"希望通過《網絡安全設計權威指南》的傳播，讓廣大信息技術專家對信息繫統繫統的安全性有更加全面和深入的認識，增強安全架構設計意識。本書作者Sami在網絡安全領域擁有豐富經驗，是當今網絡安全的復興者本書是作者Sami畢生經驗的沉澱和總結，將繫統視為一個整體而非組件集合，幫助讀得心應手地應對網絡威脅。本書講述更新、更廣泛的網絡安全技術，探討戰略和風險管理呈現以安全為核心的可信繫統的設計。本書內容通俗易懂，直擊要害，極具啟發性，將幅網絡安全設計的全景圖在讀者面前徐徐展開。無論是網絡安全的新手和老兵，還是等

●第I部分 什麼是真正的網絡安全？
第1章 問題之所在 3
1.1 建立在信任基礎上的安全設計 4
1.1.1 什麼是信任？ 4
1.1.2 信任與信心 5
1.1.3 工程 6
1.1.4 為什麼需要信任？ 6
1.2 運營視角：基本問題 6
1.2.1 組織是否受到攻擊？ 8
1.2.2 攻擊的本質是什麼？ 9
1.2.3 到目前為止，攻擊目標繫統的影響是什麼？ 10
1.2.4 潛在的攻擊目標繫統影響是什麼？ 11
1.2.5 攻擊是什麼時候開始的？ 11
1.2.6 誰在攻擊？ 12
1.2.7 攻擊者的目標是什麼？ 12
1.2.8 攻擊者的下一步行動是什麼？ 13
1.2.9 組織能做些什麼？ 13
1.2.10 組織的選擇有哪些？每個安全選項的防御效果如何？ 13
1.2.11 組織的緩解措施將如何影響業務運營？ 14
1.2.12 組織今後該如何更好地保護自己？ 14
1.3 網絡空間效應的不對稱性 14
1.3.1 維度 15
1.3.2 非線性 15
1.3.3 耦合 15
1.3.4 速度 16
1.3.5 表現形式 16
1.3.6 可檢測性 16
1.4 網絡安全解決方案 17
1.4.1 信息保障科學與工程 18
1.4.2 防御機制 18
1.4.3 網絡傳感器與漏洞利用 18
1.4.4 網絡態勢認知 19
1.4.5 網絡驅動 19
1.4.6 網絡指揮與控制 19
1.4.7 網絡防御戰略 20
1.5 預防和治療的成本效益考慮 20
1.6 小結 20
1.7 問題 21
第2章 正確思考網絡安全 23
2.1 關於風險 23
2.2 網絡安全的權衡：性能和功能 24
2.2.1 用戶友好度 25
2.2.2 上市時間 26
2.2.3 員工士氣 26
2.2.4 商機流失 27
2.2.5 機會成本 27
2.2.6 服務或產品數量 27
2.2.7 服務或產品質量 28
2.2.8 服務或產品成本 29
2.2.9 有限的資源 29
2.3 安全理論來源於不安全理論 29
2.4 攻擊者虎視眈眈，伺機而動 30
2.5 自上而下和自下而上 30
2.6 網絡安全是現場演奏樂隊，而不是錄制儀器 31
2.7 小結 32
2.8 問題 32
第3章 價值和目標繫統 33
3.1 聚焦價值和目標繫統 33
3.1.1 避免價值彙聚 34
3.1.2 謹防過度信任 34
3.2 機密性：敵對者眼中保密的價值 35
3.2.1 知識獲取型秘密 36
3.2.2 計劃型秘密 36
3.2.3 竊取型秘密 37
3.2.4 洩密途徑秘密 38
3.3 機密性：謹防過度保密 38
3.3.1 保密是脆弱的 39
3.3.2 保密成本高昂 39
3.3.3 保密可能適得其反 40
3.3.4 秘密會自我繁殖 40
3.3.5 秘密導致權力濫用和運營受阻 40
3.4 機密性：改變價值主張 40
3.4.1 減少保密及對保密的依賴 41
3.4.2 最小化洩密損失 42
3.5 完整性：一切可信價值的來源 42
3.6 可用性：基本但脆弱的價值 42
3.7 小結 43
3.8 問題 43
第4章 危害：目標繫統處於危險之中 45
4.1 聚焦戰略風險 45
4.1.1 什麼是戰略風險？ 46
4.1.2 預期危害 46
