有時候我會被詢問為什么要寫這本書，而我的答案可以總結為一個很簡單的故事。在我為一家大型審計公司工作時，一位審計人員曾打電話找我（我好像認識他），他滿懷熱情地說：“您好，下周我要去參加一個安全管理人員職位的面試，我知道那意味著要與密碼和黑客打交道，但是您能告訴我一些更詳細的東西嗎？”

他一定認為我是不小心掛斷了電話，因為他打回來兩次！

本書不是安全方面最全面的書籍，但我認為它包含許多好的IT安全管理人員應該掌握的內容，它也是我的審計朋友絕不會購買的那種書籍。

信息安全與主流信息技術和其他業務領域的許多其他學科是不同的。雖然現在各個領域都有許多很好的書，但要獲得跨多個子領域的知識仍然很困難，而這一點對于一本成功的圖書來說至關重要。

安全是一個需要從業者在整個機構中操作的領域，而不像IT那樣具有那么多功能。除了某些沒有其他替代方案的忠告之外，一位首席信息安全官（CISO）或安全管理人員可能會被要求提供許多安全方面的建議。有時候最好的建議可能是最大的希望。因此，敏感的安全官員努力在大多數領域擁有良好的基礎。但遺憾的是，許多人不是依靠知識（通過正規課程或自學獲得的）提出建議，而是使用權威的語氣、Google搜索或各種關于“安全策略”的定式來發號施令。有些專家看似知道所有東西，但是他們的建議往往有一半需要反過來使用，他們的建議經常會導致項目延遲甚至罰款，浪費公司幾十萬英磅的費用。

本書基于作者極其豐富的實際經驗編寫而成。作為安全方面的專業人士，作者曾經在安全機構中最高和（可能是）最低的層次中工作過。這為作者提供了一個全面的視角，這種視角可能與其他許多圖書不一樣，但是它能夠幫助你擺正自己的觀點。例如，當一些技術人員夸大防火墻的功能時，你可以使用從本書獲得的知識讓他們修正自己的觀點。

