新書推薦:
《
罗马之变(法语直译,再现罗马共和国走向罗马帝国的辉煌历史)
》
售價:NT$
500.0
《
自然之争:1600年以来苏格兰和英格兰北部地区的环境史(新史学译丛)
》
售價:NT$
485.0
《
硝烟下的博弈:工业革命与中西方战争
》
售價:NT$
398.0
《
让内的理性主义 发现无意识之旅
》
售價:NT$
301.0
《
知命不惧:从芝诺到马可·奥勒留的生活艺术
》
售價:NT$
505.0
《
Zemax光学设计从基础到实践
》
售價:NT$
602.0
《
全球化的黎明:亚洲大航海时代
》
售價:NT$
500.0
《
危局
》
售價:NT$
383.0
|
內容簡介: |
计算机安全是信息科学与技术中极为重要的研究领域之一。本书覆盖了计算机安全中的各个方面,不仅包括相关 技术和应用,还包含管理方面的内容。全书包括 5 个部分共 24 章:第 1 部分计算机安全技术和原理,涵盖了支持有 效安全策略所必需的所有技术领域;第 2 部分软件安全和可信系统,主要涉及软件开发和运行带来的安全问题及相应 的对策;第 3 部分管理问题,主要讨论信息安全与计算机安全在管理方面的问题,以及与计算机安全相关的法律与道 德方面的问题;第 4 部分密码编码算法,包括各种类型的加密算法和其他类型的密码算法;第 5 部分网络安全,关注 的是为在 Internet 上进行通信提供安全保障的协议和标准及无线网络安全等问题。每章都附有习题并介绍了相关阅读 材料,以便有兴趣的读者进一步钻研探索。
本书在保持前四版特色的同时,特别补充了计算机安全领域的新进展和新技术,以反映计算机安全领域新的发展 状况。本书可作为高等院校网络空间安全相关专业的本科生或研究生教材,也可供专业技术人员或学术研究人员阅读 参考。
|
關於作者: |
威廉 ?斯托林斯博士(Dr. William Stallings)已撰写著作 18 部,包含这些著作的修订版在 内,已出版 70 多本有关计算机安全方面的书籍。他的作品出现在很多 ACM 和 IEEE 的系列出 版物中,包括电气与电子工程师协会会报(Proceedings of the IEEE)和 ACM 计算评论(ACM Computing Reviews)。他曾 13 次获得教材和学术专著作者协会(Text and Academic Authors Association)颁发的年度最佳计算机科学教材的奖项。
劳里 ? 布朗博士(Dr. Lawrie Brown)是澳大利亚国防大学(Australian Defence Force Academy ,UNSW@ADFA)信息技术与电子工程学院的一名高级讲师。
他的专业兴趣涉及通信和计算机系统安全及密码学,包括研究伪匿名认证、身份认证和 Web 环境下的可信及安全、使用函数式编程语言 Erlang 设计安全的远端代码执行环境,以及 LOKI 族分组密码的设计与实现。
贾春福,南开大学网络空间安全学院教授、博士生导师,信息安全系主任,天津市网络与数据安全重点实验室主任。研究领域包括网络安全、软件安全与恶意代码分析、密码学及应用等。承担973计划、863计划、重点研发、国家攀登计划和国家自然科学基金项目等近20项;发表论文120余篇(顶会顶刊论文20余篇);获天津市自然科学二等奖和科技进步奖各1项。2019年获全国网络安全优秀教师奖; 2021年入选“高校计算机专业优秀教师奖励计划”;2022年荣获宝钢优秀教师奖;2023年获“天津科普大使”称号。
|
目錄:
|
第1章 概述 1
1.1 计算机安全的概念 2
1.2 威胁、攻击和资产 7
1.3 安全功能要求 12
1.4 基本安全设计原则 13
1.5 攻击面和攻击树 16
1.6 计算机安全策略 19
1.7 标准 20
1.8 关键术语、复习题和习题 21
第一部分 计算机安全技术与原理
第2章 密码编码工具 24
2.1 用对称加密实现机密性 25
2.2 消息认证和哈希函数 30
2.3 公钥加密 36
2.4 数字签名和密钥管理 39
2.5 随机数和伪随机数 43
2.6 实际应用:存储数据的加密 45
2.7 关键术语、复习题和习题 46
第3章 用户认证 50
3.1 数字用户认证方法 51
3.2 基于口令的认证 55
3.3 基于令牌的认证 64
3.4 生物特征认证 71
3.5 远程用户认证 75
3.6 用户认证中的安全问题 77
