網路安全設計權威指南

防禦更複雜攻擊的尖端網路安全解決方案《網路安全設計權威指南》介紹如何在預算範圍內按時設計和部署高度安全的系統，並列舉綜合性示例、目標和上佳實踐。本書列出恆久有效的工程原理，包括:定義網路安全問題的基本性質和範圍。從基本視角思考攻擊、故障以及攻擊者的心態。開發和實施基於系統、可緩解風險的解決方案。遵循可靠的網路安全原理，設計有效的架構並制定評估策略，全面統籌應對整個複雜的攻擊空間。

第I部分 什麼是真正的網路安全？

第1章 問題之所在 3

1.1 建立在信任基礎上的安全設計 4

1.1.1 什麼是信任？ 4

1.1.2 信任與信心 5

1.1.3 工程 6

1.1.4 為什麼需要信任？ 6

1.2 運營視角：基本問題 6

1.2.1 組織是否受到攻擊？ 8

1.2.2 攻擊的本質是什麼？ 9

1.2.3 到目前為止，攻擊目標系統的影響是什麼？ 10

1.2.4 潛在的攻擊目標系統影響是什麼？ 11

1.2.5 攻擊是什麼時候開始的？ 11

1.2.6 誰在攻擊？ 12

1.2.7 攻擊者的目標是什麼？ 12

1.2.8 攻擊者的下一步行動是什麼？ 13

1.2.9 組織能做些什麼？ 13

1.2.10 組織的選擇有哪些？每個安全選項的防禦效果如何？ 13

1.2.11 組織的緩解措施將如何影響業務運營？ 14

1.2.12 組織今後該如何更好地保護自己？ 14

1.3 網路空間效應的不對稱性 14

1.3.1 維度 15

1.3.2 非線性 15

1.3.3 耦合 15

1.3.4 速度 16

1.3.5 表現形式 16

1.3.6 可檢測性 16

1.4 網路安全解決方案 17

1.4.1 信息保障科學與工程 18

1.4.2 防禦機制 18

1.4.3 網路感測器與漏洞利用 18

1.4.4 網路態勢認知 19

1.4.5 網路驅動 19

1.4.6 網路指揮與控制 19

1.4.7 網路防禦戰略 20

1.5 預防和治療的成本效益考慮 20

1.6 小結 20

1.7 問題 21

第2章 正確思考網路安全 23

2.1 關於風險 23

2.2 網路安全的權衡：性能和功能 24

2.2.1 用戶友好度 25

2.2.2 上市時間 26

2.2.3 員工士氣 26

2.2.4 商機流失 27

2.2.5 機會成本 27

2.2.6 服務或產品數量 27

2.2.7 服務或產品質量 28

2.2.8 服務或產品成本 29

2.2.9 有限的資源 29

2.3 安全理論來源於不安全理論 29

2.4 攻擊者虎視眈眈，伺機而動 30

2.5 自上而下和自下而上 30

2.6 網路安全是現場演奏樂隊，而不是錄製儀器 31

2.7 小結 32

2.8 問題 32

第3章 價值和目標系統 33

3.1 聚焦價值和目標系統 33

3.1.1 避免價值匯聚 34

3.1.2 謹防過度信任 34

3.2 機密性：敵對者眼中保密的價值 35

3.2.1 知識獲取型秘密 36

3.2.2 計畫型秘密 36

3.2.3 竊取型秘密 37

3.2.4 泄密途徑秘密 38

3.3 機密性：謹防過度保密 38

3.3.1 保密是脆弱的 39

3.3.2 保密成本高昂 39

3.3.3 保密可能適得其反 40

3.3.4 秘密會自我繁殖 40

3.3.5 秘密導致權力濫用和運營受阻 40

3.4 機密性：改變價值主張 40

3.4.1 減少保密及對保密的依賴 41

3.4.2 最小化泄密損失 42

3.5 完整性：一切可信價值的來源 42

3.6 可用性：基本但脆弱的價值 42

3.7 小結 43

3.8 問題 43

第4章 危害：目標系統處於危險之中 45

4.1 聚焦戰略風險 45

4.1.1 什麼是戰略風險？ 46

4.1.2 預期危害 46

4.1.3 風險範圍 47

4.1.4 關注重點的意義 47

4.2 危害與目標系統相關 47

4.2.1 危害引發的後果 48

4.2.2 匯總危害聲明 48

4.2.3 典型危害清單 49

4.3 關鍵資產：數據 49

4.3.1 數據資產類型 49

4.3.2 數據價值範圍 50

4.3.3 關鍵性分類 50

4.3.4 關鍵性分級 51

4.4 編制目標系統危害的模板 51

4.5 眾人眼中的危害嚴重性 53

4.5.1 危害的嚴重性：共識 54

4.5.2 得出結論 54

4.6 有時，信心比真相更強大 54

4.6.1 摧毀價值 54

4.6.2 難以解決的問題：生活是不公平的 55

4.7 小結 55

4.8 問題 55

第5章 抽象、模型和現實 57

