- 定价:¥89.00
- 校园优惠价:¥78.32 (88折) (马上了解)
- 评分:
(已有1条评价) - 电子书:威胁建模:设计和交付更安全的软件
- 促销活动:
- 此商品暂时缺货(可留下联系方式,到货将第一时间通知您)
基本信息
- 作者: (美)亚当·斯塔克 (Adam Shostack)
- 译者: 江常青 班晓芳 梁杰 佟鑫
- 丛书名: 信息安全技术丛书
- 出版社:机械工业出版社
- ISBN:9787111498070
- 上架时间:2015-4-24
- 出版日期:2015 年4月
- 开本:16开
- 版次:1-1
- 所属分类:计算机 > 安全 > 网络安全/防火墙/黑客
编辑推荐
第24届Jolt大奖获奖图书,微软资深安全技术专家撰写,系统且深入阐释威胁建模的工具、方法、原则和最佳实践。从识别威胁、处理威胁到选择最优安全措施,深入解读威胁建模的各种常见问题。
内容简介
书籍
计算机书籍
如果你是一名软件开发人员、系统管理人员或者安全专业人员,本书将告诉你在安全开发软件肋生命周期中或者软件和系统总体设计的过程中如何使用威胁建模方法。在本书中,安全技术专家Adam shostack系统且深入阐释了自己对威胁建模的理解与实践。与其他书籍不同,本书详细介绍如何从开始设计软件、计算机服务和计算机系统时就构建与提升其安全性。
在安全事件威胁到你或者你的客户之前及时发现并修复。
帮助软件开发人员、IT专业人员和安全爱好者学习使用实用且操作性极强的工具、技术和方法。
探寻以软件为关键要素的威胁建模方法的微妙之处,探索其应用于软件和信息系统在构建及设计、维护等阶段肋威肋建模方法。
在复杂系统管理中应用威胁硅模方法提尹其安全性。
采用结构化理论框架管理潜在的安全威胁。
发现并识别不断变化的安全威胁。
本书提及的方法对于任何软件类型、操作系统、编程方法和技术均有效。司操作性极强,且其已在微软和其他顶级丌公司中得到印证。
计算机书籍
如果你是一名软件开发人员、系统管理人员或者安全专业人员,本书将告诉你在安全开发软件肋生命周期中或者软件和系统总体设计的过程中如何使用威胁建模方法。在本书中,安全技术专家Adam shostack系统且深入阐释了自己对威胁建模的理解与实践。与其他书籍不同,本书详细介绍如何从开始设计软件、计算机服务和计算机系统时就构建与提升其安全性。
在安全事件威胁到你或者你的客户之前及时发现并修复。
帮助软件开发人员、IT专业人员和安全爱好者学习使用实用且操作性极强的工具、技术和方法。
探寻以软件为关键要素的威胁建模方法的微妙之处,探索其应用于软件和信息系统在构建及设计、维护等阶段肋威肋建模方法。
在复杂系统管理中应用威胁硅模方法提尹其安全性。
采用结构化理论框架管理潜在的安全威胁。
发现并识别不断变化的安全威胁。
本书提及的方法对于任何软件类型、操作系统、编程方法和技术均有效。司操作性极强,且其已在微软和其他顶级丌公司中得到印证。
目录
译者序:威胁建模——网络安全的“银弹”
前言
鸣谢
第一部分 入门指南
第1章 潜心开始威胁建模 3
1.1 学习威胁建模 4
1.1.1 你正在构建什么 4
1.1.2 哪些地方可能会出错 6
1.1.3 解决每个威胁 9
1.1.4 检查你的工作 17
1.2 独立威胁建模 19
1.3 潜心开始威胁建模的检查列表 19
1.4 小结 20
第2章 威胁建模策略 21
2.1 “你的威胁模型是什么样?” 21
2.2 集体研讨 22
2.2.1 集体研讨的变种方法 23
2.2.2 文献检索 24
2.2.3 集体研讨方法的观点 25
2.3 系统的威胁建模方法 25
前言
鸣谢
第一部分 入门指南
第1章 潜心开始威胁建模 3
1.1 学习威胁建模 4
1.1.1 你正在构建什么 4
1.1.2 哪些地方可能会出错 6
1.1.3 解决每个威胁 9
1.1.4 检查你的工作 17
1.2 独立威胁建模 19
1.3 潜心开始威胁建模的检查列表 19
1.4 小结 20
第2章 威胁建模策略 21
2.1 “你的威胁模型是什么样?” 21
2.2 集体研讨 22
2.2.1 集体研讨的变种方法 23