3.7 实际应用:虹膜生物特征认证系统 79
3.8 案例学习:ATM系统的安全问题 80
3.9 关键术语、复习题和习题 83
第4章 访问控制 85
4.1 访问控制原理 87
4.2 主体、客体和访问权 89
4.3 自主访问控制 90
4.4 实例:UNIX文件访问控制 95
4.5 强制访问控制 97
4.6 基于角色的访问控制 99
4.7 基于属性的访问控制 104
4.8 身份、凭证和访问管理 108
4.9 信任框架 111
4.10 案例学习:银行的RBAC系统 114
4.11 关键术语、复习题和习题 116
第5章 数据库与数据中心安全 120
5.1 数据库安全需求 121
5.2 数据库管理系统 122
5.3 关系数据库 123
5.4 SQL注入攻击 127
5.5 数据库访问控制 131
5.6 推理 135
5.7 数据库加密 137
5.8 数据中心安全 140
5.9 关键术语、复习题和习题 144
第6章 恶意软件 149
6.1 恶意软件的类型 150
6.2 高级持续性威胁 152
6.3 传播-感染内容-病毒 153
6.4 传播-漏洞利用-蠕虫 157
6.5 传播-社会工程学-垃圾电子邮件、木马 165
6.6 载荷-系统损坏 167
6.7 载荷-攻击代理-僵尸程序(zmobie,bots) 169
6.8 载荷-信息窃取-键盘记录器、网络钓鱼、间谍软件 170
6.9 载荷-隐蔽-后门、rootkit 172
6.10 对抗手段 175
6.11 关键术语、复习题和习题 180
第7章 拒绝服务攻击 184
7.1 拒绝服务攻击 185
7.2 洪泛攻击 191
7.3 分布式拒绝服务攻击 193
7.4 基于应用程序的带宽攻击 194
7.5 反射攻击与放大攻击 196
7.6 拒绝服务攻击防范 201
7.7 对拒绝服务攻击的响应 203
7.8 关键术语、复习题和习题 204
第8章 入侵检测 207
8.1 入侵者 208
8.2 入侵检测 213
8.3 分析方法 215
8.4 基于主机的入侵检测 217
8.5 基于网络的入侵检测 221
8.6 分布式或混合式入侵检测 226
8.7 入侵检测交换格式 228
8.8 蜜罐 229
8.9 实例系统:Snort 231
8.10 关键术语、复习题和习题 235
第9章 防火墙与入侵防御系统 238
9.1 防火墙的必要性 239
9.2 防火墙的特征和访问策略 240
9.3 防火墙的类型 241
9.4 防火墙的布置 246
9.5 防火墙的部署和配置 249
9.6 入侵防御系统 253
9.7 实例:一体化威胁管理产品 256
9.8 关键术语、复习题和习题 260
第二部分 软件和系统安全
第10章 缓冲区溢出 266
10.1 栈溢出 268
10.2 针对缓冲区溢出的防御 286
10.3 其他形式的溢出攻击 290
10.4 关键术语、复习题和习题 296
第11章 软件安全 298
11.1 软件安全问题 299
11.2 处理程序输入 303
11.3 编写安全程序代码 312
11.4 与操作系统和其他程序进行交互 316
11.5 处理程序输出 326
11.6 关键术语、复习题和习题 327
第12章 操作系统安全 330
12.1 操作系统安全简介 332
12.2 系统安全规划 332
12.3 操作系统加固 333
12.4 应用安全 336
12.5 安全维护 337
12.6 Linux/UNIX安全 338
12.7 Windows安全 341
12.8 虚拟化安全 343
12.9 可信的计算机系统 349
12.10 可信平台模块 351
12.11 关键术语、复习题和习题 355
第13章 云和IoT安全 357
13.1 云计算 358
13.2 云安全的概念 364
13.3 云安全方法 367
13.4 物联网(IoT) 373
13.5 IoT安全 376
13.6 关键术语与复习题 382
第三部分 管理问题
第14章 IT安全管理与风险评估 386
14.1 IT安全管理 387
14.2 组织的情境和安全策略 390
14.3 安全风险评估 392
14.4 详细的安全风险分析 394
14.5 案例学习:银星矿业 403
14.6 关键术语、复习题和习题 406
第15章 IT安全控制、计划和规程 408