4.1.3 風險範圍 47
4.1.4 關注重點的意義 47
4.2 危害與目標繫統相關 47
4.2.1 危害引發的後果 48
4.2.2 彙總危害聲明 48
4.2.3 典型危害清單 49
4.3 關鍵資產：數據 49
4.3.1 數據資產類型 49
4.3.2 數據價值範圍 50
4.3.3 關鍵性分類 50
4.3.4 關鍵性分級 51
4.4 編制目標繫統危害的模板 51
4.5 眾人眼中的危害嚴重性 53
4.5.1 危害的嚴重性：共識 54
4.5.2 得出結論 54
4.6 有時，信心比真相更強大 54
4.6.1 摧毀價值 54
4.6.2 難以解決的問題：生活是不公平的 55
4.7 小結 55
4.8 問題 55
第5章 抽像、模型和現實 57
5.1 狀態的復雜性：為什麼需要建模？ 57
5.2 抽像水平：位於什麼水平 58
5.3 建模內容和原因 59
5.3.1 目標繫統 60
5.3.2 用戶 60
5.3.3 敵對者 61
5.3.4 措施/安全對策 62
5.4 模型總是出錯，偶爾有用 62
5.4.1 不完整性 63
5.4.2 不準確性 63
5.4.3 不及時性 64
5.5 模型視圖 66
5.5.1 防御者視圖 67
5.5.2 敵對者視圖 68
5.5.3 攻擊視圖本身 70
5.6 防御模型必須考慮失效模式 71
5.7 假設敵對者了解防御者的繫統 72
5.8 假設敵對者位於防御者繫統內部 73
5.9 小結 75
5.10 問題 75
第II部分 攻擊帶來什麼問題？
第6章 敵對者：了解組織的敵人 79
6.1 了解敵對者 80
6.1.1 意圖 80
6.1.2 能力 81
6.1.3 攻擊者和防御者的資源 81
6.1.4 風險容忍度 82
6.1.5 戰略目標 82
6.1.6 戰術 82
6.2 假設敵對者是聰明的 83
6.3 假設敵對者是不公平的 84
6.3.1 繞過安全控制 84
6.3.2 在安全控制措施下面穿過 85
6.3.3 攻擊最薄弱的環節 86
6.3.4 違反設計假設 87
6.3.5 利用維護模式 88
6.3.6 利用社交工程 88
6.3.7 賄賂和勒索策反內部人員 89
6.3.8 利用臨時旁路 89
6.3.9 利用臨時連接 90
6.3.10 利用自然的繫統故障 91
6.3.11 利用組織根本不知道的漏洞 91
6.3.12 攻陷繫統所信任的外部繫統 92
6.4 預測攻擊升級 92
6.5 紅隊 94
6.5.1 敵對 94
6.5.2 紅隊特點 94
6.5.3 其他類型的紅隊 95
6.6 網絡空間演習 96
6.6.1 紅藍對抗 96
6.6.2 純粹演習與混合演習 97
6.6.3 紫色協作 98
6.7 紅隊工作因素：衡量難度 98
6.8 小結 99
6.9 問題 99
第7章 攻擊森林 101
7.1 攻擊樹和攻擊森林 101
7.1.1 攻擊樹的結構 101
7.1.2 派生攻擊場景 103
7.1.3 從樹到森林 103
7.2 繫統故障預測網絡安全故障 104
7.2.1 啟發靈感的災難 104
7.2.2 十倍規則 104
7.2.3 佯裝故障 105
7.3 理解故障是成功的關鍵：“五問” 105
7.3.1 為什麼是“五問”？ 105
7.3.2 計劃魚骨圖 106
7.4 森林應該具有代表性，而非羅列一切 107
7.5 通過詢問“怎麼做”驅動每個攻擊樹層 108
7.6 深入研究且適可而止 109
7.7 小心外部依賴 110
7.7.1 及時 110
7.7.2 信息依賴 111
7.7.3 創建冗餘 111
7.8 小結 111
7.9 問題 112
第III 部分 緩解風險的構建塊
第8章 安全對策：安全控制措施 115
8.1 安全對策：設計滿足目標 115
8.2 確保覆蓋攻擊空間(廣度防御) 116
