信息安全工程：抵御恶意攻击的策略与技术

"《信息安全工程（第2版）》是一本深入探讨信息安全工程领域的经典教材，作者通过详尽的分析和实例，引导读者理解并构建能够抵御恶意攻击的可靠系统。书中涵盖了工程技术基础、攻击类型、专用保护机制、安全经济学和安全心理学等多个方面的内容，适合对信息安全感兴趣的读者学习。" 在第一部分，书中介绍了安全工程的基本概念和框架，并通过四个不同的实例（银行、军事基地、医院和家庭）来阐述安全工程在不同场景中的应用。作者定义了安全工程的核心，并强调了理解安全威胁和防护策略的重要性。 第二章主要讨论了可用性和心理学在安全工程中的作用。章节中特别提到了基于心理学的攻击，如假托和钓鱼攻击，分析了人脑在处理信息时的弱点，如认知偏差和行为经济学的影响。此外，还深入探讨了密码学，包括密码选取、记忆、输入和管理的问题，以及如何防范社会工程攻击和钓鱼攻击。 第三章围绕协议安全展开，解释了密码窃听风险、简单身份验证方法及其可能的攻击，如中间人攻击和反射攻击。同时，章节介绍了加密密钥管理的各种策略，如Needham-Schroeder协议和Kerberos，并讨论了形式化协议认证的方法和局限性。 第四章聚焦访问控制，分析了操作系统中的访问控制机制，如Unix、Apple OS/X和Windows的安全特性。章节还涉及硬件保护，如Intel和ARM处理器的可信计算功能，以及安全处理器在访问控制中的作用。作者还指出了一些常见的安全问题，如堆栈破坏等漏洞。 该书全面覆盖了信息安全的多个层面，不仅提供理论知识，还包含实际案例，对于理解信息安全挑战和构建安全系统具有极高的参考价值。通过阅读此书，读者可以提升对安全威胁的理解，学习到防范措施，以应对不断演变的信息安全威胁。