网络信息安全的真相
[特价中]
点击看大图基本信息
- 原书名:Secrets and Lies:Digital Security in a Networked World
- 原出版社: Join Wiley&Sons,Inc.
- 作者: (美)Bruce Schneier
- 译者: 吴世忠 马芳
- 丛书名: 网络与信息安全技术丛书
- 出版社:机械工业出版社
- ISBN:7111091914
- 上架时间:2001-10-17
- 出版日期:2001 年9月
- 页码:240
- 版次:1-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
内容简介回到顶部↑
本书介绍计算机系统的安全性问题、技术的局限性以及解决方案。本书用大量实例,生动地描述了系统中的各种安全环节,井阐述作者独特的见解。本书适合系统设计与分析人员参考,也适合研究安全问题的技术人员和想了解安全问题的普通读者阅读。
作译者回到顶部↑
目录回到顶部↑
译者序
前言
第1章 引言
1.1 系统
1.2 系统与安全
第一部分 前 景
第2章 数字威胁
2.1 攻击的不变性质
2.2 攻击的变化性质
2.2.1 自动化
2.2.2 行动的远程化
2.2.3 技术的传播性
2.3 预防与反应
第3章 攻击
3.1 刑事攻击
3.1.1 诈骗
3.1.2 欺诈
3.1.3 破坏性攻击
3.1.4 知识产权盗窃
3.1.5 身份盗窃
前言
第1章 引言
1.1 系统
1.2 系统与安全
第一部分 前 景
第2章 数字威胁
2.1 攻击的不变性质
2.2 攻击的变化性质
2.2.1 自动化
2.2.2 行动的远程化
2.2.3 技术的传播性
2.3 预防与反应
第3章 攻击
3.1 刑事攻击
3.1.1 诈骗
3.1.2 欺诈
3.1.3 破坏性攻击
3.1.4 知识产权盗窃
3.1.5 身份盗窃
译者序回到顶部↑
在颇具神秘色彩的密码学和信息安全领域中,BruceSchneier先生称得上是一匹黑马。几年前,在全球信息安全炙手可热的时运下,他凭着对应用密码学全景式的盘点和家珍般的评说,以《应用密码学》(中译本由机械工业出版社引进出版)一书横空出世。将密码学在信息安全中的强大生命力阐述的淋漓尽致。就在这本被人誉为“编码黑客的圣经”的密码学专著以多种文字畅销全球的时候Schneier又推出了另一部新书,这本新书篇幅不长,但却有一个很长的名字——《秘密与谎言:网络世界中的数字安全》(英文原著的直译名),同时有着十分鲜明的主题:那就是要揭示信息安全的真相。用Schneier先生自己的话来说,他写这本书部分是为了纠正一个错误,纠正他在《应用密码学)中将密码学视为灵丹妙药的神话。他坦陈:“密码学是数学的一个分支,它涉及到的是数学、公式和逻辑。我们生活中的安全涉及到的则是人:人所知道的事情,人际之间的关系,人和机器的关系等。而数字安全涉及到的却是计算机:各种复杂的、不稳定的、甚至充满漏洞的计算机。”Schneier用完全非技术的语言说明密码学与计算机安全的关联和区别,从现实社会和网络生活的角度阐述了自己对信息安全问题的深切理解。 本书共分三大部分。第一部分用四章的篇幅勾勒出数字安全的观念背景。作者对安全威胁的概括不仅包括各种刑事攻击,而且还涉及了名声攻击和法律性攻击,并将攻击者类分为国家情报机关、新闻机构、恐怖分子、内部奸细、犯罪分子和产业间谍等,作者归纳了人们的安全需求:内容包括隐私保护、匿名需要、完整无缺、身份识别和审计跟踪等。
第二部分探讨的是包括密码技术、软件可靠性、安全硬件、识别与鉴别和证书与凭证在内的安全技术和包括计算机、联网计算机和网络安全等在内的安全域。。还用一章专门讨论信息安全的“人为因素”。从移动代码的问题、到安全硬件的采用、直至数字证书的局限,Schneier用简洁明了,非技术性的语言对信息安全的技术及其局限性进行了独到的分析,通过例证纠正了不少人们在安全问题上的常识性错误。
