●第I部分 什么是真正的网络安全？
章 问题之所在 3
1.1 建立在信任基础上的安全设计 4
1.1.1 什么是信任？ 4
1.1.2 信任与信心 5
1.1.3 工程 6
1.1.4 为什么需要信任？ 6
1.2 运营视角：基本问题 6
1.2.1 组织是否受到攻击？ 8
1.2.2 攻击的本质是什么？ 9
1.2.3 到目前为止，攻击目标系统的影响是什么？ 10
1.2.4 潜在的攻击目标系统影响是什么？ 11
1.2.5 攻击是什么时候开始的？ 11
1.2.6 谁在攻击？ 12
1.2.7 攻击者的目标是什么？ 12
1.2.8 攻击者的下一步行动是什么？ 13
1.2.9 组织能做些什么？ 13
1.2.10 组织的选择有哪些？每个安全选项的防御效果如何？ 13
1.2.11 组织的缓解措施将如何影响业务运营？ 14
1.2.12 组织今后该如何更好地保护自己？ 14
1.3 网络空间效应的不对称性 14
1.3.1 维度 15
1.3.2 非线性 15
1.3.3 耦合 15
1.3.4 速度 16
1.3.5 表现形式 16
1.3.6 可检测性 16
1.4 网络安全解决方案 17
1.4.1 信息保障科学与工程 18
1.4.2 防御机制 18
1.4.3 网络传感器与漏洞利用 18
1.4.4 网络态势认知 19
1.4.5 网络驱动 19
1.4.6 网络指挥与控制 19
1.4.7 网络防御战略 20
1.5 预防和治疗的成本效益考虑 20
1.6 小结 20
1.7 问题 21
第2章 正确思考网络安全 23
2.1 关于风险 23
2.2 网络安全的权衡：性能和功能 24
2.2.1 用户友好度 25
2.2.2 上市时间 26
2.2.3 员工士气 26
2.2.4 商机流失 27
2.2.5 机会成本 27
2.2.6 服务或产品数量 27
2.2.7 服务或产品质量 28
2.2.8 服务或产品成本 29
2.2.9 有限的资源 29
2.3 安全理论来源于不安全理论 29
2.4 攻击者虎视眈眈，伺机而动 30
2.5 自上而下和自下而上 30
2.6 网络安全是现场演奏乐队，而不是录制仪器 31
2.7 小结 32
2.8 问题 32
第3章 价值和目标系统 33
3.1 聚焦价值和目标系统 33
3.1.1 避免价值汇聚 34
3.1.2 谨防过度信任 34
3.2 机密性：敌对者眼中保密的价值 35
3.2.1 知识获取型秘密 36
3.2.2 计划型秘密 36
3.2.3 窃取型秘密 37
3.2.4 泄密途径秘密 38
3.3 机密性：谨防过度保密 38
3.3.1 保密是脆弱的 39
3.3.2 保密成本高昂 39
3.3.3 保密可能适得其反 40
3.3.4 秘密会自我繁殖 40
3.3.5 秘密导致权力滥用和运营受阻 40
3.4 机密性：改变价值主张 40
3.4.1 减少保密及对保密的依赖 41
3.4.2 小化泄密损失 42
3.5 完整性：一切可信价值的来源 42
3.6 可用性：基本但脆弱的价值 42
3.7 小结 43
3.8 问题 43
第4章 危害：目标系统处于危险之中 45
4.1 聚焦战略风险 45
4.1.1 什么是战略风险？ 46
4.1.2 预期危害 46
4.1.3 风险范围 47
4.1.4 关注重点的意义 47
4.2 危害与目标系统相关 47
4.2.1 危害引发的后果 48
4.2.2 汇总危害声明 48
4.2.3 典型危害清单 49
4.3 关键资产：数据 49
4.3.1 数据资产类型 49
4.3.2 数据价值范围 50
4.3.3 关键性分类 50
4.3.4 关键性分级 51
4.4 编制目标系统危害的模板 51
4.5 众人眼中的危害严重性 53
4.5.1 危害的严重性：共识 54
4.5.2 得出结论 54
4.6 有时，信心比更强大 54
4.6.1 摧毁价值 54
4.6.2 难以解决的问题：生活是不公平的 55
4.7 小结 55
4.8 问题 55
第5章 抽象、模型和现实 57
5.1 状态的复杂性：为什么需要建模？ 57
5.2 抽象水平：位于什么水平 58
5.3 建模内容和原因 59
5.3.1 目标系统 60
5.3.2 用户 60
5.3.3 敌对者 61
5.3.4 措施/安全对策 62
5.4 模型总是出错，偶尔有用 62
5.4.1 不完整性 63
