书籍详情
![《::安全攻防入门》[49M]百度网盘|亲测有效|pdf下载](/uploads/2024-01-20/a68c516024c0d89a.jpg)
::安全攻防入门
- 出版社:万泽惠远图书专营店
- 出版时间:2013-05
- 热度:11844
- 上架时间:2024-06-30 09:38:03
- 价格:0.0
书籍下载
书籍预览
免责声明
本站支持尊重有效期内的版权/著作权,所有的资源均来自于互联网网友分享或网盘资源,一旦发现资源涉及侵权,将立即删除。希望所有用户一同监督并反馈问题,如有侵权请联系站长或发送邮件到ebook666@outlook.com,本站将立马改正
内容介绍
基本信息
参考信息(以实物为准)
内容简介
通过聚焦于现实世界中的生动实例,并采用一种面向实践的信息安全讲述方法,这本书围绕如下4个重要主题进行组织并展开:
密码学技术:包括经典密码系统、对称密钥加密技术、公开密钥加密技术、哈希函数、随机数技术、信息隐藏技术以及密码分析技术等。
访问控制:包括身份认证和授权、基于口令的安全、访问控制列表和访问能力列表、多级安全性和分隔项技术、隐藏通道和接口控制、诸如BLP和Biba之类的安全模型、防火墙以及入侵检测系统等。
协议:包括简单身份认证协议、会话密钥、完全正向保密、时间戳技术、SSH协议、SSL协议、IPSec协议、Kerberos协议、WEP协议以及GSM协议等。
软件安全:包括软件缺陷和恶意软件、缓冲区溢出、病毒和蠕虫、恶意软件检测、软件逆向工程、数字版权管理、安全软件开发以及操作系统安全等。
在该书第2版中,特别引入了一些比较新的内容,其中涉及的安全主题包括SSH协议和WEP协议、实际的RSA计时攻击技术、僵尸网络以及安全证书等。同时还增加了一些新的背景知识,包括Enigma密码机以及一部分关于经典“橘皮书”之安全观的内容。此外,《信息安全原理与实践(第2版)》还有一大特色,就是大幅度地扩展和更新课后思考题,并增补了许多新的图解、表格和图形,用以阐明和澄清一些复杂的主题和问题。最后,对于课程开发来说,还有一组综合性的课堂测试用的PowerPoint幻灯片文件以及问题解答手册可供利用。
密码学技术:包括经典密码系统、对称密钥加密技术、公开密钥加密技术、哈希函数、随机数技术、信息隐藏技术以及密码分析技术等。
访问控制:包括身份认证和授权、基于口令的安全、访问控制列表和访问能力列表、多级安全性和分隔项技术、隐藏通道和接口控制、诸如BLP和Biba之类的安全模型、防火墙以及入侵检测系统等。
协议:包括简单身份认证协议、会话密钥、完全正向保密、时间戳技术、SSH协议、SSL协议、IPSec协议、Kerberos协议、WEP协议以及GSM协议等。
软件安全:包括软件缺陷和恶意软件、缓冲区溢出、病毒和蠕虫、恶意软件检测、软件逆向工程、数字版权管理、安全软件开发以及操作系统安全等。
在该书第2版中,特别引入了一些比较新的内容,其中涉及的安全主题包括SSH协议和WEP协议、实际的RSA计时攻击技术、僵尸网络以及安全证书等。同时还增加了一些新的背景知识,包括Enigma密码机以及一部分关于经典“橘皮书”之安全观的内容。此外,《信息安全原理与实践(第2版)》还有一大特色,就是大幅度地扩展和更新课后思考题,并增补了许多新的图解、表格和图形,用以阐明和澄清一些复杂的主题和问题。最后,对于课程开发来说,还有一组综合性的课堂测试用的PowerPoint幻灯片文件以及问题解答手册可供利用。
