《Hardening Network Security中文版》是2006-12-22出版的圖書,ISBN是9787302129646。
基本介紹
- 書名:Hardening Network Security中文版
- 定價:59元
- 裝幀:平裝
- 印刷日期:2006-12-22
基本信息,圖書簡介,書籍目錄,
基本信息
ISBN:9787302129646
印次:1-2
圖書簡介
Hardening系列是美國McGraw-Hill公司新近推出的又一套信息安全系列叢書,與久負盛名的“黑客大曝光”系列攜手,為信息安全界奉獻了一道饕餮大餐。
本書是Hardening系列成員之一,由數位信息安全領域的著名專家編寫,通過四段式系統加固教學法,從技術和策略兩方面,全書共分4大部分22章。第1部分給出降低系統威脅的7個關鍵步驟,是系統阻止入侵的必要措施;第2部分則是本書的重中之重,自頂向下系統講述加固網路系統的具體方法和措施,其中涉及了如何用深度防禦、身份管理系統、加密、入侵檢測與回響等方法來提高網路安全性,並詳盡描述了如何加固跨平台認證、 Web服務、移動環境、數據傳輸、遠程客戶端、無線網路、混合Unix系統等當前人們密切關注的問題;第3部分告誡人們永遠沒有一勞永逸,需要持之以恆地對系統進行監控和評估,並及時修訂管理方式和打補丁;第4部分就安全計畫如何獲得預算支持、管理層認可以及員工協作,制訂出詳細的策略,在同類書中少見。
本書覆蓋了所有的主流平台和應用程式,是所有IT專業人士的必備安全工具。
書籍目錄
目錄
第1篇現在就做
第1章做好開門七件事 3
1.1更改默認賬號設定 5
1.1.1更改默認口令 5
1.1.2重命名或隱藏管理員賬號 6
1.2隻為管理員任務使用管理員賬號 10
1.2.1在MicrosoftWindows中使用runas命令 10
1.2.2在Unix系統中使用su和sudo 11
1.3識別未使用或不需要的連線埠 12
1.3.1用netstat識別開放連線埠 13
1.3.2利用OS特有的工具識別開放連線埠 17
1.4禁止/關閉/刪除未使用和不需要的服務及守護進程 18
1.4.1禁止Windows中不必要的服務 18
1.4.2用系統配置工具禁止預定的欺詐應用程式在啟動時運行 21
1.4.3禁止Unix中不必要的服務 22
1.5刪除欺詐連線:無線和撥號 24
1.6為每種OS設定惡意內容過濾器 27
1.7測試備份和恢復程式 28
第2篇從頂層開始:系統地加固你的公司
第2章為了安全,把網路劃分成若干公共功能區 33
2.1選擇分段模式 34
2.1.1根據工作職責劃分網段 35
2.1.2根據威脅等級劃分網段 37
2.1.3根據風險等級劃分網段 38
2.1.4根據服務類型劃分網段 38
2.1.5根據企業需求劃分網段 39
2.2選擇適當的方式劃分網段 42
2.2.1從伺服器處開始劃分網段 42
2.2.2使用網關設備劃分網段 43
2.2.3使用VLAN 50
2.2.4使用VPN在被保護網段之間傳輸數據 53
第3章用身份管理系統加固安全 54
3.1理解身份管理驅動力 55
3.1.1確定身份管理責任驅動力 55
3.1.2確定身份管理節約成本和時間的驅動力 58
3.1.3確定身份管理的安全驅動力 59
3.2建立身份管理基礎 60
3.2.1採用基於標準的目錄服務 60
3.2.2根據企業需求選擇身份管理解決方案 60
3.2.3為實施身份管理解決方案做準備 63
3.2.4識別內部權威來源 65
3.3用身份管理增強公司訪問控制策略 67
3.3.1控制開始階段 67
3.3.2控制生成過程 69
3.3.3控制管理過程 73
3.3.4控制終止過程 75
3.4通過工作流程和審計過程管理身份 76
第4章加固跨平台認證 78
4.1加固口令 79
4.1.1加固用戶口令 81
4.1.2加固非用戶口令 83
4.2選擇最安全的認證過程 84
4.2.1基於個人所知的認證 85
4.2.2基於不可變身體特徵的認證 87
4.2.3基於個人所有的認證 91
4.3使用強認證保護敏感資源 95
4.4加固認證資源 96
4.5跨平台使用加固認證方法 98
第5章加固Web服務 100
5.1加固Web服務環境 102