在第三部分中,作者探讨的是安全策略,内容包括安全管理的方方面面。例如脆弱性、攻击方法和对应措施,特别强调了威协建模和风险评估的重要性,作者还讨论了产品的测试和检验,以及产品未来的发展。在本书结尾,作者再次强调了自己对安全真相的理解,那就是:信息安全是基于风险评估的,“安全并非某一个产品,它是一个完整的过程。”
作者恳请每一位读者从头到尾通读本书,一方面是因为该书确实象一个故事,情节跌宕,前后呼应;另一方面是因为该书将复杂的信息安全技术用非技术性的语言娓娓道来,专业人士也好,非专业人员也罢,均能看得明白。综观这本一气呵成的著作,精彩章节着实不少,比如在讨论密码学的第6、7章中,作者对加密概念及内容的高度概括和对专用算法存在问题的精辟分析着实令人叫绝。在“识别与验证”一章中对口令字存在的问题和生物统计学方法现有局限的分析也是入木三分。在“软件可靠性”一章中对堆栈溢出的精彩描述更是难以在别处见到,而读了“产品的测试与检验”一章,你不得不承认,除了密码学而外,评价软件的安全缺陷应是Schneier的另一专长,在“网络防御”一章里,作者对安全攻防可谓“实话实说”。不乏烁见,发人深省。
当然,黑马并不是天才,Schneier自己在后记中称,他的思想灵感是在成书前一年“显灵”的,在一年的时间里一边工作一边写作,要想将信息安全的真相搞得明明白白显然并非易事,书中不少章节也显露了作者理论和经验上的局限。比如在“对手”一章中,作者对计算机犯罪的概念仍显得有些书卷气,对攻击者的归类不太专长。在“证书和凭证”一章中,作者对PKI/CA的政策和证书管理讨论不够,也未提及时戳服务,第三方见证等可用于强化数字签名强度的措施。在“安全诀窍”一章中,作者对密码恢复的评论也不无偏颇。此外,“攻击树”一章虽然为风险评估提供了一个十分有益的理论模型,但是作者提出的信息安全风险的评估方式是否实用尚难断言。
尽管如此,本书与《应用密码学》一样自推出以来,畅销不衰。成为2000年信息安全领域的热门话题。机械工业出版社购得了本书的中文出版权,并诚邀我们翻译。我们为机械工业出版社翻译过《应用密码学》,原以为驾轻就熟,殊不知Schneier先生在本书中文风突变,采用的是灵活、风趣的非技术语言。这给我们的翻译工作提出了很大的挑战。必须承认,由于水平所限,要在很短的时限内完全转达该书的风格是相当困难的,所以对书中的误译和错译,请读者一定见谅。我们诚挚地推荐专业人士能读本书的原著。
此外,本书的全名为“秘密与谎言:网络化世界中的数字安全”我们觉得太长,也太文学化,根据我们对本书的理解,故且将书名译为《网络信息安全的真相》,不知是否妥当、贴切。
译者
2001年9月
于北京昆明湖畔
第二部分探讨的是包括密码技术、软件可靠性、安全硬件、识别与鉴别和证书与凭证在内的安全技术和包括计算机、联网计算机和网络安全等在内的安全域。。还用一章专门讨论信息安全的“人为因素”。从移动代码的问题、到安全硬件的采用、直至数字证书的局限,Schneier用简洁明了,非技术性的语言对信息安全的技术及其局限性进行了独到的分析,通过例证纠正了不少人们在安全问题上的常识性错误。
在第三部分中,作者探讨的是安全策略,内容包括安全管理的方方面面。例如脆弱性、攻击方法和对应措施,特别强调了威协建模和风险评估的重要性,作者还讨论了产品的测试和检验,以及产品未来的发展。在本书结尾,作者再次强调了自己对安全真相的理解,那就是:信息安全是基于风险评估的,“安全并非某一个产品,它是一个完整的过程。”
