活動訊息
想知道金石堂電子書怎麼用?無論通勤或在家,電腦或手機都能看,輕鬆運用零碎時間,讓閱讀更融入生活。
全館滿$1,200送150點金幣,4月歡慶兒童節,童書、玩具、文具滿1000元再送200點金幣!
內容簡介
• 國內外知名網站遭到駭客入侵的消息時有所聞,駭客如何進行攻擊?系統又該如何與駭客對抗? 這些都需要有基本的認識,才能保護資訊系統安全性。
• 全書內容將資訊系統常見的弱點進行介紹,透過精心設計的圖解,搭配深入淺出的說明方式,不僅可了解駭客攻擊手法,也能從中學習正確的防禦手法,避免開發實作上常犯的疏失。
• 資訊系統安全的重要性不言而喻,並不是系統開發人員才需要學習的知識,只要是資訊系統使用者,都需具備一定的資訊安全常識,才能避免產生不良的操作行為。本書作者將長年的實務經驗進行分享,目的是讓讀者對資訊系統的安全控制措施有所認識,了解其背後原理及實作,減少資安事件發生的機會。
• 全書內容將資訊系統常見的弱點進行介紹,透過精心設計的圖解,搭配深入淺出的說明方式,不僅可了解駭客攻擊手法,也能從中學習正確的防禦手法,避免開發實作上常犯的疏失。
• 資訊系統安全的重要性不言而喻,並不是系統開發人員才需要學習的知識,只要是資訊系統使用者,都需具備一定的資訊安全常識,才能避免產生不良的操作行為。本書作者將長年的實務經驗進行分享,目的是讓讀者對資訊系統的安全控制措施有所認識,了解其背後原理及實作,減少資安事件發生的機會。
目錄
資訊系統概論
Unit 1.1 資訊系統簡介
Unit 1.2 資訊系統架構
Unit 1.3 系統開發生命週期(SDLC)
Unit 1.4 安全系統開發生命週期(SSDLC)
Unit 1.5 本章總結
資訊安全概論
Unit 2.1 資訊安全三要素
Unit 2.2 資訊安全風險
Unit 2.3 網路安全防禦
Unit 2.4 駭客攻擊
Unit 2.5 進階持續性滲透攻擊
Unit 2.6 阻斷服務攻擊
Unit 2.7 殭屍網路
Unit 2.8 零時差攻擊
Unit 2.9 社交工程
Unit 2.10 本章總結
加密機制
Unit 3.1 加密基本原理
Unit 3.2 應用程式加密
Unit 3.3 應用程式加密範例
Unit 3.4 透明資料加密
Unit 3.5 資料行加密
Unit 3.6 HTTPS傳輸加密
Unit 3.7 HTTPS傳輸加密實作
Unit 3.8 SSH
Unit 3.9 本章總結
身分驗證機制
Unit 4.1 密碼竊取
Unit 4.2 密碼破解
Unit 4.3 密碼最小長度
Unit 4.4 密碼組成複雜度
Unit 4.5 密碼歷程記錄
Unit 4.6 密碼使用效期
Unit 4.7 帳戶鎖定原則
Unit 4.8 CAPTCHA
Unit 4.9 如何處理忘記密碼
Unit 4.10 以雜湊儲存密碼
Unit 4.11 彩虹表攻擊法
Unit 4.12 以雜湊加鹽儲存密碼
Unit 4.13 身分驗證因子
Unit 4.14 單一登入
Unit 4.15 本章總結
授權與存取控制
Unit 5.1 授權原則
Unit 5.2 存取控制
Unit 5.3 權限提升
Unit 5.4 存取控制設計缺陷
Unit 5.5 存取控制設計缺陷(續)
Unit 5.6 本章總結
會談管理
Unit 6.1 什麼是會談
Unit 6.2 什麼是Cookie
Unit 6.3 會談劫持攻擊(上)
Unit 6.4 會談劫持攻擊(下)
Unit 6.5 如何防禦會談劫持
Unit 6.6 會談固定攻擊與防禦
Unit 6.7 本章總結
安全組態設定
Unit 7.1 移除預設帳號密碼
Unit 7.2 禁止顯示站台目錄列表
Unit 7.3 使用客制化錯誤頁面
Unit 7.4 修補元件安全弱點
Unit 7.5 本章總結
Web應用程式常見弱點
Uni 8.1 OWASP Top 10
Unit 8.2 CWE Top 25
Unit 8.3 比較OWASP Top 10與CWE Top 25
Unit 8.4 注入攻擊
Unit 8.5 SQL注入
Unit 8.6 命令注入
Unit 8.7 跨網站指令碼(XSS)
Unit 8.8 XSS防禦方法
