前言

第1章心理上的安全陷阱

（作者：peiter“mudge”zatko）

1.1習得性無助和無從選擇

1.1.1實例：microsoft是如何允許l0phtcrack的

1.1.2密碼和身份認證可以從一開始就做得更好

1.1.3客戶的習得性無助—無從選擇

1.2確認陷阱

1.2.1概念簡介

1.2.2分析師確認陷阱

1.2.3陳腐的威脅模型

1.2.4正確理解功能

1.3功能鎖定

1.3.1安全位置的潛在風險

1.3.2降低成本與未來收益：isp實例

1.3.3降低成本與未來收益：能源實例

1.4小結

第2章無線網絡：社會工程的沃土

（作者：jim stickley）

2.1輕松賺錢

2.1.1設置攻擊

2.1.2隱私的聚寶盆

2.1.3web安全的基本缺陷：不要相信可信繫統

2.1.4建立無線信任

2.1.5采用可靠的解決方案

2.2無線也瘋狂

2.2.1無線側信道

2.2.2無線接入點自身如何

2.3無線仍然是未來

第3章美麗的安全度量指標

（作者：elizabeth a. nichols）

3.1安全度量指標的類比：健康

3.1.1不合理的期待

3.1.2數據透明性

3.1.3合理的度量指標

3.2安全度量指標的實例

3.2.1巴林銀行：內部侵害

3.2.2tjx：外部侵害

3.2.3其他公共數據來源

3.3小結

第4章安全漏洞的地下經濟

（作者：chenxi wang）

4.1地下網絡的組成和基礎設施

4.1.1地下通信基礎設施

4.1.2攻擊基礎設施

4.2回報

4.2.1數據交換

4.2.2信息來源

4.2.3攻擊向量

4.2.4洗錢遊戲

4.3如何對抗日益增長的地下網絡經濟

4.3.1降低數據的價值

4.3.2信息的權限分離

4.3.3構建動力/回報結構

4.3.4為數據責任建立評估和聲譽體繫

4.4小結

第5章美麗的交易：重新思考電子商務的安全

（作者：ed bellis）

5.1解構商業

5.1.1 分析安全環境

5.2微弱的改良嘗試

5.2.13d安全

5.2.2安全電子交易

5.2.3單用途和多用途虛擬卡

5.2.4破滅的動機

5.3重塑電子商務：新的安全模型

5.3.1需求1：消費者必須通過認證

5.3.2需求2：商家必須通過認證

5.3.3需求3：交易必須經過授權

5.3.4需求4：認證數據不應被認證方和被認證方之外的其他各方所共享

5.3.5需求5：過程不能完全依賴共享秘密

5.3.6需求6：認證應該是可移植的（不受硬件或協議所限）

5.3.7需求7：數據和交易的機密性和完整性必須得到維護

5.4新模型

第6章捍衛在線廣告：新狂野西部的盜匪和警察

（作者：benjamin edelman ）

6.1對用戶的攻擊

6.1.1充滿漏洞的橫幅廣告

6.1.2惡意鏈接廣告

6.1.3欺騙式廣告

6.2廣告客戶也是受害者

6.2.1虛假的印像

6.2.2避開容易受騙的cpm廣告

6.2.3廣告客戶為何不奮起反擊

6.2.4其他采購環境的教訓：在線采購的特殊挑戰

6.3創建在線廣告的責任制

第7章pgp信任網絡的演變

（作者：phil zimmermann和jon callas）

7.1pgp和openpgp

7.2信任、驗證和授權

7.2.1直接信任

7.2.2層次式信任

7.2.3累積式信任

7.2.4基本的pgp信任網絡

7.2.5早的信任網絡的毛邊

7.3pgp和加密的歷史

7.3.1早期的pgp

7.3.2專利和輸出問題

7.3.3密碼戰爭

7.3.4從pgp 3到openpgp

7.4對初信任網絡的改進

7.4.1撤銷

7.4.2伸縮性問題

7.4.3簽名的膨脹和困擾

7.4.4證書內偏好

7.4.5pgp全球目錄

7.4.6可變信任評分

7.5未來研究的有趣領域

7.5.1超級合法

7.5.2社交網絡和流量分析

7.6參考資料

第8章開源honeyclient：先發制人的客戶端漏洞檢測

（作者：kathy wang）

8.1進入honeyclient

8.2世界上個開源honeyclient簡介

8.3第二代honeyclient