5.4.2 不准确性 63
5.4.3 不及时性
5.5 模型视图 66
5.5.1 防御者视图 67
5.5.2 敌对者视图 68
5.5.3 攻击视图本身 70
5.6 防御模型必须考虑失效模式 71
5.7 假设敌对者了解防御者的系统 72
5.8 假设敌对者位于防御者系统内部 73
5.9 小结 75
5.10 问题 75
第II部分 攻击带来什么问题？
第6章 敌对者：了解组织的敌人 79
6.1 了解敌对者 80
6.1.1 意图 80
6.1.2 能力 81
6.1.3 攻击者和防御者的资源 81
6.1.4 风险容忍度 82
6.1.5 战略目标 82
6.1.6 战术 82
6.2 假设敌对者是聪明的 83
6.3 假设敌对者是不公平的 84
6.3.1 绕过安全控制 84
6.3.2 在安全控制措施穿过 85
6.3.3 攻击薄弱的环节 86
6.3.4 违反设计假设 87
6.3.5 利用维护模式 88
6.3.6 利用社交工程 88
6.3.7 贿赂和勒索策反内部人员 89
6.3.8 利用临时旁路 89
6.3.9 利用临时连接 90
6.3.10 利用自然的系统故障 91
6.3.11 利用组织根本不知道的漏洞 91
6.3.12 攻陷系统所信任的外部系统 92
预测攻击升级 92
6.5 红队 94
6.5.1 敌对部队 94
6.5.2 红队特点 94
6.5.3 其他类型的红队 95
6.6 网络空间演习 96
6.6.1 红蓝对抗 96
6.6.2 纯粹演习与混合演习 97
6.6.3 紫色协作 98
6.7 红队工作因素：衡量难度 98
6.8 小结 99
6.9 问题 99
第7章 攻击森林 101
7.1 攻击树和攻击森林 101
7.1.1 攻击树的结构 101
7.1.2 派生攻击场景 103
7.1.3 从树到森林 103
7.2 系统故障预测网络安全故障 104
7.2.1 启发灵感的灾难 104
7.2.2 十倍规则 104
7.2.3 佯装故障 105
7.3 理解故障是成功的关键：“五问” 105
7.3.1 为什么是“五问”？ 105
7.3.2 计划鱼骨图 106
7.4 森林应该具有代表性，而非罗列一切 107
7.5 通过询问“怎么做”驱动每个攻击树层 108
7.6 深入研究且适可而止 109
7.7 小心外部依赖 110
7.7.1 及时 110
7.7.2 信息依赖 111
7.7.3 创建冗余 111
7.8 小结 111
7.9 问题 112
第III 部分 缓解风险的构建块
第8章 安全对策：安全控制措施 115
8.1 安全对策：设计满足目标 115
8.2 确保覆盖攻击空间(广度防御) 116
8.3 深度防御和广度防御 117
8.4 多级安全、可信代码和安全内核 119
8.4.1 多级安全 119
8.4.2 可信代码 120
8.4.3 安全内核和访问监测 120
8.5 完整性和类型强制访问控制 122
8.5.1 多级完整性 122
8.5.2 类型强制访问控制 122
8.6 网络安全易用性 125
8.6.1 隐形的 125
8.6.2 透明的 126
8.6.3 清晰的 126
8. 易于理解的 126
8.6.5 可靠的 127
8.6.6 快速的 127
8.6.7 可逆的 128
8.6.8 可适应的 128
8.6.9 可追踪的 129
8.6.10 可审查的 129
8.7 部署默认安全 130
8.8 成本 130
8.8.1 成本永远重要 130
8.8.2 部署时间的重要性 131
8.8.3 对目标系统影响的重要性 131
8.8.4 二八定律 132
8.8.5 机会成本是成本的关键部分 132
8.8.6 在网络安全方面需要投入多少 132
8.8.7 优化零和网络安全预算 133
8.9 小结 133
8.10 问题 134
第9章 可信赖的硬件：基石 137
9.1 信任的基础 137
9.2 指令集架构 139
9.3 环和物的监管 139
9.4 内存控制：映射、能力和标记 140
9.4.1 内存映射 141
9.4.2 能力 141
9.4.3 标记 142
9.5 硬件中的软件 143
9.5.1 微代码 143
9.5.2 固件 143
9.5.3 安全引导 143
9.6 总线和控制器 144
9.7 小结 144
9.8 问题 145
