[推荐]《漏洞管理》(从技术、流程和管理的角度全面阐述漏洞管理相关问题)
发表于:
2012-12-6 15:50
12658
[推荐]《漏洞管理》(从技术、流程和管理的角度全面阐述漏洞管理相关问题)
书名:漏洞管理
原作名:Vulnerability Management
作者:Park Foreman
译者:吴世忠 / 郭涛 / 董国伟 / 张普含
豆瓣收藏:
http://book.douban.com/subject/20381531/
【内容简介】
本书共10章:第1章介绍了风险管理、漏洞管理、安全产业现状等;第2章讲解漏洞产生过程、漏洞程序的作用,并结合实际案例讲解漏洞管理程序故障问题;第3章讲解漏洞管理计划的参与者、漏洞管理策略及合规性;第4章侧重于漏洞扫描的总体架构,并涵盖当前流行的漏洞管理技术,以及漏洞测试相关的数据、评价、技术标准和漏洞管理扫描程序Nessus;第5章阐述了如何选择漏洞管理产品,包括总 体要求、实施过程的自动化、体系结构、如何进行用户定制与整合、评分和部署方法、访问控制等相关技术;第6章讲解漏洞管理流程,包括与漏洞管理相关的 ITIL-ITSM过程和IAVA过程,以及该流程中的数据分级和风险评估等重要步骤;第7章介绍了一系列与执行、汇报、分析相关的文档,如发现报告、审计报告、合规性报告等;第8章提供了一些建议,引导读者从制定检查表、工程规划和实施策略等方面逐步了解如何在一个大型的公司里开发一个完整的漏洞管理项 目;第9章从一个更宏观的、策略性的层面来研究漏洞的呈现形式及修复方法;第10章对上述内容进行了概括性总结。
【作者简介】
Park Foreman,资深漏洞管理专家和信息安全战略专家,资深国际安全顾问,群邑(GroupM)集团的全球信息安全主管,在信息技术领域工作20余年,经 验十分丰富。作为一名安全技术顾问,他帮助金融和电信行业的多家公司实现了各种安全目标,并为财富100强企业设计、实施和管理其安全架构。他曾负责贝尔 实验室相关应用系统的应用程序开发工作,还曾为世界上最大的几个安全运营中心工作,包括AT&T公司的卓越安全中心(Security Center of Excellence)。此外,他还是一名技术作家,在全球顶级专业期刊(如《Internet Protect》、《ISSA Journal》等杂志)上发表过多篇文章,是全球多个安全组织中信息安全主题和论文的作者。
【样章试读】
《漏洞管理》样章.rar
【译者序】
随着信息技术的飞速发展,互联网日益成为人们生活中不可缺少的一部分,社交网络、微博、移动互联网、云计算、物联网等各种新技术、新应用层出不穷。但不管是Facebook、Twitter等新兴互联网公司的迅速崛起,还是Android日益成为智能手机市场的主流操作系统,信息安全一直都是永恒的话题。“震网病毒”和“火焰病毒”事件凸显了网络武器的实战破坏能力,关键信息基础设施保护已成为世界各国网络空间防御的新重点;“维基泄密”事件彰显网络空间攻防双方的不对称性,“百密难免一疏”成为保密防范永远的痛;究其根源,所有这些信息安全事件都存在一个共同点—信息系统或软件自身存在可被利用的漏洞。因而,漏洞分析和风险评估日益成为信息安全领域理论研究和实践工作的焦点,越来越引起世界各国的关注与重视。
为推动国内的漏洞分析和风险评估工作,提高国家信息安全保障能力和防御水平,中国信息安全测评中心长期跟踪和关注相关领域的理论进展和技术进步,有针对性地精选一些优秀书籍译成中文,供国内读者参考借鉴。
本书从基本概念、重要作用、关键技术、流程管理等多个角度深入阐述了漏洞管理的运作及其发挥的作用。基本概念部分以风险管理的作用和漏洞管理的起源为切入点,分析了信息安全产业目前存在的缺陷及挑战,以及漏洞的诸多来源,并通过具体实例展现了失败的漏洞管理带来的巨大损失,进而说明了漏洞管理对于企业的重要作用;关键技术部分介绍了多种实用的漏洞管理技术,包括主动和被动扫描、漏洞测试数据标准、漏洞严重等级标准、美国国家漏洞库(NVD)等,这些技术可以有效辅助漏洞管理工作的开展,极大提高管理效率;流程管理部分,阐明了以信息技术基础架构库–IT服务管理(ITIL-ITSM)流程和保障漏洞预警(IAVA)流程为基础的漏洞管理过程,以组织和规范漏洞管理工作,并深入介绍了此过程中形成的各类报告的形式和内容,最终说明了更高层面的策略性漏洞的管理方法。
本书翻译工作还得到了中国信息安全测评中心的章磊、王眉林、贾依真、吴健雄、张翀斌等同志的支持和帮助,在此深表感谢。