8.3 深度防御和廣度防御 117
8.4 多級安全、可信代碼和安全內核 119
8.4.1 多級安全 119
8.4.2 可信代碼 120
8.4.3 安全內核和訪問監測 120
8.5 完整性和類型強制訪問控制 122
8.5.1 多級完整性 122
8.5.2 類型強制訪問控制 122
8.6 網絡安全易用性 125
8.6.1 隱形的 125
8.6.2 透明的 126
8.6.3 清晰的 126
8.6.4 易於理解的 126
8.6.5 可靠的 127
8.6.6 快速的 127
8.6.7 可逆的 128
8.6.8 可適應的 128
8.6.9 可追蹤的 129
8.6.10 可審查的 129
8.7 部署默認安全 130
8.8 成本 130
8.8.1 成本永遠重要 130
8.8.2 部署時間的重要性 131
8.8.3 對目標繫統影響的重要性 131
8.8.4 二八定律 132
8.8.5 機會成本是成本的關鍵部分 132
8.8.6 在網絡安全方面需要投入多少 132
8.8.7 優化零和網絡安全預算 133
8.9 小結 133
8.10 問題 134
第9章 可信賴的硬件：基石 137
9.1 信任的基礎 137
9.2 指令集架構 139
9.3 環和物的監管 139
9.4 內存控制：映射、能力和標記 140
9.4.1 內存映射 141
9.4.2 能力 141
9.4.3 標記 142
9.5 硬件中的軟件 143
9.5.1 微代碼 143
9.5.2 固件 143
9.5.3 安全引導 143
9.6 總線和控制器 144
9.7 小結 144
9.8 問題 145
第10章 密碼術：鋒利而脆弱的工具 147
10.1 什麼是密碼術？ 147
10.2 密鑰空間 148
10.3 密鑰生成 150
10.4 密鑰分發 152
10.4.1 傳送給預期的接收者 152
10.4.2 存儲 153
10.4.3 加載 154
10.5 公鑰加密技術 154
10.5.1 數學原理 154
10.5.2 證書和證書頒發機構 155
10.5.3 性能和使用 156
10.5.4 公鑰加密技術的副作用 157
10.6 完整性 158
10.7 可用性 160
10.7.1 正面影響 160
10.7.2 負面影響 160
10.8 加密裂縫 162
10.8.1 量子密碼分析：顛覆性技術 162
10.8.2 公鑰加密基於NP難題 162
10.9 密碼術不是萬能的 162
10.10 謹防自主加密 163
10.11 小結 164
10.12 問題 164
第11章 身份驗證 165
11.1 實體身份標識：身份驗證第1階段 167
11.2 身份認證：身份驗證第2階段 167
11.3 身份識別：身份驗證第3階段 168
11.4 身份聲明和身份證明：身份驗證第4和第5階段 169
11.5 身份注銷：身份驗證第6階段 169
11.6 機器間身份驗證鏈 170
11.7 小結 171
11.8 問題 171
第12章 授權 173
12.1 訪問控制 173
12.1.1 自主訪問控制 174
12.1.2 強制訪問控制 176
12.1.3 隱蔽通道 177
12.1.4 基於身份的訪問控制 179
12.1.5 基於屬性的訪問控制 179
12.2 屬性管理 182
12.2.1 用戶屬性和權限分配 182
12.2.2 資源屬性分配 183
12.2.3 屬性收集和聚合 183
12.2.4 屬性驗證 184
12.2.5 屬性分發 186
12.3 數字策略管理 187
12.3.1 策略規範 188
12.3.2 策略分配 188
12.3.3 策略決策 189
12.3.4 策略執行 189
12.4 授權使用方案 191
12.4.1 直接集成 191
12.4.2 間接集成 191
