安全之美

出版社:机械工业出版社华章公司
出版日期:2011-4-28
ISBN:9787111334774
作者:Andy Oram,John Viega
页数:253页

章节摘录

版权页:插图:1.1.3 客户的习得性无助无从选择正如我们所看到的那样,Micfosoft在向后兼容方面作出的选择所导致的不良安全问题可能会让他们的顾客在环境、技术能力以及接受改变的意愿方面产生自暴自弃的观点(不管是否正当)。我把当前网络上的另一个(甚至更大的)安全问题归因于开发商的习得性无助和顾客的无从选择这两个因素的结合。大量的审查显示,大多数网络交换机的生产商有意把交换机设计为“失败时打开”而不是“失败时关闭”。交换机用于在数据链路层上的系统之间移动数据包。在这种情况下,“失败时关闭”意味着设备要么关闭并停止发挥作用,或者以一种“安全的”方式停止操作。这样,数据就不会通过存在问题的系统被传递。反之,“失败时打开”意味着系统停止执行任何智能功能,而是盲目地发送它从所有端口所接收到的数据包(注3)。在本质上,“失败时打开”的交换机相当于把自身变成了一个哑的集线器。如果只想消极地嗅探自己并不想要的网络交通,那么哑的集线器可能正是我们所需要的。功能正常的交换机试图只把流量发送到合适的目的地。许多机构觉得消极的网络嗅探并不是实实在在的威胁,因为许多交换机都是这样运行的。但在当前,把一个嗅探器连接到一个被交换的LAN并观察自己不应该看到的数据是极为常见的做法,常常会导致该机构的网络部门的极度惊奇。他们并没有意识到生产商不惜一切代价避免连接断开的决定(很可能是害怕顾客由于间歇性中断而产生的狂怒),因此当交换机在遇到缺陷、安全攻击或者对某些数据包的处理缺乏明确的指令等事件时,就把交换机恢复到哑的广播模式。换句话说,生产商安静地为他们的顾客作出了最适合顾客的决定。我相信如果顾客能够决定哪种方式更适合自己的利益,无疑会让他们处于更加有利的位置。虽然对于装配线而言,让交换机在失败时打开无疑要比在失败时关闭更合适,但也有一些情况下交换机用于分离重要的流量并隔离内部的域和系统。在这种情况下,对于顾客而言,最好的方式就是交换机在失败时关闭并发送一个警报。顾在至少应该拥有选择的权力。

