谨以此书献给我的家人。没有他们的支持，我不可能顺利完成此项工作。感谢保拉、加利克和艾瑞克，在我因此书的工作而离开时你们总是十分体谅。我们一家真棒。

——约翰?麦勒瑞

谨以此书献给我的妻子谢丽尔，我们的女儿杰西卡?克拉克和艾比?玛纳特，外孙欧申和艾扎克?雷德蒙；感谢布里奇特教导我认识生活的意义、体会休闲的价值和树立永不放弃的精神。

——帕垂克?凯利

感谢我的妻子达纳，她对我编写此书提供了很多支持。感谢我的父母大卫和琼，他们给我的帮助超出他们的想象。

——杰逊?扎恩 

关于丛书的编辑/作者

罗伯特?布拉格（密苏里州格瑞恩谷），持有CISSP、Security+、ETI Client Server、  Certified Technical Trainer、IBM Certified Trainer、DB2-UDB、Citrix Certified Administrator和 MCSE: Security等证书。6年来一直在为Microsoft Certified Professional Magazine（微软认证专业杂志）的Security Advisor（安全顾问）栏目撰稿，为Security Watch（安全观察）新闻邮件撰稿也已有3年历史。她是SearchWindowsSecurity.com的安全专家，负责为该网站的Security Checklist（安全检查列表）栏目撰稿。罗伯特策划、设计、组织和参与了2002年在美国西雅图召开的首届Windows安全峰会。同样是在2002年，在TechMentor圣地亚哥会议上，罗伯特主持了“安全学院”为期3天的首次安全建网实践研讨班，该研讨班在2003年又重复举办了5次。2004年，她代表微软公司出席了一系列安全峰会。罗伯特也是SANs公司和MIS培训中心的培训师。

罗伯特曾参加过很多次安全审计，并曾以安全传教士、网络安全顾问、评估师和培训师等身份到过世界各地。罗伯特也是西雅图太平洋大学和约翰逊县立社区学院的兼职教授，执教与信息安全设计有关的课程。罗伯特还是由McGraw-Hill/Osborne出版的Network Security:The Complete Reference（网络安全：完全参考手册，2003）、Hardening Windows Systems （2004）和微软出版社的Designing Security for a Windows Server 2003 Network（Windows Server 2003网络安全设计，2004）等著作的主编。

关 于 主 编

约翰?麦勒瑞是BKD和LLP的管理顾问，也是一位资深安全专家。他曾出任过  Clarence M. Kelley and Associates股份有限公司的CTO，该公司是由美国联邦调查局前局长创办的调查与安全咨询公司。在计算机犯罪取证与计算机安全领域，约翰是全国享有盛名的演讲人和培训师。他还为法律界开发了法律教育软件，并为法律的实施进行规划，在全国性会议上的演讲总是深受好评。

约翰善于利用自己曾当过调查员、网络安全顾问和喜剧演员的独特经历，其演讲既精深又不失娱乐性。他是ASIS International信息技术安全理事会的成员，是高技术犯罪调查联合会Infragard的成员，也是Security Technology and design（安全技术与设计）杂志的特约编辑。

杰逊?扎恩，持有CISSP证书，现任DST Systems股份有限公司的信息安全顾问。他从事信息安全工作已有9年多，并一直负责全球的信息安全产品、系统、网络和流程的管理、运作和技术开发。他曾就职于企业和咨询机构，做过产品开发，先后提出了多种信息安全理念和解决方案。

帕垂克?凯利，持有CISSP、CCSE、MCSE、MCP+I等证书，现为ComGlobal      Systems股份有限公司的信息保障工程师。帕垂克有15年多的应用开发和网络安全经验。目前，他负责企业安全规划、脆弱性和风险评估、安全部件的设计与开发等。在其职业生涯中，帕垂克一直都是负责实施和设计网络安全规划，曾开发的项目包括入侵检测与响应系统、防火墙技术设计与实现、网络安全风险和脆弱性评估、因特网安全规划等。