本書的每一章都以作者的“實際經驗”作為開始，內容簡明扼要，但又能夠為讀者提供一些重要的信息。

作者試圖通過本書解釋“我們為什么要這樣工作”這個問題。我不知道這是否是因為我比較聰明，也許是因為我年長一些，在人們還正在試圖解決這個問題時，我已經得到了答案。

關于作者
序
第1章 信息安全的組織機構 1
1.1 軼事 1
1.2 引言 1
1.2.1 信息安全團隊的位置 2
1.2.2 信息安全的位置：通過IT總監向上匯報 2
1.2.3 信息安全的位置：向審計負責人匯報 3
1.2.4 信息安全的位置：向CEO、CTO或CFO匯報 4
1.3 安全團隊的使命 5
1.4 安全職能角色的工作內容 5
1.4.1 突發事件的管理和調查 6
1.4.2 法律法規方面的考慮 6
1.4.3 策略、標準和基準開發 7
1.4.4 業務咨詢 7
1.4.5 體系結構和研究 8
1.4.6 評估和審計 8
1.4.7 運營安全 8
1.5 混合的安全團隊：組織機構分析 9
1.5.1 交朋友 10
1.5.2 董事會 11
1.5.3 內部審計 11
1.5.4 法律方面的考慮 11
1.5.5 IT 11
1.6 做一個好的CISO 12
1.7 小結 13
第2章 信息安全策略 14
2.1 軼事 14
2.2 引言 15
2.3 策略、戰略和標準：企業理論 15
2.3.1 戰略 16
2.3.2 戰術與策略 17
2.3.3 操作標準和過程 17
2.4 回到安全 18
2.5 安全戰略和安全規劃過程 18
2.6 重新討論安全策略 22
2.7 重新討論安全標準 25
2.8 一致性和執行 26
2.8.1 信息安全宣傳：“胡蘿卜” 27
2.8.2 積極執行：“大棒” 28
2.9 小結 29
第3章 術語、原理和概念 33
3.1 軼事 33
3.2 引言 33
3.3 CIA：保密性、完整性和可用性 34
3.3.1 保密性 34
3.3.2 完整性 34
3.3.3 可用性 35
3.3.4 認可 35
3.3.5 使用CIA的時機 36
3.4 弱點周期 36
3.5 控制的類型 38
3.5.1 保護控制 39
3.5.2 探測控制 39
3.5.3 恢復控制 39
3.5.4 管理控制 39
3.6 風險分析 40
3.6.1 風險分析的類型 40
3.6.2 定量分析 40
3.6.3 定性分析 41
3.6.4 它如何工作：長處和弱點 41
3.6.5 那么現在做什么 42
3.7 AAA 43
3.7.1 認證 43
3.7.2 授權 44
3.7.3 計費 44
3.7.4 真實生活中的AAA 45
3.8 其他需要知道的概念 45
3.8.1 最小特權 45
3.8.2 深度防御 45
3.8.3 故障處理方式 46
3.8.4 隱藏式安全 46
3.9 攻擊的一般類型 46
3.9.1 網絡枚舉和發現 46
3.9.2 消息截獲 47
3.9.3 消息注入/地址欺騙 47
3.9.4 會話劫持 47
3.9.5 拒絕服務 47
3.9.6 消息重放 47
3.9.7 社會工程學 47
3.9.8 對認證服務的暴力攻擊 48
3.10 小結 48
第4章 信息安全法律法規 49
4.1 軼事 49
4.2 引言 50
4.3 英國的立法 50
4.3.1 計算機濫用法案1990 50
4.3.2 數據保護法案1998 51
4.3.3 其他的英國法案 53
4.4 美國法律 56
4.4.1 加利福尼亞SB 1386 56
4.4.2 薩班斯－奧克斯利法案2002 57
4.4.3 格雷姆－里奇－比利雷法案（GLBA） 57
4.4.4 健康保險流通和責任法案（HIPAA） 58
4.4.5 美國愛國法2001 58
4.5 小結 58
第5章 信息安全標準和審核 60
5.1 軼事 60
5.2 引言 61
5.3 ISO/IEC 27001:2005:BS 7799現在的情況 67
5.4 PAS 56 67
5.4.1 PAS 56是什么 68
5.4.2 BCM生命周期的各個階段 68
5.5 FIPS 140-2 70
5.5.1 是否應該關注FIPS 140-2 70
5.5.2 有哪些級別 70
5.6 通用標準認證 71
5.7 審核的類型 72
5.7.1 作為財務審計組成部分的計算機審核 72
5.7.2 銀行審核 73
5.7.3 SAS 70 73
5.7.4 其他類型的審計 74
5.7.5 管理審計的技巧 75
5.8 小結 76
第6章 面試、老板和職員 77
6.1 軼事 77
6.2 引言 77
6.2.1 作為被面試者 77
6.2.2 面試問卷 80
6.2.3 作為面試者 82
6.3 老板 82
6.3.1 世界上最糟糕老板的亞軍 83
6.3.2 世界上最糟糕的老板 83
6.4 最糟糕的雇員 84
6.5 小結 85
第7章 基礎設施的安全 86
7.1 軼事 86
7.2 引言 87
7.2.1 網絡周邊的安全性 87
7.2.2 公司防火墻 88
7.2.3 遠程訪問DMZ 92
7.3 電子商務 93
7.4 檢查 98
7.5 小結 98
第8章 防火墻 100
8.1 軼事 100
8.2 引言 100
8.2.1 防火墻的概念和作用 100
8.2.2 為什么需要防火墻 102
8.3 防火墻結構和設計 103
8.3.1 防火墻類型 103
8.3.2 防火墻的功能 105
8.4 其他類型的防火墻 110
8.4.1 隱形防火墻 110
8.4.2 虛擬防火墻 111
8.5 商業防火墻 111
8.5.1 Cisco PIX 111
8.5.2 Check Point FireWall-1 116
8.6 小結 123
第9章 入侵檢測系統：原理 125
9.1 軼事 125
9.2 引言 126
9.3 使用IDS的原因 127
9.4 惱人的NIDS 129
9.4.1 探測缺陷 130
9.4.2 糟糕的部署 134
9.4.3 糟糕的配置 138
9.5 致善于技術鉆研的讀者 142
9.5.1 Snort 142
9.5.2 RealSecure 143
9.6 小結 146
第10章 入侵檢測系統：實踐 147
10.1 軼事 147
10.2 引言：訣竅、技巧和方法 148
10.2.1 部署NIDS：隱形模式 148
10.2.2 生成端口 149
10.2.3 分路器技術 150
10.2.4 非對稱路由 152
10.3 IDS部署方法論 153
10.4 選擇 154
10.5 部署 155
10.5.1 規劃傳感器位置并分配位置風險 156
10.5.2 建立監控策略和攻擊嚴重等級 157
10.5.3 響應 159
10.5.4 進一步動作：IPS 160
10.6 信息管理 161
10.6.1 日志管理 162
10.6.2 控制臺管理 162
10.7 事件響應和危機管理 163
10.7.1 識別 164
10.7.2 記錄 164
10.7.3 通知 164
10.7.4 圍堵對策 164
10.7.5 評估 165
10.7.6 恢復 165
10.7.7 清除 165
10.7.8 其他有價值的技巧 166
10.8 測試和微調 166
10.8.1 微調 166
10.8.2 測試 167
10.9 小結 168
第11章 入侵阻止和保護 169
11.1 軼事 169
11.2 引言 170
11.3 IPS的概念 170
11.4 主動響應：IPS的作用 171
11.5 快速瀏覽IPS實現產品 172
11.5.1 具有主動響應的傳統IDS 172
11.5.2 嵌入式保護 173
11.5.3 欺騙技術 175
11.5.4 擴展的主機操作系統保護 176
11.6 部署的示例 177
11.6.1 對付DDoS攻擊 177
11.6.2 一個開源嵌入式IDS/IPS：Hogwash 180
11.7 小結 183
第12章 網絡滲透測試 184
12.1 軼事 184
12.2 引言 185
12.3 滲透測試的類型 186
12.3.1 網絡滲透測試 186
12.3.2 應用程序滲透測試 186
12.3.3 周期性網絡弱點評估 186
12.3.4 物理安全性 186
12.4 網絡滲透測試 187
12.4.1 Internet測試過程 187
12.4.2 測試階段 188
12.4.3 內部滲透測試 194
12.4.4 應用程序滲透測試 194
12.5 所需的控制和文件工作 197
12.5.1 賠償和法律保護 197
12.5.2 范圍和規劃 197
12.6 滲透測試和黑客攻擊的區別 198
12.7 小結 201
第13章 應用程序安全缺陷和應用程序測試 202
13.1 軼事 202
13.2 引言 202
13.3 配置管理 204
13.4 未經驗證的輸入 205
13.4.1 緩沖溢出 206
13.4.2 跨站點腳本 206
13.4.3 SQL注入 209
13.4.4 命令注入 211
13.5 糟糕的身份控制 212
13.5.1 強迫瀏覽 213
13.5.2 URL參數篡改 214
13.5.3 不安全的存儲 214
13.6 修復工作 215
13.7 致善于技術鉆研的讀者 216
13.8 小結 218本書是一本介紹信息安全管理的實戰指南，通俗易懂，實例豐富，并且提供了作者大量的實際經驗。全書從信息安全的組織機構開始，對信息安全的原理、概念、法律法規和標準以及審核進行全面介紹后，結合各種實際經驗分析，深入介紹了信息安全管理的切實方法。全書共分為13章，首先介紹了信息安全組織機構、策略、概念、法規和標準。然后用實際經歷介紹了信息安全職位的面試和職員情況，最后全面介紹了信息安全管理方面所用工具的原理、使用方法以及各種安全測試方法。
本書通俗易懂，實例豐富，并且提供了作者的大量實際經驗，不但是一本適合信息安全專業人士的實戰指南，而且是一本適合各類關注信息安全的人士閱讀的參考讀物。

