网络安全事件响应 (2008 年度畅销榜NO.2461 )

本书是指导网络与系统安全事件响应工作的一本宝贵的战略指南。全书首先介绍了事件响应、风险分析等概念及其相关概念之间的关系，然后对事件响应组的组建和管理、时间响应的组织提出了许多建设性的建议，提出了事件处理经典的六阶段方法。从技术方面描述了入侵跟踪技术、陷阱与诱骗技术、内部攻击的响应问题，并用三章的篇幅介绍了法律问题和取证问题，讨论了事件响应中的人性因素，最后讨论了事件响应的发展方向。
本书适合计算机系统、网络与信息安全的管理人员、技术人员，大专院校从事网络安全技术的研究生、教师等研究人员。特别是对于计算机安全事件响应组(CSIRT)、安全服务企业以及政府相关的管理部门，本书是市面上难得的一本战略指南。

第1章 事件响应简介\r\n\r\n1.1 什么是事件响应\r\n1.2 事件响应的基本原理\r\n1.3 事件响应概述\r\n1.4 小结\r\n\r\n第2章　风险分析\r\n\r\n2.1 关于风险分析\r\n2.2 与安全相关的风险类型\r\n2.3 安全事件的数据获取\r\n2.4 紧急响应中风险分析的重要性\r\n2.5 小结\r\n\r\n第3章 事件响应方法学\r\n\r\n3.1 使用事件响应方法学的原理\r\n3.2 事件响应的6阶段方法学\r\n3.3 建议\r\n3.4 小结\r\n\r\n第4章 事件响应组的组建和管理\r\n\r\n4.1 什么是事件响应组\r\n4.2 为什么要组建事件响应组\r\n4.3 组建响应组的问题\r\n4.4 关于事件响应工作的管理\r\n4.5 小结\r\n\r\n第5章 事件响应的组织\r\n\r\n5.1 有效的团队——确保可用性\r\n5.2 训练团队\r\n5.3 测试团队\r\n5.4 成功的障碍\r\n5.5 外部协作\r\n5.6 管理安全事件\r\n5.7 小结\r\n\r\n第6章 网络攻击的追踪\r\n\r\n6.1 什么是追踪网络攻击\r\n6.2 不同环境下的攻击追踪\r\n6.3 追踪方法\r\n6.4 下一步\r\n6.5　构建“攻击路径”\r\n6.6 最后的忠告\r\n6.7 小结\r\n\r\n第7章 法律问题\r\n\r\n7.1 美国有关计算机犯罪的法律\r\n7.2 国际立法\r\n7.3 搜查、没收和监控\r\n7.4 制定管理政策\r\n7.5 责任\r\n7.6　起诉还是不起诉\r\n7.7 小结\r\n\r\n第8章 取证(1)\r\n\r\n8.1 指导性的原则\r\n8.2 取证硬件\r\n8.3 取证软件\r\n8.4　获取证据\r\n8.5 对证据的检查\r\n8.6 小结\r\n\r\n第9章 取证(II)\r\n\r\n9.1 秘密搜查\r\n9.2 高级搜查\r\n9.3 加密\r\n9.4　家用系统\r\n9.5 UNIX系统和服务器取证\r\n9.6 小结\r\n\r\n第10章 内部攻击的处理\r\n\r\n10.1 内部攻击者的类型\r\n10.2 攻击类型\r\n10.3 对内部攻击的预防\r\n10.4　检测内部攻击\r\n10.5 内部攻击的响应\r\n10.6　特殊考虑\r\n10.7 特殊情况\r\n10.8 法律问题\r\n10.9 小结\r\n\r\n第11章 事件响应中人性的因素\r\n\r\n11.1 社会科学与事件响应的结合\r\n11.2　第一节：计算机犯罪特征描述\r\n11.3 第二节：内部攻击\r\n11.4 第三节：事件的受害者\r\n11.5 第四节：事件响应中人性的因素\r\n11.6 小结\r\n\r\n第12章 陷阱及伪装手段\r\n\r\n12.1 关于陷阱和伪装手段\r\n12.2 陷阱与伪装手段的利与弊\r\n12.3 焦点：“蜜罐”\r\n12.4 事件响应中陷阱和欺骗手段的整合\r\n12.5 小结\r\n\r\n第13章 事件响应的未来发展方向\r\n\r\n13.1 技术进展\r\n13.2 社会进展\r\n13.3　职业发展\r\n13.4 事件的种类\r\n13.5 小结\r\n\r\n附录A RFC—2196\r\n站点安全手册\r\n\r\nA.1 简介\r\nA.2　安全政策\r\nA.3 体系结构\r\nA.4 安全服务和程序\r\nA.5　安全事件处理\r\nA.6 正在进行的活动\r\nA.7 工具和存放地点\r\nA.8 邮件列表和其他资源\r\nA.9　参考资料\r\n\r\n附录B 事件响应与报告项目检查表

