安全之美

前言
第1章　心理上的安全陷阱
（作者：peiter“mudge”zatko）
1.1　習(xí)得性無(wú)助和無(wú)從選擇
1.1.1　實(shí)例：microsoft是如何允許l0phtcrack的
1.1.2　密碼和身份認(rèn)證可以從一開始就做得更好
1.1.3　客戶的習(xí)得性無(wú)助-無(wú)從選擇
1.2　確認(rèn)陷阱
1.2.1　概念簡(jiǎn)介
1.2.2　分析師確認(rèn)陷阱
1.2.3　陳腐的威脅模型
1.2.4　正確理解功能
1.3　功能鎖定
1.3.1　安全位置的潛在風(fēng)險(xiǎn)
1.3.2　降低成本與未來(lái)收益：isp實(shí)例
1.3.3　降低成本與未來(lái)收益：能源實(shí)例
1.4　小結(jié)
第2章　無(wú)線網(wǎng)絡(luò)：社會(huì)工程的沃土
（作者：jim stickley）
2.1　輕松賺錢
2.1.1　設(shè)置攻擊
2.1.2　隱私的聚寶盆
2.1.3　web安全的基本缺陷：不要相信可信系統(tǒng)
2.1.4　建立無(wú)線信任
2.1.5　采用可靠的解決方案
2.2　無(wú)線也瘋狂
2.2.1　無(wú)線側(cè)信道
2.2.2　無(wú)線接入點(diǎn)自身如何
2.3　無(wú)線仍然是未來(lái)
第3章　美麗的安全度量指標(biāo)
（作者：elizabeth a. nichols）
3.1　安全度量指標(biāo)的類比：健康
3.1.1　不合理的期待
3.1.2　數(shù)據(jù)透明性
3.1.3　合理的度量指標(biāo)
3.2　安全度量指標(biāo)的實(shí)例
3.2.1　巴林銀行：內(nèi)部侵害
3.2.2　tjx：外部侵害
3.2.3　其他公共數(shù)據(jù)來(lái)源
3.3　小結(jié)
第4章　安全漏洞的地下經(jīng)濟(jì)
（作者：chenxi wang）
4.1　地下網(wǎng)絡(luò)的組成和基礎(chǔ)設(shè)施
4.1.1　地下通信基礎(chǔ)設(shè)施
4.1.2　攻擊基礎(chǔ)設(shè)施
4.2　回報(bào)
4.2.1　數(shù)據(jù)交換
4.2.2　信息來(lái)源
4.2.3　攻擊向量
4.2.4　洗錢游戲
4.3　如何對(duì)抗日益增長(zhǎng)的地下網(wǎng)絡(luò)經(jīng)濟(jì)
4.3.1　降低數(shù)據(jù)的價(jià)值
4.3.2　信息的權(quán)限分離
4.3.3　構(gòu)建動(dòng)力/回報(bào)結(jié)構(gòu)
4.3.4　為數(shù)據(jù)責(zé)任建立評(píng)估和聲譽(yù)體系
4.4　小結(jié)
第5章　美麗的交易：重新思考電子商務(wù)的安全
（作者：ed bellis）
5.1　解構(gòu)商業(yè)
5.1.1 分析安全環(huán)境
5.2　微弱的改良嘗試
5.2.1　3d安全
5.2.2　安全電子交易
5.2.3　單用途和多用途虛擬卡
5.2.4　破滅的動(dòng)機(jī)
5.3　重塑電子商務(wù)：新的安全模型
5.3.1　需求1：消費(fèi)者必須通過(guò)認(rèn)證
5.3.2　需求2：商家必須通過(guò)認(rèn)證
5.3.3　需求3：交易必須經(jīng)過(guò)授權(quán)
5.3.4　需求4：認(rèn)證數(shù)據(jù)不應(yīng)被認(rèn)證方和被認(rèn)證方之外的其他各方所共享
5.3.5　需求5：過(guò)程不能完全依賴共享秘密
5.3.6　需求6：認(rèn)證應(yīng)該是可移植的（不受硬件或協(xié)議所限）
5.3.7　需求7：數(shù)據(jù)和交易的機(jī)密性和完整性必須得到維護(hù)
