7.1 作為財(cái)務(wù)審計(jì)組成部分的計(jì)算機(jī)審核 72
5.7.2 銀行審核 73
5.7.3 SAS 70 73
5.7.4 其他類型的審計(jì) 74
5.7.5 管理審計(jì)的技巧 75
5.8 小結(jié) 76
第6章 面試、老板和職員 77
6.1 軼事 77
6.2 引言 77
6.2.1 作為被面試者 77
6.2.2 面試問(wèn)卷 80
6.2.3 作為面試者 82
6.3 老板 82
6.3.1 世界上最糟糕老板的亞軍 83
6.3.2 世界上最糟糕的老板 83
6.4 最糟糕的雇員 84
6.5 小結(jié) 85
第7章 基礎(chǔ)設(shè)施的安全 86
7.1 軼事 86
7.2 引言 87
7.2.1 網(wǎng)絡(luò)周邊的安全性 87
7.2.2 公司防火墻 88
7.2.3 遠(yuǎn)程訪問(wèn)DMZ 92
7.3 電子商務(wù) 93
7.4 檢查 98
7.5 小結(jié) 98
第8章 防火墻 100
8.1 軼事 100
8.2 引言 100
8.2.1 防火墻的概念和作用 100
8.2.2 為什么需要防火墻 102
8.3 防火墻結(jié)構(gòu)和設(shè)計(jì) 103
8.3.1 防火墻類型 103
8.3.2 防火墻的功能 105
8.4 其他類型的防火墻 110
8.4.1 隱形防火墻 110
8.4.2 虛擬防火墻 111
8.5 商業(yè)防火墻 111
8.5.1 Cisco PIX 111
8.5.2 Check Point FireWall-1 116
8.6 小結(jié) 123
第9章 入侵檢測(cè)系統(tǒng)：原理 125
9.1 軼事 125
9.2 引言 126
9.3 使用IDS的原因 127
9.4 惱人的NIDS 129
9.4.1 探測(cè)缺陷 130
9.4.2 糟糕的部署 134
9.4.3 糟糕的配置 138
9.5 致善于技術(shù)鉆研的讀者 142
9.5.1 Snort 142
9.5.2 RealSecure 143
9.6 小結(jié) 146
第10章 入侵檢測(cè)系統(tǒng)：實(shí)踐 147
10.1 軼事 147
10.2 引言：訣竅、技巧和方法 148
10.2.1 部署NIDS：隱形模式 148
10.2.2 生成端口 149
10.2.3 分路器技術(shù) 150
10.2.4 非對(duì)稱路由 152
10.3 IDS部署方法論 153
10.4 選擇 154
10.5 部署 155
10.5.1 規(guī)劃傳感器位置并分配位置風(fēng)險(xiǎn) 156
10.5.2 建立監(jiān)控策略和攻擊嚴(yán)重等級(jí) 157
10.5.3 響應(yīng) 159
10.5.4 進(jìn)一步動(dòng)作：IPS 160
10.6 信息管理 161
10.6.1 日志管理 162
10.6.2 控制臺(tái)管理 162
10.7 事件響應(yīng)和危機(jī)管理 163
10.7.1 識(shí)別 164
10.7.2 記錄 164
10.7.3 通知 164
10.7.4 圍堵對(duì)策 164
10.7.5 評(píng)估 165
10.7.6 恢復(fù) 165
10.7.7 清除 165
10.7.8 其他有價(jià)值的技巧 166
10.8 測(cè)試和微調(diào) 166
10.8.1 微調(diào) 166
10.8.2 測(cè)試 167
10.9 小結(jié) 168
第11章 入侵阻止和保護(hù) 169
11.1 軼事 169
11.2 引言 170
11.3 IPS的概念 170
11.4 主動(dòng)響應(yīng)：IPS的作用 171
11.5 快速瀏覽IPS實(shí)現(xiàn)產(chǎn)品 172
11.5.1 具有主動(dòng)響應(yīng)的傳統(tǒng)IDS 172
11.5.2 嵌入式保護(hù) 173
11.5.3 欺騙技術(shù) 175
11.5.4 擴(kuò)展的主機(jī)操作系統(tǒng)保護(hù) 176
11.6 部署的示例 177
11.6.1 對(duì)付DDoS攻擊 177
11.6.2 一個(gè)開(kāi)源嵌入式IDS/IPS：Hogwash 180
11.7 小結(jié) 183
第12章 網(wǎng)絡(luò)滲透測(cè)試 184
12.1 軼事 184
12.2 引言 185
12.3 滲透測(cè)試的類型 186
12.3.1 網(wǎng)絡(luò)滲透測(cè)試 186
12.3.2 應(yīng)用程序滲透測(cè)試 186
12.3.3 周期性網(wǎng)絡(luò)弱點(diǎn)評(píng)估 186
12.3.4 物理安全性 186
12.4 網(wǎng)絡(luò)滲透測(cè)試 187
12.4.1 Internet測(cè)試過(guò)程 187
12.4.2 測(cè)試階段 188
12.4.3 內(nèi)部滲透測(cè)試 194
12.4.4 應(yīng)用程序滲透測(cè)試 194
12.5 所需的控制和文件工作 197