12.4.3 替代集成 191
12.5 小結 192
12.6 問題 192
第13章 檢測基本原理 195
13.1 檢測的角色 195
13.2 檢測繫統如何工作 197
13.3 特征選擇 197
13.3.1 攻擊特征表現 198
13.3.2 表現強度 198
13.3.3 攻擊映射到特征 199
13.3.4 選擇的標準 199
13.4 特征提取 200
13.5 事件選擇 200
13.6 事件檢測 201
13.7 攻擊檢測 201
13.8 攻擊分級 202
13.9 攻擊警報 202
13.10 了解探針的運行性能特征 202
13.11 小結 203
13.12 問題 204
第14章 檢測繫統 205
14.1 檢測繫統的類型 205
14.1.1 基於簽名 205
14.1.2 異常檢測 208
14.2 檢測性能：假陽性、假陰性和接收器運行特征(ROC) 211
14.2.1 特征選擇 211
14.2.2 特征提取 214
14.2.3 事件選擇 214
14.2.4 攻擊檢測 215
14.2.5 攻擊分級 216
14.2.6 攻擊警報 216
14.3 攻擊驅動檢測需求 217
14.4 檢測失效 217
14.4.1 探針失效 217
14.4.2 在本底噪聲之下 218
14.4.3 低於告警閾值 218
14.4.4 不當的放置 218
14.4.5 自然失效 219
14.4.6 成功的攻擊 219
14.4.7 阻塞探針輸入 220
14.4.8 阻塞報告輸出 220
14.5 小結 220
14.6 問題 221
第15章 檢測策略 223
15.1 檢測廣度和深度 223
15.1.1 廣度：網絡拓展 224
15.1.2 深度：網絡拓展 225
15.1.3 廣度：攻擊空間 226
15.1.4 深度：攻擊空間 226
15.2 將敵對者置於防御者的預設戰場 227
15.3 攻擊流行因素 228
15.4 蜜罐檢測 229
15.5 細化檢測 229
15.5.1 告警調查 229
15.5.2 學攻擊的更多信息 230
15.6 增強攻擊信號，降低本底噪聲 230
15.6.1 降低本底噪聲 232
15.6.2 增強攻擊信號 233
15.6.3 降低告警閾值 234
15.7 小結 234
15.8 問題 234
第16章 威懾和對抗性風險 237
16.1 威懾的要求 237
16.1.1 可靠的檢測：暴露的風險 237
16.1.2 可靠地歸屬 238
16.1.3 有意義的後果 239
16.2 所有敵對者都有風險閾值 240
16.3 繫統設計可改變敵對者的風險 240
16.3.1 檢測概率 240
16.3.2 歸屬概率 241
16.3.3 讓敵對者付出代價的能力和概率 241
16.3.4 報復能力和概率 241
16.3.5 喜歡冒險的程度 241
16.4 不確定性和欺騙 242
16.4.1 不確定性 242
16.4.2 欺騙 242
16.5 什麼情況下檢測和威懾無效 242
16.6 小結 244
16.7 問題 244
第IV部分 如何協調網絡安全？
第17章 網絡安全風險評估 249
17.1 定量風險評估實例 249
17.2 風險作為主要指標 250
17.3 為什麼要度量？ 250
17.3.1 特征化 251
17.3.2 評估 251
17.3.3 預測 252
17.3.4 改善 253
17.4 從攻擊者的價值角度評估防御 253
17.5 風險評估和度量在設計中的作用 254
17.6 風險評素 255
17.6.1 開發目標繫統模型 256
17.6.2 開發繫統模型 256
17.6.3 開發敵對者模型 256
17.6.4 選擇代表性的戰略攻擊目標 257
17.6.5 基於群體智慧估算危害 258