5.1 狀態的複雜性：為什麼需要建模？ 57

5.2 抽象水平：位於什麼水平 58

5.3 建模內容和原因 59

5.3.1 目標系統 60

5.3.2 用戶 60

5.3.3 敵對者 61

5.3.4 措施/安全對策 62

5.4 模型總是出錯，偶爾有用 62

5.4.1 不完整性 63

5.4.2 不準確性 63

5.4.3 不及時性 64

5.5 模型視圖 66

5.5.1 防禦者視圖 67

5.5.2 敵對者視圖 68

5.5.3 攻擊視圖本身 70

5.6 防禦模型必須考慮失效模式 71

5.7 假設敵對者了解防禦者的系統 72

5.8 假設敵對者位於防禦者系統內部 73

5.9 小結 75

5.10 問題 75

第I I部分 攻擊帶來什麼問題？

第6章 敵對者：了解組織的敵人 79

6.1 了解敵對者 80

6.1.1 意圖 80

6.1.2 能力 81

6.1.3 攻擊者和防禦者的資源 81

6.1.4 風險容忍度 82

6.1.5 戰略目標 82

6.1.6 戰術 82

6.2 假設敵對者是聰明的 83

6.3 假設敵對者是不公平的 84

6.3.1 繞過安全控制 84

6.3.2 在安全控制措施下面穿過 85

6.3.3 攻擊最薄弱的環節 86

6.3.4 違反設計假設 87

6.3.5 利用維護模式 88

6.3.6 利用社交工程 88

6.3.7 賄賂和勒索策反內部人員 89

6.3.8 利用臨時旁路 89

6.3.9 利用臨時連線 90

6.3.10 利用自然的系統故障 91

6.3.11 利用組織根本不知道的漏洞 91

6.3.12 攻陷系統所信任的外部系統 92

6.4 預測攻擊升級 92

6.5 紅隊 94

6.5.1 敵對部隊 94

6.5.2 紅隊特點 94

6.5.3 其他類型的紅隊 95

6.6 網路空間演習 96

6.6.1 紅藍對抗 96

6.6.2 純粹演習與混合演習 97

6.6.3 紫色協作 98

6.7 紅隊工作因素：衡量難度 98

6.8 小結 99

6.9 問題 99

第7章 攻擊森林 101

7.1 攻擊樹和攻擊森林 101

7.1.1 攻擊樹的結構 101

7.1.2 派生攻擊場景 103

7.1.3 從樹到森林 103

7.2 系統故障預測網路安全故障 104

7.2.1 啟發靈感的災難 104

7.2.2 十倍規則 104

7.2.3 佯裝故障 105

7.3 理解故障是成功的關鍵：“五問” 105

7.3.1 為什麼是“五問”？ 105

7.3.2 計畫魚骨圖 106

7.4 森林應該具有代表性，而非羅列一切 107

7.5 通過詢問“怎么做”驅動每個攻擊樹層 108

7.6 深入研究且適可而止 109

7.7 小心外部依賴 110

7.7.1 及時 110

7.7.2 信息依賴 111

7.7.3 創建冗餘 111

7.8 小結 111

7.9 問題 112

第II I 部分 緩解風險的構建塊

第8章 安全對策：安全控制措施 115

8.1 安全對策：設計滿足目標 115

8.2 確保覆蓋攻擊空間(廣度防禦) 116

8.3 深度防禦和廣度防禦 117

8.4 多級安全、可信代碼和安全核心 119

8.4.1 多級安全 119

8.4.2 可信代碼 120

8.4.3 安全核心和訪問監測 120

8.5 完整性和類型強制訪問控制 122

8.5.1 多級完整性 122

8.5.2 類型強制訪問控制 122

8.6 網路安全易用性 125

8.6.1 隱形的 125

8.6.2 透明的 126

8.6.3 清晰的 126

8.6.4 易於理解的 126

8.6.5 可靠的 127

8.6.6 快速的 127

8.6.7 可逆的 128

8.6.8 可適應的 128

8.6.9 可追蹤的 129

8.6.10 可審查的 129

8.7 部署默認安全 130

8.8 成本 130

8.8.1 成本永遠重要 130

8.8.2 部署時間的重要性 131

8.8.3 對目標系統影響的重要性 131

8.8.4 二八定律 132

8.8.5 機會成本是成本的關鍵部分 132

8.8.6 在網路安全方面需要投入多少 132

8.8.7 最佳化零和網路安全預算 133

8.9 小結 133

8.10 問題 134

第9章 可信賴的硬體：基石 137

9.1 信任的基礎 137

9.2 指令集架構 139

9.3 環和物的監管 139

9.4 記憶體控制：映射、能力和標記 140

9.4.1 記憶體映射 141