作者恳请每一位读者从头到尾通读本书,一方面是因为该书确实象一个故事,情节跌宕,前后呼应;另一方面是因为该书将复杂的信息安全技术用非技术性的语言娓娓道来,专业人士也好,非专业人员也罢,均能看得明白。综观这本一气呵成的著作,精彩章节着实不少,比如在讨论密码学的第6、7章中,作者对加密概念及内容的高度概括和对专用算法存在问题的精辟分析着实令人叫绝。在“识别与验证”一章中对口令字存在的问题和生物统计学方法现有局限的分析也是入木三分。在“软件可靠性”一章中对堆栈溢出的精彩描述更是难以在别处见到,而读了“产品的测试与检验”一章,你不得不承认,除了密码学而外,评价软件的安全缺陷应是Schneier的另一专长,在“网络防御”一章里,作者对安全攻防可谓“实话实说”。不乏烁见,发人深省。
当然,黑马并不是天才,Schneier自己在后记中称,他的思想灵感是在成书前一年“显灵”的,在一年的时间里一边工作一边写作,要想将信息安全的真相搞得明明白白显然并非易事,书中不少章节也显露了作者理论和经验上的局限。比如在“对手”一章中,作者对计算机犯罪的概念仍显得有些书卷气,对攻击者的归类不太专长。在“证书和凭证”一章中,作者对PKI/CA的政策和证书管理讨论不够,也未提及时戳服务,第三方见证等可用于强化数字签名强度的措施。在“安全诀窍”一章中,作者对密码恢复的评论也不无偏颇。此外,“攻击树”一章虽然为风险评估提供了一个十分有益的理论模型,但是作者提出的信息安全风险的评估方式是否实用尚难断言。
尽管如此,本书与《应用密码学》一样自推出以来,畅销不衰。成为2000年信息安全领域的热门话题。机械工业出版社购得了本书的中文出版权,并诚邀我们翻译。我们为机械工业出版社翻译过《应用密码学》,原以为驾轻就熟,殊不知Schneier先生在本书中文风突变,采用的是灵活、风趣的非技术语言。这给我们的翻译工作提出了很大的挑战。必须承认,由于水平所限,要在很短的时限内完全转达该书的风格是相当困难的,所以对书中的误译和错译,请读者一定见谅。我们诚挚地推荐专业人士能读本书的原著。
此外,本书的全名为“秘密与谎言:网络化世界中的数字安全”我们觉得太长,也太文学化,根据我们对本书的理解,故且将书名译为《网络信息安全的真相》,不知是否妥当、贴切。
译者
2001年9月
于北京昆明湖畔
前言回到顶部↑
我写这本书,部分原因是为了纠正一个错误。
7年前,我写了一本书:《Applied Cryptography》(《应用密码学》,中译本由机械工业出版社出版)。在该书中,我描述了一个数学的乌托邦:密码算法能将你最深的秘密保持数千年,安全协议能安全而可靠地执行最难以想象的电子交互,如不规则的赌博、不可检测的认证、匿名货币等。根据我的观点,密码学是超凡的技术均衡器,任何人只要有一台便宜的(而且越来越便宜)计算机,就可以达到与最强大的政府同样的安全性。在两年以后该书的第二版内,我进一步写道:“仅靠法律保护我们自己还远远不够,我们还需要用数学保护我们自己。”
事实并非如此,密码学并不能做那么多的事情。
并不是说密码学从1994年开始变得软弱,也不是说我在那本书中描述的不再是真的,我想说的是密码学并非存在于真空之中。
密码学是数学的一个分支。像所有其他数学分支一样,它涉及的是数字、公式和逻辑。安全性,特别是在我们的生活中十分有用的安全性,它涉及的是人:人所知道的事情、人与人之间的关系、人和机器的关系。而数字的安全性涉及到的是计算机:复杂的、不稳定的、充满漏洞的计算机。
数学是完美的,而现实却是主观的。数学是精确的,而计算机却充满矛盾。数学是遵循逻辑的,而人却是不稳定的、反复无常的,甚至是难以理解的。
《Applied Cryptography》的错误是由于我完全没有讲到前后关系,我把密码学说成了灵丹妙药,我真是有些天真。
结果可想而知。广大读者将密码学视为一种神奇的安全性粉面,认为把它洒在软件上,就可以使软件安全。这样,他们就会依恋神奇的说法,例如“128位密钥”和“公开密钥基础设施”(PKI)。有位同事曾告诉我,世界上充满着读了《Applied Cryptography》的人设计的安全性很糟的系统。