前言

  前言  如果有人相信新闻标题可以揭示趋势,那么对于计算机安全领域而言现在是个有趣的时刻。当《安全之美》出版时,我阅读了一个能够打开麦克风和摄像头并窃取数据的软件的部分代码。这个软件在103个国家的超过1200台计算机上安装,尤其是在大使馆和其他敏感的政府部门。另外,一家法庭支持美国调查官在没有得到授权的情况下可以查看电话和Internet记录(只要交谈的另一端是在美国境外)。最新公布的漏洞包括Adobe Acrobat和Adobe Reader的一个缓冲区溢出漏洞(当前常称为漏洞攻击,英文为exploit),允许攻击者在用户打开PDF之后在用户的系统中通过用户的权限执行任意代码。  新闻标题实际上并不能很好地提示趋势,因为在漫长的历史中,它是由微妙的革命性变化所驱动的,而这种变化往往只有少数人注意到,例如编写本书的前沿安全专家们。读者可以在本书中发现安全威胁的发展方向以及针对它们的响应。  我在第一段中所提到的所有令人惊恐的新闻对于安全领域而言只是普通的业务而已。是的,它们正是我们应该担忧的安全趋势的一部分,但我们还需要注意更新的、更不易被觉察的漏洞。《安全之美》的作者们数十年来一直奋斗在第一线,努力发现我们的工作习惯中的脆弱环节,并提议用非常规的方式来处理它们。  为什么安全是美丽的  我要求安全专家John Viega想方设法为本书寻找一些作者,以便向普通计算机用户提供一些与安全有关的观点。除了在媒体上所看到的骇人听闻的关于网络入侵和盗窃的新闻之外,普通人一般都觉得安全是一件乏味的事情。  对许多人而言,安全就是系统管理员喋喋不休地提醒他们创建备份文件夹,无穷无尽的在网页显示之前跳出来的要求输入密码的对话框。办公室职员每次抄读办公桌边的笔记本上所记录的密码时都怒目圆睁小声咒骂(笔记本就放在打印出来的预算材料的上面,事实上办公室管理人员要求应该将它锁在抽屉里面)。如果这就是安全,那还会有谁想从事这个职业呢?谁会从O'Reilly购买一本关于安全的书呢?谁会一次花费半分钟以上的时间去思考安全呢?  对于那些肩负创建安全系统任务的人们,他们所付出的努力看上去是毫无希望的。站在旁边的人不会对他们的工作提供任何协助,业务经理也拒绝在安全上多花一分钱。程序员和系统管理员由于他们必须使用的工具和语言存在没完没了的零日攻击和未打补丁的漏洞也逐渐变得懒散起来。  这就是为什么关于安全的书卖得很差(尽管在过去的一两年里销量有所上扬)。关于如何入侵系统的书要比关于如何保护系统的书好卖得多,这个趋势着实令我震惊。  是的,本书应该改变这个现象。它应该向读者展示安全是一项最为激动人心的职业。它并不枯燥,也没有太多的官僚主义,更没有太多的约束。事实上,它和其他技术一样充满着想象力。  多年以来,我编辑过的大多数编程书籍都提供了关于安全的内容。这样的内容当然是非常实用的,因为它们允许作者讲述一些基本原则和一些良好习惯。但是,我已经对这种做法感到厌烦,因为它为安全话题划了一条分界线。它所灌输的都是一些老生常谈的安全观点,是一些锦上添花或者事后诸葛亮的东西。本书将颠覆这些观念。  John为本书选择了一些作者,他们已经在安全领域证明了自己具有独特的观点,并且有一些新的思路要和大家分享。有些作者设计了数以千计的人所依赖的系统,有些作者在大型公司担任高管职位,有些作者曾为法庭作证并为政府部门工作。所有的作者都在寻找普通人所不知道的问题和解决方案,但是这可能需要几年的时间才会收到成效。  本书的作者指出:有效的安全需要你始终保持警惕。它会打破技术、认知和组织结构的边界。安全界的黑帽们千方百计通过创新来取得成功。因此,负责防御他们的人们同样需要创新。  本书的作者肩负着世界范围内的信息安全使命,让他们抽出时间编写本书是一件很困难的事。事实上,许多作者在平衡本职工作和本书的写作任务时感受到了压力。但是,他们所花的时间是值得的,因为本书将会促进他们实现更远大的目标。如果有更多的人对安全领域产生兴趣,决定进一步对它进行探索,并向尝试通过组织上的变化以实现更好保护的人们给予他们的关注和支持,这本书就值得作者所付出的心血。  2009年3月19日,美国参议院商业、科学和交通委员会举行了一个听证会,它的主题是信息技术专家的缺乏以及这种现象对美国的网络安全的危害。让学生和专业人员对安全问题产生兴趣是一项极为迫切的需求,本书就代表了迈向这个目标的一小步。  本书的读者  《安全之美》适用于那些对计算机技术感兴趣并希望在最尖端领域体验生活的人们。本书的读者包括可能追求职业生涯的学生、具有一定编程背景的人们以及对计算机有着适度或深入了解的人们。  本书的作者在解释技术时尽量放低门槛,使相对新手级的读者也能领略到攻击和防御活动方式的感觉。专家级的读者能够更多地享受讨论的乐趣,因为本书能够加深他们对安全原则的理解,并提供了未来研究的指导方针。

媒体关注与评论

通过阅读这本经过深思熟虑的作品,读者可以摆脱安全领域闪烁着欺骗光芒的心理恐惧,转而欣赏安全的微妙美感。本书描述了安全的阴和阳,以及引人注目的破坏性和闪亮光辉的建设性之间剑拔弩张的气氛。”  ——Gary McGraw,Cigital公司CTO,著名安全技术图书作家

内容概要

译者:徐波 沈晓斌 编者:(美国)奥拉姆(Andy Oram) (美国)John Viega

书籍目录

第1章   心理上的安全陷阱  作者Peiter“Mudge”Zatko
第2章 无线网络:社会工程的沃土 作者Jim Stickley
第3章 美丽的安全度量指标 作者Elizabeth A. Nichols
第4章 安全漏洞的地下经济 作者Chenxi Wang
第5章 美丽的交易:重新思考电子商务的安全 作者Ed Bellis
第6章 捍卫在线广告:新狂野西部的盗匪和警察 作者Benjamin Edelman
第7章 PGP信任网络的演变 作者Phil Zimmermann和Jon Callas
第8章 开源Honeyclient:先发制人的客户端漏洞检测 作者Kathy Wang
第9章 未来的安全齿轮和杠杆 作者Mark Curphey
第10章 安全设计 作者John McManus
第11章 促使公司思考:未来的软件安全吗 作者Jim Routh
第12章 信息安全律师来了 作者Randy V. Sabett
第13章 美丽的日志处理 作者Anton Chuvakin
第14章 事件检测:寻找剩余的68% 作者Grant Geyer和Brian Dunphy
第15章 无需真实数据就能出色完成工作 作者Peter Wayner
第16章 铸造新词:PC安全剧场 作者Michael Wood和Fernando Francisco

编辑推荐

《安全之美》:大多数人不会太关注安全问题,直到他们的个人或商业系统受到攻击。这种发人深省的现象证明了数字安全不仅值得思考,而且是个迷人的话题。犯罪分子通过大量创新取得成功,因此防御他们的人们也必须具有同样的创新精神。