9.4.2 能力 141

9.4.3 標記 142

9.5 硬體中的軟體 143

9.5.1 微代碼 143

9.5.2 固件 143

9.5.3 安全引導 143

9.6 匯流排和控制器 144

9.7 小結 144

9.8 問題 145

第10章 密碼術：鋒利而脆弱的工具 147

10.1 什麼是密碼術？ 147

10.2 密鑰空間 148

10.3 密鑰生成 150

10.4 密鑰分發 152

10.4.1 傳送給預期的接收者 152

10.4.2 存儲 153

10.4.3 載入 154

10.5 公鑰加密技術 154

10.5.1 數學原理 154

10.5.2 證書和證書頒發機構 155

10.5.3 性能和使用 156

10.5.4 公鑰加密技術的副作用 157

10.6 完整性 158

10.7 可用性 160

10.7.1 正面影響 160

10.7.2 負面影響 160

10.8 加密裂縫 162

10.8.1 量子密碼分析：顛覆性技術 162

10.8.2 公鑰加密基於NP難題 162

10.9 密碼術不是萬能的 162

10.10 謹防自主加密 163

10.11 小結 164

10.12 問題 164

第11章 身份驗證 165

11.1 實體身份標識：身份驗證第1階段 167

11.2 身份認證：身份驗證第2階段 167

11.3 身份識別：身份驗證第3階段 168

11.4 身份聲明和身份證明：身份驗證第4和第5階段 169

11.5 身份註銷：身份驗證第6階段 169

11.6 機器間身份驗證鏈 170

11.7 小結 171

11.8 問題 171

第12章 授權 173

12.1 訪問控制 173

12.1.1 自主訪問控制 174

12.1.2 強制訪問控制 176

12.1.3 隱蔽通道 177

12.1.4 基於身份的訪問控制 179

12.1.5 基於屬性的訪問控制 179

12.2 屬性管理 182

12.2.1 用戶屬性和許可權分配 182

12.2.2 資源屬性分配 183

12.2.3 屬性收集和聚合 183

12.2.4 屬性驗證 184

12.2.5 屬性分發 186

12.3 數字策略管理 187

12.3.1 策略規範 188

12.3.2 策略分配 188

12.3.3 策略決策 189

12.3.4 策略執行 189

12.4 授權使用方案 191

12.4.1 直接集成 191

12.4.2 間接集成 191

12.4.3 替代集成 191

12.5 小結 192

12.6 問題 192

第13章 檢測基本原理 195

13.1 檢測的角色 195

13.2 檢測系統如何工作 197

13.3 特徵選擇 197

13.3.1 攻擊特徵表現 198

13.3.2 表現強度 198

13.3.3 攻擊映射到特徵 199

13.3.4 選擇的標準 199

13.4 特徵提取 200

13.5 事件選擇 200

13.6 事件檢測 201

13.7 攻擊檢測 201

13.8 攻擊分級 202

13.9 攻擊警報 202

13.10 了解探針的運行性能特徵 202

13.11 小結 203

13.12 問題 204

第14章 檢測系統 205

14.1 檢測系統的類型 205

14.1.1 基於簽名 205

14.1.2 異常檢測 208

14.2 檢測性能：假陽性、假陰性和接收器運行特徵(ROC) 211

14.2.1 特徵選擇 211

14.2.2 特徵提取 214

14.2.3 事件選擇 214

14.2.4 攻擊檢測 215

14.2.5 攻擊分級 216

14.2.6 攻擊警報 216

14.3 攻擊驅動檢測需求 217

14.4 檢測失效 217

14.4.1 探針失效 217

14.4.2 在本底噪聲之下 218

14.4.3 低於告警閾值 218

14.4.4 不當的放置 218

14.4.5 自然失效 219

14.4.6 成功的攻擊 219

14.4.7 阻塞探針輸入 220

14.4.8 阻塞報告輸出 220

14.5 小結 220

14.6 問題 221

第15章 檢測策略 223

15.1 檢測廣度和深度 223

15.1.1 廣度：網路拓展 224

15.1.2 深度：網路拓展 225

15.1.3 廣度：攻擊空間 226

15.1.4 深度：攻擊空間 226

15.2 將敵對者置於防禦者的預設戰場 227

15.3 攻擊流行因素 228

15.4 蜜罐檢測 229

15.5 細化檢測 229

