在9月11日(是指2001年9月11日)以前,我们可能会在这里谈论的一件事就是:近年来没有任何东西能够像Internet的成长一样给我们的生活带来这么大的冲击。但按照那天(2001年9月11日)所发生的事情,这样的一个陈述看起来又显得愚蠢和失礼。在这里我们所能够做的是;指出各种各样的网络一直是变化的媒介和前进的工具,可能是好的也可能是坏的。网络并不是一定由路由器和电缆创建。网络能够将具有相同目标的个体焊接起来,并允许它们集中各自的努力来实现一个共同的目的。不幸的是这种目标并不一定是被允许的。每天我们都能读到或听到关于恐怖分子网络的事情。从报纸地能看到有关犯罪网络的情况和为了粉碎它们而制定的强制法律。不友好的政府运行间谍和从事破坏者网络。网络的这些图像给人的印象是一种恶意的工具,是邪恶的基础。但网络并不总是被用来制造嘈杂,同时也用网络来募集资金。在商业世界里,存在那些关心患病者福利的网络,那些增加公司发展机会的网络,当然也有帮助找男友的网络。Internet像其他任何网络一样,给个人提供了同样的机会来使用它为公众服务或滥用它。这本书的目的就是在真实世界为安全专家提供实施安全的一个指南,让他们能够以最小的暴露风险来建设他们的网络和系统。许多安全书籍如百科全书般介绍了安全,从讲解每个协议的细节到每个操作系统的配置参数。虽然这本书也覆盖了一些技术细节,如许多操作系统、网络组件、应用和协议,并且假定这本书的读者是没有太多经验的初学者,但你会发现本书不是常见的干巴巴的讲解和理论弱点的堆积。我们的目的是创造一本书来容纳我们这么多年来在系统开发、加密设计、保护网络和为数十家大小客户做安全顾问中所获得的经验,并带领读者走完从安全策略到安全实现的全部过程。最终你将发现我们包含了许多案例,这些案例讲述了安全概念是怎么被应用在真实公司的真实网络中的。你也会发现有几个案例讲述了当安全原则没有得到遵守时发生的事情。许多书籍都在两者之间做出选择,或是只在策略和原则层次中进行阐述;或是忽略安全的这些方面而直接深入到一些组件的技术细节,如防火墙、操作系统和应用。我们认为讨论安全而不同时讨论安全的过程是不合适的。无论你喜欢与否,为使安全更有效,一个管理员为保护网络所采取的步骤必须是拱形安全策略的扩展。那些只是实施如防火墙和VPN等点解决方案而不考虑它们是怎样融人到整体策略的安全实施者其实是在虐待他们自己、他们的雇员,同时也是对他们的预算的一个浪费。一个公司如果没有保护他的重要资产,无论是信息、商业过程或服务,他就不可能长时间成功。要保护资产,我们首先需要确定它。要充分地保护它,你需要确定是什么在威胁它。要有效地保护它,你需要依据它的价值在保护它所需要的花费和努力之间进行权衡。所有这些因素混和在一起构成了安全策略和程序的开发。最后,IT部门还要部署它的防火墙和入侵检测系统,经过深思熟虑之后,选择了相应的系统,并把它们放到在保护重要资产方面能起到最大作用的地方。出于这种思考方式,我们用两章内容来全面讨论风险和策略。它们不是通过干巴巴地从一本书的模板中挑选合适的陈述来开发一个安全策略。我们认为一个有意义的策略必须被开发且用于保护组织的特定方面,而且安全实施者必须能够且应该在形成策略和使其工作方面成为有价值的贡献者。在讨论过策略以后,我们将谈论这本书的主要内容,那就是下流和肮脏的安全。在每一章,我们都尝试覆盖安全的某个方面并且使它们是相互依赖的,且最终将使这些内容引导我们开发一个“安全“基础设施。我们花费很大的努力来确定,我们谈论的不只是“象牙塔”(意为脱离实际的小天地)安全,而是把我们的讨论深入到真实世界的实现层次。例如,许多技术员会告诉你为什么数字证书能够在认证Internet用户方面提供普遍基础。但是他们忘了告诉你在约达5亿的被称为网上居民的用户中,约有99.99%的用户仍然依靠用户名和密码来登录到他们的系统上。知道关于PKI的技术固然是好的,但是知道如何去以一种有效和安全的方式去利用用户名/密码则更为实际。这一点在讨论系统脆弱性时同样成立。经典的“中间人攻击”(一个邪恶的攻击者截获两个网络节点间的通信并把自己伪装成通信的另一方)站在技术观点看是很有趣的,但从实际观点看则很难成功。这并不是说这种攻击不会发生,它只是说,按我们的经验,它很难发生。安全实施者应该更好地利用他的时间来将他的Web服务器打上补丁,以防止13岁黑客的恶作剧,而不是在所有的服务器上实施加密来防止中间人攻击。这就是现实,这也就是我们认为的本书和其他书的一个主要区别——也是你需要这本书的一个好理由。最后,安全需要不断地学习和适应,就像生命本身一样。