15.1 IT安全管理的实施 409
15.2 安全控制或保障措施 409
15.3 IT安全计划 416
15.4 控制的实施 417
15.5 监控风险 418
15.6 案例分析:银星矿业 420
15.7 关键术语、复习题和习题 422
第16章 物理和基础设施安全 424
16.1 概述 425
16.2 物理安全威胁 426
16.3 物理安全的防御和减缓措施 431
16.4 物理安全破坏的恢复 434
16.5 实例:某公司的物理安全策略 434
16.6 物理安全和逻辑安全的集成 434
16.7 关键术语、复习题和习题 440
第17章 人力资源安全 442
17.1 安全意识、培训和教育 443
17.2 雇用实践和策略 448
17.3 可接受的使用策略 452
17.4 计算机安全事件响应团队 453
17.5 关键术语、复习题和习题 458
第18章 安全审计 460
18.1 安全审计体系结构 461
18.2 安全审计迹 465
18.3 实现日志功能 469
18.4 审计迹分析 479
18.5 安全信息和事件管理 482
18.6 关键术语、复习题和习题 483
第19章 法律与道德问题 485
19.1 网络犯罪与计算机犯罪 486
19.2 知识产权 489
19.3 隐私权 494
19.4 道德问题 499
19.5 关键术语、复习题和习题 505
第四部分 密码算法
第20章 对称加密和消息机密性 510
20.1 对称加密原理 511
20.2 数据加密标准 515
20.3 高级加密标准 516
20.4 流密码和RC4 522
20.5 分组密码的工作模式 525
20.6 密钥分发 530
20.7 关键术语、复习题和习题 531
第21章 公钥密码和消息认证 535
21.1 安全哈希函数 536
21.2 HMAC 541
21.3 认证加密 543
21.4 RSA公钥加密算法 546
21.5 Diffie-Hellman和其他非对称算法 551
21.6 关键术语、复习题和习题 555
第五部分 网络安全
第22章 Internet安全协议和标准 560
22.1 安全E-mail和S/MIME 561
22.2 域名密钥识别邮件标准 564
22.3 安全套接层和传输层安全 567
22.4 HTTPS 572
22.5 IPv4和IPv6的安全性 574
22.6 关键术语、复习题和习题 578
第23章 Internet 认证应用 581
23.1 Kerberos 582
23.2 X.509 587
23.3 公钥基础设施 589
23.4 关键术语、复习题和习题 591
第24章 无线网络安全 594
24.1 无线安全 595
24.2 移动设备安全 597
24.3 IEEE 802.11无线局域网概述 600
24.4 IEEE 802.11i无线局域网安全 605
24.5 关键术语、复习题和习题 616
缩略词 619
NIST和ISO文件清单 621
附录A 计算机安全教学项目和其他学生练习 625
A.1 黑客项目 626
A.2 实验室练习项目 627
A.3 安全教育(SEED)项目 627
A.4 研究项目 628
A.5 编程项目 629
A.6 实际的安全评估 629
A.7 防火墙项目 630
A.8 案例分析 630
A.9 阅读/报告作业 630
A.10 写作作业 630
|
內容試閱:
|
第五版新增内容
自本书第四版出版以来,计算机安全领域的知识又持续性地出现了一些发展和创新。在新的版本中,我们试图捕获和展现这些新的发展和创新,同时,保持对整个领域的广泛和全面的覆盖。第五版进行了大量改进,使其更加适用于教学并易于阅读。同时,我们也更新了参考资料,引入了最新的安全事件。此外,还有一些更实质性的改动贯穿全书。以下是其中一些最明显的修订。
多因素身份认证和移动身份认证(multi-factor authentication and mobile authentication):第3章新增了多因素身份认证(multi-factor authentication,MFA)的相关内容。新增内容要求用户提供两个或更多的证据(或因素)来验证他们的身份。这种方法越来越多地被应用于解决仅使用口令进行身份验证的已知问题,通常涉及使用硬件身份验证令牌、通过短信(SMS)或移动设备上的身份验证应用程序来实现。
