信息安全积极防御技术
2009-6
航空工业出版社
中国信息安全测评中心
246
世界正经历一场伟大的信息革命,信息成为一种重要的战略资源。它改变着人们的生活方式和工作方式,形成新的社会形态。随着我国社会信息化进程的不断发展,计算机网络及信息系统在政府机构、企事业单位及社会团体的工作中发挥着越来越重要的作用。然而,信息化水平的提高在带来巨大发展机遇的同时也带来了严峻的挑战。由于信息系统是一个复杂巨系统,它存在着脆弱性,信息安全问题不断暴露。信息安全关系到国家的经济安全、政治安全、军事安全和文化安全。信息安全已经成为维护国家安全和社会稳定的一个重要因素。当前,社会对信息安全专业人员的需求逐年增加。发展信息安全技术与产业,关键是人才。培养信息安全领域的专业人才,已成为当务之急。高素质的信息安全人才队伍是保障国家重点基础网络和重要系统安全的基石,是制定信息安全发展战略规划与政策并建设国家信息安全保障体系的骨干力量,是发展我国信息安全产业的排头兵。目前我国的信息安全教育工作仍相对滞后,信息安全人才十分匮乏,社会需求与人才供给间还存在着很大差距。如何培养信息安全的专业人才,是我国目前面临的重要问题。
本书从信息安全积极防御的视角描述了信息安全积极防御的技术基础,并给出了10个信息安全积极防御的实验。在信息安全积极防御技术基础方面,描述了以主动攻击为核心的积极防御的工作步骤和流程,并重点介绍了网络和系统信息搜集技术、密码破译以及拒绝服务、缓冲区溢出、木马和病毒的积极防御技术;通过10个可操作、练习的信息安全积极防御实验,理论结合实践,帮助读者更深刻地理解和实践信息安全积极防御技术。 本书是中国信息安全测评中心注册信息安全专业人员(CISP)和注册信息安全员(CISM)的正式教材,可作为高等院校信息安全专业的学生教材,并可作为信息安全培训和从业人员的信息安全积极防御的实验参考书。
第一部分 信息安全积极防御技术基础 第1章 信息安全积极防御概述 1.1 引言 1.2 攻击的定义和目标 1.3 攻击的一般过程 1.4 攻击的类型 1.5 攻击的演变与发展 1.6 本章小结 第2章 网络信息收集技术 2.1 信息收集概述 2.2 目标初始信息探查 2.3 找到网络地址范围 2.4 本章小结 第3章 系统信息收集技术 3.1 活动机器查找 3.2 开放端口和入口点 3.3 操作系统信息收集 3.4 开放服务的收集 3.5 漏洞扫描 3.6 本章小结 第4章 密码破解 4.1 密码破解的基本方法 4.2 常见密码破解举例 4.3 本章小结 第5章 拒绝服务攻击与防御 5.1 拒绝服务攻击概述 5.2 是否发生了DoS攻击 5.3 常见的拒绝服务攻击 5.4 分布式拒绝服务攻击 5.5 DoS攻击防范 5.6 DDoS攻击防范 5.7 本章小结 第6章 缓冲区溢出积极防御 第7章 Web及数据库德积极防御 第8章 计算机木马积极防御 第9章 计算机病毒积极防御第二部分 信息安全攻防实践 实验1 账号口令破解实验 实验2 拒绝服务攻防实验 实验3 系统端口扫描与漏洞检测实验 实验4 缓冲区溢出积极防御实验 实验5 木马积极防御实验 实验6 网络嗅探攻防实验 实验7 信息安全攻防综合实验 实验8 Windows2000/WindowsXP中文件加密及证书的管理 实验9 Windows2000/WindowsX下的系统审核 实验10 Windows2000/WindowsX下的文件权限设置
插图:2.2.3社会工程学社会工程学是一种攻击行为,是攻击者利用人际关系的互动性所发出的攻击。通常攻击者如果没有办法通过物理入侵的办法直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到攻击的目的。社会工程学攻击要求攻击者不仅知道目标的计算机信息,并且必须通过信息收集了解目标弱点,即规则弱点和人为弱点,然后开始精心地构造陷阱让目标交出攻击者所想要的信息。攻击者在信息收集遇到困难时会把矛头指向目标的系统管理员,因为人在这个整体中往往是最不安全的因素。攻击者通过搜索引擎对系统管理员的一些个人信息进行搜索,如电子邮件地址、MSN、QQ等关键词,分析出这些系统管理员的个人爱好,常去的网站、论坛甚至个人的真实信息,然后利用掌握的信息与系统管理员拉关系套近乎,骗取对方的信任,使其一步步落入攻击者设计好的圈套,最终造成系统被入侵。例如,盗取QQ的方法中除了本地和远程盗窃密码外,还可以通过和对方聊天,通过了解对方的资料,如生日、姓名等信息,通过找回密码的提示问题获得QQ的密码。所以通过Whois或其他方式搜索到的基本信息,看似平常,却可以被攻击者所利用。
《信息安全积极防御技术》:信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。大力推进信息化,是覆盖我国现代化建设全局的战略举措,是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。如何以信息化提升综合国力,如何在信息化快速发展的同时确保国家信息安全,这已经成为各国政府关心的热点问题。信息安全已经从国家政治、经济、军事、文化等领域普及到社会团体、企业,直到普通百姓,信息安全成为信息化的最主要的基础建设之一。从当前形势分析,信息安全教育工作滞后,信息安全人才极度匮乏,社会需求与人才供给间还存在着很大差距。如何培养信息安全的专业人才,这一新问题困扰着人们,是我国目前面临的重要问题。《国家信息安全培训丛书》从根本出发,以求解决这一问题,推进信息安全人员培训工作的顺利开展。作者对于本套教材花费了大量的精力,力图能描画出信息安全保障的基础性的概貌,是一套十分宝贵的信息安全专业人员培训丛书。相信这套丛书的出版,能成为我国培养信息安全专业人员的重要基石。
针对入门级读者内容够用了
有点贵了啊