自从写了那本书后,我就成为了密码学顾问,并不断设计和分析安全性系统。但让我深感震惊的是,安全性的弱点与数学毫无关系,它们存在于硬件、软件、网络以及人的身上。数学的完美与糟糕的编程、极差的操作系统和一个人的口令字选择不当没有关系。我学着从密码学以外的角度去思考,从整个系统中发现弱点。从这本书中,你将会看到我反复提出的一些观点:“安全性是一条链,其可靠程度取决于链中最薄弱的环节”。“安全性是一个过程,而不是产品”。
现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方:它的组件和连接。在本书中,我要阐明的是现代系统有太多的组件和连接,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
对每一个与现实有关系的人来说,这一点很显然。在现实世界中,安全性涉及到过程。它涉及到预防性技术,也涉及到检测和反应过程,以及一个完整的追查和检控犯罪的侦察制度。安全性不是产品,它本身是一个过程。如果要使我们的数字系统安全,就必须完整构建这一过程。
几年以前,我听到一句箴言,我在这里将它修改为:如果你认为技术能解决安全性问题,那么你就不理解安全性问题,也不理解技术。
本书要论述的就是这些安全性问题、技术的局限性以及解决方案。
请从头到尾,按顺序阅读本书。
许多技术书籍可以来回跳着看,作为参考资料使用,不需要按顺序阅读,真的不需要。而本书则不是这样。本书有情节,像一个故事。像任何好故事一样,如果不按顺序讲,几乎没有什么意义。每一章都是前后相关的,如果你不走完全程,你就不能获得最终结果。
实际上,我要求你从头到尾阅读两次。本书想说明的是,为了理解系统的安全性,你应当观察整个系统——而不是任何一项特定的技术。安全性本身是相互连接的系统,在详细了解任何一件事之前,最好能粗略地了解所有的事。但是,要求读两遍可能是太过苛求,请原谅我提出了这个要求。
本书共分三部分:第一部分是“前景”,它给出了本书其余部分的背景:谁是攻击者,他们要做什么,我们怎样对待威胁。第二部分是“技术”,它基本上是一些叙述不同的安全性技术和它们的局限性的章节。第三部分是“策赂”,在知道了概况中的要求和技术的局限性后该做什么。
我认为数字安全是当今最酷的事,本书表达了这种感觉。它十分艰难,但充满乐趣。请从阅读本书中享受这种乐趣吧。
7年前,我写了一本书:《Applied Cryptography》(《应用密码学》,中译本由机械工业出版社出版)。在该书中,我描述了一个数学的乌托邦:密码算法能将你最深的秘密保持数千年,安全协议能安全而可靠地执行最难以想象的电子交互,如不规则的赌博、不可检测的认证、匿名货币等。根据我的观点,密码学是超凡的技术均衡器,任何人只要有一台便宜的(而且越来越便宜)计算机,就可以达到与最强大的政府同样的安全性。在两年以后该书的第二版内,我进一步写道:“仅靠法律保护我们自己还远远不够,我们还需要用数学保护我们自己。”
事实并非如此,密码学并不能做那么多的事情。
并不是说密码学从1994年开始变得软弱,也不是说我在那本书中描述的不再是真的,我想说的是密码学并非存在于真空之中。
密码学是数学的一个分支。像所有其他数学分支一样,它涉及的是数字、公式和逻辑。安全性,特别是在我们的生活中十分有用的安全性,它涉及的是人:人所知道的事情、人与人之间的关系、人和机器的关系。而数字的安全性涉及到的是计算机:复杂的、不稳定的、充满漏洞的计算机。
数学是完美的,而现实却是主观的。数学是精确的,而计算机却充满矛盾。数学是遵循逻辑的,而人却是不稳定的、反复无常的,甚至是难以理解的。
《Applied Cryptography》的错误是由于我完全没有讲到前后关系,我把密码学说成了灵丹妙药,我真是有些天真。
结果可想而知。广大读者将密码学视为一种神奇的安全性粉面,认为把它洒在软件上,就可以使软件安全。这样,他们就会依恋神奇的说法,例如“128位密钥”和“公开密钥基础设施”(PKI)。有位同事曾告诉我,世界上充满着读了《Applied Cryptography》的人设计的安全性很糟的系统。