15.5.1 告警調查 229

15.5.2 學習關於攻擊的更多信息 230

15.6 增強攻擊信號，降低本底噪聲 230

15.6.1 降低本底噪聲 232

15.6.2 增強攻擊信號 233

15.6.3 降低告警閾值 234

15.7 小結 234

15.8 問題 234

第16章 威懾和對抗性風險 237

16.1 威懾的要求 237

16.1.1 可靠的檢測：暴露的風險 237

16.1.2 可靠地歸屬 238

16.1.3 有意義的後果 239

16.2 所有敵對者都有風險閾值 240

16.3 系統設計可改變敵對者的風險 240

16.3.1 檢測機率 240

16.3.2 歸屬機率 241

16.3.3 讓敵對者付出代價的能力和機率 241

16.3.4 報復能力和機率 241

16.3.5 喜歡冒險的程度 241

16.4 不確定性和欺騙 242

16.4.1 不確定性 242

16.4.2 欺騙 242

16.5 什麼情況下檢測和威懾無效 242

16.6 小結 244

16.7 問題 244

第IV部分 如何協調網路安全？

第17章 網路安全風險評估 249

17.1 定量風險評估實例 249

17.2 風險作為主要指標 250

17.3 為什麼要度量？ 250

17.3.1 特徵化 251

17.3.2 評估 251

17.3.3 預測 252

17.3.4 改善 253

17.4 從攻擊者的價值角度評估防禦 253

17.5 風險評估和度量在設計中的作用 254

17.6 風險評估分析元素 255

17.6.1 開發目標系統模型 256

17.6.2 開發系統模型 256

17.6.3 開發敵對者模型 256

17.6.4 選擇代表性的戰略攻擊目標 257

17.6.5 基於群體智慧估算危害 258

17.6.6 基於群體智慧估算機率 259

17.6.7 選擇代表子集 260

17.6.8 開發深度攻擊樹 261

17.6.9 估算葉機率並計算根機率 262

17.6.10 細化基線預期危害 264

17.6.11 獲取攻擊序列割集=＞風險來源 265

17.6.12 從攻擊序列推斷攻擊緩解候選方案 266

17.7 攻擊者成本和風險檢測 267

17.7.1 資源 267

17.7.2 風險容忍度 267

17.8 小結 268

17.9 問題 268

第18章 風險緩解和最佳化 271

18.1 制定候選緩解方案 272

18.2 評估緩解方案的費用 274

18.2.1 直接成本 274

18.2.2 對目標系統的影響 275

18.3 重新估算葉機率並計算根機率 277

18.4 最佳化各種實際預算水平 279

18.4.1 背包算法 279

18.4.2 敏感性分析 282

18.5 決定投資 282

18.6 執行 283

18.7 小結 283

18.8 問題 284

第19章 工程基礎 285

19.1 系統工程原理 285

19.1.1 墨菲定律 286

19.1.2 安全冗餘 288

19.1.3 能量和風險守恆 289

19.1.4 KISS原則 290

19.1.5 開發流程 290

19.1.6 增量開發和敏捷開發 291

19.2 計算機科學原理 292

19.2.1 模組化和抽象 292

19.2.2 層次化 294

19.2.3 時間和空間複雜度：理解可擴展性 295

19.2.4 關注重點：循環和局部性 296

19.2.5 分治和遞歸 297

19.3 小結 298

19.4 問題 299

第20章 網路安全架構設計 301

20.1 訪問監測屬性 301

20.1.1 功能正確性 302

20.1.2 不可繞過性 304

20.1.3 防篡改性 304

20.2 簡化和最小化提升信心 304

20.3 關注點和可擴展性分離 305

20.4 安全策略流程 305

20.4.1 策略規範 306

20.4.2 策略決策 307

20.4.3 策略執行 308

20.5 可靠性和容錯 309

20.5.1 網路安全需要故障安全 309

20.5.2 預期故障：使用隔板限制破壞 309

20.5.3 容錯 310

20.5.4 預防、檢測回響及容錯協同 312

20.6 雲安全 313

20.7 小結 314

20.8 問題 314

第21章 確保網路安全：正確處理 317

21.1 沒有保證的網路安全功能是不安全的 317

21.2 應將網路安全子系統視為關鍵系統 318

21.3 形式化保證論證 318

21.3.1 網路安全需求 319

21.3.2 形式化安全策略模型 321

21.3.3 形式化概要規範 321

21.3.4 關鍵安全子系統實施 322

21.4 總體保證和組合 323

21.4.1 組合 323

21.4.2 可信賴性的依賴關係 323

21.4.3 避免依賴關係循環 324

21.4.4 小心輸入、輸出和依賴關係 324

21.4.5 違反未陳述的假設條件 325

21.5 小結 325

21.6 問題 326

第22章 網路態勢認知：發生了什麼 329

22.1 態勢認知和指揮與控制的相互作用 329

22.2 基於態勢的決策：OODA循環 330

22.3 掌握攻擊的本質 332

22.3.1 利用了哪些脆弱性(漏洞)？ 332

22.3.2 攻擊使用哪些路徑？ 332

22.3.3 路徑是否仍然開放？ 333

22.3.4 如何關閉滲入、滲出和傳播路徑？ 334

22.4 對目標系統的影響 335

22.4.1 風險增加 337

22.4.2 應急方案 337

22.4.3 本質和位置指導防禦 337

22.5 評估攻擊損失 338

22.6 威脅評估 339

22.7 防禦狀態 339

22.7.1 健康、壓力和脅迫 339

22.7.2 狀態 340

22.7.3 配置可控性 340

22.7.4 進度與失敗 341

22.8 動態防禦的有效性 342

22.9 小結 342

22.10 問題 343

第23章 指揮與控制：如何應對攻擊 345

23.1 控制的本質 345

23.1.1 決策周期 345

23.1.2 關於速度的考慮因素 346

23.1.3 混合控制 346

23.2 戰略：獲取知識 347

23.2.1 類比 348

23.2.2 直接經驗 349

23.2.3 間接經驗 349

23.2.4 模擬 349

23.3 攻略 351

23.3.1 博弈論 351

23.3.2 預設行動方案 352

23.3.3 最佳行動選擇標準 354

23.3.4 計畫的局限性 357

23.4 自主控制 357

23.4.1 控制理論 357

23.4.2 自主控制的作用 359

23.4.3 自主操作控制臺 360

23.5 元戰略 361

23.5.1 不要過度反應 361

23.5.2 不可預測性 362

23.5.3 領先於攻擊者 363

23.6 小結 363

23.7 問題 364

第V部分 推進網路安全

第24章 戰略方針與投資 369

24.1 網路戰爭：可以變得多糟？ 369

24.1.1 場景 371

24.1.2 採取行動 371

24.1.3 準備行動的障礙 372

24.1.4 確鑿的證據 372

24.2 日益增長的依賴性、脆弱性和物聯網 373

24.2.1 社會依賴性 373

24.2.2 萬物即時 373

24.2.3 物聯網 373

24.2.4 傳播的脆弱性 374

24.3 虛擬世界的網路安全：虛擬經濟 374

24.3.1 蓬勃發展的遊戲經濟：虛擬淘金熱 374

24.3.2 比特幣等數字貨幣 374

24.3.3 虛擬高價值目標 375

24.3.4 從頭開始？ 375

24.4 虛假信息和影響操控行動：虛假新聞 376

24.4.1 哪些和過去不一樣？ 376

24.4.2 操縱思維 376

24.4.3 污染信息圈 377

24.5 小結 377

24.6 問題 378

第25章 對網路安全未來的思考 379

25.1 沒有秘密的世界 379

25.1.1 適時發布 380

25.1.2 最小化新秘密的生成 380

25.1.3 學會在零秘密環境中的有效運營 380

25.2 措施和應對措施的共同演進 381

25.3 網路安全太空競賽和人造衛星 382

25.3.1 獲取終極低地 382

25.3.2 震網和網路攻擊精靈 382

25.3.3 喬治亞和混合戰爭 382

25.3.4 愛沙尼亞和實彈實驗 382

25.3.5 捍衛關鍵信息基礎架構的責任 383

25.4 網路安全科學與實驗 385

25.4.1 假設生成 386

25.4.2 實驗設計 387

25.4.3 實驗執行 388

25.5 偉大的未知：研究方向 388

25.5.1 研究難題 388

25.5.2 網路安全問題太難嗎？ 389

25.5.3 研究影響與Heilmeier的教理主義 390

25.5.4 研究結果的可靠性 392

25.5.5 研究文化：警告 393

25.6 網路安全與人工智慧 393

25.7 小結 395

25.8 問題 396