1. 輸水管線工程風險管理 [張勇 黨亥生 著]
2. 民用航空飛機標準線路施工 [主編　王志敏　陳明]
3. 不息的水脈—大運河講談錄 [趙珩　著]
4. 實用運籌學 [主編　邢育紅　于晉臣]
5. 三峽梯級電站水資源決策支持系統研究與開發 [姚華明 潘紅忠 湯正]
6. 海南黎族民俗文化鑒賞 [龐國華　著]
7. 石墨烯在太赫茲及中紅外頻段電磁器件設計中的應用 [李艷秀 莊華偉 著]
8. 電子技術（第二版） [主編 覃愛娜 李飛]
9. 辦公自動化高級應用 [陳萍 朱曉玉]
10. 信息處理技術員考試32小時通關 [薛大龍]
11. 電子產品設計案例教程（微課版）—基于嘉立創EDA（專業版） [王靜 莫志宏 陳學昌 丁紅]
12. C程序設計實踐教程 [劉衛國]
13. C程序設計（慕課版） [劉衛國]
14. Web技術開發教程（基于.NET開源MVC框架） [王合闖 韓紅玲 王青正 陳海蕊]
15. 商務英語翻譯教程（筆譯）（第四版） [主編 王軍平]
16. 智慧零售技術與應用 [洪旭 著]
17. 建設工程法規實務 [主編 余瀅]
18. 商務秘書理論與實務（第三版） [主編 張同欽]
19. 程序設計基礎實踐教程（C/C++語言版） [張桂芬 葛麗娜]
20. C++案例項目精講 [主編 楊國興]
21. 勞動爭議處理實務 [主編 王秀卿 羅靜]
22. 工程數學 [主編 郭立娟 王海]
23. 語音識別理論與實踐 [主編　莫宏偉]
24. 信息系統項目管理師章節習題與考點特訓（第二版） [主編 薛大龍]
25. 武術基礎教程 [主編 李代勇 謝志民]
26. 計算機網絡實訓教程 [主編 張浩軍 趙玉娟]
27. 畫法幾何與機械制圖習題集（多學時） [主編 趙軍]
28. HCIA-Datacom認證題庫分類精講 [主 編 韓立剛]
29. SwiftUI完全開發 [李智威 著]
30. 網絡規劃設計師備考一本通 [夏杰 編著]