自从写了那本书后,我就成为了密码学顾问,并不断设计和分析安全性系统。但让我深感震惊的是,安全性的弱点与数学毫无关系,它们存在于硬件、软件、网络以及人的身上。数学的完美与糟糕的编程、极差的操作系统和一个人的口令字选择不当没有关系。我学着从密码学以外的角度去思考,从整个系统中发现弱点。从这本书中,你将会看到我反复提出的一些观点:“安全性是一条链,其可靠程度取决于链中最薄弱的环节”。“安全性是一个过程,而不是产品”。
现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方:它的组件和连接。在本书中,我要阐明的是现代系统有太多的组件和连接,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
对每一个与现实有关系的人来说,这一点很显然。在现实世界中,安全性涉及到过程。它涉及到预防性技术,也涉及到检测和反应过程,以及一个完整的追查和检控犯罪的侦察制度。安全性不是产品,它本身是一个过程。如果要使我们的数字系统安全,就必须完整构建这一过程。
几年以前,我听到一句箴言,我在这里将它修改为:如果你认为技术能解决安全性问题,那么你就不理解安全性问题,也不理解技术。
本书要论述的就是这些安全性问题、技术的局限性以及解决方案。
请从头到尾,按顺序阅读本书。
许多技术书籍可以来回跳着看,作为参考资料使用,不需要按顺序阅读,真的不需要。而本书则不是这样。本书有情节,像一个故事。像任何好故事一样,如果不按顺序讲,几乎没有什么意义。每一章都是前后相关的,如果你不走完全程,你就不能获得最终结果。
实际上,我要求你从头到尾阅读两次。本书想说明的是,为了理解系统的安全性,你应当观察整个系统——而不是任何一项特定的技术。安全性本身是相互连接的系统,在详细了解任何一件事之前,最好能粗略地了解所有的事。但是,要求读两遍可能是太过苛求,请原谅我提出了这个要求。
本书共分三部分:第一部分是“前景”,它给出了本书其余部分的背景:谁是攻击者,他们要做什么,我们怎样对待威胁。第二部分是“技术”,它基本上是一些叙述不同的安全性技术和它们的局限性的章节。第三部分是“策赂”,在知道了概况中的要求和技术的局限性后该做什么。
我认为数字安全是当今最酷的事,本书表达了这种感觉。它十分艰难,但充满乐趣。请从阅读本书中享受这种乐趣吧。
评论交流
共有23人开贴评论 26人参与评论 23人参与打分 查看
评价等级:
发表于:2004-10-25 22:33:00
2000年度Jolt效率大奖获奖书籍
同年的Jolt大奖是:
James Highsmith III的“Adaptive Software Development”
同年的效率大奖还有:
Alistair Cockburn的“Writing Effective Use Case”
Don't Make Me Think! A Common Sense Approach to Web Usability by Steve Krug, published by New Riders Publishing
不知道china-pub为何没在广告里把Jolt奖这条加上
同年的Jolt大奖是:
James Highsmith III的“Adaptive Software Development”
同年的效率大奖还有:
Alistair Cockburn的“Writing Effective Use Case”
Don't Make Me Think! A Common Sense Approach to Web Usability by Steve Krug, published by New Riders Publishing
不知道china-pub为何没在广告里把Jolt奖这条加上
加载中...| 我要写评论 |
| 查看所有评论交流(共23条) |