本书得到中国信息安全测评中心“漏洞分析与风险评估”专项工程、国家自然科学基金项目(90818021、61100047、61272493)的支持。
【前言】
漏洞管理(Vulnerability Management,VM)已经有了上千年历史,城市、部落、国家和企业都会触及该学科的知识。漏洞会让潜在的攻击者有机可乘,任何机构的成功管理和运作都依赖于对漏洞进行检测和修复的能力。以往,人们修筑城堡,在城市中建造防御设施和高级预警系统,这些都是他们意识到自身的脆弱性并为了抵御危害而采取的各种措施。如今,我们检测到在软件系统、基础设施以及企业战略中也都存在一些漏洞,这些漏洞通常需要从多个角度、以创新性的方法来解决。
本书是一本信息安全从业人员的指导手册,读者包括安全工程师、网络工程师、安全部门的官员或首席信息主管(CIO)等在内的安全行业从业人员,系统地介绍了什么是漏洞管理及其在组织机构中的作用。本书涵盖了漏洞管理的各个重点领域以满足不同读者的需求。技术章节从宏观视角介绍了漏洞相关内容,不打算太纠结于技术细节的决策者也可以读懂这部分内容。其他有关流程和策略的章节,也能为领导层提供一定的参考,但主要是从工程师或安全主管的角度介绍了漏洞管理技术及其流程在企业中所起的作用。
作者建议对漏洞管理领域感兴趣的读者阅读相关章节,并略读其余章节。如果不能以长远的眼光全面理解漏洞管理的各个方面,将难以有效参与漏洞管理的任何一个环节。通常,员工们会担心他们在某个过程中承担的工作看起来毫无意义。希望本书介绍的内容能够在一定程度上减轻这种焦虑。
【目录】
译者序
前言
第1章 绪论/1
1.1 风险管理的作用/2
1.2 漏洞管理的起源/3
1.3 安全产业及其缺陷介绍/4
1.4 来自政府和产业的挑战/5
1.5 漏洞的来源/5
1.6 有缺陷的漏洞管理示例/5
1.7 漏洞管理的重要性/6
第2章 漏洞体验/7
2.1 简介/8
2.2 漏洞产生过程/8
2.2.1 复杂性/9
2.2.2 连通性/10
2.2.3 互操作性/10
2.3 创建漏洞:一个例子/11
2.4 使用漏洞管理程序的理由/13
2.4.1 网络过度开放/13
2.4.2 安全系统配置标准缺失/14
2.4.3 重大经济损失风险/14
2.4.4 收益损失/15
2.4.5 生产力损失/15
2.5 漏洞管理程序故障/16
2.5.1 案例研究1:获得组织的支持 /16
2.5.2 案例研究2:技术集成的挑战/22
第3章 计划和组织/33
3.1 概述:计划结构/34
3.2 漏洞管理计划和技术开发/36
3.3 参与者/37
3.3.1 操作者角色/37
3.3.2 贡献者角色/39
3.4 策略和信息流/40
3.4.1 现行策略/40
3.4.2 新策略/41
3.4.3 合规和统辖/42
3.5 小结/44
第4章 漏洞管理技术/45
4.1 简介/46
4.2 总体架构/47
4.2.1 硬件模式/47
4.2.2 用户提供的硬件和虚拟化/49
4.3 代理/50
4.3.1 代理架构/50
4.3.2 优点与缺点/52
4.3.3 检测方法/53
4.4 被动网络分析/53
4.4.1 优点与缺点/56
4.4.2 检测方法/57
4.4.3 物理层/57
4.4.4 数据链路层/58
4.4.5 网络层/58
4.4.6 4至7层/58
4.5 主动扫描技术/58
4.5.1 优点与缺点/59
4.5.2 检测方法/59
4.6 混合方法/82
4.7 推理扫描/83
4.8 CVE/83
4.8.1 结构/84
4.8.2 CVE的局限/86
4.9 漏洞测试数据标准/86
4.9.1 架构定义/87
4.9.2 系统特征架构/88
4.9.3 结果架构/88
4.9.4 测试描述/88
4.10 漏洞危害程度评价标准 /92
4.11 美国国家漏洞库 /98
4.11.1 CPE /98
4.11.2 XCCDF/100
4.12 SCAP/101
4.13 Nessus/102
4.13.1 优点与缺点/103
4.13.2 扫描模型/103
4.13.3 使用Nessus/104
第5章 选择技术/107
5.1 概述/108
5.2 总体需求/108
5.2.1 责任分担/108
5.2.2 时间表/110
5.2.3 标准/112
5.2.4 报告/113
5.2.5 高级报告/115
5.3 自动化/116
5.3.1 标签生成/116
5.3.2 流程整合/117
5.3.3 流程和系统的灵活性/117
5.3.4 补丁管理支持/118