这本书阐述了安全哲学,并揭示了工程师使用的技术和程序,以及如何维护一个安全网络,还有其他人怎样利用这些原则在保护他们自己的同时又不关闭利用和生产的大门。我们真诚地希望这本书会有助于提高安全意识,并且有助于用特定知识来武装安全实施者,就像Elvis常说的,要照管好生意。关于作者Erick Schetina 是TrustWave公司(一个位于马里兰州的Internet安全公司)的CTO(首席技术宫),Schetina先生在1985年开始了他在信息安全领域的职业生涯,加人到美国国防部成为一个电气工程师。在接下来的13年中,他主要从事国防部的智能键控信号和信息安全系统的研究,包括加密令牌、公钥加密系统和信号处理系统。Schetina先生拥有约翰霍普金斯大学电子工程硕士学位和哥伦比亚大学的电子工程学士学位。他是信息安全联盟的成员并拥有CISSP(思科信息系统安全)认证专家证书,同时他也是《The Compact Disc》(Prentice-Hall,1989)和《Digital Audio Tape Recordes》(Prentice-Hall,1993)这两本技术参考书籍的作者。Ken Green是TrustWave公司的高级安全工程师,在加入Trustwave公司之前,他是美国国防部的技术主管和资深电气工程师,它在信息安全领域、网络分析工程和操作方面都拥有丰富的经验。Green先生在电信和数据网络分析和协议(包括TCP/IP、IPSec、VPN、ATM、SONET/SDH、帧中继和SS7)方面是公认的专家。他经常担当美国政府其他部门的顾问。它的技术专长包括协议分析、面向对象软件开发和大规模数据处理系统工程。Green先生拥有普度大学电子工程的学士和硕士学位,在普度大学他主要学习的是数字通信理论和信号处理。研究生期间他还在约翰霍普金斯大学做过网络理论、高级信号处理和无线通信方面的研究。Jacob Carlson是TrustWave公司的高级安全工程师。他在设计、开发和实现安全系统和网络领域(包括网络和主机入侵测试、事件反应和计算机策略,还有数据恢复)方面拥有丰富的经验。他使用、安装并管理过各种各样的防火墙,以及基于主机和基于网络的网络入侵检测系统。另一方面,他在加密、认证、基于加密的完整性机制和公钥基础设施方面也拥有丰富经验。他是 TrustWave公司高级顾问和入侵测试专家。Carlson先生在保护 Windows NT系统方面进行过会话和缓冲区溢出测试,他还参加了名为“黑客攻击技术”开放小组讨论,在小组中一些著名的安全专家讨论了黑客团体掌握的新入侵技术,同时Carlson先生在数据分析方面也具有丰富经验。献辞我们想把这本在9月11日(指2001年9月11日)后出版的书籍献给那天的受害人,包括死难者和获得生还的人!致谢作者想感谢Phil Smith和Vizo Allman在数据分析和Windows安全方面的贡献。另外,我们想感谢William Brown在这个项目中从大纲到完成所给与我们的帮助。最后,我们想说明的是,如果没有我们周围人的支持和耐心,本书就不可能完成。特别的感谢要留给我们的家人,感谢你们在过去几个月和很多年前给予我们的鼓励。Carson先生想对Keily O’Bannon 小姐(很快将成为Kellx Carlson夫人)毫无保留的帮助、理解和风趣表示特别的感谢。还有她提供的美味咖啡也为这本书的写作提供了良好的环境。同时也要感谢爸爸,为他一直的支持和引以为豪,无论我看起来多么奇怪和丢掉了多少学业他都一如既往地支持我。还有妈妈,还有所有我应该感谢的。Gree先生想感谢他的家庭,尤其是他的父母,Kitty和Ralph,为他们多年来的爱和支持。在本书中,你将学到开发一个通往Internet上的安全连接需要的所有基本技巧和技术。在选择防火墙、虚拟专网(VPN)或者入侵检测系统之前,你必须准确地说明你的信息资产是什么,谁将接触它们,对这些资产的外部威胁和内部威胁又是什么。本书将带你走过评估你们的Internet环境、开发一个用来保护关键信息和网络资源的过程性和技术性策略的全程。在帮助你开发了一个信息安全的程序以后,本书详细介绍了实现网络和服务器安全的许多技术。你将会了解到防火墙、虚拟专网、认证和入侵检测的真实细节。然后再利用几个适合企业和小型商业网络的体系结构将它们结合在一起。最后,本书将检查定制Internet应用程序开发人员常犯的通病,并提供所有软件开发人员都应该知道的解决方案,以保证他们的代码能够适应Internet的恶劣环境。
鄂公网安备 42010302001612号 