前言序言
我讨厌黑盒子。我写作本书的目的之一就是要将某些惯用的黑盒子拆解开来,公之于众,这些黑盒子在当今的信息安全类书籍中比比皆是。另一方面,我也不希望你劳神费力地钻入牛角尖去对付那些琐碎的细枝末节(若你果真有此爱好的话,还可以移步去看相关的RFC文档)。所以,我通常会一笔带过那些我确信与当前所讨论主题并不相干的□部和详情。至于在上述两个貌似互斥的目标之间,我是否已实现了合理的平衡,还有赖于读者您的判定。
我已努力追求所提供的内容能够保持与时俱进,以便可以涵盖更加宽泛的诸多议题。我的目标是要对每一个议题覆盖得恰到好处,使得所提供的具体内容刚好足够你去领会相关的基本安全问题,同时又不至于陷入到无谓的细节当中不能自拔。我也会尝试对一些要点进行不断地强调和反复重申,以便那些关键性的信息不至于滑出你的视野。
我的另一个目标是要把这些主题以一种生动鲜活并且充满趣味的形式呈现出来。如果任何计算机科学的主题都能够做到富有乐趣并令人兴奋,那么信息安全也理应如此。安全是正在进行时,安全还处于新闻热议中——这个话题显然足够新鲜活泼,也足以激动人心。
我也尝试在这些素材当中注入一点点的幽默感。人们说,幽默源自伤痛。所以,其中的冷暖,请根据我开玩笑的水平细细品味,我只能说我所引领的是一种令人向往的梦幻生活。不管怎样,大部分真正不良的俏皮话都挤在狭小的脚注里,所以倒不至于太跑题。
有些信息安全的教科书会堆砌大块干燥乏味且一无是处的理论说辞。任何一本这样的著作,读来都会像研读一本微积分教材那般充满刺激和挑战。另外的一些读本所提供的内容,则看起来就像是一种对于信息的随机性收集,而其中的信息却是显然毫不相干的事实罗列。这就会给人们留下一种印象,安全实际上根本不是一个有机结合的主题。此外,还有一些书籍,会将一些高级的管理学上的老生常谈汇集到一起作为主题来介绍。最后,另有一些文本和教义选择聚焦在信息安全领域中与人相关的因素上面。虽然所有的这些教授方法都有其自身的定位,但我还是认为,首先并且也最为重要的是:对于处在基础层面的技术的固有优势和不足,安全工程师必须要有扎扎实实的理解。
信息安全是一个庞大的主题,而且又不像其他更为成熟的一些学科领域,所以对于像这样的一本书究竟应该包含哪些素材,或者到底如何组织才最佳,也都无法给出清晰明确的回答。我选择围绕以下4个主要议题来组织本书:
密码学技术
访问控制
协议
软件安全
根据我的习惯,这些议题都是相当有弹性的。举个例子,在访问控制这一议题之下,我包含了有关身份认证和授权相关的传统主题,同时也包含了诸如防火墙和CAPTCHA验证码之类的非传统主题。关于软件的议题尤其灵活,其中包含了形形色色的多个主题,就像安全软件开发、恶意软件、软件逆向工程以及操作系统之类的内容。
虽然这本书是着眼于对实践问题的研究,但我还是尽量覆盖了足够多的基本原理,以备你可以在这个领域中展开更深入的研究。而且,我也力争尽可能地□□化所需要的背景知识。特别是,对于数学形式的表达,已经控制到了□□限度(在附录中有简要的回顾,其中包含了本书中涉及的所有数学主题)。尽管存在这些自我强加的限制因素,但我仍然相信,相比除此之外的大部分安全类书籍,这本书容纳了更具实质性的密码学技术相关内容。此外,所需要的计算机科学知识背景也被降到了□□——入门级的计算机组成原理课程(或是与此相当的经验)已经是绰绰有余了。如果有一些编程经验,再加上一点儿汇编语言的基本知识,将会有助于更好地理解某几个小节的内容,不过这都不是必需的。还有几个小节会涉及一些网络技术基础知识,所以在附录中也包含简短的关于网络技术的回顾,提供了足够多的背景材料。
