本書由徐雪鵬、岳大安(神州學(xué)知教育咨詢有限公司CSO兼CEO)撰寫,是神州數(shù)碼技能教室項(xiàng)目的配套指導(dǎo)教材,也是信息安全實(shí)踐基地的指定訓(xùn)練教材。全書共設(shè)4章,分別為FlowShape網(wǎng)絡(luò)流量整形、Web安全、IPS入侵防御系統(tǒng)、網(wǎng)絡(luò)安全數(shù)字取證。以培養(yǎng)學(xué)生的職業(yè)能力為核心,以工作實(shí)踐為主線,以項(xiàng)目為導(dǎo)向,采用任務(wù)驅(qū)動、場景教學(xué)的方式,面向企業(yè)信息安全工程師人力資源崗位能力模型設(shè)置教材內(nèi)容,建立以實(shí)際工作過程為框架的職業(yè)教育課程結(jié)構(gòu)。本書可作為職業(yè)技術(shù)院校信息安全專業(yè)教材,也可作為信息安全從業(yè)人員的參考用書。本書配有授課用電子課件,可到機(jī)械工業(yè)出版社教材服務(wù)網(wǎng)www.cmpedu.com免費(fèi)注冊下載。
當(dāng)前,信息技術(shù)產(chǎn)業(yè)欣欣向榮,處于空前繁榮的階段,但是另一方面,危害信息安全的事件不斷發(fā)生,信息安全的形勢非常嚴(yán)峻。敵對勢力的破壞、黑客入侵、利用計(jì)算機(jī)實(shí)施犯罪、惡意軟件侵?jǐn)_、隱私泄露等,是我國信息網(wǎng)絡(luò)空間面臨的主要威脅和挑戰(zhàn)。我國已經(jīng)成為世界信息產(chǎn)業(yè)大國,但是還不是信息產(chǎn)業(yè)強(qiáng)國,在信息產(chǎn)業(yè)的基礎(chǔ)性產(chǎn)品研制和生產(chǎn)方面還比較薄弱,例如,計(jì)算機(jī)操作系統(tǒng)等基礎(chǔ)軟件和CPU等關(guān)鍵性集成電路,現(xiàn)在還部分依賴國外的產(chǎn)品,這就使得我國的信息安全基礎(chǔ)不夠牢固。
隨著計(jì)算機(jī)和網(wǎng)絡(luò)在軍事、政治、金融、工業(yè)、商業(yè)等領(lǐng)域的廣泛應(yīng)用,人們對計(jì)算機(jī)和網(wǎng)絡(luò)的依賴越來越大,如果計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全受到破壞,則不僅會帶來巨大的經(jīng)濟(jì)損失,還可能引起社會的混亂。因此,確保以計(jì)算機(jī)和網(wǎng)絡(luò)為主要基礎(chǔ)設(shè)施的信息系統(tǒng)的安全已成為世人關(guān)注的社會問題和信息科學(xué)技術(shù)領(lǐng)域的研究熱點(diǎn)。當(dāng)前,我國正處在全面建成小康社會的決定性階段,實(shí)現(xiàn)社會信息化并確保信息安全是全面建成小康社會的必要條件之一。而要實(shí)現(xiàn)我國社會信息化并確保信息安全的關(guān)鍵是人才,這就需要培養(yǎng)造就規(guī)模宏大、素質(zhì)優(yōu)良的信息化和信息安全人才隊(duì)伍。
2014年,習(xí)近平主席在中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組會議上指出:沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題,要從國際國內(nèi)大勢出發(fā),總體布局,統(tǒng)籌各方,創(chuàng)新發(fā)展,努力把我國建成網(wǎng)絡(luò)強(qiáng)國。
“十三五”時(shí)期,我國要積極推動網(wǎng)絡(luò)強(qiáng)國建設(shè)。網(wǎng)絡(luò)強(qiáng)國涉及技術(shù)、應(yīng)用、文化、安全、立法、監(jiān)管等諸多方面,不僅要突出抓好核心技術(shù)突破,還要提供更加安全可靠的軟硬件支撐,加快建設(shè)高速、移動、安全、泛在的新一代信息基礎(chǔ)設(shè)施,在不斷推進(jìn)新技術(shù)新業(yè)務(wù)應(yīng)用、繁榮發(fā)展互聯(lián)網(wǎng)經(jīng)濟(jì)的同時(shí),要強(qiáng)化網(wǎng)絡(luò)和信息安全,而培育高素質(zhì)人才隊(duì)伍是實(shí)施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要措施。2015年,國務(wù)院學(xué)位委員會和教育部增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科。
我國信息安全學(xué)科建設(shè)和人才培養(yǎng),迎來了全面高速發(fā)展的新階段。
本書以培養(yǎng)學(xué)生的職業(yè)能力為核心,以工作實(shí)踐為主線,以項(xiàng)目為導(dǎo)向,采用任務(wù)驅(qū)動、場景教學(xué)的方式,面向企業(yè)信息安全工程師人力資源崗位能力模型設(shè)置教學(xué)內(nèi)容,建立以實(shí)際工作過程為框架的職業(yè)教育課程結(jié)構(gòu)。全書共4章,主要內(nèi)容如下:
第1章為Flow Shape網(wǎng)絡(luò)流量整形,主要介紹針對網(wǎng)絡(luò)帶寬的DoS攻擊及其解決方案;第2章為Web安全(Web Security),主要介紹Web開發(fā)三層架構(gòu)概述、Web以及數(shù)據(jù)庫安全概述、SQL注入攻擊及其解決方案、XSS攻擊及其解決方案;第3章為IPS入侵防御系統(tǒng),主要介紹緩沖區(qū)溢出攻擊及其解決方案;第4章為網(wǎng)絡(luò)安全數(shù)字取證,主要介紹網(wǎng)絡(luò)安全數(shù)字取證及其解決方案。
本書由徐雪鵬任主編,岳大安和包楠任副主編,參加編寫的還有孫雨春、趙飛、張鵬和李曉隆。
由于編者水平有限,書中難免存在不當(dāng)和疏漏之處,敬請讀者批評指正。
編 者
前言
第1章 Flow Shape網(wǎng)絡(luò)流量整形 1
第2章 Web安全.9
2.1 Web開發(fā)三層架構(gòu)概述 .9
2.2 Web安全概述 .19
2.3 SQL注入攻擊及其解決方案 21
2.3.1 SQL注入攻擊介紹 .21
2.3.2 SQL注入攻擊解決方案1:Web應(yīng)用安全開發(fā) 34
2.3.3 SQL注入攻擊解決方案2:配置Web應(yīng)用防火墻 .44
2.4 XSS攻擊及其解決方案 46
2.4.1 XSS攻擊介紹 46
2.4.2 XSS攻擊解決方案1:Web應(yīng)用安全開發(fā) 62
2.4.3 XSS攻擊解決方案2:配置Web應(yīng)用防火墻 .65
第3章 IPS入侵防御系統(tǒng).67
3.1 緩沖區(qū)溢出攻擊介紹 .67
3.2 緩沖區(qū)溢出攻擊解決方案:配置IPS 92
第4章 網(wǎng)絡(luò)安全數(shù)字取證98
4.1 網(wǎng)絡(luò)安全數(shù)字取證介紹 98
4.2 網(wǎng)絡(luò)安全數(shù)字取證解決方案:蜜罐技術(shù) 98
參考文獻(xiàn) 109