網路安全設計權威指南

第I部分 什麼是真正的網路安全？
第1章 問題之所在 3
1.1 建立在信任基礎上的安全設計 4
1.1.1 什麼是信任？ 4
1.1.2 信任與信心 5
1.1.3 工程 6
1.1.4 為什麼需要信任？ 6
1.2 運營視角：基本問題 6
1.2.1 組織是否受到攻擊？ 8
1.2.2 攻擊的本質是什麼？ 9
1.2.3 到目前為止，攻擊目標系統的影響是什麼？ 10
1.2.4 潛在的攻擊目標系統影響是什麼？ 11
1.2.5 攻擊是什麼時候開始的？ 11
1.2.6 誰在攻擊？ 12
1.2.7 攻擊者的目標是什麼？ 12
1.2.8 攻擊者的下一步行動是什麼？ 13
1.2.9 組織能做些什麼？ 13
1.2.10 組織的選擇有哪些？每個安全選項的防禦效果如何？ 13
1.2.11 組織的緩解措施將如何影響業務運營？ 14
1.2.12 組織今後該如何更好地保護自己？ 14
1.3 網路空間效應的不對稱性 14
1.3.1 維度 15
1.3.2 非線性 15
1.3.3 耦合 15
1.3.4 速度 16
1.3.5 表現形式 16
1.3.6 可檢測性 16
1.4 網路安全解決方案 17
1.4.1 資訊保障科學與工程 18
1.4.2 防禦機制 18
1.4.3 網路感測器與漏洞利用 18
1.4.4 網路態勢認知 19
1.4.5 網路驅動 19
1.4.6 網路指揮與控制 19
1.4.7 網路防禦戰略 20
1.5 預防和治療的成本效益考慮 20
1.6 小結 20
1.7 問題 21
第2章 正確思考網路安全 23
2.1 關於風險 23
2.2 網路安全的權衡：性能和功能 24
2.2.1 用戶友好度 25
2.2.2 上市時間 26
2.2.3 員工士氣 26
2.2.4 商機流失 27
2.2.5 機會成本 27
2.2.6 服務或產品數量 27
2.2.7 服務或產品品質 28
2.2.8 服務或產品成本 29
2.2.9 有限的資源 29
2.3 安全理論來源於不安全理論 29
2.4 攻擊者虎視眈眈，伺機而動 30
2.5 自上而下和自下而上 30
2.6 網路安全是現場演奏樂隊，而不是錄製儀器 31
2.7 小結 32
2.8 問題 32
第3章 價值和目標系統 33
 
第4章 危害：目標系統處於危險之中 45
 
第5章 抽象、模型和現實 57
 
第I I部分 攻擊帶來什麼問題？
第6章 敵對者：瞭解組織的敵人 79
 
第7章 攻擊森林 101
 
第II I 部分 緩解風險的構建塊
第8章 安全對策：安全控制措施 115
 
第9章 可信賴的硬體：基石 137
 
第10章 密碼術：鋒利而脆弱的工具 147
 
第11章 身份驗證 165
 
第12章 授權 173
 
第13章 檢測基本原理 195
 
第14章 檢測系統 205
 
第15章 檢測策略 223
 
第16章 威懾和對抗性風險 237
16.1 威懾的要求 237
16.1.1 可靠的檢測：暴露的風險 237
16.1.2 可靠地歸屬 238
16.1.3 有意義的後果 239
16.2 所有敵對者都有風險閾值 240
16.3 系統設計可改變敵對者的風險 240
16.3.1 檢測概率 240
16.3.2 歸屬概率 241
16.3.3 讓敵對者付出代價的能力和概率 241
16.3.4 報復能力和概率 241
16.3.5 喜歡冒險的程度 241
16.4 不確定性和欺騙 242
16.4.1 不確定性 242
16.4.2 欺騙 242
16.5 什麼情況下檢測和威懾無效 242
16.6 小結 244
16.7 問題 244