8.4honeyclient的操作結果

8.4.1windows xp的透明活動

8.4.2honeyclient數據的存儲和關聯

8.5漏洞攻擊的分析

8.6當前honeyclient實現的限制

8.7相關的工作

8.8honeyclient的未來

第9章未來的安全齒輪和杠杆

（作者：mark curphey）

9.1雲計算和web服務：這裡是單機

9.1.1創建者和破壞者

9.1.2雲計算和web服務是拯救方案

9.1.3新曙光

9.2結合人、流程和技術：業務流程管理的潛力

9.2.1發散型世界的發散型安全

9.2.2bpm作為多站點安全的指導方針

9.3社交網絡：當人們開始通信時，大變革發生了

9.3.1社交網絡的藝術狀態和潛力

9.3.2安全行業的社交網絡

9.3.3數字中的安全

9.4信息安全經濟：超級數據解析和網絡新規則

9.5長尾變型的平臺：未來為什麼會截然不同

9.5.1生產工具的大眾化

9.5.2發行渠道的大眾化

9.5.3連接供應和需求

9.6小結

9.7致謝

第10章安全設計

（作者：john mcmanus）

10.1無意義的指標

10.2市場還是質量

10.3符合準則的繫統開發周期的作用

10.4結論：安全之美是繫統之美的像征

第11章促使公司思考：未來的軟件安全嗎

（作者：jim routh）

11.1隱式的需求也可能非常強大

11.2公司為什麼需要安全的軟件

11.2.1如何制訂安全計劃

11.2.2修正問題

11.2.3把安全計劃擴展到外包

11.3對現有的軟件進行安全化

11.4分析：如何使世界上的軟件更安全

11.4.1好的軟件開發人員創建了具有漏洞的代碼

11.4.2microsoft領先一步

11.4.3軟件開發商給了我們想要的，卻不是我們需要的

第12章信息安全律師來了

（作者：randy v. sabett）

12.1文化

12.2平衡

12.2.1數字簽名指南

12.2.2加利福尼亞數據隱私法

12.2.3安全的投資回報率

12.3通信

12.3.1技術狂為何需要律師

12.3.2來自頂層的推動力，通過合作實現

12.3.3數據洩露小虎隊

12.4正確做事

第13章美麗的日志處理

（作者：anton chuvakin）

13.1安全法律和標準中的日志

13.2聚焦日志

13.3什麼時候日志是極為珍貴的

13.4日志所面臨的困難

13.5案例研究：癱瘓服務器的背後

13.5.1事故的架構和環境

13.5.2被觀察的事件

13.5.3調查開始

13.5.4使數據起死回生

13.5.5小結

13.6未來的日志

13.6.1來源的擴大化

13.6.2未來的日志分析和管理工具

13.7結論

第14章事件檢測：尋找剩餘的68%

（作者：grant geyer和brian dunphy）

14.1一個常見起點

14.2改進與上下文相關的檢測

14.2.1用流量分析提高覆蓋率

14.2.2對監測列表進行綜合分析

14.3使用主機日志增強洞察力

14.3.1 創建富有彈性的檢測模型

14.4小結

第15章無需真實數據就能出色完成工作

（作者：peter wayner）

15.1數據半透明化的工作原理

15.2一個現實的例子

15.3為便利而存儲的個人數據

15.4如何權衡

15.5進一步深入

15.6參考資料

第16章鑄造新詞：pc安全劇場

（作者：michael wood和fernando francisco）

16.1攻擊不斷增加，防御不斷倒退

16.1.1在internet的傳送帶上

16.1.2不正當行為的回報

16.1.3暴徒的響應

16.2揭穿假像

16.2.1嚴格審查：傳統的和更新的反病毒掃描

16.2.2沙盒和虛擬化：新的銀彈

16.3桌面安全的更佳實踐

16.4小結

附錄作者簡介

color: #0000ff;">為什麼安全是美麗的

我要求安全專家John
Viega想方設法為本書尋找一些作者，以便向普通計算機用戶提供一些與安全有關的觀點。除了在媒體上所看到的駭人聽聞的關於網絡入侵和盜竊的新聞之外，普通人一般都覺得安全是一件乏味的事情。


