安全之美（簡體書）

《安全之美》包括以下內容：個人信息背后的經濟：它的運作方式、犯罪分子之間的關系以及他們攻擊“獵物”的新方法。社交網絡、云計算及其他流行趨勢如何幫助或損害在線安全。度量指標、需求收集、設計和法律如何將安全提高到一個新水平。PGP不為人知的真實歷史。

譯者：徐波 沈曉斌 編者：（美國）奧拉姆（Andy Oram） （美國）John Viega

前言
第1章　心理上的安全陷阱
(作者：peiter“mudge”zatko)
1.1　習得性無助和無從選擇
1.1.1　實例：microsoft是如何允許l0phtcrack的
1.1.2　密碼和身份認證可以從一開始就做得更好
1.1.3　客戶的習得性無助-無從選擇
1.2　確認陷阱
1.2.1　概念簡介
1.2.2　分析師確認陷阱
1.2.3　陳腐的威脅模型
1.2.4　正確理解功能
1.3　功能鎖定
1.3.1　安全位置的潛在風險
1.3.2　降低成本與未來收益：isp實例
1.3.3　降低成本與未來收益：能源實例
1.4　小結

第2章　無線網絡：社會工程的沃土
(作者：jim stickley)
2.1　輕松賺錢
2.1.1　設置攻擊
2.1.2　隱私的聚寶盆
2.1.3　web安全的基本缺陷：不要相信可信系統
2.1.4　建立無線信任
2.1.5　采用可靠的解決方案
2.2　無線也瘋狂
2.2.1　無線側信道
2.2.2　無線接入點自身如何
2.3　無線仍然是未來

第3章　美麗的安全度量指標
(作者：elizabeth a. nichols)
3.1　安全度量指標的類比：健康
3.1.1　不合理的期待
3.1.2　數據透明性
3.1.3　合理的度量指標
3.2　安全度量指標的實例
3.2.1　巴林銀行：內部侵害
3.2.2　tjx：外部侵害
3.2.3　其他公共數據來源
3.3　小結

第4章　安全漏洞的地下經濟
(作者：chenxi wang)
4.1　地下網絡的組成和基礎設施
4.1.1　地下通信基礎設施
4.1.2　攻擊基礎設施
4.2　回報
4.2.1　數據交換
4.2.2　信息來源
4.2.3　攻擊向量
4.2.4　洗錢游戲
4.3　如何對抗日益增長的地下網絡經濟
4.3.1　降低數據的價值
4.3.2　信息的權限分離
4.3.3　構建動力/回報結構
4.3.4　為數據責任建立評估和聲譽體系
4.4　小結

第5章　美麗的交易：重新思考電子商務的安全
(作者：ed bellis)
5.1　解構商業
5.1.1 分析安全環境
5.2　微弱的改良嘗試
5.2.1　3d安全
5.2.2　安全電子交易
5.2.3　單用途和多用途虛擬卡
5.2.4　破滅的動機
5.3　重塑電子商務：新的安全模型
5.3.1　需求1：消費者必須通過認證
5.3.2　需求2：商家必須通過認證
5.3.3　需求3：交易必須經過授權
5.3.4　需求4：認證數據不應被認證方和被認證方之外的其他各方所共享
5.3.5　需求5：過程不能完全依賴共享秘密
5.3.6　需求6：認證應該是可移植的(不受硬件或協議所限)
5.3.7　需求7：數據和交易的機密性和完整性必？得到維護
5.4　新模型

第6章　捍衛在線廣告：新狂野西部的盜匪和警察
(作者：benjamin edelman )
6.1　對用戶的攻擊
6.1.1　充滿漏洞的橫幅廣告
6.1.2　惡意鏈接廣告
6.1.3　欺騙式廣告
6.2　廣告客戶也是受害者
6.2.1　虛假的印象
6.2.2　避開容易受騙的cpm廣告
6.2.3　廣告客戶為何不奮起反擊
6.2.4　其他采購環境的教訓：在線采購的特殊挑戰
6.3　創建在線廣告的責任制

第7章　pgp信任網絡的演變
(作者：phil zimmermann和jon callas)
7.1　pgp和openpgp
7.2　信任、驗證和授權
7.2.1　直接信任
7.2.2　層次式信任
7.2.3　累積式信任
7.2.4　基本的pgp信任網絡
7.2.5　最早的信任網絡的毛邊
7.3　pgp和加密的歷史
7.3.1　早期的pgp
7.3.2　專利和輸出問題
7.3.3　密碼戰爭
7.3.4　從pgp 3到openpgp
7.4　對最初信任網絡的改進
7.4.1　撤銷
7.4.2　伸縮性問題
7.4.3　簽名的膨脹和困擾
7.4.4　證書內偏好
7.4.5　pgp全球目錄
7.4.6　可變信任評分
7.5　未來研究的有趣領域
7.5.1　超級合法
7.5.2　社交網絡和流量分析
7.6　參考資料