2.2.2 文献检索 24
2.2.3 集体研讨方法的观点 25
2.3 系统的威胁建模方法 25
译者序
译者序
威胁建模——网络安全的“银弹”
当前,有组织背景的高级攻击事件频发,网络空间“控制”与“反控制”博弈加剧,国家安全、企业安全、个人安全以及社会秩序安全面临极大挑战。在偌大的“地球村”中,攻击者可能来自哪里、通过什么途径、利用什么技术方法、易于攻击哪些脆弱点,这些都是从事组织网络安全架构设计人员、软件设计与开发人员、信息系统运维人员以及网络与信息安全风险评估人员一直在思考的问题。
目前大多数组织通过渗透测试技术验证网络和信息系统可能面临的安全威胁和脆弱点,市场上也有很多信息安全类书籍希望教你如何防止攻击。但这些攻击和测试都是模拟黑客攻击,从单点上找到攻击途径,并不能针对系统做完备的安全测试,难以解决系统自身实质性的安全问题。而采用威胁建模方法,可以系统性地分析其架构、软件体系和程序部署,分析网络和信息系统可能面临的潜在威胁,确认有哪些攻击面,之后提出有针对性的安全防范措施,这才是有效解决网络安全对抗的良策。渗透测试等技术无法取代威胁建模,组织自身的威胁建模能力水平对提升组织的整体安全保障能力起到了至关重要的作用。
本书深入浅出地分析了安全威胁分析方法,可以帮助读者能够理解、学习优秀方法和经验,推动我国网络和信息安全的“三同步”(同步规划、同步设计、同步运行)工作走得更贴合信息安全实际状况,走得更稳健、更长远。
本书可看作微软公司Michael Howard和Steve Lipner在2006年编写的《软件安全开发生命周期》一书的配套书籍,是对其第9章威胁建模知识的360度诠释,对如何识别安全威胁、如何处理安全威胁、如何选择应对安全威胁的最优安全措施、如何保证彻底解决安全威胁都进行了深入解读,有助于提升安全人员开展威胁建模的结构化分析水平,避免出现“只见树木,不见森林”的威胁分析结果。
因为时间仓促,文中不免诸多疏漏,谨谢机械工业出版社的吴怡、秦健二位编辑细心审校,方能顺利成书。同时非常感谢中国信息安全测评中心的张利、佟鑫、王永涛的大力帮助,在此表示衷心感谢!
译者
2015年1月14日
威胁建模——网络安全的“银弹”
当前,有组织背景的高级攻击事件频发,网络空间“控制”与“反控制”博弈加剧,国家安全、企业安全、个人安全以及社会秩序安全面临极大挑战。在偌大的“地球村”中,攻击者可能来自哪里、通过什么途径、利用什么技术方法、易于攻击哪些脆弱点,这些都是从事组织网络安全架构设计人员、软件设计与开发人员、信息系统运维人员以及网络与信息安全风险评估人员一直在思考的问题。
目前大多数组织通过渗透测试技术验证网络和信息系统可能面临的安全威胁和脆弱点,市场上也有很多信息安全类书籍希望教你如何防止攻击。但这些攻击和测试都是模拟黑客攻击,从单点上找到攻击途径,并不能针对系统做完备的安全测试,难以解决系统自身实质性的安全问题。而采用威胁建模方法,可以系统性地分析其架构、软件体系和程序部署,分析网络和信息系统可能面临的潜在威胁,确认有哪些攻击面,之后提出有针对性的安全防范措施,这才是有效解决网络安全对抗的良策。渗透测试等技术无法取代威胁建模,组织自身的威胁建模能力水平对提升组织的整体安全保障能力起到了至关重要的作用。
本书深入浅出地分析了安全威胁分析方法,可以帮助读者能够理解、学习优秀方法和经验,推动我国网络和信息安全的“三同步”(同步规划、同步设计、同步运行)工作走得更贴合信息安全实际状况,走得更稳健、更长远。
本书可看作微软公司Michael Howard和Steve Lipner在2006年编写的《软件安全开发生命周期》一书的配套书籍,是对其第9章威胁建模知识的360度诠释,对如何识别安全威胁、如何处理安全威胁、如何选择应对安全威胁的最优安全措施、如何保证彻底解决安全威胁都进行了深入解读,有助于提升安全人员开展威胁建模的结构化分析水平,避免出现“只见树木,不见森林”的威胁分析结果。
因为时间仓促,文中不免诸多疏漏,谨谢机械工业出版社的吴怡、秦健二位编辑细心审校,方能顺利成书。同时非常感谢中国信息安全测评中心的张利、佟鑫、王永涛的大力帮助,在此表示衷心感谢!