Unit 8.9 XML外部實體(XXE)
Unit 8.10 不安全的還原序列化
Unit 8.11 跨站請求偽造(CSRF)
Unit 8.12 本章總結
系統日誌
Unit 9.1 Windows事件檢視器
Unit 9.2 日誌內容
Unit 9.3 日誌格式
Unit 9.4 日誌的保護
Unit 9.5 本章總結
監控作業
Unit 10.1 資訊安全監控中心
Unit 10.2 SOC建置方式
Unit 10.3 SOC服務內容
Unit 10.4 SOC服務內容(續)
Unit 10.5 本章總結
安全測試
Unit 11.1 原始碼分析
Unit 11.2 原始碼分析工具—SpotBugs
Unit 11.3 弱點掃描
Unit 11.4 弱點掃描工具介紹—MBSA
Unit 11.5 弱點掃描工具介紹—OWASP ZAP
Unit 11.6 滲透測試
Unit 11.7 滲透測試─需求確認
Unit 11.8 滲透測試─資料蒐集
Unit 11.9 滲透測試─弱點掃描
Unit 11.10 滲透測試─弱點利用
Unit 11.11 滲透測試─報告撰寫
Unit 11.12 本章總結
Unit 1.1 資訊系統簡介
Unit 1.2 資訊系統架構
Unit 1.3 系統開發生命週期(SDLC)
Unit 1.4 安全系統開發生命週期(SSDLC)
Unit 1.5 本章總結
資訊安全概論
Unit 2.1 資訊安全三要素
Unit 2.2 資訊安全風險
Unit 2.3 網路安全防禦
Unit 2.4 駭客攻擊
Unit 2.5 進階持續性滲透攻擊
Unit 2.6 阻斷服務攻擊
Unit 2.7 殭屍網路
Unit 2.8 零時差攻擊
Unit 2.9 社交工程
Unit 2.10 本章總結
加密機制
Unit 3.1 加密基本原理
Unit 3.2 應用程式加密
Unit 3.3 應用程式加密範例
Unit 3.4 透明資料加密
Unit 3.5 資料行加密
Unit 3.6 HTTPS傳輸加密
Unit 3.7 HTTPS傳輸加密實作
Unit 3.8 SSH
Unit 3.9 本章總結
身分驗證機制
Unit 4.1 密碼竊取
Unit 4.2 密碼破解
Unit 4.3 密碼最小長度
Unit 4.4 密碼組成複雜度
Unit 4.5 密碼歷程記錄
Unit 4.6 密碼使用效期
Unit 4.7 帳戶鎖定原則
Unit 4.8 CAPTCHA
Unit 4.9 如何處理忘記密碼
Unit 4.10 以雜湊儲存密碼
Unit 4.11 彩虹表攻擊法
Unit 4.12 以雜湊加鹽儲存密碼
Unit 4.13 身分驗證因子
Unit 4.14 單一登入
Unit 4.15 本章總結
授權與存取控制
Unit 5.1 授權原則
Unit 5.2 存取控制
Unit 5.3 權限提升
Unit 5.4 存取控制設計缺陷
Unit 5.5 存取控制設計缺陷(續)
Unit 5.6 本章總結
會談管理
Unit 6.1 什麼是會談
Unit 6.2 什麼是Cookie
Unit 6.3 會談劫持攻擊(上)
Unit 6.4 會談劫持攻擊(下)
Unit 6.5 如何防禦會談劫持
Unit 6.6 會談固定攻擊與防禦
Unit 6.7 本章總結
安全組態設定
Unit 7.1 移除預設帳號密碼
Unit 7.2 禁止顯示站台目錄列表
Unit 7.3 使用客制化錯誤頁面
Unit 7.4 修補元件安全弱點
Unit 7.5 本章總結
Web應用程式常見弱點
Uni 8.1 OWASP Top 10
Unit 8.2 CWE Top 25
Unit 8.3 比較OWASP Top 10與CWE Top 25
Unit 8.4 注入攻擊
Unit 8.5 SQL注入
Unit 8.6 命令注入
Unit 8.7 跨網站指令碼(XSS)
Unit 8.8 XSS防禦方法
Unit 8.9 XML外部實體(XXE)
Unit 8.10 不安全的還原序列化
Unit 8.11 跨站請求偽造(CSRF)
Unit 8.12 本章總結
系統日誌
Unit 9.1 Windows事件檢視器
