信息安全技术概论

　　简单地想要一个信息安全方面的职位，不是具体地能够在一个如此与其他行业相接触的行业中传达所有的可能理念。《信息安全技术概论》作者安德斯博士所做的，除了给你稳定的理论基础之外，更是碰撞你的思想火花。正是那些火花可以拥有职业忠告的“计划内”结果。他是怎么做到的呢？他巧妙地融合、搜集、查阅了许多感性的课题（再次，诚实地，让大多数人首先接近和了解信息安全世界），同时向我们展示，它有空间能够容纳整个信息安全所覆盖的各类问题，而不只是坚持于那些经过试验的、实际的，用来表达信息并要求死记硬背的课堂知识。

　　杰森·安德斯，（信息系统安全架构专家，国际知名信息安全专家，费城环境网络顾问，道德骇客资格认证）是一位在学术和商业领域都有丰富经验的信息安全专业人士。他目前受聘于一家大型软件公司，该公司主要提供全球信息安全监督，并进行网络渗透测试、风险评估以及审计，以确保商业资产安全。
　　自2005年以来，杰森就开始教授本科生和研究生的信息安全课程。他拥有计算机学科的博士学位，从事数据安全保护领域的科学研究。他撰写了一系列刊物和书籍，内容包括数据安全、网络安全、渗透测试和电子取证。

第一章 信息安全概述
第二章 识别和认证
第三章 授权和访问控制
第四章 审计和问责
第五章 密码编码学
第六章 操作安全
第七章 实体安全
第八章 网络安全
第九章 操作系统安全
第十章 应用程序安全

　　第一章 信息安全概述
　　本章信息
　　什么是信息安全
　　讨论安全问题的模型
　　攻击
　　纵深防御
　　引言
　　信息安全是一个在很大程度上几乎无处不在的计算技术，是一个与社会各个方面都息息相关的概念。在日常生活中，大多数人都用电脑为雇主工作，在家用电脑上玩游戏，接受远程教育，在网上买东西，带着笔记本电脑到咖啡店收发电子邮件，将智能手机放在裤兜里并使用它们来查询银行结余，用鞋中传感器跟踪记录运动情况，等等，循环往复。
　　虽然这项技术使生活能够更有效率，并且只需点击一下鼠标就可以访问主机信息，但它也带来了主机的安全问题。如果雇主或银行所使用的系统信息暴露给一个攻击者，其后果是可怕的。我们可能会发现自己资金突然丢失，在半夜资金从银行账户转移到另一个国家的某个银行账户上。雇主可能因为系统配置问题使攻击者轻而易举地访问到包含个人识别信息(PII)或专有信息的数据库，而为此造成数百万美元的损失，遭受法律诉讼，并且信誉受到损害。日常生活中，我们看到类似问题被媒体频繁地报道。
　　回顾30年前，这些计算机系统问题几乎不存在，这主要是因为当时技术水平低而且很少有人运用到位。尽管技术发展越来越快，并在一个看似日常的基础上得以具体实施，但存在争议的是：如何改变信息安全技术以慢得多的步伐变化，且没有始终保持与技术革新相一致。如果能够更好地认识信息安全基础。那么将拥有一个强大的环境以应付技术革新带来的挑战。什么是信息安全?
　　根据美国法律，信息安全被定义为“保护信息和信息系统不受未经授权滥用。
　　在一般意义上，信息安全意味着资产得到安全保护，使其远离可能的攻击者对网络的入侵，避免自然灾害、介质损坏、电源故障、盗窃或破坏，以及其他不良状态。最终，考虑到系统的实际运行环境，要确保系统在最有可能的攻击条件下的信息安全，并达到最佳效果。
　　当仔细研究所需要保护的安全内容时，我们可能会看到一个范围更加广泛的潜在资产。此时，需要考虑那些想要保护的物质项目，例如，有价物品(如黄金)，或那些对业务有价值的东西(如计算机硬件)；也可能需要保护一些虚拟项目，如软件、源代码或数据。在当今的计算机环境下，我们可能会发现，逻辑资产往往与实物资产一样具有不可替代的重要价值。此外，还必须保护业务所涉及的人，他们是最宝贵的资产，因为没有他们，就无法开展业务。我们可以复制虚拟和逻辑资产，保存他们的备份副本以避免不幸事件发生，但如果没有专业人员的维护，系统运行环境会迅速崩溃。
　　在保护资产的过程中，还必须考虑选择实施安全措施的后果。有一个著名的引述说道，“唯一真正的安全系统是那种已断电，浇筑在一个混凝土里，并密封在铅衬里，放人一个配备武装警卫的房间中，即使这样我仍有怀疑”。虽然可以肯定地说，在这样一个状态下的做法可以被认为是相当安全的，但这肯定是不实用的。当提高安全水平时，我们通常会降低生产力水平。如引述中提到的系统，安全水平将非常高，但生产力水平则将接近于零。
　　此外，当保护资产、系统或环境时，还必须将安全水平同所保护项目的价值结合起来考虑。如果愿意适应性能下降，我们可以对所负责的资产采取安全性非常高的措施。可以建立一个被铁丝网包围的耗资10亿美元的设施，由武装警卫和凶猛的警犬巡逻，将资产精心放置在一个密封的地下室内……从而让妈妈的巧克力曲奇配方绝不受到伤害，但这没有太大的意义。然而，在某些环境中，这样的安全措施可能还不够。在计划提高安全水平的情况下，我们需要考虑到资产万一丧失的更换成本，并建立合理的保障水平，安全成本不应该超越其所保护资产的价值。
　　……