本书是对信息安全领域的高度概述。首先介绍了信息安全相关的基础性概念，如身份验证和授权；然后深入研究这些概念在运营、人力、物理、网络、操作系统、移动通信、嵌入式系统、物联网和安全应用等领域的实际应用；之后，介绍了如何评估安全性。通过本书，读者将更好地了解如何保护信息资产和防御攻击，以及如何系统地运用这些概念营造更安全的环境。本书适合安全专业入门人员和网络系统管理员等阅读。

全方位阐释信息安全领域的基本概念
构建完整的信息安全体系，防御攻击，保护信息资产，营造更安全的环境

在我上学时，我面临着一个选择——专注于信息安全还是软件工程。软件工程课程的名称听起来非常无聊，信息安全也是如此。我完全不知道自己将走上一条多么曲折的道路。
把信息安全当作一种职业，可以给你带来很多不同。多年来，我处理过大规模恶意软件爆发事件，为法庭案件收集过取证信息，在计算机系统中追捕过外国黑客，侵入过系统和应用程序（有权限），研究了海量的日志数据，使用和维护了各种安全工具，为把方形钉子安装到圆孔中编写了数千行代码，参与过开源项目，在安全会议上演讲、授课过，并在上述领域编写了关于安全主题的数十万字的内容。
本书研究了整个信息安全领域，非常适合想知道“信息安全”一词是什么意思，或者对该领域感兴趣又想知道从哪里起步的读者阅读。书中使用了非常清晰明了、非技术性的语言，介绍了信息安全如何发挥作用，以及如何将这些原则运用到自己的职业生涯中。这本书可以帮助你在不查阅大量教科书的情况下了解信息安全。我将首先介绍基础性概念，如身份验证和授权，从而帮助读者了解该领域的关键概念，如最小权限原则和各种安全模型。随后，深入研究这些概念在运营、人因、物理、网络、操作系统、移动设备、嵌入式设备、物联网（IoT）设备和应用程序安全等领域的实际应用。最后，我将介绍如何评估安全性。
谁应该阅读本书
这本书是安全专业入门人员和网络系统管理员的宝贵资源。你可以使用书中提供的信息更好地了解如何保护信息资产和防御攻击，以及如何系统地运用这些概念营造更安全的环境。
管理人员也会发现这些信息大有益处，有助于为组织制定更好的整体安全实践。本书讨论的概念可用于推动安全项目和策略，并解决一些问题。
本书内容
本书旨在使你全面了解信息安全的基础知识，因此最好能够从头到尾阅读。你可以从注释部分的参考文献中查阅相关主题的更多信息。以下是各章的主要内容。
第1章：信息安全概述。介绍了信息安全最基础的概念（如机密性、完整性和可用性），风险的基本概念，以及缓解风险的控制措施。
第2章：身份识别和身份验证。介绍了身份识别和身份验证的安全原则。
第3章：授权和访问控制。讨论了授权和访问控制的使用，以确定谁或什么设备能够访问你的资源。
第4章：审计和问责。解释了如何使用审计和问责制度以知道人们在你的环境中做了什么。
第5章：密码学。涉及使用密码学来保护数据的机密性。
第6章：合规、法律和法规。概述了与信息安全相关的法律和法规，以及遵守这些法规的意义。
第7章：运营安全。运营安全是指用来保护信息的过程。
第8章：人因安全。探讨了信息安全中的人为因素，例如攻击者用来欺骗我们的工具和技术，以及如何防御它们。
第9章：物理安全。讨论了信息安全的物理方面。
第10章：网络安全。从不同的角度（如网络设计、安全设备和安全工具）研究如何进行网络保护。
第11章：操作系统安全。探讨了用于保护操作系统的策略，如加固和打补丁，以及执行相应操作的步骤。
第12章：移动、嵌入式和物联网安全。涉及如何确保移动设备、嵌入式设备和物联网设备的安全。
第13章：应用程序安全。主要讨论保护应用程序的各种方法。
第14章：安全评估。讨论用于查明主机和应用程序安全问题的扫描和渗透测试等工具。
写这本书同以往一样，对我来说是一次冒险。我希望你们喜欢，并希望丰富你们对信息安全世界的理解。信息安全是一个工作起来饶有趣味，却时常让人惊心动魄的领域。欢迎你们的到来，祝你们好运！