关于供稿作者

维斯?努南（德克萨斯州休斯顿市），持有MCSE、CCNA、CCDA、NNCSS、Security+等证书，从事计算机行业已超过11年，专门研究基于Windows系统的网络和网络基础架构的设计与实现。他是Collective Technologies, LLC （http://www.colltech.com）公司的高级网络顾问，该公司专门从事存储器、服务器和网络设计、架构、安全等方面的业务。维斯是在美国海军陆战队服役时开始从事计算机安全工作的，当时使用的是海军陆战队的Banyan VINES网络，此后便从事针对25~25 000用户的安全网络的构建和设计工作。维斯曾在BMC Software股份有限公司的研发部门工作过，当时做的是PATROL管理解决方案，负责网络和应用管理产品的构架和测试等工作。维斯也是一位很活跃的培训师，讲授独具特色的关于Cisco路由技术和交换技术的课程。他曾在很多技术会议上对用户群体发表过演讲，是http://searchwindowssecurity.techtarget.com网站上Ask the Experts栏目的成员。维斯也是Hardening Network Infrastructure（McGraw-Hill/Osborne, 2004）一书的作者。

艾瑞克?西格闰（德克萨斯州密苏里市），持有CISSP、ISSAP、SCNP、CCNA、CNE、MCP+I、MCSE等证书，有9年的计算机行业从业经验，最近6年就职于金融服务业的某家名列《财富》100强之中的企业。艾瑞克的计算机职业生涯开始于Novell服务器，当时是为总部设在休斯顿市的某家小公司做一般的网络维护。在目前的这家金融服务公司，他的职责包括服务器管理、灾难恢复、业务连续性协调和解决2000年问题等。最近4年他又以IT构架师的身份，从事安全、可扩展、冗余网络的设计。他的工作经验包括实现多个入侵检测系统、对网络设计和网络设备配置进行安全评估等。

鲍尔?拉乌，持有CISSP、CISA、CISM、Security+等证书。从事IT行业已有15年的历史，目前是某大型金融机构的安全经理。鲍尔先后获得过信息系统学士学位和网络安全硕士学位。他与别人合著了Hardening Linux（McGraw-Hill/Osborne, 2004）一书，也曾做过10多本关于Linux和Unix的畅销书的技术编辑。在.com风靡一时的年代，鲍尔曾开办过一个很成功的Linux门户网站。

罗布?克拉夫特是KCX股份有限公司软件开发部主任，曾做过两年的微软认证培训 师，讲授过关于SQL Server和Visual Basic的课程。他也通过了IBM公司的认证，有资格讲授DB2和WebSphere。除授课外，罗布还有15年的开发经验，而且使用过多种平台、多种开发语言和多种数据库管理系统。罗布与别人合编过多部与微软SQL Server有关的著作，并多次在会议或研讨班上讲过SQL Server、因特网安全和Visual Basic。在业余时间，罗布还帮助本地的非盈利机构解决IT或其他方面的问题。如欲联系罗布，请访问http://www.RobKraft.org。

马克?奥尼尔是Web Services Security（McGraw-Hill/Osborne, 2003）一书的主要作者。马克曾先后在Web Services Journal（Web服务）、XML Journal、Java Pro、Enterprise Architect（企业构架）、Infoconomy（信息经济）、Technology for Finance（金融技术）等期刊上撰文阐述关于XML和Web服务安全的问题。作为Vordel公司（提供XML安全产品的先驱）的首席技术官（CTO），马克曾接触过很多早期的XML使用者，并对他们的安全需求做了归纳总结。现在马克定期在伦敦、加利福尼亚和美国东海岸讲授关于Web服务安全的培训课程。在过去四年中，他连续被邀请在信息安全行业规模最大的RSA年会上就XML安全问题做演讲。马克居住在波士顿的罗丝林蒂（Roslindale）地区，妻子叫克里斯蒂，儿子刚两岁，叫本。

关于技术述评撰稿人

里?艾迈瑞，持有CISSP、ISA、CPP等证书，是联邦政府信息安全专家。他负责撰写关于保护重要信息和不同级别信息的策略，并与多个政府机构合作，以实施符合这些策略要求的技术规程。此前他曾是(ISC)2的高级通信经理，曾编辑制作过(ISC)2的新闻邮件——这些邮件被发送给遍布全球的2万多名信息安全专业人士。他还曾是CISSP CBK评估研讨班的主要授课人，授课对象是全球的私营企业员工或政府职员。他曾就职于通信公司、零售企业和咨询机构，现在仍以多种方式为信息安全行业做着各种贡献，包括兼任ASIS信息技术安全理事会理事、ISSA职业道德委员会主任等。

