新書推薦:
《
约瑟夫斯与第一次犹太战争新版 汗青堂丛书049
》
售價:HK$
454
《
国际时装设计元素 : 设计与调研(修订版)
》
售價:HK$
500
《
平常的恶(思想剧场)
》
售價:HK$
281
《
食在味道--一份主食 舌尖上的中国美食书籍
》
售價:HK$
214
《
剑桥十八世纪政治思想史
》
售價:HK$
1418
《
多周期技术分析掌握股市运行周期 抓住投资赢利的钥匙股价运行周期性趋势交易量价关系金融投资
》
售價:HK$
398
《
高胜算操盘:成功交易员完全教程美马塞尔林可著十年十二国版本帮助数百万交易者建立交易优势股票书籍
》
售價:HK$
500
《
亲子战争:全景解读2-6岁孩子的行为与心理,32个精选案例化解幼儿常见教养问题
》
售價:HK$
305
|
| 編輯推薦: |
|
深度防御体系全覆盖: 安全基础(CIA-DAD原则) 数据库后端(ACID/BASE/加密/灾备) 应用前端(代码审计/SAST/移动安全) 企业级安全管理(合规/法律/应急响应) 直击行业痛点解决方案: 7天×24小时主动监控策略 勒索软件防御实战框架 数据库权限控制(MAC/DAC/RBAC)精解 云环境+移动端新型威胁应对 变更管理×合规审计全流程指南 红队级实操工具包: 真实漏洞复现案例(SQL注入/越权访问) 自动化脚本(日志分析/触发器/加密警报) NIST/OWASP标准落地指南 Linux/Windows双平台加固教程
|
| 內容簡介: |
|
本书系统阐述了构建多层次信息安全防护体系的核心内容。基础层面聚焦网络安全(IAAA框架、加密技术、PKI)和目标管理(SMART/OKR、RACI);技术层面详细探讨了数据库安全(ACID/BASE原则、访问控制MAC/DAC/RBAC/RuBAC、备份、主机安全)和应用程序安全(安全开发、后端架构、加密、自研/采购决策);管理层面强调主动监控与风险管理(日志、事件/事故区分)、安全管理(最小权限、职责分离、员工培训、渗透测试)以及移动设备安全;企业安全实践则突出了集中管理(CM/CAB)、部门协作和员工安全责任的重要性。本书旨在为数据库从业者在现代安全防护体系中应对各类威胁,提供全方位、系统化的策略、技术以及实践指导。
|
| 關於作者: |
|
R. 萨尔玛·丹图尔蒂(R. Sarma Danturthi),孟菲斯大学工程学博士,目前供职于美国国防部。他在信息技术安全领域,特别是数据库和应用安全方面拥有深厚专业知识和丰富实践经验的专家。Sarma 曾在多家知名科技公司和金融机构担任关键的技术领导角色,专注于设计、实施和审计大型企业级数据库系统和关键业务应用的安全架构与防护策略。他拥有包括 CISSP (认证信息系统安全专家) 和 CISM (认证信息安全经理) 在内的多项权威信息安全认证,是其专业能力获得国际认可的标志。Sarma 对数据库漏洞管理、访问控制、加密技术、合规性要求(如 GDPR, PCI DSS, HIPAA)以及安全开发生命周期 (SDLC) 有着深刻的理解和实战经验。他持续活跃在信息安全领域,通过撰写专业文章、在相关期刊会议发表见解,并经常受邀为行业活动或内部培训讲授数据库与应用安全的最佳实践,致力于将复杂的安全挑战转化为可落地的解决方案,帮助组织有效保护其核心数据资产。
|
| 目錄:
|
|
译者序前言致谢第一部分 IT安全第1章 网络安全基础 21.1 从早期计算机到网络安全的演进 21.2 CIA - DAD模型中的安全三要素 31.3 IAAA 51.4 深层防御 61.5 硬件和软件安全 71.6 防火墙、访问控制和访问控制列表 81.7 物理安全 81.8 网络安全相关事项 101.9 小结 131.10 习题 131.11 习题答案 13第2章 IT安全细节 152.1 加密、压缩、索引和归档 152.2 加密与算法 172.3 公钥基础设施 182.4 电子邮件安全示例 192.5 不可否认性、身份验证方法(K-H-A) 202.6 选择新算法 212.7 小结 212.8 习题 222.9 