如果你是一名信息技术方面的专业人士,正在尝试学习更多有关安全的内容,那么我建议你完整地阅读本书。不过,如果你想躲过那些最有可能带来羁绊,同时又对全书的整体性阅读不会产生重要影响的素材,那么你大可以放心地跳过4.5节、整个的第6章(虽然6.6节值得强力推荐)以及8.4节。
如果你正在讲授一门安全课程,那么你需要认识到,这本书所包含的素材已经超过了一个学期的课程所能涵盖的内容。通常情况下,在我的本科生安全课程中,我所遵循的课程计划就如表Q-1中给出的课程表。这个课程安排允许有充足的时间去覆盖一些可选的主题。
如果认为表Q-1中所示的课程表过于繁忙(共需40个课时),你可以砍掉第8章的8.9节,以及第12章和第13章中的某些主题。当然,关于这个课程表,还有许多其他的调整也都是可行的。
我已努力追求所提供的内容能够保持与时俱进,以便可以涵盖更加宽泛的诸多议题。我的目标是要对每一个议题覆盖得恰到好处,使得所提供的具体内容刚好足够你去领会相关的基本安全问题,同时又不至于陷入到无谓的细节当中不能自拔。我也会尝试对一些要点进行不断地强调和反复重申,以便那些关键性的信息不至于滑出你的视野。
我的另一个目标是要把这些主题以一种生动鲜活并且充满趣味的形式呈现出来。如果任何计算机科学的主题都能够做到富有乐趣并令人兴奋,那么信息安全也理应如此。安全是正在进行时,安全还处于新闻热议中——这个话题显然足够新鲜活泼,也足以激动人心。
我也尝试在这些素材当中注入一点点的幽默感。人们说,幽默源自伤痛。所以,其中的冷暖,请根据我开玩笑的水平细细品味,我只能说我所引领的是一种令人向往的梦幻生活。不管怎样,大部分真正不良的俏皮话都挤在狭小的脚注里,所以倒不至于太跑题。
有些信息安全的教科书会堆砌大块干燥乏味且一无是处的理论说辞。任何一本这样的著作,读来都会像研读一本微积分教材那般充满刺激和挑战。另外的一些读本所提供的内容,则看起来就像是一种对于信息的随机性收集,而其中的信息却是显然毫不相干的事实罗列。这就会给人们留下一种印象,安全实际上根本不是一个有机结合的主题。此外,还有一些书籍,会将一些高级的管理学上的老生常谈汇集到一起作为主题来介绍。最后,另有一些文本和教义选择聚焦在信息安全领域中与人相关的因素上面。虽然所有的这些教授方法都有其自身的定位,但我还是认为,首先并且也最为重要的是:对于处在基础层面的技术的固有优势和不足,安全工程师必须要有扎扎实实的理解。
信息安全是一个庞大的主题,而且又不像其他更为成熟的一些学科领域,所以对于像这样的一本书究竟应该包含哪些素材,或者到底如何组织才最佳,也都无法给出清晰明确的回答。我选择围绕以下4个主要议题来组织本书:
密码学技术
访问控制
协议
软件安全
根据我的习惯,这些议题都是相当有弹性的。举个例子,在访问控制这一议题之下,我包含了有关身份认证和授权相关的传统主题,同时也包含了诸如防火墙和CAPTCHA验证码之类的非传统主题。关于软件的议题尤其灵活,其中包含了形形色色的多个主题,就像安全软件开发、恶意软件、软件逆向工程以及操作系统之类的内容。