致    谢

我要感谢Ameriquest公司的麦克尔?维德。他是我的第一位导师，在我把DOS说成是“dose”时，他并没有嘲笑我。还要感谢Fishnet Security公司的马克?卡尼，他在无线网络安全方面给我提供了很大帮助。尤其要感谢CMKA的汤姆?达普瑞斯特，几乎我的所有技术培训都是在他的帮助下完成的。特别感谢罗伯特?布拉格，是她为我提供了参与本项目的机会。她的支持和鼓励让我深受感动。谢谢你，布拉格，谢谢你给我提供这样好的机会。

——约翰?麦勒瑞

必须要感谢罗伯特?布拉格。她为计算机安全领域做出了很大贡献，也为我提供了这么好的机会。要感谢保罗?鲍西克，感谢他的远见卓识和对我的鼓励。以他的才干，完全可以成为风云人物。还要感谢弗兰克?海维特、克里斯?卡斯帕肯、迈克和康尼?乌德沃德、帕垂克?克提斯、莱斯利?格瑞福斯和罗丝?莫尔为我提供这样富有挑战性的机会。

——帕垂克?凯利

我要感谢在从事此项目过程中所有为我指点迷津、提供帮助的人，其中包括卓维斯?玛露、申恩?肯斯克、奥吉?维斯克、吉姆斯?萨利文、布鲁斯?吉姆斯和DST Systems公司的信息安全团队。还要感谢为此项目的成功实施做出了重要贡献的罗伯特?布拉格和McGraw-Hill/Osborne本团队的员工们。

——杰逊?扎恩

序

网

络安全不仅包括实施技术控制和防范对系统的攻击，也不仅是增强某个操作系统或确保网络基础架构的安全，其实最重要的是网络安全不会因为我们最终所用的代码完美无缺而自动实现。在尽了一切努力之后，网络安全还依赖于网络经营者和网络使用者的道德和能力。

而且，在网络安全方面，我们不会总能找到“梦之队”，不能奢望所有员工都品德高尚、所有客户都遵纪守法，更不能指望全世界的人们都与我们有着同样的信仰。因为“人无完人”，我们所构建的信息系统可能会有问题，所采用的技术防护可能被他人破坏，而且我们还可能忽视一些若及时发现并采取措施就可能免遭破坏的事件。

但应对的办法不是放弃。不能总让别人为我们解决问题，我们必须与所信任的人士共同开发解决方案，这些方案即使不算完美，但至少能使系统持续运行、能提供有效防范、能让我们比攻击者领先一步。让我们每次都取得一点儿进步，每次都多保护一台机器，每次都再赢得一天。如果愿意听，就会发现有很多宝贵经验能为我们提供帮助；如果乐意做，就会发现有很多工作是可以做的。我们需要分享知识，切磋经验，揭示真相。

本书就是这种共同协作的结果。去年，美国堪萨斯市的六位安全专业人士在一家星巴克咖啡店里聚首，商讨编写一本书——这本书不应是简单阐述我们各自不同的信息安全经验，而应是我们共享这些经验的结晶。我们不想在此书中罗列相互独立的事实，而是要讨论协同工作的机理。虽然我们会为帮助他人搞清如何从技术上保证系统安全而讲到一些技术问题，但不想忽视在这一过程中人的作用。

就像传奇故事中探险的勇士一样，我们怀着崇高的理想踏上了征程。在编写此书的过程中，我们遭遇了各种灾难和重大人生变故。原来的团队中有人离开了，又有新人加入进来。差不多与此书相关的每个人——从作者、审稿人到出版社的编辑们——都在本书编撰期间经历了一些改变人生的事件。有的辞职，有的被解雇；有的乔迁，有的办了婚事；有的亲属遭遇不测，危及生命的事故接二连三。作为此套丛书的编辑，有时候我觉得自己就是《幸存者》中的一员。但此书终于成功出版了。

现在，读者已经看到了我们这次探险的成果。本书并不是解决困扰当今信息安全领域的各种问题的万能药，但或许本书比其他著作有价值得多。别忘了：情况在变，人也在变，每天都有新问题。如果你想为所在机构的信息安全做贡献，如果你想为全球的信息安全做贡献，就必须在努力做好今天的防范的同时，做好适应未来变化的准备。相信我们，按本书所讲的去做，现在就尽可能做好。同时要留心本书中所讲到的或自己所想到的那些将帮助我们的信息系统在未来仍能成功抵御攻击的东西。最重要的是，你自己要为此战的胜利做出贡献——这是一场需要我们共同努力才能打赢的战争。

—— 罗伯特?布拉格，“我想我们不再是在堪萨斯了”

2004年12月15日

前    言

约翰?麦勒瑞

我

谈论计算机安全问题已有六年，也编写过一些著作。最初我的观点来源于自己做系统管理员的经验，而后则来自在安全顾问公司做首席技术官（CTO）的经验。在受聘于安全顾问公司期间，先后涉足过计算机安全的诸多方面，如策略与过程、渗透测试、补丁管理和终端用户培训等，也由此加深了对一些问题的认识。随着在这一行业阅历的增加，我认识到有很多人在提供与计算机安全有关的培训和服务。伴随着与安全问题有关的材料的增多，我想安全将成为每家公司、每个系统管理员优先考虑的问题之一。但去年的两次经历让我相信，并不是每个人都已认识到计算机安全问题的紧迫性。

第一次经历开始于我接到客户打来的电话，称“我们觉得公司会计偷了公司的一些钱。”到该客户的办公室之后，发现这位会计不仅仅是偷了“一些钱”，其数额竟是让人咋舌的300万美元！更让我感到诧异的是，这一数额居然没有更大些，因为该客户的这个网络直接连接到因特网，没有加防火墙，也不需要认证口令。另外，每个工作站都配有调制解调器，接有电话线，有远程访问客户端，同样也不需要认证口令。真让我纳闷这家公司的所有者们在过去六年中是否一直昏迷不醒。这家公司脆弱的安全防范使它的会计能够随时访问到所有财务记录和程序，而且她的所作所为都没有日志记录可查。结果是这位会计删除了虚假交易，更改了财务报告，重新划分了各项开支。

另一次经历是我碰到一位为6家法律公司管理网络的计算机顾问。他告诉我说这6家公司都经办了大量敏感案件，但它们的网络都没有加防火墙。当问到为什么没有装防火墙时，他反问我“你觉得应该装么？”我想自己当时是小声嘀咕了一句“笨蛋”。

有了这些经历之后，我认识到在向机构和个人普及计算机安全知识方面还有很多工作要做，本书就是我为之不懈努力的部分成果。与很多计算机安全著作不同的是，本书由此领域的多位专家共同编写，这就意味着每位作者都有机会奉献自己的专长。他们根据自己的知识和专长撰写相关内容，而不是简单地重复一些常见的安全观点。另外，此书全部为“实质内容”。读者不会看到多个章节的理论阐述或因特网历史回顾，而是能很快读到可以立即用于系统和网络安全防护的内容。本书是对Hardening系列丛书中其他著作的非常有益的补充。如果你是计算机安全方面的新手，本书第1章为你提供了手把手的指导，可让你立即开始加固所在机构的网络安全。如果你对安全领域有所了解，正在寻求关于某个特定问题的新成果、新观点，也将会通过阅读本书而如愿得偿。

所以，现在就该开始加强你的网络安全。这不仅刻不容缓，而且任重道远。

内容安排

本书旨在向系统管理员传授实践知识，提供手把手的指导。这些系统管理员负责保证配有多种设备、多个操作系统的网络的安全。我们假定读者已经具备扎实的知识和技术，但可能只精通某一种操作系统或平台。本书将会让受过有限安全培训的系统管理员能立即着手“加固”所负责的网络或系统。就像所有与安全有关的著作一样，本书并不是一个完整的安全解决方案，但我们希望它成为评估企业信息安全的最佳起点。对认为所负责的系统十分安全的系统管理员来说，本书可以为你的工作做出验证，但同时也将提供一些不同的观点和其他解决方案，使你能够进一步加强安全防范。

第1篇：现在就做！

第1章：“做好开门七件事”

约翰?麦勒瑞

第1章的目的是给出一些可以立即用于网络及计算机系统的解决方案。对于那些不知从何入手的读者来说，第1章的内容可让你快速、有效地减少网络安全漏洞。本章不仅仅是给出建议，还告知具体该做什么以及如何做。我们还要给出一些重要内容，这些内容连经验丰富的系统管理员看了之后也会说“哇，我当年要能看到这些该多好”。

第2篇：从顶层开始：系统地加固你的公司

第2章：“为了安全，把网络划分成若干公共区”

约翰?麦勒瑞

计算机安全的重要思想之一是“深度防御（defense in depth）”。本章开始讨论分层次保障安全的方法，用一些具体标准对网络进行划分。本章所讲的一些标准将是很多系统管理员从未听说过的。

第3章： “用身份管理系统加固安全”

杰逊?扎恩

人们对身份管理（identity management）有着很多不同的解释。但是，各种解释都强调用户管理的问题。本章探讨开发全公司范围的身份管理系统的公共基础，包括从符合法律要求和内部责任问题到如何降低成本并提高生产效率。本章还阐述了当前的基于目录的服务如何满足组织机构管理雇员、客户、签约方和厂商等不同身份的需要，并给出了如何对现有身份管理方案进行评估的建议。

第4章：“加固跨平台认证”

杰逊?扎恩

在访问信息系统时，用户通常必须提供账户名等信息，证明自己是合法用户，有权以此账户访问该系统。这种证实用户自称的身份的过程就叫身份认证，证实身份所用的凭证可能是口令、智能卡、令牌、生物特征或其他某种凭据。通常，安全专业人员的工作就是保证所采用的身份认证方法是最健壮的。本章讨论了在配有多种操作系统和多种平台且用户必须访问不止一个系统的情况下，应怎样做好身份认证。

第5章：“加固Web服务”

马克?奥尼尔

提供Web服务的系统总是面临遭受攻击的威胁。这是因为较之于其他系统，提供Web服务的系统更多地处于待访问状态，并且它们的漏洞也更广为人知。消除这些漏洞可保证Web服务的正常运行，而这经常决定着许多公司的成败。

借助于XML和Web服务（WS）安全等技术，Web服务为我们提供了跨计算机系统的集成解决方案。本章探讨为支持Web服务和WS安全而开发的标准，并为Web服务开发者和评估者提供了关于安全实践和安全陷阱的信息。无论是乐意开发和部署Web服务的人还是必须对是否采用Web服务做出决策的人，都会从本章清晰的概念和解释中获益匪浅。

第6章：“加固移动环境”

杰逊?扎恩

本章讨论用于PDA、智能电话等移动设备的安全解决方案，包括身份认证、病毒防护和加密技术。还讨论了如何应对红外技术和蓝牙技术的安全漏洞，因为这两种技术广泛应用于移动设备与PC机、移动设备与耳机、相机和打印机等其他无线设备之间的通信。

第7章：“超越访问控制：保护所存储的数据”

杰逊?扎恩

密码学和数据加密传统上一直被认为是数学博士们所研究的领域。但现在，在计算机网络中采用加密算法被认为是最安全的防护手段。本章扼要介绍了如何快速而实用地搞清与某机构需求相关的密码学知识，讨论了加密算法、密钥管理、如何选择具体算法及产品等问题，还给出了如何最恰当地利用加密技术的一些具体指导。

第8章：“加固来自Web的数据库访问”

罗布?克拉夫特 

现在，关键、敏感数据都是存放在数据库中的，而且这些数据库可以用基于Web的程序经因特网而访问到。如果这种访问不安全，公司就可能在不经意间为竞争对手或攻击者提供了访问途径。所以除了要增强因特网服务器之外，还要更多地考虑如何为这些服务器上的数据提供最佳的保护。微软、Oracle、IBM等几大数据库厂商都为此提供了一些工具。本章阐述如何利用这些工具保护数据库，以及在同时配有多个厂商的数据库产品时该如何处理问题。本章给出了针对使用数据库时各个阶段的建议，包括安全安装数据库、设置访问权限、使用应用分区、遵循软件开发的最佳做法、监控和审核数据库行为以及保护备份等。

第9章： “加固跨平台访问控制”

鲍尔?拉乌和罗伯特?布拉格

Windows和基于Unix的操作系统都提供有针对文件系统的访问控制，但这些控制方法并不等效。要想为跨平台访问控制提供健壮的解决方案，首先要了解它们之间的差异，并从安全的角度总体考虑集成解决方案。本章剖析了这两大类系统的访问控制方法，并对Samba、SANs、Microsoft Services for UNIX等多种集成解决方案的加固选项做了说明。

第10章：“利用加密加固数据传输”

维斯?努南

“静止”数据（即存放在某一系统中的数据）容易受到攻击，“传送中”的数据（即在系统之间传输的数据）也容易遭受破坏。本章讨论了可应用于传送中的数据的各种加密机制，包括VPN、SSL和IPSec。但是，采用未能很好实现的安全解决方案会带来虚假的安全感，因此可能还不如根本没有安全解决方案。了解这些问题并遵循最佳做法可以保证通信的健壮与安全。

第11章：“加固远程客户端”

艾瑞克?西格闰

很多公司都非常关注加固远程访问服务器的问题，它们为网络配备了强大的边界控制措施，但却让员工带着毫无保护的便携机赶赴世界各地，允许他们从遥远的城市远程访问公司网络。正如本章所述，公司需要制订全面规划，以保证远程客户端的安全。无论客户端是传统的台式PC机、便携机、PDA还是智能电话，遵循本章所讲的最佳做法将使远程访问解决方案更为安全。这些措施包括保护远程访问服务、保护远程访问的传输和保护客户端，此外还有使用安全的远程访问方法、配置客户端防火墙、限制访问权限、使用防病毒产品、及时给客户端和服务器打补丁、就如何安全地进行远程访问而对最终用户进行培训等。

第12章：“加固无线网络”

维斯?努南

无线网络几乎已成为公司甚至家庭用户的标准操作环境。关于如何保证单访问点无线网络或仅覆盖少数几个用户的无线网络的安全，已经有了很多建议。但是，大型机构使用无线网络或无线广域网的安全问题，则鲜有人注意。若保证无线网络的安全，其基本思想总是类似的：采用无线安全策略、保证身份认证和数据传输的安全、提供密钥管理、检测并取消非正常的无线网络、把无线网络看作不可信网络。但是，无线广域网为我们提出了更多的挑战，这些内容都在本章讨论。

第13章：“加固混合的Unix网络”

鲍尔?拉乌

Unix操作系统是诸多公司和开发人员历经30多年不断开发和改进的成果。在这一过程中，Unix演变成了多种版本，每个版本在协议和系统过程的实现上都有所不同。虽然所有Unix系统现在仍沿用Unix的核心思想，但它们在安全机制的实现方面已有很大差异，而且这种差异已足以让未受过培训的人混淆。本章就是要让读者彻底了解异构环境中各种版本的Unix和Windows在安全实现方面的异同，并特别强调了Linux在工作环境中的日益流行以及当Linux与Unix和Windows同处一网时应注意的问题。

第14章：“入侵检测与响应”

帕垂克?凯利

了解防线何时被突破是网络安全最重要的方面之一，而入侵检测系统（IDS）可以对某机构的网络和主机访问行为进行持续监控。经过适当配置，这种监控系统可以识别出恶意行为或未经授权的行为，并可提供具体审计信息。如果处理得当，这些审计信息可以在识别攻击及确定如何补救方面提供非常有价值的证据。但很多管理员都未受过恰当培训，在IDS发出入侵告警时不能做出有效的响应。IDS的告警可能是攻击引发的，也可能是误警，管理员必须要能对此做出鉴别，这很重要。IT专业人员需要了解IDS的框架，搞清这种系统能在多大程度上帮助维护可靠、安全、富有效率的技术环境。本章将对这些内容做出阐述。

第15章：“管理恶意代码”

杰逊?扎恩

现在，病毒、木马、间谍软件等恶意代码非常多，从未听说过“恶意代码”这个词的人肯定是生活在没有计算机的地方。分层的方法，或者说提供深度防御的方法，也适用于对恶意代码的防范。因为不可能仅靠安装一个产品或一个程序而实现完全的防护，所以必须对防范体系划分层次，要有边界防护，也要有对服务器和客户机的防护。恶意代码不容易检测到，这是因为在很多情况下，恶意代码是把原有的系统设置应用到了本来不包括的范围内，从而产生不良后果。这些不良后果可能是对隐私性构成威胁、对系统造成破坏，也可能就是典型的恶作剧。本章介绍了各种恶意代码，并对如何检测、报告和阻止恶意代码做了阐述。