计算机\安全

信息安全是信息技术、网络应用和数字能力发展的基础。在数字时代，每个人都应具备基本的信息安全意识，培塑良好的信息安全素养，从而在信息空间、数字空间活动中降低安全风险。这本书较好地诠释了信息安全中纵深防御每一层的潜在攻击类型和应对策略，对于想要学习信息安全的人而言，是很好的指南。
林久川　公安部网络空间安全技术研发基地主任

与传统观念中网络安全是网络的“附属”要求不同——当然这一认识正在转变——信息安全的强制性要求几乎与信息本身一样历史久远，想一想情报安全之于战争的必要性便可知这一点。本书简洁扼要地介绍了信息安全的知识、原理和评估方法，非常值得想学习信息安全的读者阅读。
赵宏伟　西北工业大学信息学院博士生导师

信息安全学科犹如一片复杂的森林，知识体系庞大，技术更迭快，但作为一门学科，其知识同样成一套体系。本书可谓信息安全学科的一张“地图”，以丰富的图解，辅以浅显易懂的语言，介绍了信息安全学科主流的知识要点和技术方向，为想要入门信息安全行业的人员提供了一个很好的学习途径，也为正在从事该行业的人员提供了很好的“温故知新”的机会。
陈建兴　华盟信安学校资深顾问

本书可称为囊括信息安全基础知识/框架的小而精的指南。说它“基础”，是指其内容几乎涵盖信息安全领域全方位的基本概念，对于想要了解信息安全概貌的人而言，称得上是“All-In-One”宝典；说它“小而精”，则是指其语言简洁、措辞精练；说它是“指南”，指的是它可以充当引领读者开启安全领域学习和探索职业发展方向的“地图”。
信息安全涉及多个学科领域的交叉，知识点分散庞杂，技术迭代周期短，对于初学者而言，往往容易“只见树木不见森林”，面对星罗棋布的知识要点、林林总总的技术方向、错综复杂的彼此关联，甚至找不到合适的学习起点。连作者本人在面临职业选择时也感叹信息安全是一条“曲折的道路”，事实也的确如此。在动漫《爱探险的朵拉》中，朵拉在遭遇困境时，总会带领小朋友求助神奇的地图，借助地图最终克服困难，找到藏宝之路。这本小册子之于信息安全领域的新人，如同地图之于爱探险的朵拉，其意义不言自明。
无论如何，作为一门学科，信息安全也必是体系化的知识，自然也就有和其他一般学科类似的学习规律可供借鉴。像写作常用的“总-分-总”架构就是一个经典的学习模式，对于信息安全入门者而言，本书就是第一个“总”：帮助读者构建信息安全领域的知识框架，并指出每一个分支涉猎的内容和技术方向。在了解本书内容的基础上，选择适合自己或感兴趣的领域作为入手点，再进行深入、细致的学习、消化，最终构建自身的信息安全知识框架和知识体系。正如作者所言，本书非常适合想知道“信息安全”一词的内涵，或者对该领域感兴趣又想知道从哪里起步的人阅读。同时，对网络系统管理员来说，本书也是一份短小精悍的挈领性资源。对于主管信息安全的管理人员而言，阅读本书，也是快速了解安全领域、掌握安全知识概貌的捷径。
参与本书翻译的除封面署名译者姚领田、王俊卿、王璐、唐进外，还有胡君、曾宪伟、凌杰、姚相名、刘启帆、贺丹、王峥瀛、孔增强等。我们的研究领域涉及威胁情报、威胁建模仿真、网络靶场技术及应用、武器系统网络安全试验与评估等方面，欢迎读者就本书中涉及的具体问题及上述领域内容与我们积极交流，共同学习进步，联系邮箱为fogsec@qq.com。
让我们在作者的指引下，开启充满挑战却又时常有意外之喜的信息安全精彩之旅吧！