12.5.1 賠償和法律保護(hù) 197
12.5.2 范圍和規(guī)劃 197
12.6 滲透測(cè)試和黑客攻擊的區(qū)別 198
12.7 小結(jié) 201
第13章 應(yīng)用程序安全缺陷和應(yīng)用程序測(cè)試 202
13.1 軼事 202
13.2 引言 202
13.3 配置管理 204
13.4 未經(jīng)驗(yàn)證的輸入 205
13.4.1 緩沖溢出 206
13.4.2 跨站點(diǎn)腳本 206
13.4.3 SQL注入 209
13.4.4 命令注入 211
13.5 糟糕的身份控制 212
13.5.1 強(qiáng)迫瀏覽 213
13.5.2 URL參數(shù)篡改 214
13.5.3 不安全的存儲(chǔ) 214
13.6 修復(fù)工作 215
13.7 致善于技術(shù)鉆研的讀者 216
13.8 小結(jié) 218本書(shū)是一本介紹信息安全管理的實(shí)戰(zhàn)指南，通俗易懂，實(shí)例豐富，并且提供了作者大量的實(shí)際經(jīng)驗(yàn)。全書(shū)從信息安全的組織機(jī)構(gòu)開(kāi)始，對(duì)信息安全的原理、概念、法律法規(guī)和標(biāo)準(zhǔn)以及審核進(jìn)行全面介紹后，結(jié)合各種實(shí)際經(jīng)驗(yàn)分析，深入介紹了信息安全管理的切實(shí)方法。全書(shū)共分為13章，首先介紹了信息安全組織機(jī)構(gòu)、策略、概念、法規(guī)和標(biāo)準(zhǔn)。然后用實(shí)際經(jīng)歷介紹了信息安全職位的面試和職員情況，最后全面介紹了信息安全管理方面所用工具的原理、使用方法以及各種安全測(cè)試方法。
本書(shū)通俗易懂，實(shí)例豐富，并且提供了作者的大量實(shí)際經(jīng)驗(yàn)，不但是一本適合信息安全專業(yè)人士的實(shí)戰(zhàn)指南，而且是一本適合各類關(guān)注信息安全的人士閱讀的參考讀物。

1. 輸水管線工程風(fēng)險(xiǎn)管理 [張勇 黨亥生 著]
2. 民用航空飛機(jī)標(biāo)準(zhǔn)線路施工 [主編　王志敏　陳明]
3. 不息的水脈—大運(yùn)河講談錄 [趙珩　著]
4. 實(shí)用運(yùn)籌學(xué) [主編　邢育紅　于晉臣]
5. 三峽梯級(jí)電站水資源決策支持系統(tǒng)研究與開(kāi)發(fā) [姚華明 潘紅忠 湯正]
6. 海南黎族民俗文化鑒賞 [龐國(guó)華　著]
7. 石墨烯在太赫茲及中紅外頻段電磁器件設(shè)計(jì)中的應(yīng)用 [李艷秀 莊華偉 著]
8. 電子技術(shù)（第二版） [主編 覃愛(ài)娜 李飛]
9. 辦公自動(dòng)化高級(jí)應(yīng)用 [陳萍 朱曉玉]
10. 信息處理技術(shù)員考試32小時(shí)通關(guān) [薛大龍]
11. 電子產(chǎn)品設(shè)計(jì)案例教程（微課版）—基于嘉立創(chuàng)EDA（專業(yè)版） [王靜 莫志宏 陳學(xué)昌 丁紅]
12. C程序設(shè)計(jì)實(shí)踐教程 [劉衛(wèi)國(guó)]
13. C程序設(shè)計(jì)（慕課版） [劉衛(wèi)國(guó)]
14. Web技術(shù)開(kāi)發(fā)教程（基于.NET開(kāi)源MVC框架） [王合闖 韓紅玲 王青正 陳海蕊]
15. 商務(wù)英語(yǔ)翻譯教程（筆譯）（第四版） [主編 王軍平]
16. 智慧零售技術(shù)與應(yīng)用 [洪旭 著]
17. 建設(shè)工程法規(guī)實(shí)務(wù) [主編 余瀅]
18. 商務(wù)秘書(shū)理論與實(shí)務(wù)（第三版） [主編 張同欽]
19. 程序設(shè)計(jì)基礎(chǔ)實(shí)踐教程（C/C++語(yǔ)言版） [張桂芬 葛麗娜]
20. C++案例項(xiàng)目精講 [主編 楊國(guó)興]
21. 勞動(dòng)爭(zhēng)議處理實(shí)務(wù) [主編 王秀卿 羅靜]
22. 工程數(shù)學(xué) [主編 郭立娟 王海]
23. 語(yǔ)音識(shí)別理論與實(shí)踐 [主編　莫宏偉]
24. 信息系統(tǒng)項(xiàng)目管理師章節(jié)習(xí)題與考點(diǎn)特訓(xùn)（第二版） [主編 薛大龍]
25. 武術(shù)基礎(chǔ)教程 [主編 李代勇 謝志民]
26. 計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)教程 [主編 張浩軍 趙玉娟]
27. 畫(huà)法幾何與機(jī)械制圖習(xí)題集（多學(xué)時(shí)） [主編 趙軍]
28. HCIA-Datacom認(rèn)證題庫(kù)分類精講 [主 編 韓立剛]
29. SwiftUI完全開(kāi)發(fā) [李智威 著]
30. 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師備考一本通 [夏杰 編著]