强制访问控制(mandatory access control,MAC):第4章包含一些有关强制访问控制的修订内容,这些内容曾在在线版的第27章中提及。近期发布的一些Linux、macOS和Windows系统已经将这些控制作为底层安全增强功能的一部分。
社会工程学和勒索软件攻击(social engineering and ransomware attacks):第6章和第8章更新了关于社会工程学及其在勒索软件攻击中的应用讨论。这反映了此类攻击事件发生率的不断提高以及开展防御的必要性。正如在第17章所讨论的,这些防御措施包括加强安全意识培训。
供应链和商业电子邮件攻击(supply-chain and business email compromise attacks):第8章增加了关于供应链和商业电子邮件攻击(business email compromise,BEC)的内容,其中包括最近的SolarWinds攻击。近年来,许多商业和政府组织都受到了此类攻击的威胁。
更新最危险软件错误列表(updated list of the most dangerous software errors):第11章提供了最新的25个最危险软件错误列表。同时,本章还讨论了最近被广泛利用的针对Apache Log4j包的代码注入攻击。
更新基本控制列表(updated list of essential controls):第12章更新了基本控制列表,包括澳大利亚信号局的“基本八项”。所有组织都应采用这些策略来提高其操作系统的安全性。
可信计算机系统(trusted computer systems):第12章包含一些关于可信计算机系统的修订讨论,这些讨论曾在在线版的第27章中提及,与某些政府组织中使用的安全系统相关。
更新安全控制列表(updated list of security controls):第15章大幅度更新了NIST安全控制列表,在解决组织中已识别的安全风险时应考虑这些安全控制。
安全意识和培训(security awareness and training):第17章包含对人员安全意识和培训的大幅修订。鉴于由故意或意外的人员行为导致的安全事件不断增加,本章内容尤为重要。
欧盟通用数据保护条例(European Union General Data Protection Regulation):第19章新增了一节,介绍欧盟2016年颁布的通用数据保护条例。该条例实际上是全球个人数据保护、收集、访问和使用的标准。
ChaCha20流密码(the ChaCha20 stream cipher):第20章新增了一节,详细介绍ChaCha20流密码,替代了现已废弃的RC4密码的相关内容。
伽罗瓦计数器模式(Galois counter mode):附录E对用于分组密码的新型伽罗瓦计数器认证加密模式进行详细介绍。
背景
近几年,人们在高等教育中对计算机安全及相关主题的关注程度与日俱增。导致这一状况的因素很多,其中两个突出的因素是:
(1)由于信息系统、数据库和基于Internet的分布式系统与通信已经广泛应用于商业领域,再加上愈演愈烈的各种与安全相关的攻击,各类组织机构现在开始意识到必须拥有一个全面的信息安全策略。这个策略包括使用特定的硬件与软件和训练专业人员等。
(2)计算机安全教育,也就是通常所说的信息安全教育(information security education)或者信息保障教育(information assurance education)。由于与国防和国土安全密切相关,在美国和其他许多国家,计算机安全教育已经成为一个国家目标。许多组织,如信息系统安全教育委员会(the Colloquium for Information System Security Education)和国家安全局(the National Security Agency’s,NSA’s)的信息保障课件评估组织(Information Assurance Courseware Evaluation (IACE) Program),以政府的身份领导着计算机安全教育标准的制定。
由此可预见,关于计算机安全的课程在未来的大学、社区学院和其他与计算机安全及相关领域相关的教育机构中会越来越多。
目标
本书的目标是概览计算机安全领域的最新发展状况。计算机安全设计者和安全管理者面临的核心问题主要包括定义计算机和网络系统面临的威胁、评估这些威胁可能导致的风险,以及制定应对这些威胁的恰当的、便于使用的策略。