對許多人而言，安全就是繫統管理員喋喋不休地提醒他們創建備份文件夾，無窮無盡的在網頁顯示之前跳出來的要求輸入密碼的對話框。辦公室職員每次抄讀辦公桌邊的筆記本上所記錄的密碼時都怒目圓睜小聲咒罵（筆記本就放在打印出來的預算材料的上面，事實上辦公室管理人員要求應該將它鎖在抽屜裡面）。如果這就是安全，那還會有誰想從事這個職業呢？誰會從O'Reilly購買一本關於安全的書呢？誰會一次花費半分鐘以上的時間去思考安全呢？


對於那些肩負創建安全繫統任務的人們，他們所付出的努力看上去是毫無希望的。站在旁邊的人不會對他們的工作提供任何協助，業務經理也拒絕在安全上多花一分錢。程序員和繫統管理員由於他們必須使用的工具和語言存在沒完沒了的零日攻擊和未打補丁的漏洞也逐漸變得懶散起來。


這就是為什麼關於安全的書賣得很差（盡管在過去的一兩年裡銷量有所上揚）。關於如何入侵繫統的書要比關於如何保護繫統的書好賣得多，這個趨勢著實令我震驚。


是的，本書應該改變這個現像。它應該向讀者展示安全是一項為激動人心的職業。它並不枯燥，也沒有太多的官僚主義，更沒有太多的約束。事實上，它和其他技術一樣充滿著想像力。


多年以來，我編輯過的大多數編程書籍都提供了關於安全的內容。這樣的內容當然是非常實用的，因為它們允許作者講述一些基本原則和一些良好習慣。但是，我已經對這種做法感到厭煩，因為它為安全話題劃了一條分界線。它所灌輸的都是一些老生常談的安全觀點，是一些錦上添花或者事後諸葛亮的東西。本書將顛覆這些觀念。


John為本書選擇了一些作者，他們已經在安全領域證明了自己具有獨特的觀點，並且有一些新的思路要和大家分享。有些作者設計了數以千計的人所依賴的繫統，有些作者在大型公司擔任高管職位，有些作者曾為法庭作證並為政府部門工作。所有的作者都在尋找普通人所不知道的問題和解決方案，但是這可能需要幾年的時間纔會收到成效。


本書的作者指出：有效的安全需要你始終保持警惕。它會打破技術、認知和組織結構的邊界。安全界的黑帽們千方百計通過創新來取得成功。因此，負責防御他們的人們同樣需要創新。


本書的作者肩負著世界範圍內的信息安全使命，讓他們抽出時間編寫本書是一件很困難的事。事實上，許多作者在平衡本職工作和本書的寫作任務時感受到了壓力。但是，他們所花的時間是值得的，因為本書將會促進他們實現更遠大的目標。如果有更多的人對安全領域產生興趣，決定進一步對它進行探索，並向嘗試通過組織上的變化以實現更好保護的人們給予他們的關注和支持，這本書就值得作者所付出的心血。


2009年3月19日，美國參議院商業、科學和交通委員會舉行了一個聽證會，它的主題是信息技術專家的缺乏以及這種現像對美國的網絡安全的危害。讓學生和專業人員對安全問題產生興趣是一項極為迫切的需求，本書就代表了邁向這個目標的一小步。

color: #0000ff;">本書的讀者

《安全之美》適用於那些對計算機技術感興趣並希望在尖端領域體驗生活的人們。本書的讀者包括可能追求職業生涯的學生、具有一定編程背景的人們以及對計算機有著適度或深入了解的人們。


本書的作者在解釋技術時盡量放低門檻，使相對新手級的讀者也能領略到攻擊和防御活動方式的感覺。專家級的讀者能夠更多地享受討論的樂趣，因為本書能夠加深他們對安全原則的理解，並提供了未來研究的指導方針。