虽然这本书是着眼于对实践问题的研究,但我还是尽量覆盖了足够多的基本原理,以备你可以在这个领域中展开更深入的研究。而且,我也力争尽可能地□□化所需要的背景知识。特别是,对于数学形式的表达,已经控制到了□□限度(在附录中有简要的回顾,其中包含了本书中涉及的所有数学主题)。尽管存在这些自我强加的限制因素,但我仍然相信,相比除此之外的大部分安全类书籍,这本书容纳了更具实质性的密码学技术相关内容。此外,所需要的计算机科学知识背景也被降到了□□——入门级的计算机组成原理课程(或是与此相当的经验)已经是绰绰有余了。如果有一些编程经验,再加上一点儿汇编语言的基本知识,将会有助于更好地理解某几个小节的内容,不过这都不是必需的。还有几个小节会涉及一些网络技术基础知识,所以在附录中也包含简短的关于网络技术的回顾,提供了足够多的背景材料。
如果你是一名信息技术方面的专业人士,正在尝试学习更多有关安全的内容,那么我建议你完整地阅读本书。不过,如果你想躲过那些最有可能带来羁绊,同时又对全书的整体性阅读不会产生重要影响的素材,那么你大可以放心地跳过4.5节、整个的第6章(虽然6.6节值得强力推荐)以及8.4节。
如果你正在讲授一门安全课程,那么你需要认识到,这本书所包含的素材已经超过了一个学期的课程所能涵盖的内容。通常情况下,在我的本科生安全课程中,我所遵循的课程计划就如表Q-1中给出的课程表。这个课程安排允许有充足的时间去覆盖一些可选的主题。
如果认为表Q-1中所示的课程表过于繁忙(共需40个课时),你可以砍掉第8章的8.9节,以及第12章和第13章中的某些主题。当然,关于这个课程表,还有许多其他的调整也都是可行的。
目录
第1章 引言
1.1 角色列表
1.2 Alice的网上银行
1.2.1 机密性、完整性和可用性
1.2.2 CIA并不是全部
1.3 关于本书
1.3.1 密码学技术
1.3.2 访问控制
1.3.3 协议
1.3.4 软件安全
1.4 人的问题
1.5 原理和实践
1.6 思考题
第Ⅰ部分 加密
第2章 加密基础
2.1 引言
2.2 何谓“加密
2.3 经典加密
2.3.1 简单替换密码
2.3.2 简单替换的密码分析
2.3.3 安全的定义
2.3.4 双换位密码
2.3.5 一次性密码本
2.3.6 VENONA项目
2.3.7 电报密码本
2.3.8 1876选举密码
2.4 现代加密技术的□□
2.5 加密技术的分类
2.6 密码分析技术的分类
2.7 小结
2.8 思考题
第3章 对称密钥加密
3.1 引言
3.2 流密码加密
3.2.1 A5/1算法
3.2.2 RC4算法
3.3 分组密码加密
3.3.1 Feistel密码
3.3.2 DES
3.3.3 三重DES
3.3.4 AES
3.3.5 另外三个分组密码加密算法
3.3.6 TEA算法
3.3.7 分组密码加密模式
3.4 完整性
3.5 小结
3.6 思考题
第4章 公开密钥加密
4.1 引言
4.2 背包加密方案
4.3 RSA
4.3.1 教科书式的RSA体制范例
4.3.2 重复平方方法
4.3.3 加速RSA加密体制
4.4 Diffie-Hellman密钥交换算法
4.5 椭圆曲线加密
4.5.1 椭圆曲线的数学原理
4.5.2 基于椭圆曲线的Diffie-He密钥交换方案
4.5.3 现实中的椭圆曲线加密案例
4.6 公开密钥体制的表示方法
4.7 公开密钥加密体制的应用
4.7.1 真实世界中的机密性
4.7.2 数字签名和不可否认性
4.7.3 机密性和不可否认性
4.8 公开密钥基础设施
4.9 小结
4.10 思考题
第5章 哈希函数及其他
5.1 引言
5.2 什么是加密哈希函数
5.3 生日问题
5.4 生日攻击