0章 密码术：锋利而脆弱的工具 147
10.1 什么是密码术？ 147
10.2 密钥空间 148
10.3 密钥生成 150
10.4 密钥分发 152
10.4.1 传送给预期的接收者 152
10.4.2 存储 153
10.4.3 加载 154
10.5 公钥加密技术 154
10.5.1 数学原理 154
10.5.2 证书和证书颁发机构 155
10.5.3 性能和使用 156
10.5.4 公钥加密技术的副作用 157
10.6 完整性 158
10.7 可用性 160
10.7.1 正面影响 160
10.7.2 负面影响 160
10.8 加密裂缝 162
10.8.1 量子密码分析：颠覆性技术 162
10.8.2 公钥加密基于NP难题 162
10.9 密码术不是万能的 162
10.10 谨防自主加密 163
10.11 小结 1
10.12 问题 1
1章 身份验证 165
11.1 实体身份标识：身份验证阶段 167
11.2 身份认证：身份验证第2阶段 167
11.3 身份识别：身份验证第3阶段 168
11.4 身份声明和身份证明：身份验证第4和第5阶段 169
11.5 身份注销：身份验证第6阶段 169
11.6 机器间身份验证链 170
11.7 小结 171
11.8 问题 171
2章 授权 173
12.1 访问控制 173
12.1.1 自主访问控制 174
12.1.2 强制访问控制 176
12.1.3 隐蔽通道 177
12.1.4 基于身份的访问控制 179
12.1.5 基于属性的访问控制 179
12.2 属性管理 182
12.2.1 用户属性和权限分配 182
12.2.2 资源属性分配 183
12.2.3 属性收集和聚合 183
12.2.4 属性验证 184
12.2.5 属性分发 186
12.3 数字策略管理 187
12.3.1 策略规范 188
12.3.2 策略分配 188
12.3.3 策略决策 189
12.3.4 策略执行 189
12.4 授权使用方案 191
12.4.1 直接集成 191
12.4.2 间接集成 191
12.4.3 替代集成 191
12.5 小结 192
12.6 问题 192
3章 检测基本原理 195
13.1 检测的角色 195
13.2 检测系统如何工作 197
13.3 特征选择 197
13.3.1 攻击特征表现 198
13.3.2 表现强度 198
13.3.3 攻击映射到特征 199
13.3.4 选择的标准 199
13.4 特征提取 200
13.5 事件选择 200
13.6 事件检测 201
13.7 攻击检测 201
13.8 攻击分级 202
13.9 攻击警报 202
13.10 了解探针的运行性能特征 202
13.11 小结 203
13.12 问题 204
4章 检测系统 205
14.1 检测系统的类型 205
14.1.1 基于签名 205
14.1.2 异常检测 208
14.2 检测性能：假阳性、假阴性和接收器运行特征(ROC) 211
14.2.1 特征选择 211
14.2.2 特征提取 214
14.2.3 事件选择 214
14.2.4 攻击检测 215
14.2.5 攻击分级 216
14.2.6 攻击警报 216
14.3 攻击驱动检测需求 217
14.4 检测失效 217
14.4.1 探针失效 217
14.4.2 在本底噪声之下 218
14.4.3 低于告警阈值 218
14.4.4 不当的放置 218
14.4.5 自然失效 219
14.4.6 成功的攻击 219
14.4.7 阻塞探针输入 220
14.4.8 阻塞报告输出 220
14.5 小结 220
14.6 问题 221
5章 检测策略 223
15.1 检测广度和深度 223
15.1.1 广度：网络拓展 224
15.1.2 深度：网络拓展 225
15.1.3 广度：攻击空间 226
15.1.4 深度：攻击空间 226
15.2 将敌对者置于防御者的预设战场 227
15.3 攻击流行因素 228
15.4 蜜罐检测 229
15.5 细化检测 229
15.5.1 告警调查 229
15.5.2 学攻击的更多信息 230
15.6 增强攻击信号，降低本底噪声 230
15.6.1 降低本底噪声 232