第8章　開源honeyclient：先發制人的客戶端漏洞檢測
(作者：kathy wang)
8.1　進入honeyclient
8.2　世界上第一個開源honeyclient簡介
8.3第二代honeyclient
8.4　honeyclient的操作結果
8.4.1　windows xp的透明活動
8.4.2　honeyclient數據的存儲和關聯
8.5　漏洞攻擊的分析
8.6　當前honeyclient實現的限制
8.7　相關的工作
8.8　honeyclient的未來

第9章　未來的安全齒輪和杠桿
(作者：mark curphey)
9.1　云計算和web服務：這里是單機
9.1.1　創建者和破壞者
9.1.2　云計算和web服務是拯救方案
9.1.3　新曙光
9.2　結合人、流程和技術：業務流程管理的潛力
9.2.1　發散型世界的發散型安全
9.2.2　bpm作為多站點安全的指導方針
9.3　社交網絡：當人們開始通信時，大變革發生了
9.3.1　社交網絡的藝術狀態和潛力
9.3.2　安全行業的社交網絡
9.3.3　數字中的安全
9.4　信息安全經濟：超級數據解析和網絡新規則
9.5　長尾變型的平臺：未來為什么會截然不同
9.5.1　生產工具的大眾化
9.5.2　發行渠道的大眾化
9.5.3　連接供應和需求
9.6　小結
9.7　致謝

第10章　安全設計
(作者：john mcmanus)
10.1　無意義的指標
10.2　市場還是質量
10.3　符合準則的系統開發周期的作用
10.4　結論：安全之美是系統之美的象征
11章　促使公司思考：未來的軟件安全嗎
(作者：jim routh)
11.1　隱式的需求也可能非常強大
11.2　公司為什么需要安全的軟件
11.2.1　如何制訂安全計劃
11.2.2　修正問題
11.2.3　把安全計劃擴展到外包
11.3　對現有的軟件進行安全化
11.4　分析：如何使世界上的軟件更安全
11.4.1　最好的軟件開發人員創建了具有漏洞的代碼
11.4.2　microsoft領先一步
11.4.3　軟件開發商給了我們想要的，卻不是我們需要的

第12章　信息安全律師來了
(作者：randy v. sabett)
12.1　文化
12.2　平衡
12.2.1　數字簽名指南
12.2.2　加利福尼亞數據隱私法
12.2.3　安全的投資回報率
12.3　通信
12.3.1　技術狂為何需要律師
12.3.2　來自頂層的推動力，通過合作實現
12.3.3　數據泄露小虎隊
12.4　正確做事

第13章　美麗的日志處理
(作者：anton chuvakin)
13.1　安全法律和標準中的日志
13.2　聚焦日志
13.3　什么時候日志是極為珍貴的
13.4　日志所？臨的困難
13.5　案例研究：癱瘓服務器的背后
13.5.1　事故的架構和環境
13.5.2　被觀察的事件
13.5.3　調查開始
13.5.4　使數據起死回生
13.5.5　小結
13.6　未來的日志
13.6.1　來源的擴大化
13.6.2　未來的日志分析和管理工具
13.7　結論

第14章　事件檢測：尋找剩余的68%
(作者：grant geyer和brian dunphy)
14.1　一個常見起點
14.2　改進與上下文相關的檢測
14.2.1　用流量分析提高覆蓋率
14.2.2　？監測列表進行綜合分析
14.3　使用主機日志增強洞察力
14.3.1 創建富有彈性的檢測模型
14.4　小結

第15章　無需真實數據就能出色完成工作
(作者：peter wayner)
15.1　數據半透明化的工作原理
15.2　一個現實的例子
15.3　為便利而存儲的個人數據
15.4　如何權衡
15.5　進一步深入
15.6　參考資料

第16章　鑄造新詞：pc安全劇場
(作者：michael wood和fernando francisco)
16.1　攻擊不斷增加，防御不斷倒退
16.1.1　在internet的傳送帶上
16.1.2　不正當行為的回報
16.1.3　暴徒的響應
16.2　揭穿假象
16.2.1　嚴格審查：傳統的和更新的反病毒掃描
16.2.2　沙盒和虛擬化：新的銀彈
16.3　桌面安全的更佳實踐
16.4　小結
附錄　作者簡介