本书将就以下主题展开论述。
原理(principles):虽然本书涉及的范围很广,但有一些基本原理会以主题的形式重复出现在一些领域并与相应的领域统一成一体,如有关认证和访问控制的原理。本书重点介绍了这些原理并且探讨了其在计算机安全一些特殊领域的应用。
设计方法(design approaches):本书探讨了多种满足特定计算机安全需求的方法。
标准(standards):在计算机安全领域,标准将越来越重要,甚至会处于主导地位。要想对某项技术当前的状况和未来的发展趋势有正确的认识,需要充分讨论与其相关的标准。
现实的实例(real-world examples):本书的许多章中都包含一些这样的小节,专门用来展示相关原理在现实环境中的应用情况。
支持ACM/IEEE网络安全课程体系2017
本书兼顾学术研究人员和专业技术人员等读者群。作为教科书,本书面向的对象主要是计算机科学、计算机工程和电子工程专业的本科生,授课时间可以是一个学期,也可以是两个学期。本书第五版的设计目标是支持ACM/IEEE网络安全课程2017(CSEC 2017)推荐的内容。CSEC 2017课程推荐的内容包含8个知识领域,如表0-1所示。本书还提出了6个跨学科概念,旨在帮助学生探索知识领域之间的联系,这对于他们理解这些知识领域非常重要,且不受底层计算学科的限制。这些概念将在第1章详细介绍,具体如下。
机密性(confidentiality):限制对系统数据和信息的访问权限,仅授权人员可访问。
完整性(integrity):确保数据和信息是准确和可信的。
可用性(availability):数据、信息和系统均可访问。
风险(risk):潜在的收益或损失。
敌手思维(adversarial thinking):一种考虑敌手力量的潜在行动来对抗预期结果的思维过程。
系统思维(systems thinking):一种考虑社会和技术约束之间相互作用,以实现可靠运作的思维过程。
表0-1 本书覆盖CSEC 2017 网络安全课程情况
知识单元 要素 本书覆盖情况
数据安全 基础密码学概念
数字取证
端到端安全通信
数据完整性和认证
信息存储安全 第一部分 计算机安全技术与原理
第三部分 管理问题
第四部分 密码算法
第五部分 网络安全
软件安全 基础设计原则,包括最小特权、开放式设计和抽象化
安全需求和设计角色
实现问题
静态和动态测试
配置和修补程序
道德,特别是在开发、测试和漏洞披露方面 第1章 概述
第二部分 软件和系统安全
第19章 法律与道德问题
组件安全 系统组件漏洞
组件生命周期
安全组件设计原则
供应链管理安全
安全测试
逆向工程 第1章 概述
第8章 入侵检测
第10章 缓冲区溢出
第11章 软件安全
连接安全 系统、架构、模型和标准
物理组件接口
软件组件接口
连接攻击
传输攻击 第五部分 网络安全
第8章 入侵检测
第9章 防火墙与入侵防护系统
第13章 云和IoT安全
系统安全 整体分析
安全政策
认证
访问控制
监控
恢复
测试
文档 第1章 概述
第3章 用户认证
第4章 访问控制
第14章 IT安全管理与风险评估
第15章 IT安全控制、计划和规程
人员安全 身份管理
社会工程学
意识和理解
社会行为隐私和安全
个人数据隐私和安全 第3章 用户认证
第4章 访问控制
第17章 人力资源安全
第19章 法律与道德问题
组织安全 风险管理
治理和政策
法律,道德和合规性
战略与规划 第14章 IT安全管理与风险评估
第15章 IT安全控制、计划和规程
第17章 人力资源安全
第19章 法律与道德问题
社会安全 网络犯罪
网络法规
网络道德
网络政策
隐私 第8章 入侵检测
第19章 法律与道德问题
覆盖CISSP科目领域情况
本书涵盖了注册信息系统安全师(CISSP)认证所规定的所有科目领域。国际信息系统安全认证协会(ISC)2所设立的CISSP认证被认为是信息安全领域认证中的“黄金准则”,是安全产业唯一被广泛认可的认证。包括美国国防部和许多金融机构在内的组织机构,都要求其网络安全部门的人员具有CISSP认证资格。2004年,CISSP成为首个获取ISO/IEC 17024(经营人员认证机构的一般要求(general requirements for bodies operating certification of persons))官方认证的信息技术项目。