译者序
前言
关于作者
关于技术审校者
致谢
第1章　信息安全概述1
1.1　信息安全的定义1
1.2　何时安全2
1.3　讨论安全问题的模型4
1.3.1　机密性、完整性和可用性三要素4
1.3.2　Parkerian六角模型6
1.4　攻击7
1.4.1　攻击类型7
1.4.2　威胁、漏洞和风险9
1.4.3　风险管理10
1.4.4　事件响应14
1.5　纵深防御16
1.6　小结19
1.7　习题20
第2章　身份识别和身份验证21
2.1　身份识别21
2.1.1　我们声称自己是谁22
2.1.2　身份证实22
2.1.3　伪造身份23
2.2　身份验证23
2.2.1　因子23
2.2.2　多因子身份验证25
2.2.3　双向验证25
2.3　常见身份识别和身份验证方法26
2.3.1　密码26
2.3.2　生物识别27
2.3.3　硬件令牌30
2.4　小结31
2.5　习题32
第3章　授权和访问控制33
3.1　什么是访问控制33
3.2　实施访问控制35
3.2.1　访问控制列表35
3.2.2　能力40
3.3　访问控制模型40
3.3.1　自主访问控制41
3.3.2　强制访问控制41
3.3.3　基于规则的访问控制41
3.3.4　基于角色的访问控制42
3.3.5　基于属性的访问控制42
3.3.6　多级访问控制43
3.4　物理访问控制46
3.5　小结47
3.6　习题48
第4章　审计和问责49
4.1　问责50
4.2　问责的安全效益51
4.2.1　不可否认性51
4.2.2　威慑52
4.2.3　入侵检测与防御52
4.2.4　记录的可接受性52
4.3　审计53
4.3.1　审计对象53
4.3.2　日志记录54
4.3.3　监视55
4.3.4　审计与评估55
4.4　小结56
4.5　习题57
第5章　密码学58
5.1　密码学历史58
5.1.1　凯撒密码59
5.1.2　加密机59
5.1.3　柯克霍夫原则63
5.2　现代密码工具64
5.2.1　关键字密码和一次性密码本64
5.2.2　对称和非对称密码学66
5.2.3　散列函数69
5.2.4　数字签名70
5.2.5　证书71
5.3　保护静态、动态和使用中的数据72
5.3.1　保护静态数据72
5.3.2　保护动态数据74
5.3.3　保护使用中的数据75
5.4　小结75
5.5　习题76
第6章　合规、法律和法规77
6.1　什么是合规77
6.1.1　合规类型78
6.1.2　不合规的后果78
6.2　用控制实现合规79
6.2.1　控制类型79
6.2.2　关键控制与补偿控制80
6.3　保持合规80
6.4　法律与信息安全81
6.4.1　政府相关监管合规81
6.4.2　特定行业法规合规83
6.4.3　美国以外的法律85
6.5　采用合规框架86
6.5.1　国际标准化组织86
6.5.2　美国国家标准与技术研究所86
6.5.3　自定义框架87
6.6　技术变革中的合规87
6.6.1　云中的合规88
6.6.2　区块链合规90
6.6.3　加密货币合规90
6.7　小结91
6.8　习题91
第7章　运营安全92
7.1　运营安全流程92
7.1.1　关键信息识别93
7.1.2　威胁分析93
7.1.3　漏洞分析94
7.1.4　风险评估94
7.1.5　对策应用95
7.2　运营安全定律95
7.2.1　第一定律：知道这些威胁95
7.2.2　第二定律：知道要保护什么96
7.2.3　第三定律：保护信息96
7.3　个人生活中的运营安全97
7.4　运营安全起源98
7.4.1　孙子99
7.4.2　乔治·华盛顿99
7.4.3　越南战争100
7.4.4　商业100
7.4.5　机构间OPSEC支援人员101
7.5　小结102
7.6　习题102
第8章　人因安全103
8.1　搜集信息实施社会工程学攻击103
8.1.1　人力情报104
8.1.2　开源情报104
8.1.3　其他类型的情报109
8.2　社会工程学攻击类型110
8.2.1　托词110
8.2.2　钓鱼攻击110
8.2.3　尾随111
8.3　通过安全培训计划来培养安全意识112
8.3.1　密码112
8.3.2　社会工程学培训113
8.3.3　网络使用113