5.5 非加密哈希
5.6 Tiger Hash
5.7 HMAC
5.8 哈希函数的用途
5.8.1 网上竞价
5.8.2 垃圾邮件减阻
5.9 其他与加密相关的主题
5.9.1 秘密共享
5.9.2 随机数
5.9.3 信息隐藏
5.1 0小结
5.1 1思考题
第6章 高级密码分析
6.1 引言
6.2 Enigma密码机分析
6.2.1 Erugma密码机
……
第Ⅱ部分访问控制
第Ⅲ部分 协议
第Ⅳ部分 软件
附录
参考文献
1.1 角色列表
1.2 Alice的网上银行
1.2.1 机密性、完整性和可用性
1.2.2 CIA并不是全部
1.3 关于本书
1.3.1 密码学技术
1.3.2 访问控制
1.3.3 协议
1.3.4 软件安全
1.4 人的问题
1.5 原理和实践
1.6 思考题
第Ⅰ部分 加密
第2章 加密基础
2.1 引言
2.2 何谓“加密
2.3 经典加密
2.3.1 简单替换密码
2.3.2 简单替换的密码分析
2.3.3 安全的定义
2.3.4 双换位密码
2.3.5 一次性密码本
2.3.6 VENONA项目
2.3.7 电报密码本
2.3.8 1876选举密码
2.4 现代加密技术的□□
2.5 加密技术的分类
2.6 密码分析技术的分类
2.7 小结
2.8 思考题
第3章 对称密钥加密
3.1 引言
3.2 流密码加密
3.2.1 A5/1算法
3.2.2 RC4算法
3.3 分组密码加密
3.3.1 Feistel密码
3.3.2 DES
3.3.3 三重DES
3.3.4 AES
3.3.5 另外三个分组密码加密算法
3.3.6 TEA算法
3.3.7 分组密码加密模式
3.4 完整性
3.5 小结
3.6 思考题
第4章 公开密钥加密
4.1 引言
4.2 背包加密方案
4.3 RSA
4.3.1 教科书式的RSA体制范例
4.3.2 重复平方方法
4.3.3 加速RSA加密体制
4.4 Diffie-Hellman密钥交换算法
4.5 椭圆曲线加密
4.5.1 椭圆曲线的数学原理
4.5.2 基于椭圆曲线的Diffie-He密钥交换方案
4.5.3 现实中的椭圆曲线加密案例
4.6 公开密钥体制的表示方法
4.7 公开密钥加密体制的应用
4.7.1 真实世界中的机密性
4.7.2 数字签名和不可否认性
4.7.3 机密性和不可否认性
4.8 公开密钥基础设施
4.9 小结
4.10 思考题
第5章 哈希函数及其他
5.1 引言
5.2 什么是加密哈希函数
5.3 生日问题
5.4 生日攻击
5.5 非加密哈希
5.6 Tiger Hash
5.7 HMAC
5.8 哈希函数的用途
5.8.1 网上竞价
5.8.2 垃圾邮件减阻
5.9 其他与加密相关的主题
5.9.1 秘密共享
5.9.2 随机数
5.9.3 信息隐藏
5.1 0小结
5.1 1思考题
第6章 高级密码分析
6.1 引言
6.2 Enigma密码机分析
6.2.1 Erugma密码机
……
第Ⅱ部分访问控制
第Ⅲ部分 协议
第Ⅳ部分 软件
附录
参考文献
作者简介
张戈,某大型企业IT架构师,CISSP讲师,硕士学历,毕业于北京大学信息科学技术学院。自上世纪90年代涉足IT领域,从事数据库、计算机网络,以及音视频编解码等相关软件研发工作多年,在网络与信息安全、模式识别与图像处理、信息系统数据建模等领域有丰富的科研和实践经验。目前主要从事企业IT系统规划和技术架构研究等方面的工作。