17.6.6 基於群體智慧估算概率 259
17.6.7 選擇代表子集 260
17.6.8 開發深度攻擊樹 261
17.6.9 估算葉概率並計算根概率 262
17.6.10 細化基線預期危害 264
17.6.11 獲取攻擊序列割集=>風險來源 265
17.6.12 從攻擊序列推斷攻擊緩解候選方案 266
17.7 攻擊者成本和風險檢測 267
17.7.1 資源 267
17.7.2 風險容忍度 267
17.8 小結 268
17.9 問題 268
第18章 風險緩解和優化 271
18.1 制定候選緩解方案 272
18.2 評估緩解方案的費用 274
18.2.1 直接成本 274
18.2.2 對目標繫統的影響 275
18.3 重新估算葉概率並計算根概率 277
18.4 優化各種實際預算水平 279
18.4.1 背包算法 279
18.4.2 敏感性分析 282
18.5 決定投資 282
18.6 執行 283
18.7 小結 283
18.8 問題 284
第19章 工程基礎 285
19.1 繫統工程原理 285
19.1.1 墨菲定律 286
19.1.2 安全冗餘 288
19.1.3 能量和風險守恆 289
19.1.4 KISS原則 290
19.1.5 開發流程 290
19.1.6 增量開發和敏捷開發 291
19.2 計算機科學原理 292
19.2.1 模塊化和抽像 292
19.2.2 層次化 294
19.2.3 時間和空間復雜度：理解可擴展性 295
19.2.4 關注重點：循環和局部性 296
19.2.5 分治和遞歸 297
19.3 小結 298
19.4 問題 299
第20章 網絡安全架構設計 301
20.1 訪問監測屬性 301
20.1.1 功能正確性 302
20.1.2 不可繞過性 304
20.1.3 防篡改性 304
20.2 簡化和最小化提升信心 304
20.3 關注點和可擴展性分離 305
20.4 安全策略流程 305
20.4.1 策略規範 306
20.4.2 策略決策 307
20.4.3 策略執行 308
20.5 可靠性和容錯 309
20.5.1 網絡安全需要故障安全 309
20.5.2 預期故障：使用隔板破壞 309
20.5.3 容錯 310
20.5.4 預防、檢測響應及容錯協同 312
20.6 雲安全 313
20.7 小結 314
20.8 問題 314
第21章 確保網絡安全：正確處理 317
21.1 沒有保證的網絡安全功能是不安全的 317
21.2 應將網絡安全子繫統視為關鍵繫統 318
21.3 形式化保證論證 318
21.3.1 網絡安全需求 319
21.3.2 形式化安全策略模型 321
21.3.3 形式化概要規範 321
21.3.4 關鍵安全子繫統實施 322
21.4 總體保證和組合 323
21.4.1 組合 323
21.4.2 可信賴性的依賴關繫 323
21.4.3 避免依賴關繫循環 324
21.4.4 小心輸入、輸出和依賴關繫 324
21.4.5 違反未陳述的假設條件 325
21.5 小結 325
21.6 問題 326
第22章 網絡態勢認知：發生了什麼 329
22.1 態勢認知和指揮與控制的相互作用 329
22.2 基於態勢的決策：OODA循環 330
22.3 掌握攻擊的本質 332
22.3.1 利用了哪些脆弱性(漏洞)？ 332
22.3.2 攻擊使用哪些路徑？ 332
22.3.3 路徑是否仍然開放？ 333
22.3.4 如何關閉滲入、滲出和傳播路徑？ 334
22.4 對目標繫統的影響 335
22.4.1 風險增加 337
22.4.2 應急方案 337
22.4.3 本質和位置指導防御 337
22.5 評估攻擊損失 338
22.6 威脅評估 339
22.7 防御狀態 339