5.2理解Web服務 102
5.2.1Web服務的處理是在機器之間的,而不是在人與機器之間 103
5.2.2Web服務定義語言 104
5.2.3REST和Plain-XMLWeb服務 104
5.2.4RPC和基於文檔的SOAP 104
5.2.5傳輸獨立性 105
5.3理解和使用W3C、OASIS和WS-I等標準、概要和規範 106
5.4實現Web服務的安全需求 107
5.4.1為Web服務實現認證 107
5.4.2用SAML和到網站授權的連結實現Web服務授權 111
5.4.3保證訊息完整性——XMLSignature、PKCS#7Signature、SSL/TLS和IPSec 111
5.4.4實現保密性:XMLEncryption、SSL/TLS和IPSec 114
5.4.5用XMLSignature和XAdES提供Web服務審計 115
5.4.6避免採用要求編輯XML檔案來手工配置安全設定的解決方案 115
5.4.7保證Web服務的可用性 115
5.5阻斷“惡意XML”攻擊 116
5.5.1防止Web服務SQL注入 116
5.5.2保護Web服務,使之免受捕獲-重放攻擊 117
5.5.3確保套用伺服器不處理DTD 118
5.5.4為避免受到XML拒絕服務攻擊(XDoS)而打補丁程式 119
5.5.5不要盲目處理SOAP附屬檔案,因為其中可能藏有病毒 120
5.5.6保證不會受到XMLSignature重定向攻擊 120
5.6實現保證所在機構面向服務架構安全的策略 121
5.6.1用安全令牌把安全上下文傳遞給服務層 122
5.6.2取消安全邊界 122
5.6.3保證SOA的可用性 122
5.7評價和實現保護Web服務的產品 122
5.7.1Vordel——XML網關/防火牆和XML安全伺服器 123
5.7.2Teros——Web套用安全 124
5.7.3Sarvega——XML路由器 125
第6章加固移動環境 126
6.1保護自身以避免在環境中移動設備的風險 127
6.1.1制定移動設備安全策略 127
6.1.2安全的移動認證 128
6.1.3保護移動設備免遭惡意代碼破壞 132
6.1.4保護移動設備上存儲的數據 132
6.2保護環境以避免移動連線風險 133
6.2.1保護環境避免近程連線威脅 134
6.2.2保護環境避免中程連線威脅 137
6.2.3保護環境避免遠程連線威脅 137
第7章超越訪問控制:保護存儲的數據 143
7.1將加密作為一個安全層 144
7.2精心選擇密碼系統 145
7.2.1不要信賴私有加密系統 145
7.2.2了解不同的密鑰算法 145
7.2.3加固對稱密鑰密碼學的執行 147
7.3了解保護數據是為了防備誰 158
7.4確定加密什麼以及為什麼要加密 158
7.4.1確定加密的法律需求 159
7.4.2確定加密的外部商業需求 160
7.4.3確定加密的內部商業需求 160
7.4.4確定支持加密的良好的商業實踐 161
7.5加密資料庫中的敏感數據 162
7.5.1了解不使用資料庫加密的普遍原因 163
7.5.2為資料庫選擇良好的加密過程 164
7.6提供“非”實時加密 169
7.7在何處加密 170
7.7.1客戶端 171
7.7.2伺服器端 171
7.7.3應用程式伺服器端 171
7.7.4網路中 172
7.7.5資料庫伺服器端 172
7.7.6企業幕後端 173
7.8認證 173
7.9讓加密在環境中起作用 174
第8章加固來自Web的資料庫訪問 177
8.1在安裝時保護DBMS 178
8.1.1保護DBMS所在的作業系統 178
8.1.2在只有很少的其他進程的伺服器上安裝DBMS 179
8.1.3隔離DBMS使用的計算機或默認連線埠 179
8.1.4為每個DBMS服務設定不同的賬號 180
8.1.5刪除示例資料庫和代碼 181
8.2使用許可保護數據 182
8.2.1避免將DBMS認證用於OS登錄ID 182
8.2.2採用作業系統認證 183
8.2.3使用應用程式角色保護程式訪問 184
8.2.4保護應用程式級安全程式中的登錄 185
8.2.5限制賬號訪問 185
8.2.6保護內置賬號和口令 188