5.4 体系结构/118
5.4.1 被动的体系结构/119
5.4.2 基于代理的体系结构/119
5.4.3 主动扫描的体系结构/120
5.4.4 保证平台安全/124
5.4.5 系统整合/125
5.5 定制与整合/126
5.6 评分方法/127
5.7 访问控制/129
5.7.1 活动目录/129
5.7.2 RADIUS和TACACS+/130
5.7.3 授权/130
5.8 部署方法/131
5.8.1 主动扫描器部署:物理部署/132
5.8.2 虚拟扫描器/133
5.8.3 被动分析器的部署/133
5.8.4 代理部署/134
5.9 小结/135
第6章 过程/137
6.1 介绍/138
6.2 漏洞管理过程/138
6.2.1 准备/139
6.2.2 发现/140
6.2.3 轮廓/140
6.2.4 审计/141
6.2.5 修复/141
6.2.6 监控和调整/141
6.2.7 管理/142
6.3 基准/142
6.4 ITIL-ITSM流程/144
6.4.1 服务支持/144
6.4.2 服务台/146
6.4.3 事件管理/146
6.4.4 服务交付/148
6.4.5 其他方面/149
6.5 IAVA流程/149
6.6 数据分级/152
6.6.1 案例研究:Big Tyre Corporation/153
6.6.2 数据分级流程/154
6.7 风险评估/154
6.7.1 信息收集/155
6.7.2 安全控制评估/156
6.7.3 业务需求/157
6.7.4 资产估值/158
6.7.5 漏洞评估/159
6.7.6 安全控制措施有效性评估/160
6.8 小结/160
第7章 执行、汇报与分析/161
7.1 介绍 /162
7.2 发现报告/162
7.3 评估报告/165
7.4 框架报告/168
7.5 审计报告/171
7.5.1 主动扫描审计报告/171
7.5.2 被动扫描审计报告/172
7.5.3 审计趋势分析/174
7.6 主动扫描:时间安排与资源/177
7.6.1 审计参数/177
7.6.2 时间安排/180
7.7 审计趋势与性能报告/180
7.7.1 基本报告/180
7.7.2 高级报告:控制图/184
7.7.3 介绍漏洞群:控制性能报告/187
7.8 合规性报告/190
7.8.1 系统合规性报告/190
7.8.2 合规性执行总结/192
7.9 小结/193
第8章 规划/195
8.1 介绍/196
8.2 章程制定/197
8.2.1 介绍:业务价值/197
8.2.2 目的和目标/197
8.2.3 范围/198
8.2.4 假设/198
8.3 业务用例/199
8.4 需求文档/199
8.5 安全架构建议/201
8.6 RFP/202
8.7 实施计划/202
8.8 操作流程文档/204
8.9 资产估价指南/205
8.10 漏洞管理策略/205
8.11 部署策略/206
8.11.1 基本策略/206
8.11.2 基于风险的策略/207
8.11.3 改进的时间表/208
8.12 部署标准与进展报告/209
8.13 小结/209
第9章 策略性漏洞/211
9.1 介绍/212
9.2 操作环境/215
9.3 管理外部因素/216
9.4 控制内部漏洞/217
9.4.1 业务模式/218
9.4.2 业务程序/218
9.4.3 复杂性/219
9.4.4 反应方案/219
9.4.5 漏洞方法论与变更/220
9.4.6 复杂性/222
9.5 规避原则/223
9.6 了解对手/225
9.6.1 优点与缺点/225
9.6.2 现实事件/226
9.6.3 目的与目标的对比/227
9.6.4 时间放大效应/228
9.6.5 政治环境加剧攻击/229
9.7 小结/229
第10章 总结/231
10.1 介绍/232
10.2 跨领域机会/233
10.3 跨技术机会/234
10.3.1 代理/234
10.3.2 补丁管理/235
10.3.3 应用渗透测试/235
10.4 流程缺陷/236
10.5 运行环境的变化/238
10.5.1 省时/238
10.5.2 节电/238
10.5.3 分布式计算/239
10.6 报告/241
10.7 服务水平协议/241
10.8 小结/241
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
上传的附件: