三十年来，O. Sami Saydjari先生一直是网络安全领域富有远见卓识的思想领袖，为DARPA(美国国防部高级研究计划局)、NSA(美国国家安全局)和NASA(美国国家航空航天局)等关键部门工作。

Sami已经发表了十多篇具有里程碑意义的安全论文，就网络安全政策为美国政府提供咨询，并通过CNN、PBS、ABC、《纽约时报》《金融时报》《华尔街日报》和《时代》杂志等主流媒体访谈提升大众的安全意识。

译 者 简 介

栾浩，获得美国天普大学IT审计与网络安全专业理学硕士学位，持有CISSP、CISA、CCSK、和TOGAF9等认证。现任CTO和CISO职务，负责金融科技研发、数据安全、云计算安全、区块链安全和风控审计等工作。担任(ISC)²上海分会理事。栾浩先生担任本书翻译工作的总技术负责人，负责统筹全书各项工作事务，并牵头负责第1~3章的翻译工作，以及全书的校对和定稿工作。

王向宇，获得安徽科技学院网络工程专业工学学士学位，持有CISP、CISP-A、CCSK和软件开发安全师等认证。现任京东集团企业信息化部高级安全工程师职务，负责安全事件处置与应急、数据安全治理、安全监控平台开发与运营、云平台安全和软件开发安全等工作。王向宇先生负责本书第11~12章的翻译工作，以及全书的校对和通稿工作，同时担任本书翻译团队的项目经理。

姚凯，获得中欧国际工商学院工商管理硕士学位，持有CISSP、CISA、CCSP、CSSLP和CEH等认证。现任欧喜投资(中国)有限公司IT总监职务，负责IT战略规划、策略流程制定、IT架构设计及应用部署、系统取证和应急响应、数据安全、灾难恢复演练及复盘等工作。姚凯先生承担本书前言、第21章、第24章的翻译工作和全书校对工作，并为本书撰写了译者序。

陈英杰，获得河北科技大学计算机科学与技术专业理学硕士学位，持有高级测评师和风险评估师等认证。现任河北翎贺计算机信息技术有限公司总经理职务，全面负责公司管理和安全技术工作。陈英杰女士承担本书部分章节的校对工作。

韩立平，获得华东交通大学会计学专业管理学学士学位，持有CPV、CISP-A和CPDA等认证。现任中天运(深圳)商业咨询有限公司董事长职务。韩立平先生负责审阅业务与架构治理的相关内容。

沈传宁，获得广西大学生产过程自动化专业工学学士学位，持有CISI、CISP等认证。现任国家网络空间安全人才培养基地副主任职务，负责国家信息安全水平考试(NISP)运营管理及知识体系建设等工作。沈传宁先生承担本书的部分校对工作。

方芳，获得北京邮电大学自动化专业工学硕士学位，持有CISSP等认证。现任民生银行规划管理架构师职务，负责信息科技战略规划与设计等工作。方芳女士承担第22章、第25章的翻译工作，以及本书部分章节的校对工作。

吕丽，获得吉林大学文秘专业文学学士学位，持有CISSP、CISA、CISM和CISP-PTE等认证。现任中银金融商务有限公司信息安全经理职务，负责信息科技风险管理、网络安全技术评估、信息安全体系制度管理、业务连续性及灾难恢复体系管理、安全合规与审计等工作。吕丽女士承担第23章的翻译工作，以及全书独立校对工作。

齐力群，获得北京联合大学机械设计及自动化专业工学学士学位，持有CISA、CIA和CISP-A等认证。现任北京永拓工程咨询股份有限公司CIO职务，负责内部IT管理、数据保护和信息技术风险管理等工作。担任2020年度北京软件造价评估技术创新联盟理事。齐力群先生承担全书校对工作。

李世武，获得河北工业大学应用数学专业理学硕士学位，持有CISI、CISP和CISAW等认证。现任石家庄学院计算机科学与工程学院信息安全教研室主任职务，负责石家庄学院信息安全专业教学工作。李世武先生承担本书部分章节的校对工作。

肖文棣，获得华中科技大学软件工程专业工程硕士学位，持有CISSP、AWS助理解决方案架构师和AWS安全专家等认证。现任晨星资讯(深圳)有限公司安全架构师职务，负责应用安全设计、管理和评审等工作。肖文棣先生承担第6~7章的翻译工作。

郑伟，获得华中科技大学计算机科学与技术专业工学学士学位，持有CISSP等认证。现任诺基亚通信无线产品安全负责人职务, 负责产品安全规划、需求分析、安全规范制定及漏洞管理等工作。郑伟先生承担第17章的翻译工作。

刘北水，获得西安电子科技大学通信与信息系统专业工学硕士学位，持有CISSP和CISP等认证，现任工业和信息化部电子第五研究所信息安全中心工程师职务，负责密码应用安全、电子政务信息安全等工作。刘北水先生承担第19~20章的翻译工作。

蒋颖睿，获得北京信息科技大学网络工程专业工学学士学位。现任信息安全工程师职务，负责公司的数据安全、数据核查审计和IT审计等工作。蒋颖睿女士承担前言、第2章和第18章的翻译工作。

朱建滨，获得河海大学地质工程专业工学学士学位，持有CISSP和PMP等认证。现任通力电梯集团中国区信息安全管理职务，负责信息安全治理、风险和合规、数据安全和隐私等工作。朱建滨先生承担第5章的翻译工作。

史坦晶，获得浙江大学港口与航道工程专业工学学士学位，持有CISA、ISO 27001LA和CCSK等认证。现任中交上海航道勘察设计研究院有限公司信息工程所副所长职务，负责公司IT架构、网络安全规划和运维以及IT技术研发等工作。史坦晶先生承担第13、14章的翻译工作。

高峰，获得悉尼科技大学通信工程专业工学硕士学位，持有CISSP和CISA等认证。现任可口可乐IT高级经理职务，负责大中华区企业基础架构、公有云、安全合规等工作。高峰先生承担第10章、第16章的翻译工作。

朱函，获得东南大学计算机技术工程领域专业工程硕士学位，持有CISSP和CISM等认证。现任江苏金智科技股份有限公司信息化部经理职务，负责信息安全规划、建设及运营等工作。朱函女士承担第8~9章的翻译工作。 

荣晓燕，获得北京理工大学软件工程专业工程硕士学位，持有CISSP、CISA、CISP和CZTP等认证。现任北京信息安全测评中心高级工程师职务，负责网络安全咨询工作。荣晓燕女士承担第4章的翻译工作。

赵晨曦，获得北京交通大学海滨学院软件工程专业工学学士学位，持有CDPSE、CISP、CISP-PTE和CZTP等认证。现任国家能源集团下属中能电力信息安全高级经理职务，负责数据治理、等级保护、攻防和零信任等方向研究工作。赵晨曦先生承担第15章的翻译工作。

赵一龙，获得北京科技大学计算机科学与技术专业工学学士学位，持有CISSP和CISP等认证。现任中安网脉(北京)技术股份有限公司方案中心解决方案专家职务，负责整体安全解决方案、安全架构与设计、数据安全咨询培训、安全建设督导等工作。赵一龙先生承担本书的部分校对工作。

刘玉霞，获得对外经济贸易大学金融学专业经济学硕士学位，持有中级会计师、中级经济师、银行从业资格和基金从业资格等认证。现任蒙商银行高级经理职务，负责科技外包风险管理、信息安全等工作。刘玉霞女士承担本书的部分校对工作。

曾大宁，获得南京航空航天大学飞行器环境控制与安全救生专业工学学士学位, 持有PMP、CCNP和RHCE等认证。现任新思半导体科技有限公司信息技术部经理职务，负责信息系统基础架构设计、云计算、网络通信和信息安全等工作。曾大宁先生负责本书的部分校对工作。

王文娟，获得中国防卫科技学院信息安全专业工学学士学位，持有CISA和CISP等认证。现就任于中体彩科技发展有限公司高级安全管理工程师职务，负责体育彩票信息系统网络安全管理体系治理、安全合规和等级保护等相关工作。王文娟女士承担本书的部分校对工作。

张士莹，获得中北大学网络工程专业工学学士学位，持有CISSP、CISP、CISM和Security+等认证。现任中核核信高级架构师职务，负责安全运营建设、应用系统安全建设和信息安全评估等工作。张士莹先生承担本书的部分校对工作。

吴茜，获得美国天普大学IT审计与网络安全专业理学硕士学位，持有ISO27001和Security+等认证。现任中国金融认证中心网络安全工程师职务，负责APP安全检测等工作。吴茜女士承担本书的部分校对工作。

王涛，获得新疆财经大学工商管理硕士学位，持有软件设计师、CISP等认证。现任交通银行新疆分行高级信息安全管理职务，负责信息安全管理、信息科技风险评估、漏洞检测扫描、漏洞修复方案制定、分行安全运营平台的运维、安全审计平台的管理与运维以及数据防泄露系统的管理与运维等工作。王涛女士承担本书的部分校对工作。

戴贇，获得上海大学通信工程专业工学学士学位，持有CCIE Security和CISSP等认证。现任迪卡侬中国网络安全技术负责人职务，负责网络及安全方案的设计、部署等工作。戴贇先生承担本书的部分校对工作。

杨志洪，获得上海外国语大学工商管理硕士学位，持有CDMP、PMP和OCM等认证。现任湘财证券规划控制部经理职务，负责信息技术规划和基础架构管理工作。杨志洪先生负责本书的部分校对工作。

蒋洪鸣，获得新加坡南洋理工大学电子电气工程专业工程学士学位，持有CISSP和CISA等认证，现任阿迪达斯亚太区信息安全总监职务，负责安全架构和安全管理工作。蒋洪鸣先生负责本书的部分校对工作。

李盼，获得北京国际商务学院计算机网络工程专业工学学士学位，持有CISP和CISAW等认证。现任河北翎贺计算机信息技术有限公司技术经理职务，负责攻防演习、渗透测试、应急响应、软件测试等安全服务工作。李盼先生负责本书部分章节的校对工作。

于新宇，获得上海交通大学密码学专业理学硕士学位，持有CISSP和CISA等认证。现任上海安几科技有限公司技术负责人职务，负责公司安全产品开发和运营等工作。于新宇先生承担本书的部分校对工作。

在本书翻译过程中，原文涉猎广泛，内容涉及诸多难点。(ISC)²上海分会的诸位安全专家给予了高效且专业的解答，这里衷心感谢(ISC)²上海分会理事会及分会会员的参与、支持和帮助。(ISC)²成立于1989年，是全球专业的网络、信息、软件与基础架构安全认证会员制非营利组织，是为信息安全专业人士职业生涯提供教育及认证服务的全球引领者。 (ISC)²在全球信息安全领域的公信力与美誉度无可比拟。 

上海分会是(ISC)²在中国的第一个分会组织，成立于2014年4月25日，秉承独立性、非盈利的特点，为信息安全专业人士打造一个互信、交流、合作的平台。分会宗旨：建立华东地区信息安全专业人脉圈，促进会员职业发展，推动企业信息安全水平的提升。

防御更复杂攻击的尖端网络安全解决方案

《网络安全设计权威指南》介绍如何在预算范围内按时设计和部署高度安全的系统，并列举综合性示例、目标和上佳实践。

本书列出恒久有效的工程原理，包括:

定义网络安全问题的基本性质和范围。

从基本视角思考攻击、故障以及攻击者的心态。

开发和实施基于系统、可缓解风险的解决方案。

遵循可靠的网络安全原理，设计有效的架构并制定评估策略，全面统筹应对整个复杂的攻击空间。

本书是网络安全领域的“圣经”，是我们应对国家安全面临的巨大威胁时的重要参考书籍。

——John M. Poindexter博士，美国海军退役中将、美国前国家安全顾问

阅读本书是一次绝对精彩的技术之旅！本书编排合理，是对如何设计和构建可信安全系统的全面思考和回顾，是作者数十年经验和思想的沉淀。Sami清楚地展示了包括图表以及外部参考文献在内的指导材料，还编写了详尽可用的摘要信息和供进一步思考的问题清单。本书可作为高级安全课程的教科书，也可作为安全专家的参考用书。Sami不仅描述了用于设计可信赖系统的各项技术，还分析了这些技术的缺点。Sami并没有试图“推销”任何特定方法，仅是做了客观的介绍和论述，将更大的思考空间留给了读者。

本书是我十多年来一直苦苦追寻的至宝，可用于我的高级信息安全课程体系的教学。本书在我的书架上占据一个显要位置，位于Ross Anderson的《安全工程》和Michael Howard的《编写安全代码》之间。如果你参与了设计或评价可信赖系统的任何工作，本书也应该放在你的书架上。

——Eugene Spafford，美国普渡大学计算机科学教授、CERIAS项目负责人

Sami Saydjari是当今网络安全的复兴者。Sami第一个认识到网络安全一旦失守，将带来与核战争类似的社会变化。Sami早期的坚忍不拔促成DARPA的第一项网络安全研究投资。本书是有关网络安全的权威教科书，将成为未来可信赖系统的指导基础。像达 • 芬奇那般耀目的才华一样，本书提供了有见地的哲学、深刻精辟的理解、实用的指南以及详尽的指导，可用于构建减轻网络安全威胁的未来系统！

——Marv Langston博士，网络安全技术顾问、前海军军官、DARPA办公室主任、美国海军首任CIO、美国国防部副CIO

Sami是安全领域杰出的专家之一，他奉献了这部安全领域优秀的作品。购买并阅读这本令人耳目一新的专业安全书籍应该是你的首要目标！对于希望全面了解网络安全领域的任何人士来说，本书绝对是上选的书籍。本书是一项令人印象深刻的重要成果，能够完整且准确地解决很多关键安全问题。

——Edward G. Amoroso博士，TAG Cyber的首席执行官、AT＆T前首席安全官

Sami Saydjari在其职业生涯中，经历了网络安全发展的大部分历程。本书是作者毕生心血和经验的结晶，内容全面，通俗易懂。值得注意的是，本书着重将“系统”作为一个整体通盘考虑而不仅是组件的集合，帮助读者掌握如何甄别信息及应对风险。我强烈建议那些正在构建未来关键网络基础架构中应用系统的人士，应尽快学习本书并合理运用相关技术。这些关键基础架构现已扩展到工厂、飞机、汽车和住宅。安全专家们只有吸取过去的经验教训，网络安全行业才有更加光明的未来。

——Carl Landwehr，IEEE研究员、美国国家网络安全名人堂成员

Sami撰写了一本权威、永恒且实用的网络安全指南书籍。本书的结构可用于帮助读者从广泛的领域获取知识，这些领域包括从战略、风险管理到以安全为核心的可信系统的技术设计概念。每章都以一组批判性思维的问题作为结尾。如果组织(企业或政府)能够采用审慎的态度正确回答这些问题，将极大加深组织在目标系统风险方面的理解。本书提醒我们，社会对信息技术的依赖日益增长，新技术正在给人类社会的日常生活带来更大风险。Sami提供了多种方法评估风险并诊断组织的优缺点，然后在考虑成本和对目标系统的影响基础上提出一种有效降低风险的周全方法。本书着重指出：目前敌对者的覆盖范围、速度和对脆弱性的了解超过了组织的防御能力；这就是组织必须学习如何投入资源来创建、设计和构建最值得信赖的系统的原因。组织未来的安全性取决于此。

——Melissa Hathaway，美国总统布什和奥巴马的网络顾问，现任Hathaway全球战略总裁

在本书中，Sami完美捕捉到网络战不对称的本质。本书帮助组织平衡安全竞争环境，迫使敌对者举步维艰。任何建立或运行安全测试团队的组织都必须阅读本书。专注于“攻击者”是一个错误，Sami解释了如何以及为什么需要将策略和战术人员召集在一起以期建立一支真正有效的测试团队。遵循本书中的经验，可将测试团队从黑客变为网络的保护者。

——Jim Carnes，国防部安全测试中心前主任

Sami Saydjari的新书展现了设计和构建安全计算机系统方面数十年的经验，极具价值。书中提及的安全系统设计风险管理方法别具一格，很值得一读。

——Steven B. Lipner，美国国家网络安全名人堂成员

本书首次汇集了网络安全设计工作的所有重要方面，包括网络安全整体观点、故障类型和影响以及风险缓解策略的全新思路。本书将成为网络安全新手和经验丰富的专业人士必不可少的参考书。Sami的思想和见解极为深刻，提供了经典安全架构和相关示例，即使是最困难的概念也讲得简明易懂。

——Tom Longstaff，Johns Hopkins大学工程学系计算机科学、网络安全和信息系统工程项目主席

作为严格的“第一性原则设计”的长期支持者，我以无限的热忱支持本书。网络安全从业人员、设计人员和研究人员都会发现，本书为其目标系统增添了不可估量的切实价值。本书涉及的深度和广度令我印象深刻。

——Roy Maxion博士，卡内基 • 梅隆大学计算机科学系研究教授

本书并非仅是安全领域的一本普通新作。本书的真正优势在于超越简单的恐怖袭击故事和空洞的阐述，直击破坏当前安全防御能力和策略的实际操作问题的核心。这样做是为了鼓励读者更审慎地思考在建立可持续的、可发展的和全面性的网络安全保护中普遍缺乏的战略设计和规划。在此将本书推荐给那些真正需要妥善防御网络安全风险的组织和人员。

——Kymie Tan，喷气推进实验室系统工程师

Sami Saydjari用全面且简明的方法解决网络安全问题，该方法借鉴了生物学和天文学等其他领域的示例，提高了透明度和目的性。本书适时推出，在Sami作为DARPA顶级网络安全专家之一的多年经验与我们日常生活中无处不在的技术之间达成平衡。本书文采飞扬，易于理解，即使你以前没有接受过任何计算机科学的正式培训，同样可从这本优秀书籍中汲取营养。

——Teri Shors，威斯康星大学奥什科什分校生物学系教授，《了解病毒》一书的作者

本书认可系统工程的必要性，使人们对网络安全有了全新认识。本书强调“网络安全对保障目标系统十分重要”，而IT安全人员常忽视这一点。

——Joe Weiss，PE、CISM、CRISC、ISA研究员、IEEE高级会员、ISA99董事总经理

目    录

 

第I部分  什么是真正的网络安全？

第1章  问题之所在   3

1.1  建立在信任基础上的安全设计   4

1.1.1  什么是信任？   4

1.1.2  信任与信心   5

1.1.3  工程   6

1.1.4  为什么需要信任？   6

1.2  运营视角：基本问题   6

1.2.1  组织是否受到攻击？   8

1.2.2  攻击的本质是什么？   9

1.2.3  到目前为止，攻击目标系统的影响是什么？   10

1.2.4  潜在的攻击目标系统影响是什么？   11

1.2.5  攻击是什么时候开始的？   11

1.2.6  谁在攻击？   12

1.2.7  攻击者的目标是什么？   12

1.2.8  攻击者的下一步行动是什么？   13

1.2.9  组织能做些什么？   13

1.2.10  组织的选择有哪些？每个安全选项的防御效果如何？   13

1.2.11  组织的缓解措施将如何影响业务运营？   14

1.2.12  组织今后该如何更好地保护自己？   14

1.3  网络空间效应的不对称性   14

1.3.1  维度   15

1.3.2  非线性   15

1.3.3  耦合   15

1.3.4  速度   16

1.3.5  表现形式   16

1.3.6  可检测性   16

1.4  网络安全解决方案   17

1.4.1  信息保障科学与工程   18

1.4.2  防御机制   18

1.4.3  网络传感器与漏洞利用   18

1.4.4  网络态势认知   19

1.4.5  网络驱动   19

1.4.6  网络指挥与控制   19

1.4.7  网络防御战略   20

1.5  预防和治疗的成本效益考虑   20

1.6  小结   20

1.7  问题   21

第2章  正确思考网络安全   23

2.1  关于风险   23

2.2  网络安全的权衡：性能和功能   24

2.2.1  用户友好度   25

2.2.2  上市时间   26

2.2.3  员工士气   26

2.2.4  商机流失   27

2.2.5  机会成本   27

2.2.6  服务或产品数量   27

2.2.7  服务或产品质量   28

2.2.8  服务或产品成本   29

2.2.9  有限的资源   29

2.3  安全理论来源于不安全理论   29

2.4  攻击者虎视眈眈，伺机而动   30

2.5  自上而下和自下而上   30

2.6  网络安全是现场演奏乐队，而不是录制仪器   31

2.7  小结   32

2.8  问题   32

第3章  价值和目标系统   33

第4章  危害：目标系统处于危险之中   45

第5章  抽象、模型和现实   57

第I I部分  攻击带来什么问题？

第6章  敌对者：了解组织的敌人   79

第7章  攻击森林   101

第II I 部分  缓解风险的构建块

第8章  安全对策：安全控制措施   115

第9章  可信赖的硬件：基石   137

第10章  密码术：锋利而脆弱的工具   147

第11章  身份验证   165

第12章  授权   173

第13章  检测基本原理   195

第14章  检测系统   205

第15章  检测策略   223

第16章  威慑和对抗性风险   237

16.1  威慑的要求   237

16.1.1  可靠的检测：暴露的风险   237

16.1.2  可靠地归属   238

16.1.3  有意义的后果   239

16.2  所有敌对者都有风险阈值   240

16.3  系统设计可改变敌对者的风险   240

16.3.1  检测概率   240

16.3.2  归属概率   241

16.3.3  让敌对者付出代价的能力和概率   241

16.3.4  报复能力和概率   241

16.3.5  喜欢冒险的程度   241

16.4  不确定性和欺骗   242

16.4.1  不确定性   242

16.4.2  欺骗   242

16.5  什么情况下检测和威慑无效   242

16.6  小结   244

16.7  问题   244

第IV部分  如何协调网络安全？

第17章  网络安全风险评估   249

17.1  定量风险评估实例   249

17.2  风险作为主要指标   250

17.3  为什么要度量？   250

17.3.1  特征化   251

17.3.2  评估   251

17.3.3  预测   252

17.3.4  改善   253