22.7.1 健康、壓力和脅迫 339
22.7.2 狀態 340
22.7.3 配置可控性 340
22.7.4 進度與失敗 341
22.8 動態防御的有效性 342
22.9 小結 342
22.10 問題 343
第23章 指揮與控制：如何應對攻擊 345
23.1 控制的本質 345
23.1.1 決策周期 345
23.1.2 關於速度的考慮因素 346
23.1.3 混合控制 346
23.2 戰略：獲取知識 347
23.2.1 類比 348
23.2.2 直接經驗 349
23.2.3 間接經驗 349
23.2.4 模擬 349
23.3 攻略 351
23.3.1 博弈論 351
23.3.2 預設行動方案 352
23.3.3 很好行動選擇標準 354
23.3.4 計劃的局限性 357
23.4 自主控制 357
23.4.1 控制理論 357
23.4.2 自主控制的作用 359
23.4.3 自主操作控制面板 360
23戰略 361
23.5.1 不要過度反應 361
23.5.2 不可預測性 362
23.5.3 領先於攻擊者 363
23.6 小結 363
23.7 問題 364
第V部分 推進網絡安全
第24章 戰略方針與投資 369
24.1 網絡戰爭：可以變得多糟？ 369
24.1.1 場景 371
24.1.2 采取行動 371
24.1.3 準備行動的障礙 372
24.1.4 確鑿的證據 372
24.2 日益增長的依賴性、脆弱性和物聯網 373
24.2.1 社會依賴性 373
24.2.2 萬物即時 373
24.2.3 物聯網 373
24.2.4 傳播的脆弱性 374
24.3 虛擬世界的網絡安全：虛擬經濟 374
24.3.1 蓬勃發展的遊戲經濟：虛擬淘金熱 374
24.3.2 比特幣等數字貨幣 374
24.3.3 虛擬高價值目標 375
24.3.4 從頭開始？ 375
24.4 虛假信息和影響操控行動：虛假新聞 376
24.4.1 哪些和過去不一樣？ 376
24.4.2 操縱思維 376
24.4.3 污染信息圈 377
24.5 小結 377
24.6 問題 378
第25章 對網絡安全未來的思考 379
25.1 沒有秘密的世界 379
25.1.1 適時發布 380
25.1.2 最小化新秘密的生成 380
25.1.3 學會在零秘密環境中的有效運營 380
25.2 措施和應對措施的共同演進 381
25.3 網絡安全太空競賽和人造衛星 382
25.3.1 獲取終極低地 382
25.3.2 震網和網絡攻擊精靈 382
25.3.3 格魯吉亞和混合戰爭 382
25.3.4 愛沙尼亞和實彈實驗 382
25.3.5 捍衛關鍵信息基礎架構的責任 383
25.4 網絡安全科學與實驗 385
25.4.1 假設生成 386
25.4.2 實驗設計 387
25.4.3 實驗執行 388
25.5 偉大的未知：研究方向 388
25.5.1 研究難題 388
25.5.2 網絡安全問題太難嗎？ 389
25.5.3 研究影響與Heilmeier的教理主義 390
25.5.4 研究結果的可靠性 392
25.5.5 研究文化：警告 393
25.6 網絡安全與人工智能 393
25.7 小結 395
25.8 問題 396

防御更復雜攻擊的很好網絡安全解決方案《網絡安全設計權威指南》介紹如何在預算範圍內按時設計和部署高度安全的繫統，並列舉綜合性示例、目標和上佳實踐。本書列出恆久有效的工程原理，包括：定義網絡安全問題的基本性質和範圍。從基本視角思考攻擊、故障以及攻擊者的心態。開發和實施基於繫統、可緩解風險的解決方案。遵循可靠的網絡安全原理，設計有效的架構並制定評估策略，全面統籌應對整個復雜的攻擊空間。

(美)薩米·塞達裡 著 王向宇,欒浩,姚凱 譯