译者
2015年1月14日
前言
一切模型都是错误的,不过有些是有用的。
——George Box(20世纪著名统计学家)
在构建软件系统时,人们会遇到很多可以预见的安全威胁,对此,本书描述了一些有用的威胁模型,可以用于消除或减轻这些潜在威胁。
威胁建模,名字本身听起来非常精妙,但其实指的是我们本能都会做的事情。比如,如果让你对自己的房子进行威胁建模,你会开始想房子里都有什么珍贵的人和物:你的家人、传家宝、照片,可能还包括明星签名海报;然后,你会想别人会用什么办法闯进家里,比如通过没有上锁的门,或者开着的窗子;另外,你还会想是什么样的人会来偷东西,比如邻居家调皮的孩子、职业小偷、瘾君子、跟踪狂或是早已盯上你们家珍贵名画的人。
上述所说的这些现实生活中的例子在软件世界里也有相似的实例,不过现在重要的不是如何防范每一个威胁,而是首先你要建立这样的思维方式。如果你的朋友求助于你评估他房屋的安全性,你会伸出援手,但你可能会对自己分析的完整性缺乏信心;如果别人要求你去保障一栋办公建筑的安全,你可能也会头疼,如果要你保障军事设施或监狱的安全就更难了。在这些情况下,只凭直觉是不够的,需要使用相应的工具来解决问题。本书就为读者提供了这样的工具,利用结构化、高效的方法来思考威胁建模技术。
本书讲述了什么是威胁建模,个人、团队、组织机构为什么需要进行威胁建模。这其中的原因包括:威胁建模可以在早期及时发现安全问题,提高对安全需求的理解,以及设计和交付更好的产品。这里通过五个部分来对本书内容进行概要介绍,包括威胁建模定义及其重要意义,哪些读者群适合阅读本书,本书为你提供什么,如何使用本书以及威胁建模技术的最新进展。
什么是威胁建模
日常生活中,大家对威胁建模并不陌生。比如,出于无奈在机场排队时、偷偷溜出家门或去酒吧时都会对威胁进行建模:在机场,即使你没有打算真那么做,但你可能会偷闲思考如何偷偷摸摸带一些东西混过安检;偷偷溜出去的时候,你会担心有人注视着你的行动;当你在高速路上超速时,你可能在建立隐式的威胁模型,其中主要威胁就是警察,你会想他们就潜伏在广告牌后面或天桥下面。另外,公路上的妨碍物(比如穿过马路的鹿或者雨水)都可能出现在你的威胁模型中。
在威胁建模时,通常你会用到两类模型。一类是你所构建的软件或系统模型,一种是威胁模型(可能出错的地方)。你所构建的软件可能是网站、可下载的程序或应用,或者是可以在硬件中传递和交付的软件包,也可能是分布式计算机系统或可能成为“物联网”一部分的“物”。威胁建模是为了看到整片森林,而不是简单的几棵树木。好的模型可以帮助人解决几类或几组攻击,从而构建更安全的产品。
英语中,“threat”一词有很多意思。可以用来形容一个人,比如“奥萨马·本·拉登(Osama bin Laden)对美国来说是个威胁”,也可以形容多个人,如“内部威胁”;另外,还可用来形容一个事件,比如“本周末将面临暴风袭击的威胁”,也可以用来形容缺陷或者受攻击的可能性,比如“你如何应对针对信息保密的威胁?”此外,“威胁”还可以形容病毒和恶意软件,如“这一威胁有三种传播方式”,也可用来形容行为,如“存在操作错误的威胁”。
同样,“威胁建模”也有很多含义。“威胁模型”这个词可用于很多不尽相同有时甚至互不兼容的方面。其中包括:
作为动词,例如,“你对威胁建模了吗?”这句话的意思是说,对于你所构建的软件或系统,你是否仔细检查分析处理过,以查看软件系统哪里会出现问题?