15.6.2 增强攻击信号 233
15.6.3 降低告警阈值 234
15.7 小结 234
15.8 问题 234
6章 威慑和对抗性风险 237
16.1 威慑的要求 237
16.1.1 可靠的检测：暴露的风险 237
16.1.2 可靠地归属 238
16.1.3 有意义的后果 239
16.2 所有敌对者都有风险阈值 240
16.3 系统设计可改变敌对者的风险 240
16.3.1 检测概率 240
16.3.2 归属概率 241
16.3.3 让敌对者付出代价的能力和概率 241
16.3.4 报复能力和概率 241
16.3.5 喜欢冒险的程度 241
1 不确定性和欺骗 242
1.1 不确定性 242
1.2 欺骗 242
16.5 什么情况下检测和威慑无效 242
16.6 小结 244
16.7 问题 244
第IV部分 如何协调网络安全？
7章 网络安全风险评估 249
17.1 定量风险评估实例 249
17.2 风险作为主要指标 250
17.3 为什么要度量？ 250
17.3.1 特征化 251
17.3.2 评估 251
17.3.3 预测 252
17.3.4 改善 253
17.4 从攻击者的价值角度评估防御 253
17.5 风险评估和度量在设计中的作用 254
17.6 风险评估分析元素 255
17.6.1 开发目标系统模型 256
17.6.2 开发系统模型 256
17.6.3 开发敌对者模型 256
17. 选择代表性的战略攻击目标 257
17.6.5 基于群体智慧估算危害 258
17.6.6 基于群体智慧估算概率 259
17.6.7 选择代表子集 260
17.6.8 开发深度攻击树 261
17.6.9 估算叶概率并计算根概率 262
17.6.10 细化基线预期危害 2
17.6.11 获取攻击序列割集=>风险来源 265
17.6.12 从攻击序列推断攻击缓解候选方案 266
17.7 攻击者成本和风险检测 267
17.7.1 资源 267
17.7.2 风险容忍度 267
17.8 小结 268
17.9 问题 268
8章 风险缓解和优化 271
18.1 制定候选缓解方案 272
18.2 评估缓解方案的费用 274
18.2.1 直接成本 274
18.2.2 对目标系统的影响 275
18.3 重新估算叶概率并计算根概率 277
18.4 优化各种实际预算水平 279
18.4.1 背包算法 279
18.4.2 敏感性分析 282
18.5 决定投资 282
18.6 执行 283
18.7 小结 283
18.8 问题 284
9章 工程基础 285
19.1 系统工程原理 285
19.1.1 墨菲定律 286
19.1.2 安全冗余 288
19.1.3 能量和风险守恒 289
19.1.4 KISS原则 290
19.1.5 开发流程 290
19.1.6 增量开发和敏捷开发 291
19.2 计算机科学原理 292
19.2.1 模块化和抽象 292
19.2.2 层次化 294
19.2.3 时间和空间复杂度：理解可扩展性 295
19.2.4 关注重点：循环和局部性 296
19.2.5 分治和递归 297
19.3 小结 298
19.4 问题 299
第20章 网络安全架构设计 301
20.1 访问监测属性 301
20.1.1 功能正确性 302
20.1.2 不可绕过性 304
20.1.3 防篡改性 304
20.2 简化和小化提升信心 304
20.3 关注点和可扩展性分离 305
20.4 安全策略流程 305
20.4.1 策略规范 306
20.4.2 策略决策 307
20.4.3 策略执行 308
20.5 可靠性和容错 309
20.5.1 网络安全需要故障安全 309
20.5.2 预期故障：使用隔板破坏 309
20.5.3 容错 310
20.5.4 预防、检测响应及容错协同 312
20.6 云安全 313
20.7 小结 314
20.8 问题 314
第21章 确保网络安全：正确处理 317
21.1 没有保证的网络安全功能是不安全的 317
21.2 应将网络安全子系统视为关键系统 318
21.3 形式化保证论证 318
21.3.1 网络安全需求 319
21.3.2 形式化安全策略模型 321
21.3.3 形式化概要规范 321