习题答案 22第3章 IT安全目标 243.1 SMART和OKR 243.2 RACI 263.3 创建RACI矩阵 273.4 战略计划、战术计划和操作计划 283.5 事件与事故 293.6 风险、违规和修复 293.7 IT安全日志 303.8 重构项目 323.9 保持更新 333.10 小结 333.11 习题 343.12 习题答案 34第二部分 数据库安全第4章 数据库安全概述 364.1 数据库的ACID、BASE和CIA合规性 364.2 ACID、BASE和CIA 364.3 静态和传输中的数据 384.4 DDL和DML 404.5 设计一个安全的数据库 424.6 数据库结构的安全 444.7 功能安全 474.8 数据安全 484.9 程序安全 504.10 小结 504.11 习题 514.12 习题答案 51第5章 数据访问控制 535.1 个人和应用程序的访问控制角色 535.2 不同类型的访问控制 555.3 密码、登录和维护 595.4 哈希算法与校验和方法 605.5 账户管理:锁定、解锁与重置 645.6 监控用户账户、系统账户 665.7 数据保护—视图和物化视图 695.8 个人识别信息(PII)安全—数据、元数据和代理人 725.9 小结 765.10 习题 765.11 习题答案 77第6章 数据刷新、备份和恢复 786.1 数据更新 786.2 ETL作业 816.3 调用ETL作业的安全性 826.4 Data Pump:导出与导入 846.5 备份和恢复 876.6 追踪备份—每日、每周、每月 946.7 小结 956.8 习题 966.9 习题答案 96第7章 主机安全 997.1 服务器连接和分离 997.2 IP选择、代理、允许访问节点 1027.3 访问控制列表 1037.4 连接系统/数据库:密码、智能卡、证书 1067.5 定时任务或任务调度器 1117.6 定期监控和故障排除 1147.7 小结 1177.8 习题 1177.9 习题答案 118第8章 主动监控 1198.1 日志监控 1198.2 数据操作监控 1208.3 数据结构监控 1258.4 第三方或内部审计 1288.5 日志文件生成 1348.6 小结 1408.7 习题 1418.8 动手实践 1418.9 习题答案 142第9章 风险、监控与加密 1439.1 安全术语 1439.2 风险处理、风险缓解、风险转移、风险避免和风险忽视 1459.3 系统化数据库监控 1489.4 加密数据库:算法选择 1509.5 自动提示 1529.6 小结 1529.7 习题 1539.8 习题答案 153第三部分 应用程序安全第10章 应用程序安全基础 15610.1 编码标准 15710.2 软件开发过程 16210.3 模型和选择 16510.4 内聚与耦合 16710.5 开发环境、测试环境和生产环境 16810.6 客户端和服务器端 17010.7 软件安全问题引起的不良后果 17910.8 修复SQL注入攻击 17910.9 评估用户输入 18010.10 进行后端数据库检查 18110.11 变更管理—使用统一的语言 18110.12 安全登录应用程序和用户访问权限 18310.13 小结 18710.14 习题 18710.15 习题答案 188第11章 看不见的后端 19011.1 Java/Tomcat中的后端数据库连接 20011.2 代码中的连接字符串和密码 20211.3 存储过程和函数 20311.4 文件加密、类型和关联 20811.5 实施公钥基础设施和智能卡 21111.6 Java和Linux环境密钥对的示例 21211.7 对称加密 21411.8 非对称加密 21511.9 漏洞、威胁与网络安全 21511.10 攻击类型及其防范措施 21611.11 小结 21911.12 习题 21911.13 习题答案 220第12章 确保软件安全:自研与供应商采购 22112.1 内部开发与供应商 22112.2 供应商软件或商用现货软件 