5.4　新模型
第6章　捍衛(wèi)在線廣告：新狂野西部的盜匪和警察
（作者：benjamin edelman ）
6.1　對(duì)用戶的攻擊
6.1.1　充滿漏洞的橫幅廣告
6.1.2　惡意鏈接廣告
6.1.3　欺騙式廣告
6.2　廣告客戶也是受害者
6.2.1　虛假的印象
6.2.2　避開容易受騙的cpm廣告
6.2.3　廣告客戶為何不奮起反擊
6.2.4　其他采購(gòu)環(huán)境的教訓(xùn)：在線采購(gòu)的特殊挑戰(zhàn)
6.3　創(chuàng)建在線廣告的責(zé)任制
第7章　pgp信任網(wǎng)絡(luò)的演變
（作者：phil zimmermann和jon callas）
7.1　pgp和openpgp
7.2　信任、驗(yàn)證和授權(quán)
7.2.1　直接信任
7.2.2　層次式信任
7.2.3　累積式信任
7.2.4　基本的pgp信任網(wǎng)絡(luò)
7.2.5　最早的信任網(wǎng)絡(luò)的毛邊
7.3　pgp和加密的歷史
7.3.1　早期的pgp
7.3.2　專利和輸出問(wèn)題
7.3.3　密碼戰(zhàn)爭(zhēng)
7.3.4　從pgp 3到openpgp
7.4　對(duì)最初信任網(wǎng)絡(luò)的改進(jìn)
7.4.1　撤銷
7.4.2　伸縮性問(wèn)題
7.4.3　簽名的膨脹和困擾
7.4.4　證書內(nèi)偏好
7.4.5　pgp全球目錄
7.4.6　可變信任評(píng)分
7.5　未來(lái)研究的有趣領(lǐng)域
7.5.1　超級(jí)合法
7.5.2　社交網(wǎng)絡(luò)和流量分析
7.6　參考資料
第8章　開源honeyclient：先發(fā)制人的客戶端漏洞檢測(cè)
（作者：kathy wang）
8.1　進(jìn)入honeyclient
8.2　世界上第一個(gè)開源honeyclient簡(jiǎn)介
8.3　第二代honeyclient
8.4　honeyclient的操作結(jié)果
8.4.1　windows xp的透明活動(dòng)
8.4.2　honeyclient數(shù)據(jù)的存儲(chǔ)和關(guān)聯(lián)
8.5　漏洞攻擊的分析
8.6　當(dāng)前honeyclient實(shí)現(xiàn)的限制
8.7　相關(guān)的工作
8.8　honeyclient的未來(lái)
第9章　未來(lái)的安全齒輪和杠桿
（作者：mark curphey）
9.1　云計(jì)算和web服務(wù)：這里是單機(jī)
9.1.1　創(chuàng)建者和破壞者
9.1.2　云計(jì)算和web服務(wù)是拯救方案
9.1.3　新曙光
9.2　結(jié)合人、流程和技術(shù)：業(yè)務(wù)流程管理的潛力
9.2.1　發(fā)散型世界的發(fā)散型安全
9.2.2　bpm作為多站點(diǎn)安全的指導(dǎo)方針
9.3　社交網(wǎng)絡(luò)：當(dāng)人們開始通信時(shí)，大變革發(fā)生了
9.3.1　社交網(wǎng)絡(luò)的藝術(shù)狀態(tài)和潛力
9.3.2　安全行業(yè)的社交網(wǎng)絡(luò)
9.3.3　數(shù)字中的安全
9.4　信息安全經(jīng)濟(jì)：超級(jí)數(shù)據(jù)解析和網(wǎng)絡(luò)新規(guī)則
9.5　長(zhǎng)尾變型的平臺(tái)：未來(lái)為什么會(huì)截然不同
9.5.1　生產(chǎn)工具的大眾化
9.5.2　發(fā)行渠道的大眾化
9.5.3　連接供應(yīng)和需求
9.6　小結(jié)
9.7　致謝
第10章　安全設(shè)計(jì)