CISSP考试基于公共知识体系(CBK),信息安全实践大纲由国际信息系统安全认证协会(ISC)2开发和维护,这是一个非营利的组织。CBK确定了组成CISSP认证要求的知识体系的8个领域。
这8个知识域如下,且均包含在本书中。
安全和风险管理:机密性、完整性和可用性概念,安全管理原则,风险管理,合规性,法律和法规问题,职业道德,安全策略、标准、规程和指南。(第14章。)
资产安全:信息和资产分类、所有权(如数据所有者、系统所有者)、隐私保护、适当存留、数据安全控制、处置要求(如标记、标注和存储)。(第5、15、16、19章。)
安全架构和工程:工程过程使用安全设计原则,安全模型,安全评估模型,信息系统安全功能,安全架构、设计和解决方案元素漏洞,基于Web的系统漏洞,移动系统漏洞,嵌入式设备和网络物理系统漏洞,密码学,场地和设施设计的安全原则,物理安全。(第1、2、13、15、16章。)
通信和网络安全:安全网络架构设计(如IP和非IP协议、分段)、安全网络组件、安全通信信道、网络攻击。(第五部分)
身份和访问管理:物理和逻辑资产控制、人和设备的身份认证、身份即服务(如云身份)、第三方身份服务(如本地服务)、访问控制攻击、身份和访问配置生命周期(如配置审查)。(第3、4、8、9章。)
安全评估与测试:评估与测试策略、安全过程数据(如管理和运行控制)、安全控制测试、测试输出(如自动化方式、手工方式)、安全架构漏洞。(第14、15、18章。)
安全运营:调查支持和需求、日志和监视活动、资源配置、基本安全操作概念、资源保护技术、事故管理、预防法、补丁和漏洞管理、变更管理过程、恢复策略、灾难恢复过程和计划、业务连续性计划和演练、物理安全、个人安全问题。(第11、12、15、16、17章。)
软件开发安全:软件开发生命周期中的安全、开发环境安全控制、软件安全有效性、获取软件安全影响。(第二部分。)
支持NCAE-C 认证
美国网络安全卓越学术中心 (the National Centers of Academic Excellence in Cybersecurity,NCAE-C) 项目由美国国家安全局(the National Security Agency)主导。该项目的合作伙伴包括网络安全和基础设施安全局(the Cybersecurity and Infrastructure Security Agency,CISA)及联邦调查局(the Federal Bureau of Investigation,FBI)。NCAE-C项目办公室与多个重要机构保持密切联系,包括美国国家标准与技术研究院(the National Institute of Standards and Technology,NIST)、美国国家自然科学基金会(the National Science Foundation,NSF)、国防部首席信息官办公室(the Department of Defense Office of the Chief Information Officer,DoD-CIO)和美国网络司令部(US Cyber Command,CYBERCOM)。该项目的目的是通过促进在网络防御领域高等教育和科研的发展,培养具备网络防御专业知识的专业人员,以扩大网络安全工作队伍,减少国家基础设施中的漏洞。该项目主要包含三个学术研究方向:网络防御、网络研究和网络运营。为了达到这个目的,美国国家安全局/国土安全部定义了一组知识单元,这些知识单元必须包含在课程体系中,才能被NCAC-C纳入。每一个知识单元都由要求涵盖的最基本的一些主题及一个或多个学习目标构成,是否纳入取决于是否具有一定数量的核心和可选知识单元。
在网络防御领域,2022年的基础知识单元(foundation knowledge units)如下:
网络安全基础(cybersecurity foundations):本单元旨在帮助学生理解网络安全背后的基础概念,包括攻击、防御和事件应答。
网络安全原则(cybersecurity principles):本单元旨在传授学生基本的安全设计基础知识,帮助其创建安全的系统。
IT系统组件(IT systems components):本单元旨在帮助学生了解IT系统中的硬件和软件组件及其在系统运行中的作用。
本书广泛涵盖以上这些基础领域。此外,本书还涉及许多技术、非技术及可选知识单元。