17.4  从攻击者的价值角度评估防御   253

17.5  风险评估和度量在设计中的作用   254

17.6  风险评估分析元素   255

17.6.1  开发目标系统模型   256

17.6.2  开发系统模型   256

17.6.3  开发敌对者模型   256

17.6.4  选择代表性的战略攻击目标   257

17.6.5  基于群体智慧估算危害   258

17.6.6  基于群体智慧估算概率   259

17.6.7  选择代表子集   260

17.6.8  开发深度攻击树   261

17.6.9  估算叶概率并计算根概率   262

17.6.10  细化基线预期危害   264

17.6.11  获取攻击序列割集=>风险来源   265

17.6.12  从攻击序列推断攻击缓解候选方案   266

17.7  攻击者成本和风险检测   267

17.7.1  资源   267

17.7.2  风险容忍度   267

17.8  小结   268

17.9  问题   268

第18章  风险缓解和优化   271

18.1  制定候选缓解方案   272

18.2  评估缓解方案的费用   274

18.2.1  直接成本   274

18.2.2  对目标系统的影响   275

18.3  重新估算叶概率并计算根概率   277

18.4  优化各种实际预算水平   279

18.4.1  背包算法   279

18.4.2  敏感性分析   282

18.5  决定投资   282

18.6  执行   283

18.7  小结   283

18.8  问题   284

第19章  工程基础   285

19.1  系统工程原理   285

19.1.1  墨菲定律   286

19.1.2  安全冗余   288

19.1.3  能量和风险守恒   289

19.1.4  KISS原则   290

19.1.5  开发流程   290

19.1.6  增量开发和敏捷开发   291

19.2  计算机科学原理   292

19.2.1  模块化和抽象   292

19.2.2    层次化   294

19.2.3  时间和空间复杂度：理解可扩展性   295

19.2.4  关注重点：循环和局部性   296

19.2.5  分治和递归   297

19.3  小结   298

19.4  问题   299

第20章  网络安全架构设计   301

20.1  访问监测属性   301

20.1.1  功能正确性   302

20.1.2  不可绕过性   304

20.1.3  防篡改性   304

20.2  简化和最小化提升信心   304

20.3  关注点和可扩展性分离   305

20.4  安全策略流程   305

20.4.1  策略规范   306

20.4.2  策略决策   307

20.4.3  策略执行   308

20.5  可靠性和容错   309

20.5.1  网络安全需要故障安全   309

20.5.2  预期故障：使用隔板限制破坏   309

20.5.3  容错   310

20.5.4  预防、检测响应及容错协同   312

20.6  云安全   313

20.7  小结   314

20.8 问题   314

第21章  确保网络安全：正确处理   317

21.1  没有保证的网络安全功能是不安全的   317

21.2  应将网络安全子系统视为关键系统   318

21.3  形式化保证论证   318

21.3.1  网络安全需求   319

21.3.2  形式化安全策略模型   321

21.3.3  形式化概要规范   321

21.3.4  关键安全子系统实施   322

21.4  总体保证和组合   323

21.4.1  组合   323

21.4.2  可信赖性的依赖关系   323

21.4.3  避免依赖关系循环   324

21.4.4  小心输入、输出和依赖关系   324

21.4.5  违反未陈述的假设条件   325

21.5  小结   325

21.6  问题   326

第22章  网络态势认知：发生了什么   329

22.1  态势认知和指挥与控制的相互作用   329

22.2  基于态势的决策：OODA循环   330

22.3  掌握攻击的本质   332

22.3.1  利用了哪些脆弱性(漏洞)？   332

22.3.2  攻击使用哪些路径？   332

22.3.3  路径是否仍然开放？   333

22.3.4  如何关闭渗入、渗出和传播路径？   334

22.4  对目标系统的影响   335

22.4.1  风险增加   337

22.4.2  应急方案   337

22.4.3  本质和位置指导防御   337

22.5  评估攻击损失   338

22.6  威胁评估   339

22.7  防御状态   339

22.7.1  健康、压力和胁迫   339

22.7.2  状态   340

22.7.3  配置可控性   340

22.7.4  进度与失败   341

22.8  动态防御的有效性   342

22.9  小结   342

22.10  问题   343

第23章  指挥与控制：如何应对攻击   345

第V部分  推进网络安全

第24章  战略方针与投资   369

第25章  对网络安全未来的思考   379