21.3.4 关键安全子系统实施 322
21.4 总体保证和组合 323
21.4.1 组合 323
21.4.2 可信赖性的依赖关系 323
21.4.3 避免依赖关系循环 324
21.4.4 小心输入、输出和依赖关系 324
21.4.5 违反未陈述的假设条件 325
21.5 小结 325
21.6 问题 326
第22章 网络态势认知：发生了什么 329
22.1 态势认知和指挥与控制的相互作用 329
22.2 基于态势的决策：OODA循环 330
22.3 掌握攻击的本质 332
22.3.1 利用了哪些脆弱性(漏洞)？ 332
22.3.2 攻击使用哪些路径？ 332
22.3.3 路径是否仍然开放？ 333
22.3.4 如何关闭渗入、渗出和传播路径？ 334
22.4 对目标系统的影响 335
22.4.1 风险增加 337
22.4.2 应急方案 337
22.4.3 本质和位置指导防御 337
22.5 评估攻击损失 338
22.6 威胁评估 339
22.7 防御状态 339
22.7.1 健康、压力和胁迫 339
22.7.2 状态 340
22.7.3 配置可控性 340
22.7.4 进度与失败 341
22.8 动态防御的有效性 342
22.9 小结 342
22.10 问题 343
第23章 指挥与控制：如何应对攻击 345
23.1 控制的本质 345
23.1.1 决策周期 345
23.1.2 关于速度的考虑因素 346
23.1.3 混合控制 346
23.2 战略：获取知识 347
23.2.1 类比 348
23.2.2 直接经验 349
23.2.3 间接经验 349
23.2.4 模拟 349
23.3 攻略 351
23.3.1 博弈论 351
23.3.2 预设行动方案 352
23.3.3 佳行动选择标准 354
23.3.4 计划的局限性 357
23.4 自主控制 357
23.4.1 控制理论 357
23.4.2 自主控制的作用 359
23.4.3 自主操作控制面板 360
23.5 元战略 361
23.5.1 不要过度反应 361
23.5.2 不可预测性 362
23.5.3 于攻击者 363
23.6 小结 363
23.7 问题 3
第V部分 推进网络安全
第24章 战略方针与投资 369
24.1 网络战争：可以变得多糟？ 369
24.1.1 场景 371
24.1.2 采取行动 371
24.1.3 准备行动的障碍 372
24.1.4 确凿的证据 372
24.2 日益增长的依赖性、脆弱性和物联网 373
24.2.1 社会依赖性 373
24.2.2 万物即时 373
24.2.3 物联网 373
24.2.4 传播的脆弱性 374
24.3 虚拟世界的网络安全：虚拟经济 374
24.3.1 蓬勃发展的游戏经济：虚拟淘金热 374
24.3.2 比特币等数字货币 374
24.3.3 虚拟高价值目标 375
24.3.4 从头开始？ 375
24.4 虚假信息和影响操控行动：虚假新闻 376
24.4.1 哪些和过去不一样？ 376
24.4.2 操纵思维 376
24.4.3 污染信息圈 377
24.5 小结 377
24.6 问题 378
第25章 对网络安全未来的思考 379
25.1 没有秘密的世界 379
25.1.1 适时发布 380
25.1.2 小化新秘密的生成 380
25.1.3 学会在零秘密环境中的有效运营 380
25.2 措施和应对措施的共同演进 381
25.3 网络安全太空竞赛和人造卫星 382
25.3.1 获取低地 382
25.3.2 震网和网络攻击精灵 382
25.3.3 格鲁吉亚和混合战争 382
25.3.4 爱沙尼亚和实弹实验 382
25.3.5 捍卫关键信息基础架构的责任 383
25.4 网络安全科学与实验 385
25.4.1 假设生成 386
25.4.2 实验设计 387
25.4.3 实验执行 388
25.5 伟大的未知：研究方向 388
25.5.1 研究难题 388
25.5.2 网络安全问题太难 389
25.5.3 研究影响与Heilmeier的教理主义 390
25.5.4 研究结果的可靠性 392
25.5.5 研究文化：警告 393
25.6 网络安全与人工智能 393
25.7 小结 395
25.8 问题 396