Unit 9.2 日誌內容
Unit 9.3 日誌格式
Unit 9.4 日誌的保護
Unit 9.5 本章總結
監控作業
Unit 10.1 資訊安全監控中心
Unit 10.2 SOC建置方式
Unit 10.3 SOC服務內容
Unit 10.4 SOC服務內容(續)
Unit 10.5 本章總結
安全測試
Unit 11.1 原始碼分析
Unit 11.2 原始碼分析工具—SpotBugs
Unit 11.3 弱點掃描
Unit 11.4 弱點掃描工具介紹—MBSA
Unit 11.5 弱點掃描工具介紹—OWASP ZAP
Unit 11.6 滲透測試
Unit 11.7 滲透測試─需求確認
Unit 11.8 滲透測試─資料蒐集
Unit 11.9 滲透測試─弱點掃描
Unit 11.10 滲透測試─弱點利用
Unit 11.11 滲透測試─報告撰寫
Unit 11.12 本章總結
序/導讀
一本好的資訊安全學習書,應該要符合易懂、易學、好教等目的,除了說明原理亦需提供實務經驗才能發揮最大用途。筆者從事資訊系統開發已經超過十年的時間,長期致力於資訊系統安全開發教育訓練推廣,並完成多家政府機關資安稽核與輔導業務,有感於現有多數系統開發專案仍只專注在功能面的完善,卻輕忽系統本身的資安防護能力,亦少有適合初學者理解資訊系統安全原理的教學書籍,故興起了寫一本適合教學或自修的工具書,建議可用於大一的初階課程或非本科系學生的資安通識教育課程,對於資訊系統安全開發有興趣的讀者,亦能從中理解資訊系統安全原理,並了解相關實務重點。
本書一共分為十一單元,首先針對資訊系統與資訊安全進行概要介紹,後續說明資訊系統在開發過程中,如何確保機密性、完整性及可用性等資訊安全事項,如實作加密機制、身分驗證及存取控制等安全控制措施之重點事項及實務經驗,提供實作範例與圖解,讓讀者可快速理解重點內容,並未侷限特定的程式語言與開發框架,對於有志於從事Web資訊系統開發或安全檢測的讀者,這本是您不可錯過的參考用書。而對於不熟悉程式設計的讀者,亦能從中學習到系統安全的理論基礎。
最後,感謝五南圖書高主編的穿針引線,促成本書的誕生,也謝謝編輯同仁細心協助書稿後續的編排,並耐心等待筆者多次調修與更新,讓本書得以順利完成;期許本書能為有志於學習資訊系統安全的讀者開啟學習入門的管道,最後祝各位讀者
心想事成,學習順利!
本書一共分為十一單元,首先針對資訊系統與資訊安全進行概要介紹,後續說明資訊系統在開發過程中,如何確保機密性、完整性及可用性等資訊安全事項,如實作加密機制、身分驗證及存取控制等安全控制措施之重點事項及實務經驗,提供實作範例與圖解,讓讀者可快速理解重點內容,並未侷限特定的程式語言與開發框架,對於有志於從事Web資訊系統開發或安全檢測的讀者,這本是您不可錯過的參考用書。而對於不熟悉程式設計的讀者,亦能從中學習到系統安全的理論基礎。
最後,感謝五南圖書高主編的穿針引線,促成本書的誕生,也謝謝編輯同仁細心協助書稿後續的編排,並耐心等待筆者多次調修與更新,讓本書得以順利完成;期許本書能為有志於學習資訊系統安全的讀者開啟學習入門的管道,最後祝各位讀者
心想事成,學習順利!
訂購/退換貨須知
加入金石堂 LINE 官方帳號『完成綁定』,隨時掌握出貨動態:
提醒您!!
金石堂及銀行均不會請您操作ATM! 如接獲電話要求您前往ATM提款機,請不要聽從指示,以免受騙上當!
購買須知:
使用金石堂電子書服務即為同意金石堂電子書服務條款。
電子書分為「金石堂(線上閱讀+APP)」及「Readmoo(兌換碼)」兩種:
- 請至會員中心→電子書服務「我的e書櫃」領取複製『兌換碼』至電子書服務商Readmoo進行兌換。
退換貨須知:
- 因版權保護,您在金石堂所購買的電子書僅能以金石堂專屬的閱讀軟體開啟閱讀,無法以其他閱讀器或直接下載檔案。
- 依據「消費者保護法」第19條及行政院消費者保護處公告之「通訊交易解除權合理例外情事適用準則」,非以有形媒介提供之數位內容或一經提供即為完成之線上服務,經消費者事先同意始提供。(如:電子書、電子雜誌、下載版軟體、虛擬商品…等),不受「網購服務需提供七日鑑賞期」的限制。為維護您的權益,建議您先使用「試閱」功能後再付款購買。
商品評價