8.3.4　恶意软件114
8.3.5　个人设备114
8.3.6　清洁桌面策略114
8.3.7　熟悉政策和法规知识114
8.4　小结115
8.5　习题115
第9章　物理安全117
9.1　识别物理威胁117
9.2　物理安全控制118
9.2.1　威慑控制118
9.2.2　检测控制118
9.2.3　预防控制119
9.2.4　使用物理访问控制120
9.3　人员防护120
9.3.1　人的物理问题120
9.3.2　确保安全121
9.3.3　疏散121
9.3.4　行政管控122
9.4　数据防护123
9.4.1　数据的物理问题123
9.4.2　数据的可访问性124
9.4.3　残留数据124
9.5　设备防护125
9.5.1　设备的物理问题125
9.5.2　选址126
9.5.3　访问安全127
9.5.4　环境条件127
9.6　小结128
9.7　习题128
第10章　网络安全129
10.1　网络防护130
10.1.1　设计安全的网络130
10.1.2　使用防火墙130
10.1.3　实现网络入侵检测系统133
10.2　网络流量防护134
10.2.1　使用虚拟专用网络134
10.2.2　保护无线网络上的数据135
10.2.3　使用安全协议136
10.3　网络安全工具136
10.3.1　无线防护工具137
10.3.2　扫描器137
10.3.3　包嗅探器137
10.3.4　蜜罐139
10.3.5　防火墙工具139
10.4　小结140
10.5　习题140
第11章　操作系统安全141
11.1　操作系统强化141
11.1.1　删除所有不必要的软件142
11.1.2　删除所有不必要的服务143
11.1.3　更改默认账户144
11.1.4　应用最小权限原则144
11.1.5　执行更新145
11.1.6　启用日志记录和审计146
11.2　防范恶意软件146
11.2.1　反恶意软件工具146
11.2.2　可执行空间保护147
11.2.3　软件防火墙和主机入侵检测148
11.3　操作系统安全工具148
11.3.1　扫描器149
11.3.2　漏洞评估工具150
11.3.3　漏洞利用框架150
11.4　小结152
11.5　习题153
第12章　移动、嵌入式和物联网安全154
12.1　移动安全154
12.1.1　保护移动设备155
12.1.2　移动安全问题156
12.2　嵌入式安全159
12.2.1　嵌入式设备使用场景159
12.2.2　嵌入式设备安全问题161
12.3　物联网安全162
12.3.1　何为物联网设备163
12.3.2　物联网安全问题165
12.4　小结167
12.5　习题167
第13章　应用程序安全168
13.1　软件开发漏洞169
13.1.1　缓冲区溢出170
13.1.2　竞争条件170
13.1.3　输入验证攻击171
13.1.4　身份验证攻击171
13.1.5　授权攻击172
13.1.6　加密攻击172
13.2　Web安全173
13.2.1　客户端攻击173
13.2.2　服务器端攻击174
13.3　数据库安全176
13.3.1　协议问题176
13.3.2　未经身份验证的访问177
13.3.3　任意代码执行178
13.3.4　权限提升178
13.4　应用安全工具179
13.4.1　嗅探器179
13.4.2　Web应用程序分析工具180
13.4.3　模糊测试工具182
13.5　小结183
13.6　习题183
第14章　安全评估185
14.1　漏洞评估185
14.1.1　映射和发现186
14.1.2　扫描187
14.1.3　漏洞评估面临的技术挑战188
14.2　渗透测试189
14.2.1　渗透测试过程189
14.2.2　渗透测试分类191
14.2.3　渗透测试的对象192
14.2.4　漏洞赏金计划194
14.2.5　渗透测试面临的技术挑战194
14.3　这真的意味着你安全了吗195
14.3.1　现实测试195
14.3.2　你能检测到自己遭受的攻击吗196
14.3.3　今天安全并不意味着明天安全198
14.3.4　修复安全漏洞成本高昂199
14.4　小结199
14.5　习题200