作者简介

“这本深思熟虑的论文集(《安全之美》)帮助读者摆脱安全领域闪烁着欺骗光芒的心理恐惧,转而欣赏安全的微妙美感。本书描述了安全的阴和阳,以及引人注目的破坏性和闪亮光辉的建设者之间剑拔弩张的气氛。”
——Gary McGraw,Cigital公司CTO,《Software Security》及其他9本书的作者
大多数人不会太关注安全问题,直到他们的个人或商业系统受到攻击。这种发人深省的现象证明了数字安全不仅值得思考,而且是个迷人的话题。犯罪分子通过大量创新取得成功,因此防御他们的人们也必须具有同样的创新精神。
《安全之美》包含以下内容:
个人信息背后的经济:它的运作方式、犯罪分子之间的关系以及他们攻击猎物的新方法。
社交网络、云计算及其他流行的趋势如何帮助或损害在线安全。
度量指标、需求收集、设计和法律如何将安全提高到一个新水平。
PGP不为人所知的真实历史。

图书封面


 安全之美下载 更多精彩书评



发布书评

 
 


精彩书评 (总计3条)

  •     初拿到本书,是被独特的标题“安全之美”所吸引,以为会从哲学或是美学等角度来分析信息安全的作用。但整本书粗略的看完后,发现书的副标题才是对该书最贴切的总结——“分享卓越安全专家的思考”。书是2011年4月翻译出版的,十多位具有不同研究和工作经验的作者结合自身的工作阅历进行思考,从不同的角度来描述信息安全相关内容,有的比较具体的介绍无线网络,PGP信任网络、蜜罐等偏技术内容,但更多的是从宏观的角度来分析安全的发展,比如安全度量指标、安全设计、日志处理等内容。不知道是不是翻译的缘由,很多章节也都重点突出“美丽”二字,这么频繁的突出似乎有点王婆卖瓜的意思。另外,如果细读的话,书中还是有少量翻译错误,有些章节读起来也总感觉不顺畅。
  •     1. 一共16章,16个作者,16个不同方向的讲稿,没啥结构性2. 讲稿有很多局限性,比如很多地方不能够讲得很深入,也不能用具体的例子说明,比较空泛3. 前言第六页有写读者的定位,我是个安全的新人,看完基本上没那样的感觉(“使相对新手级的读者也能领略到攻击和防御活动方式的感觉。。。”)独墅湖图书馆借的,幸亏没买,哈哈~
  •     一个讲稿集一样的东西,也许是我还适应不了外国人叙述的方式,读不下去,粗粗翻过,觉得适合对安全不太了解的领导读读,方便他们以后做一些关于安全的讲话。谈不上书差,只是我从中的收获只能有两星吧。1.缺陷预防者所收获的荣誉肯定远远比不上缺陷捕捉者。2.技术狂需要律师。来自顶层的推动力,通过合作实现。

精彩短评 (总计19条)

  •     算是对自己的一种提升。
  •     是我太弱了,还是翻译不好,还是内容有限?总之就是没看太懂,没学到什么东西。
  •     一个讲稿集一样的东西,也许是我还适应不了外国人叙述的方式,读不下去,粗粗翻过,觉得适合对安全不太了解的领导读读,方便他们以后做一些关于安全的讲话。谈不上书差,只是我从中的收获只能有两星吧。   1.缺陷预防者所收获的荣誉肯定远远比不上缺陷捕捉者。   2.技术狂需要律师。来自顶层的推动力,通过合作实现。
  •     部分案例相当的精彩
  •     在图书馆看了几页..
  •     想起中国那句老话“道高一尺,魔高一丈“。网络世界每天都产生海量的信息,同时也有大量的重要信息被窃取,多数人对安全的概念只是停留在360安全卫士之流,对背后的技术原理所知甚少。中国在这方面的安全问题远比书中描述的(美国)更严重,相信周鸿炜等人很清楚。对这方面的术语了解得很少,同时英语水平也有限,这本书我最多只理解了四成,但仍然觉得它是一本好书,因为一个朋友的推荐以及它展示了一个我从没看过的世界。
  •     很好的阐述了信息安全的现状啊。。
  •     这本书的阅读需要有一段IT从业工作经历,而且全书为论文集,内容较广和散,所以必定遇到看不懂的地方,建议先粗读再挑细读
  •     里面竟是英文的,谁让英语没学好。
  •     有些章节还不错嘛
  •     一些安全大牛的讨论,很不错
  •     粗略翻过,翻译的我没太看得懂,所以只给三星,囧
  •     其实我想反的
  •     “XX之美”系列以后真的不能买了
  •     作为一个银行的it从业人员,银行那部分我没读懂……安全的那部分我也没读懂……面壁。
  •     书中的各个章节是几个安全领域的专家每人写一章组合成的,描述的角度不同。适合了解一些概念,没有什么具体的解决方案。
  •     里面没有什么代码,也不是什么论文,给的是一种思路,这比代码论文更重要
  •     wifi热点那章很有意思
  •     翻译得非常差,内容是拼凑而成.
 

外国儿童文学,篆刻,百科,生物科学,科普,初中通用,育儿亲子,美容护肤PDF图书下载,。 零度图书网 

零度图书网 @ 2024