22212.3 行动计划 22312.4 内部软件开发 22412.5 内部软件开发初期的考虑 22512.6 代码安全检查 22712.7 修复最终产品—SAST工具 22812.8 产品测试与发布的精细调校 23312.9 补丁和更新 23412.10 产品退役/停用 23612.11 小结 23812.12 习题 23812.13 习题答案 239第四部分 IT安全管理第13章 IT安全管理基础 24213.1 最小权限原则、知其所需原则、职责分离原则 24213.2 安全管理部门中的重要角色 24413.3 用户权限蔓延 24613.4 变更管理 24813.5 记录过程 25013.6 法律责任 25713.7 软件分析 25913.8 网络分析 26013.9 硬件或设备分析 26013.10 采取主动安全策略 26113.11 小结 26513.12 习题 26613.13 习题答案 266第14章 遵循已验证的网络安全之道 26814.1 IT安全团队的优势 26814.2 渗透测试 27014.3 渗透测试报告 27814.4 审计 27914.5 行动安全 28614.6 数字取证 28714.7 总结经验,持续改进 28914.8 小结 29114.9 习题 29114.10 习题答案 292第15章 移动设备与应用程序安全 29315.1 身份验证 29315.2 密钥 29615.3 代码质量与注入攻击 29715.4 设备上的用户隐私 29715.5 描述性声明 29815.6 安全软件开发声明 29815.7 沙盒 29915.8 移动应用安全测试 30115.9 NIST移动应用安全验证标准 30215.10 小结 30515.11 习题 30615.12 习题答案 306第16章 企业安全实践 30816.1 案例1—新员工入职 31116.2 案例2—员工被解雇或离职 31316.3 案例3—在岗员工凭证续期 31316.4 案例4—在岗员工增加或减少权限 31416.5 案例5—访客或供应商来访 31516.6 数据库和应用程序的物理安全 31516.7 业务连续性和容灾 31716.8 攻击与损失—识别和补救 31916.9 数据恢复 32116.10 复工复产 32216.11 勒索软件攻击的经验教训 32616.12 小结 32916.13 习题 33016.14 习题答案 330
|
| 內容試閱:
|
|
随着计算机行业的迅猛发展,黑客也出现了,他们利用先进的技术手段窃取信息,给用户带来了巨大的损失。最初,黑客利用病毒来制造破坏,有的是为了娱乐,有的是为了非法获利。现在,他们使用勒索软件等新型手段来锁定系统并索要巨额赎金。我们现在还不知道接下来会发生什么。我们所能做的就是防范风险,竭力降低风险,并持续监控。通过警惕新的威胁,我们可以做好更充分的准备。正如你将在本书中读到的,没有一种万无一失的方法来保护数据库应用程序。确保这些系统数据安全的方法一直以来且永远都应该是,采取多管齐下的防御方法。这就是所谓的深度防御—利用各种可行的措施来检测甚至阻止网络攻击。因此,IT安全必须从源头开始,并且在软件或数据库的整个生命周期中都应该保持高优先级。本书以实用的方式讨论了数据库和应用安全。变更管理、运行安全技术实施指南(Security Technical Implementation Guide,STIG)测试、审计和创建经验教训文档,这些对于为IT组织创建合适且安全的环境非常重要。无论是网络、操作系统,还是编码、设计等,每个IT分支都必须考虑IT安全,以便为应用程序、数据库或整个组织创建良好的IT安全环境。当资源可用时,隔离数据库和应用程序服务器也很重要。总的来说,每位员工都有义务和责任维护企业和组织的IT安全,这不仅仅是IT安全管理员一个人的职责。因此,我们经常听到这句话:“发现可疑情况,请立即报告。”旁观者或者那些认为“报告不是我的工作”的人,如果在看到威胁后选择忽视,他们应该也要为此担责。同时内部威胁往往比外部威胁的危害更大,因为心怀不轨的内部人员可能掌握更多的“内部信息”,可以泄露给其他人并加以非法利用。