第IV部分 如何協調網路安全？
第17章 網路安全風險評估 249
17.1 定量風險評估實例 249
17.2 風險作為主要指標 250
17.3 為什麼要度量？ 250
17.3.1 特徵化 251
17.3.2 評估 251
17.3.3 預測 252
17.3.4 改善 253
17.4 從攻擊者的價值角度評估防禦 253
17.5 風險評估和度量在設計中的作用 254
17.6 風險評估分析元素 255
17.6.1 開發目標系統模型 256
17.6.2 開發系統模型 256
17.6.3 開發敵對者模型 256
17.6.4 選擇代表性的戰略攻擊目標 257
17.6.5 基於群體智慧估算危害 258
17.6.6 基於群體智慧估算概率 259
17.6.7 選擇代表子集 260
17.6.8 開發深度攻擊樹 261
17.6.9 估算葉概率並計算根概率 262
17.6.10 細化基線預期危害 264
17.6.11 獲取攻擊序列割集=>風險來源 265
17.6.12 從攻擊序列推斷攻擊緩解候選方案 266
17.7 攻擊者成本和風險檢測 267
17.7.1 資源 267
17.7.2 風險容忍度 267
17.8 小結 268
17.9 問題 268
第18章 風險緩解和優化 271
18.1 制定候選緩解方案 272
18.2 評估緩解方案的費用 274
18.2.1 直接成本 274
18.2.2 對目標系統的影響 275
18.3 重新估算葉概率並計算根概率 277
18.4 優化各種實際預算水準 279
18.4.1 背包演算法 279
18.4.2 敏感性分析 282
18.5 決定投資 282
18.6 執行 283
18.7 小結 283
18.8 問題 284
第19章 工程基礎 285
19.1 系統工程原理 285
19.1.1 墨菲定律 286
19.1.2 安全冗餘 288
19.1.3 能量和風險守恆 289
19.1.4 KISS原則 290
19.1.5 開發流程 290
19.1.6 增量開發和敏捷開發 291
19.2 電腦科學原理 292
19.2.1 模組化和抽象 292
19.2.2 層次化 294
19.2.3 時間和空間複雜度：理解可擴展性 295
19.2.4 關注重點：迴圈和局部性 296
19.2.5 分治和遞迴 297
19.3 小結 298
19.4 問題 299
第20章 網路安全架構設計 301
20.1 訪問監測屬性 301
20.1.1 功能正確性 302
20.1.2 不可繞過性 304
20.1.3 防篡改性 304
20.2 簡化和最小化提升信心 304
20.3 關注點和可擴展性分離 305
20.4 安全性原則流程 305
20.4.1 策略規範 306
20.4.2 策略決策 307
20.4.3 策略執行 308
20.5 可靠性和容錯 309
20.5.1 網路安全需要故障安全 309
20.5.2 預期故障：使用隔板限制破壞 309
20.5.3 容錯 310
20.5.4 預防、檢測回應及容錯協同 312
20.6 雲安全 313
20.7 小結 314
20.8 問題 314
第21章 確保網路安全：正確處理 317
21.1 沒有保證的網路安全功能是不安全的 317
21.2 應將網路安全子系統視為關鍵系統 318
21.3 形式化保證論證 318
21.3.1 網路安全需求 319
21.3.2 形式化安全性原則模型 321
21.3.3 形式化概要規範 321
21.3.4 關鍵安全子系統實施 322
21.4 總體保證和組合 323
21.4.1 組合 323
21.4.2 可信賴性的依賴關係 323
21.4.3 避免依賴關係迴圈 324
21.4.4 小心輸入、輸出和依賴關係 324
21.4.5 違反未陳述的假設條件 325
21.5 小結 325
21.6 問題 326
第22章 網路態勢認知：發生了什麼 329
22.1 態勢認知和指揮與控制的相互作用 329
22.2 基於態勢的決策：OODA迴圈 330
22.3 掌握攻擊的本質 332
22.3.1 利用了哪些脆弱性(漏洞)？ 332
22.3.2 攻擊使用哪些路徑？ 332
22.3.3 路徑是否仍然開放？ 333
22.3.4 如何關閉滲入、滲出和傳播路徑？ 334
22.4 對目標系統的影響 335
22.4.1 風險增加 337
22.4.2 應急方案 337
22.4.3 本質和位置指導防禦 337
22.5 評估攻擊損失 338
22.6 威脅評估 339
22.7 防禦狀態 339
22.7.1 健康、壓力和脅迫 339
22.7.2 狀態 340
22.7.3 配置可控性 340
22.7.4 進度與失敗 341
22.8 動態防禦的有效性 342
22.9 小結 342
22.10 問題 343
第23章 指揮與控制：如何應對攻擊 345
 
第V部分 推進網路安全
第24章 戰略方針與投資 369
 
第25章 對網路安全未來的思考 379