作为名词,可表达使用的是什么威胁模型。比如,“我们的威胁模型是拥有机器的人”或说“我们的威胁模型是个专业而坚定的远程攻击者”。
可以表达如何构建一组理想化的攻击者。
可以表达威胁分类,比如篡改威胁。
毫无疑问,威胁建模本身有很多含义。所有这些含义在不同语境下都是有用的,而且都是正确的,所以最好不要浪费时间争论它的含义。争论其具体的定义是毫无意义的,唯一的方法就是抛开其定义。本书涵盖威胁建模各方面的技术,涉及大量可操作的具体技术,以帮助设计或者构建更安全的软件。本书还将探讨如何解决以下现实问题:一些技术要比其他的技术更有效,并且一些技术对有特定技术或经验的人使用更有效。
威胁建模是防御的关键。没有威胁建模,就会跟打鼹鼠游戏一样,永无完结。
总而言之,威胁建模就是利用抽象的概念来思考风险。
威胁建模的原因
在当今快速发展的世界里,趋势是精简开发活动,而威胁建模有着重要的存在价值,包括早期发现安全缺陷,理解安全需求,设计和交付更安全的产品等。
——George Box(20世纪著名统计学家)
在构建软件系统时,人们会遇到很多可以预见的安全威胁,对此,本书描述了一些有用的威胁模型,可以用于消除或减轻这些潜在威胁。
威胁建模,名字本身听起来非常精妙,但其实指的是我们本能都会做的事情。比如,如果让你对自己的房子进行威胁建模,你会开始想房子里都有什么珍贵的人和物:你的家人、传家宝、照片,可能还包括明星签名海报;然后,你会想别人会用什么办法闯进家里,比如通过没有上锁的门,或者开着的窗子;另外,你还会想是什么样的人会来偷东西,比如邻居家调皮的孩子、职业小偷、瘾君子、跟踪狂或是早已盯上你们家珍贵名画的人。
上述所说的这些现实生活中的例子在软件世界里也有相似的实例,不过现在重要的不是如何防范每一个威胁,而是首先你要建立这样的思维方式。如果你的朋友求助于你评估他房屋的安全性,你会伸出援手,但你可能会对自己分析的完整性缺乏信心;如果别人要求你去保障一栋办公建筑的安全,你可能也会头疼,如果要你保障军事设施或监狱的安全就更难了。在这些情况下,只凭直觉是不够的,需要使用相应的工具来解决问题。本书就为读者提供了这样的工具,利用结构化、高效的方法来思考威胁建模技术。
本书讲述了什么是威胁建模,个人、团队、组织机构为什么需要进行威胁建模。这其中的原因包括:威胁建模可以在早期及时发现安全问题,提高对安全需求的理解,以及设计和交付更好的产品。这里通过五个部分来对本书内容进行概要介绍,包括威胁建模定义及其重要意义,哪些读者群适合阅读本书,本书为你提供什么,如何使用本书以及威胁建模技术的最新进展。
什么是威胁建模
日常生活中,大家对威胁建模并不陌生。比如,出于无奈在机场排队时、偷偷溜出家门或去酒吧时都会对威胁进行建模:在机场,即使你没有打算真那么做,但你可能会偷闲思考如何偷偷摸摸带一些东西混过安检;偷偷溜出去的时候,你会担心有人注视着你的行动;当你在高速路上超速时,你可能在建立隐式的威胁模型,其中主要威胁就是警察,你会想他们就潜伏在广告牌后面或天桥下面。另外,公路上的妨碍物(比如穿过马路的鹿或者雨水)都可能出现在你的威胁模型中。
在威胁建模时,通常你会用到两类模型。一类是你所构建的软件或系统模型,一种是威胁模型(可能出错的地方)。你所构建的软件可能是网站、可下载的程序或应用,或者是可以在硬件中传递和交付的软件包,也可能是分布式计算机系统或可能成为“物联网”一部分的“物”。威胁建模是为了看到整片森林,而不是简单的几棵树木。好的模型可以帮助人解决几类或几组攻击,从而构建更安全的产品。
英语中,“threat”一词有很多意思。可以用来形容一个人,比如“奥萨马·本·拉登(Osama bin Laden)对美国来说是个威胁”,也可以形容多个人,如“内部威胁”;另外,还可用来形容一个事件,比如“本周末将面临暴风袭击的威胁”,也可以用来形容缺陷或者受攻击的可能性,比如“你如何应对针对信息保密的威胁?”此外,“威胁”还可以形容病毒和恶意软件,如“这一威胁有三种传播方式”,也可用来形容行为,如“存在操作错误的威胁”。
同样,“威胁建模”也有很多含义。“威胁模型”这个词可用于很多不尽相同有时甚至互不兼容的方面。其中包括:
作为动词,例如,“你对威胁建模了吗?”这句话的意思是说,对于你所构建的软件或系统,你是否仔细检查分析处理过,以查看软件系统哪里会出现问题?
作为名词,可表达使用的是什么威胁模型。比如,“我们的威胁模型是拥有机器的人”或说“我们的威胁模型是个专业而坚定的远程攻击者”。
可以表达如何构建一组理想化的攻击者。
可以表达威胁分类,比如篡改威胁。
毫无疑问,威胁建模本身有很多含义。所有这些含义在不同语境下都是有用的,而且都是正确的,所以最好不要浪费时间争论它的含义。争论其具体的定义是毫无意义的,唯一的方法就是抛开其定义。本书涵盖威胁建模各方面的技术,涉及大量可操作的具体技术,以帮助设计或者构建更安全的软件。本书还将探讨如何解决以下现实问题:一些技术要比其他的技术更有效,并且一些技术对有特定技术或经验的人使用更有效。
威胁建模是防御的关键。没有威胁建模,就会跟打鼹鼠游戏一样,永无完结。
总而言之,威胁建模就是利用抽象的概念来思考风险。
威胁建模的原因
在当今快速发展的世界里,趋势是精简开发活动,而威胁建模有着重要的存在价值,包括早期发现安全缺陷,理解安全需求,设计和交付更安全的产品等。