读这本书的许多人都已经知道一些有关安全相关事件响应的信息. 这些事件通常称为“入侵”. “攻击”. “安全侵入”等, 这些术语变得越来越普遍了. 为什么?其中一个最重要的原因是, 系统应用和网络变得越来越复杂, 因此增加了防范的难度. Internet持续空前的增长速度, 攻击者可以从世界的任何地方扫描. 探查, 然后攻击连接在Internet上的系统. 问题的综合复杂性是高级管理的趋势, 这对安全相关事件的威胁也是明显的, 就像谚语里所说的“鸵鸟把头埋在沙子里(译者：由于问题复杂而顾头不顾尾)”. 安全相关的攻击经常带来灾难性的后果. 第二章风险分析讨论了安全相关事件可能造成的负面影响的类型以及每种影响的范围. 我们不主张“天要塌了”, 而是提出选择性的损失统计. 但是我们相信, 问题比许多人所意识到的要严重的多. 国家基础设施几年来一直面临严峻的风险. 比如, 一些破坏者可以关闭或修改部分基础设施的最关键的控制系统, 如能源生产和分配系统. 航空交通控制系统等. 我们对计算机的依赖性越来越强, 但是没能严格地控制计算机和网络的安全. 这种状态仍将持续, 直到某些事件——一些令公众无比震惊的安全相关事件发生. 这种事件可能是大量且长期的能量损耗, 或者是由于某人控制了计算机而导致一架庞大的喷气式飞机坠毁. 如果公众不要求更好的安全, 政府似乎并不认真地考虑计算机安全问题. 公司似乎也不能更严肃地对待计算机安全问题, 除非有股东的压力. 严重安全相关事件引起重大损失, 或者由于安全措施太差引起一连串的法律诉讼. 在安全相关事件发生时, 高效响应的需求随着威胁级别的增加成比例的增长. 这本书的主要目的是向读者传达他们需要知道什么, 不仅是为了建立事件响应能力, 还包括提高现有的事件响应能力. 这本书所提出的概念和原理不是我们凭空构造的简单的思想. 作者在他们计算机和信息安全的职业生涯中, 花费了大部分时间帮助大量组织机构的事件响应. 来自我们第一手经验的案例包含于全书之中, 同时, 我们试图尽力提出模型. 趋势. 以及其他理论概念, 鼓励读者从概念层次上考虑事件响应. 我们所面临的问题是多方面的, 单独的计算机科学和信息技术只能解决部分问题. 人的方面是特别重要的, 尤其是在处理内部攻击的问题上. 本书提出了事件响应的一个广泛的透视图, 覆盖多种技术. 程序. 管理的和心理学信息. 这一广泛的视野使得本书对于有技术背景和没有技术背景的读者都是适用的. 本书的组织 本书的每一章关注于事件响应的一个特定领域. 章节的划分如下： 第一章, “事件响应简介”, 覆盖诸如什么是事件响应. 为什么需要事件响应. 最初必须考虑的几类问题等. 第二章, “风险分析”介绍了可能发生事件的种类, 可能导致的破坏的类别, 风险分析和事件响应工作之间的关系. 第三章, “事件响应方法学”提出了事件处理的一个经典的6阶段方法：准备. 检测. 围墙(containment). 根除(eradication). 恢复和追踪. 这一章还提出了使用这一方法学的原理和应用每个阶段的具体考虑. 第四章, “事件响应组的组建和管理”解释了怎样建立和维护事件响应组. 第五章, “事件响应的组织”, 覆盖怎样准备事件响应. 主要讨论怎样处理组织的多个部分和谋取内部的支持, 怎样对付新闻媒体. 还提出了在事件发生后怎样减少损失的建议. 第六章, “网络攻击的追踪”描述了互联网系统的入侵跟踪技术和其他相关考虑. 比如怎样开发通信信道, 使相关人员能够获得所发生攻击事件相关的信息. 第七章, “法律问题”围绕事件响应领域及其适用性, 讨论法律方面需要考虑的事项, 包括诸如应用法律条例. 个人隐私相关的考虑. 事件响应相关的法律风险. 怎样和法律执行团体打交道等. 第八章, “取证(1)”包括查找证据. 辨别证据的形式. 证据在审讯时的使用. 最好的惯例. 证据收集和证据分析隔离. 取证处理和保存以及每种方法的技术和原理的应用场合, 取证分析对证据获取的代价. 数据取证和证据在法庭的使用或训练有素的听取诉讼以及其他重要的问题. 第九章, “取证(11)”继续第八章留下的问题, 包括计算机取证方面更技术化的细节, 包括隐蔽信道搜索. 高级搜索. 怎样处理加密数据. 针对膝上型电脑特殊的考虑. 老的系统. UNIX主机. Linux主机. 第十章, “事件响应中人性的因素”(由Terry Gudaitis博士编写, 一个专门从事计算机犯罪研究的犯罪学家)讨论人性因素, 包括怎样构造个人行为的特征描述, 计算机犯罪发生后怎样会见嫌疑人. 第十一章, “内部攻击的响应”包括内部人员的种类. 攻击类型. 关于内部攻击的特殊考虑. 怎样处理人际关系. 法律和限制内部攻击案例到一个合适的范围之内的其他职能, 以及内部调查与法庭听证之间的关系. 第十二章, “陷阱与诱骗手段”描述了几种可用的诱骗手段, 怎样配置. 建议, 怎样衡量投资与收益. 第十三章, “事件响应的未来发展方向”, 讨论事件响应未来将会是什么样子, 以及对事件响应团体可能的影响. 附录A, “RFC-219677包括专门针对事件响应的RFC. 附录B, “事件响应与报告检查列表”, 提出了一个用于报告安全相关事件的样表. 我们相信, 本书对您处理安全相关事件响应的挑战具有重要价值.