8.2.7在開發中施加保護並測試資料庫 189
8.2.8用作業系統檔案許可保護DBMS 190
8.2.9保護作業系統免遭DBMS啟動的程式的威脅 191
8.3使用應用程式分區和網路技術確保對DBMS的訪問安全 192
8.3.1使用防火牆關閉連線埠 192
8.3.2隔離應用程式組件 192
8.3.3隱藏錯誤信息 193
8.4利用良好的習慣來保護應用程式 194
8.4.1保護資料庫連線串 194
8.4.2哈希或加密敏感數據 194
8.4.3加密客戶端與伺服器之間的通信 195
8.4.4避免SQL注入攻擊(SQLInjection) 196
8.5監控和審計 197
8.5.1DBMS監控工具 197
8.5.2審計登錄錯誤和成功登錄 198
8.5.3審計其他所有動作 199
8.5.4審計檢查 200
8.5.5提前審計 201
8.5.6策略檢查 201
8.6保護備份和存檔 201
8.6.1保護數據的備份拷貝 202
8.6.2驗證遠程備份的安全性 202
8.6.3保護或模糊測試數據 202
第9章加固跨平台訪問控制 204
9.1了解作業系統訪問控制 205
9.1.1了解Unix的訪問控制 205
9.1.2理解Windows的訪問控制 209
9.2確?ㄗ試此?樅ㄏ?218
9.3理解基於角色的訪問控制 219
9.4加固跨平台的工具,以進行安全、無縫的訪問控制 220
9.4.1加固簡單的或傳統的檔案共享/傳輸服務 220
9.4.2理解並加固用於UNIX的Microsoft服務 221
9.4.3理解並加固Samba 223
9.4.4加固SMB 225
9.4.5加固SAN 226
9.4.6加固NFS 226
9.5避免數據完整性問題 228
第10章利用加密加固數據傳輸 229
10.1利用加密加固數據傳輸 230
10.1.1選擇一個加密標準 230
10.1.2選擇一個加密協定 232
10.1.3選擇一種認證方式 237
10.2決定是否應該使用加密 242
10.2.1使用加密保護廣域網通信 243
10.2.2使用加密保護Internet通信 243
10.2.3使用加密保護無線連線 244
10.2.4使用加密保護基於區域網路的主機通信 247
10.3決定在何處使用加密 248
10.3.1在廣域網路由器之間實施加密 249
10.3.2為VPN連線執行加密 251
10.3.3在主機之間實施加密 253
第11章加固遠程客戶端 261
11.1選擇遠程訪問的方式 262
11.1.1採用基於代理的遠程訪問 263
11.1.2保護直接遠程訪問的安全 268
11.2保護遠程客戶端 270
11.2.1加固物理安全 270
11.2.2控制邏輯訪問 271
11.2.3採用個人防火牆 275
11.2.4控制程式執行 279
11.2.5保證軟體完整性 280
11.3保護遠程客戶端的數據 281
11.3.1用加密手段保護數據 281
11.3.2通過硬體限制來保護數據 284
11.3.3通過軟體限制來保護數據 284
11.4維護遠程客戶端的安全策略 286
第12章加固無線網路 288
12.1規劃安全的無線網路 289
12.2尋找並破壞非善意無線區域網路 294
12.2.1使用無線區域網路發現規程 295
12.2.2去除非善意無線接入點 298
12.3設計自己的無線區域網路拓撲 298
12.3.1統一的無線和有線網路 299
12.3.2分段的無線和有線網路 300
12.3.3無線網路以VPN方式訪問有線網路 303
12.3.4在遠程/分公司辦公室提供安全的無線區域網路 304
12.4加固無線廣域網 304
12.4.1CDPD(CellularDigitalPacketData) 305
12.4.2CDMA(CodeDivisionMultipleAccess) 305
12.4.3GPRS(GeneralPacketRadioService) 305
第13章加固混合Unix網路 306
13.1理解混合Unix環境的基本問題 307
13.1.1理解各種版本和支持模型 308
13.1.2了解文化差異 309
13.2保護Root賬戶 312
13.2.1為不包括sudo的Unix平台添加sudo程式 312
13.2.2sudo委託的配置 313
13.2.3配置用戶賬戶和口令 314
13.2.4刪除明文服務 316
13.2.5減少所運行的服務的數量 317
13.2.6打補丁 318
13.2.7監控日誌檔案 319
13.2.8從物理上保證Unix系統的安全 325
13.2.9查看具體廠商的Unix加固資源 325
第14章入侵檢測和回響 326
14.1設計入侵檢測/防禦系統 327
14.1.1了解拓撲所需要的IDS/IPS類型 328
14.1.2選擇IDS和拓撲以滿足操作需求 331
14.1.3確定IDS的放置和監控需求 332
14.2部署入侵檢測系統 335
14.2.1Snort:一種實用的IDS 336
14.2.2調節IDS 337
14.3加固入侵檢測/防禦系統 339
14.4保護IDS操作 340
14.4.1保護IDS通信 340
14.4.2保護配置檔案 341
14.4.3保護資料庫訪問許可權 341
14.5規劃入侵回響過程 341
14.5.1了解入侵回響階段 342
14.5.2成立入侵回響小組 342
14.5.3為入侵做準備 344
14.5.4制定計畫,測試計畫,執行計畫 345
第15章管理惡意代碼 346
15.1垃圾郵件:防範1號公敵 348
15.2防止成功的釣魚式攻擊 353
15.2.1用反垃圾郵件軟體識別並封鎖釣魚式攻擊 354
15.2.2教用戶學會識別釣魚式攻擊 354
15.2.3警惕新型的釣魚式攻擊 355
15.3防止任何系統感染病毒 356
15.3.1在所有計算機上?滄安⑽?し床《救砑?356
15.3.2在電子郵件網關處掃描病毒 357
15.3.3對用戶進行培訓,增強他們防範病毒的能力 358
15.4防範蠕蟲 359
15.5投身補丁戰 359
15.6防範間諜軟體 361
15.7防止Web套用受到基於Web的攻擊 363
15.7.1對開發人員進行培訓,使之了解典型的Web攻擊 363
15.7.2對開發人員進行培訓,使之不局限於已知的編程缺陷 365
15.7.3採用套用層防火牆 365
第16章加固濕件 368
16.1最終用戶:是朋友還是敵人 369
16.2打好基礎:策略和規程 370
16.2.1制定適用於所有用戶的可接受使用策略 370
16.2.2防範智慧財產權盜竊 372
16.2.3實施策略 373
16.3制定培訓計畫:團隊的構建 375
16.3.1確定培訓的具體目標 375
16.3.2明確對培訓師的要求 375
16.3.3確定對培訓的要求 377
16.4培養溝通技能 391
16.4.1提供跨部門的培訓 391
16.4.2讓IT職員跳出IT技術之外 392
第3篇永遠沒有一勞永逸
第17章混合網路安全性評估與測試 395
17.1評估前的準備 397
17.1.1了解客戶的需求 397
17.1.2確定關鍵聯繫人 399
17.1.3創建關於系統和信息的重要性矩陣 399
17.1.4確定是否需要做滲透測試 400
17.1.5獲得客戶的正式同??402
17.1.6確定要評估的系統和流程 402
17.1.7最終確定測試計畫 414
17.1.8協調關於最終保障的任何問題 414
17.2實施評估 415
17.2.1離場工作 415
17.2.2實施現場評估 416
17.2.3提供最初反饋和狀態 419
17.3評估後的處理 419
17.3.1完成需要做的任何後續工作 419
17.3.2最終完成審計報告 420
第18章變革管理 421
18.1確定和劃分變革管理場景 422
18.1.1把規劃內變革和規劃外變革區分開 422
18.1.2把被動變革減少到最低限度 423
18.1.3管理與新業務相關的變革 424
18.1.4管理技術變革 424
18.1.5變革的發現與監控 425
18.2開發變革管理框架 426
18.2.1確定並指派角色 427
18.2.2使變革管理成為安全策略的一部分 428
18.2.3開發集中式變革跟蹤機制 428
18.2.4確定從頭至尾的大致流程 430
18.2.5獲取管理層的支持 431
18.2.6建立變革告知系統 431
18.2.7提供變革請求與實施的集中式知識庫 431
18.3開發變革管理流程 432
18.3.1記錄並測度當前狀態 432
18.3.2確定變革的影響 432
18.3.3爭取使變革獲得批准 433
18.3.4對變革做充分測試 433
18.3.5把變革記入文檔 434
18.3.6評估所提出的變革 434
18.3.7規劃並告知受影響的群體 436
18.3.8部署變革 436
18.3.9報告成功 436
18.3.10完成變革流程 437
18.3.11測試遵守安全輪廓及改進安全輪廓的情況 437
第19章打安全補丁 438
19.1確定需要對什麼打補丁 440
19.1.1驗證軟體/硬體更新和補丁許可證 440
19.1.2找出所有技術產品 441
19.2找出可靠的漏洞訊息來源並確定補丁的可用性 444
19.2.1使用獨立新聞組或列表 444
19.2.2搜尋多個漏洞資料庫和入口網站 444
19.2.3利用廠商的安全網站和公告列表 446
19.3獲取經驗證的補丁 447
19.3.1選擇無代理的“推”式補丁管理工具 448
19.3.2選擇基於代理的“拉”式補丁管理工具 448
19.4驗證補丁的可靠性 449
19.5確定哪些系統應在何時打哪些補丁 450
19.5.1確定必須要打哪些補丁 450
19.5.2了解廠商的補丁發布戰略 451
19.5.3判斷是否有必要安裝補丁、安裝修復程式、更改配置或採取規避措施 451
19.5.4選擇要打補丁的計算機系統 452
19.5.5確定何時安裝安全補丁 453
19.5.6在規划過程中應有系統所有者的參與 453
19.5.7做好應對業務中斷的準備 453
19.6測試補丁和測試打補丁流程 454
19.7安裝安全補丁 455
19.7.1給遠程客戶端打補丁 455
19.7.2提供不要求提升許可權即可運行的打補丁軟體 455
19.7.3針對大量系統實施快速安裝 456
19.7.4使用由廠商提供的補丁-更新軟體 456
19.7.5使用來自第三方的打補丁工具 459
19.8審計被打上補丁的系統 460
19.8.1測試威脅或漏洞是否已經消失 460
19.8.2使用補丁檢查工具 461
19.9進行脆弱性評估 462
第20章安全評估 463
20.1評估最終用戶遵守和接受規定的情況 464
20.1.1確定和使用常見違規問題列表 465
20.1.2實施非正式評估 466
20.1.3實施正式評估 469
20.2實施事件後評估 475
20.2.1在基礎結構出現重大變動後實施評估 475
20.2.2在兼併或收購之後進行評估 476
20.2.3在發現新威脅或新漏洞後實施評估 476
20.2.4在員工工作效率下降時實施評估 480
20.2.5為實施新法規而進行評估 481
20.2.6在審計發現不符合規定時進行評估 483
20.2.7在發現有違規情況或安全事件時進行評估 483
20.2.8在關鍵人員離開公司後實施評估 484
第4篇如何成功完成加固
第21章安全管理的策略 487
21.1把同事看作“客戶” 488
21.2理解安全管理中的各種角色 489
21.2.1從人力資源部門開始啟動安全流程 489
21.2.2讓法律部搞清法規要求 491
21.2.3與物理安全團隊合作 492
21.2.4建立一流的IT安全部門 493
21.2.5用管理者的語言與管理層交流 497
21.2.6鼓勵最終用戶遵守規定 503
21.2.7讓所有部門通力合作 503
第22章不要對安全無動於衷 505
22.1闡明進行安全防範的理由 506
22.2收集支持安全防範的統計數據 507
22.3了解對安全持冷漠態度者的想法 508
22.4提高管理層對投資於安全的認識 509
22.5制定安全策略 509
22.5.1獲取管理高層的支持 510
22.5.2制定切實可行的安全規程和指導原則 511
22.6制定提高安全意識的計畫 511
22.7吸取到的教訓 512
22.7.1了解對安全措施的抵制是否實際上是對安全措施不完善的一種關注 512
22.7.2明確規定對不遵守安全策略的行為的懲戒措施 514
22.7.3很多對安全持冷漠態度的人都認為自己計算機的安全應該由其他人負責保護 515
22.7.4對安全的無動於衷可能帶來慘重的教訓 516