第16章：“增强湿件”

约翰?麦勒瑞

安全专业人士经常哀叹：如果不让人使用，他们的系统就会安全了。有些人甚至说安全防护最薄弱的环节就是人。可以采取一些措施对安全所涉及到的“人”进行教育和培训，但诚如本章所述，这需要付出努力，需要妥善规划，需要得到管理层的持久支持。

第3篇：永远没有一劳永逸

第17章：“混合网络的安全审核与测试”

艾瑞克?西格闰

创建和实现牢固而全面的安全策略仅是加固网络的第一步，下一步就是要保证最终确实实现了安全。正如本章所述，信息系统审计可帮我们搞清自己的网络在多大程度上实现了安全规划，以及自己的安全防范在多大程度上与当前公认的安全实践相符合。审计会根据预先确定的范围对当前的安全配置与安全策略的相符程度进行评估，并可能对网络进行测试，搞清安全防护的实际效果。但审计不仅是渗透测试，也不仅是对照列表进行检查，而应指导我们如何改进。

第18章： “变革管理”

帕垂克?凯利

进行良好的变革管理不仅局限于技术范围。随着安全系统管理员开始配置和维护基础结构，对基本标准编制文档将帮助监控管理软件、硬件和网络组件的变化。本章提供了设计、部署和后续工作的流程实例，它们将会减少对安全环境性能的负面影响。

第19章：“打安全补丁” 

帕垂克?凯利

绝大多数系统管理员都知道，任何操作系统刚买回来时都不安全，必须打补丁，以减少系统漏洞。他们也知道，总会不断出现新的漏洞，所以必须不断地给系统打补丁。对于小型网络而言，打补丁的工作可能很简单，但如果网络规模很大，打补丁就会变得非常繁琐，甚至可能因为很繁琐而不能够得到及时处理。本章给出了减轻补丁管理负担的实用方法，包括怎样快速地确定需要打补丁的系统、验证许可证、获取补丁并完成打补丁。

信息系统总是需要维护的，但现在的维护并不是缓慢地更改错误或添加交货时许诺的特性。今天的维护主要是快速而安全地添加为弥补所发现的漏洞而开发的补丁。本章将阐述如何完成这些工作。

第20章：“安全评估”

约翰?麦勒瑞

设计和实现安全机制只是保证网络安全的一部分工作。安全是一个动态的过程，要求对安全状况进行周期性的评估。所制订的安全策略或过程是否被忽视或跳过？最新的系统升级是否导致了更多的安全问题？本章阐述了相关评估过程，并给出了一些很独特的方法。

第4篇：如何成功完成加固

第21章：“安全管理的策略”

约翰?麦勒瑞 

网络安全经常只有在得到管理层支持的情况下才会成功实现。要赢得管理层的支持可能非常困难，但如果系统管理员搞清管理层的工作作风，这一问题就可以得到解决。除了要有管理层的支持和批准外，另外一些内部策略问题也不容忽视。从本章中读者可以学习到了解管理层的工作作风、确定和解决策略问题的各种方法。

第22章：“不要对安全无动于衷”

帕垂克?凯利

并非所有人都明白安全所能带来的好处。对很多人来说，安全就是要做若干限制，是一种负担，代价昂贵，还要进行控制。还有一些人则认为安全就是保险、生产效率、保护，是免除担心、不确定性和疑虑。关于安全的这些交错的观点可能会相互碰撞并给负责信息系统安全的人士带来一些问题。或许在安全方面最大的障碍就是死活不肯相信网络有漏洞、不相信随时有可能受到攻击的人。他们认为安全人士是为销售安全产品和咨询服务而夸大了安全问题。本章剖析了如何应对这种固执的态度。为成功促进并推动安全信息系统的实现，必须要能提供关于加固安全的成本的信息，确定并答复对安全规划的关键质疑，并使每个人都参与到安全工作中来。