正文纲要
本书分为以下五个部分:
计算机安全技术与原理;
软件安全;
管理问题;
密码编码算法;
网络安全。
本书附有术语表、常用的缩略语表和参考文献列表,可以通过序言结尾处的二维码获取。此外,每章均包括习题、复习题和关键术语列表,以及进一步的阅读建议。
学生资源
在第五版中,大量面向学生的原始辅助材料都可以从网站pearsonhighered.com/stallings上获取。本书的配套网站位于Pearsonhighered.com/cs-resources(搜索stallings即可)。
配套网站提供的辅助材料如下:
课后问题及答案(homework problems and solutions):除了书中提供的课后问题,配套网站提供了更多的课后问题并配有答案。这便于学生检查自己对课本内容的理解情况,并进一步加深对这些知识的掌握。
辅助文件(support files):辅助文件包含提供了汇集众多颇具价值的论文及一份推荐阅读清单。
教师辅助材料
本书的主要目标是尽可能地为令人兴奋的、高速发展的信息安全学科提供一个有效的教学工具。这一目标不仅体现在内容组织结构上,也体现在教学辅助材料上。本书提供了以下几个补充资料以便教师组织教学。
项目手册(projects manual):项目手册包括文档和便于使用的软件,每类项目所推荐的项目任务也在后续的项目和其他学生练习小节中列出。
解决方案手册(solutions manual):每章章末的课后复习题和习题的答案或解决方案。
PPT 幻灯片(PowerPoint sliders):涵盖本书所有章节的幻灯片,适合在教学中使用。
PDF 文件(PDF files):包含本书中所有的图片和表格。
练习库(test bank):本书每章都有一组用于练习的题目。
所有的教辅材料都可以在本书的教师资源中心(instructor resource center,IRC)获得,可以通过出版商网站www.pearsonhighered.com获得。若想访问IRC,请通过http://www.pearson.com/us/contact-us/find-your-rep.html联系当地的培生(Pearson)出版公司或致电培生教师服务(Pearson Faculty Service)热线1-800-922-0579。
项目和其他学生练习
对于许多教师来说,计算机安全课程的一个重要组成部分是一个或一组项目。通过这些自己可以动手实践的项目,学生可以更好地理解从课本中学到的概念。本书提供的教师辅助材料不仅包括如何构思和指定这些项目,还包含不同项目类型及作业分配情况的用户手册。这些都是专门设计的。教师可以按照以下的领域分配工作。
黑客练习(hacking exercises):有两个项目可以帮助学生理解入侵检测和入侵防御。
实验室练习(laboratory exercises):一系列涉及编程和书中概念的训练项目。
安全教育项目(security education(SEED) projects):安全教育项目是一系列动手练习或实验,涵盖安全领域广泛的主题。
研究项目(research projects):一系列的研究型作业,引导学生就Internet的某个特定主题进行研究并撰写一份报告。
编程项目(programming projects):涵盖各类主题的一系列编程项目,这些项目都可以用任何语言在任何平台上实现。
实际的安全评估(practical security assessments):一组分析当前基础设施和现有机构安全性的实践活动。
防火墙项目(firewall projects):提供了一个轻便的网络防火墙可视化模拟程序,以及防火墙原理教学的相关练习。
案例分析(case studies):一系列现实生活中的案例,包括学习目标、案例简介和大量案例研讨问题。
阅读/报告作业(reading/report assignment):一组论文清单,可以分配给学生阅读,要求学生阅读后撰写相应的研究报告;此外还有与教师布置作业相关的内容。
写作作业(writing assignment):一系列写作方面的练习,用于促进对知识内容的理解。
这一整套不同的项目和练习是使用本书的教师丰富学习资源的一部分,而且从这些项目和练习出发,可以方便地根据实际情况制订不同的教学计划,以满足不同教师和学生的特殊需求。更为详细的内容请参见附录A。
|
|