（作者：john mcmanus）
10.1　無(wú)意義的指標(biāo)
10.2　市場(chǎng)還是質(zhì)量
10.3　符合準(zhǔn)則的系統(tǒng)開發(fā)周期的作用
10.4　結(jié)論：安全之美是系統(tǒng)之美的象征
第11章　促使公司思考：未來(lái)的軟件安全嗎
（作者：jim routh）
11.1　隱式的需求也可能非常強(qiáng)大
11.2　公司為什么需要安全的軟件
11.2.1　如何制訂安全計(jì)劃
11.2.2　修正問(wèn)題
11.2.3　把安全計(jì)劃擴(kuò)展到外包
11.3　對(duì)現(xiàn)有的軟件進(jìn)行安全化
11.4　分析：如何使世界上的軟件更安全
11.4.1　最好的軟件開發(fā)人員創(chuàng)建了具有漏洞的代碼
11.4.2　microsoft領(lǐng)先一步
11.4.3　軟件開發(fā)商給了我們想要的，卻不是我們需要的
第12章　信息安全律師來(lái)了
（作者：randy v. sabett）
12.1　文化
12.2　平衡
12.2.1　數(shù)字簽名指南
12.2.2　加利福尼亞數(shù)據(jù)隱私法
12.2.3　安全的投資回報(bào)率
12.3　通信
12.3.1　技術(shù)狂為何需要律師
12.3.2　來(lái)自頂層的推動(dòng)力，通過(guò)合作實(shí)現(xiàn)
12.3.3　數(shù)據(jù)泄露小虎隊(duì)
12.4　正確做事
第13章　美麗的日志處理
（作者：anton chuvakin）
13.1　安全法律和標(biāo)準(zhǔn)中的日志
13.2　聚焦日志
13.3　什么時(shí)候日志是極為珍貴的
13.4　日志所面臨的困難
13.5　案例研究：癱瘓服務(wù)器的背后
13.5.1　事故的架構(gòu)和環(huán)境
13.5.2　被觀察的事件
13.5.3　調(diào)查開始
13.5.4　使數(shù)據(jù)起死回生
13.5.5　小結(jié)
13.6　未來(lái)的日志
13.6.1　來(lái)源的擴(kuò)大化
13.6.2　未來(lái)的日志分析和管理工具
13.7　結(jié)論
第14章　事件檢測(cè)：尋找剩余的68%
（作者：grant geyer和brian dunphy）
14.1　一個(gè)常見(jiàn)起點(diǎn)
14.2　改進(jìn)與上下文相關(guān)的檢測(cè)
14.2.1　用流量分析提高覆蓋率
14.2.2　對(duì)監(jiān)測(cè)列表進(jìn)行綜合分析
14.3　使用主機(jī)日志增強(qiáng)洞察力
14.3.1 創(chuàng)建富有彈性的檢測(cè)模型
14.4　小結(jié)
第15章　無(wú)需真實(shí)數(shù)據(jù)就能出色完成工作
（作者：peter wayner）
15.1　數(shù)據(jù)半透明化的工作原理
15.2　一個(gè)現(xiàn)實(shí)的例子
15.3　為便利而存儲(chǔ)的個(gè)人數(shù)據(jù)
15.4　如何權(quán)衡
15.5　進(jìn)一步深入
15.6　參考資料
第16章　鑄造新詞：pc安全劇場(chǎng)
（作者：michael wood和fernando francisco）
16.1　攻擊不斷增加，防御不斷倒退
16.1.1　在internet的傳送帶上
16.1.2　不正當(dāng)行為的回報(bào)
16.1.3　暴徒的響應(yīng)
16.2　揭穿假象
16.2.1　嚴(yán)格審查：傳統(tǒng)的和更新的反病毒掃描
16.2.2　沙盒和虛擬化：新的銀彈
16.3　桌面安全的更佳實(shí)踐
16.4　小結(jié)
附錄　作者簡(jiǎn)介