本书所讨论的,是迄今为止我们所了解并正在实施的、用于在组织中建立良好的IT安全防护体系的方法。换言之,这些是我们目前所掌握的研究成果。随着黑客和攻击者技术的不断革新,我们必须持续学习,以便掌握最新的IT安全防护方法。由于服务器的功能远超过承载一个简单的数据库和应用程序,这些IT安全防护方法将会变得越来越复杂。同时,随着云服务平台的兴起,任何迁移到云服务平台的数据和应用都存在安全风险。智能手机和平板电脑等移动设备将持续迭代升级,我们能做的唯有顺应潮流,掌握新的技术、应对新的威胁和面对新的挑战。网络安全既是一个极具挑战性的领域,也是一个非常有趣的领域。在这个领域内取得成功的终极法则是:保持警觉,持续学习,适应变化并与该领域共同成长。无论你是应用程序开发人员、数据库开发人员、数据库管理员还是系统管理员,本书都将帮助你在组织中实现稳固的网络安全防护。但请记住,维护网络安全不仅仅是某个人、某个部门或某个组织的事,而是全社会的共同责任,需要每一个人共同参与,共同努力,共筑网络安全防线。本书概述在IT领域工作20多年后,我萌生了将所学知识付诸文字的想法。在开发数据库或应用程序时,我开始创建自己的“待办事项”列表。随着IT领域的发展,这些待办事项列表逐渐演变成大型的常规流程。像Sec+、CISSP和ITIL等认证已经成为各种组织对开发人员、数据库和系统管理员的强制性要求。在与那些严格遵循IT安全规范的人以及同样重视IT安全的人共事之后,我觉得是时候把我的待办事项列表整理成一本书了。本书是我精心编撰的成果。鉴于IT安全措施需在执行前详细说明,本书第一部分介绍了IT安全,第二部分介绍了数据库安全,第三部分介绍了应用程序安全。正如你将在本书中了解到的,IT安全绝非某个个体的责任。因此,在探讨数据库安全和应用程序安全之后,我特别增加了第四部分IT安全管理,这部分讨论了网络安全是如何与企业安全、IT安全和物理安全相结合的,以及企业安全实践。本书的读者对象本书面向那些想要学习如何通过多方位策略保护数据库或应用程序的IT专业人士,如系统管理员可以利用本书的相关知识来保障主机安全,创建防火墙规则,以及加强托管应用程序的互联网信息服务(Internet Information Service,IIS)的安全性。本书有助于读者学习软件和数据库的安全知识,并可能对获得Sec+和CISSP认证有所帮助。本书可以应用于软件或数据库开发过程的每个阶段,以建立强大的网络安全防护体系。本书涵盖了Oracle和SQL Server软件。无论使用哪种编程语言开发应用程序,应用本书中介绍的方法都可以提升应用程序的安全性。学生可以在进入企业环境之前了解变更管理及其流程。本书还讨论了在办公室环境中管理移动设备和自带设备的步骤。本书也能帮助普通读者了解数据库和应用程序中存在的攻击类型,并学习如何防范和抵御这些攻击。本书的结构建议读者从头到尾阅读本书,以了解在Linux或Windows服务器上部署的数据库和应用程序的多种网络安全途径。本书分为四个部分:第一部分:IT安全第二部分:数据库安全第三部分:应用程序安全第四部分:IT安全管理第二部分和第三部分讨论了数据库安全和应用程序安全。第四部分讨论了IT安全管理,这部分包含变更管理流程、创建角色、授予权限(某些情况下是特权)等相关工作,其中大部分参考资料来自NIST、Microsoft和Oracle等。此外,本书中的Linux示例可以在开源的Linux和微软、Oracle以及其他软件的快速体验版本上运行,如OWASP、Autopsy等。在本书的每章结尾,我们还设置了习题,并提供了这些习题的答案,以检验读者对每章内容的理解程度。建议读者注册一个云服务提供商(如谷歌或微软Azure)账户(提供免费试用,之后按月付费且费用低廉),以创建虚拟机来安装免费软件(SQL Developer、SQL Server Express Edition等),并运行本书中提供的脚本,以获得实践经验。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
