第1章-概述
深色阅读:一个全面的网络安全新闻、评论和分析来源,专为IT安全专业人员设计。 加密和网络安全链接:来自各种来源的PDF文档集合。 IEEE安全和隐私技术委员会:电子通讯Cipher主页,提供书评、新的加密和安全链接,以及指向在线报告和论文的链接。 计算机安全资源中心:由NIST维护;包含关于安全威胁、技术和标准的广泛信息。 欧洲网络和信息安全局欧盟安全问题专家来源。包括一组优秀的技术报告,以及许多其他文档和链接。 美国计算机应急准备小组:US-CERT是国土安全部与公共和私营部门之间的合作伙伴关系,旨在协调应对来自互联网的安全威胁。该网站收集了大量关于当前安全问题、漏洞和漏洞利用的技术论文、信息和警报。 计算机和网络安全参考索引:供应商和商业产品、常见问题解答、新闻组档案、报纸和其他网站的良好索引。 安全重点:各种各样的安全信息,重点是供应商产品和最终用户关注的问题。维护巴格特拉克邮件列表,用于详细讨论和发布计算机安全漏洞。 SANS研究所:与安全焦点类似。广泛收集白皮书。维护互联网风暴中心,它向互联网用户和组织提供有关安全威胁的警告服务。 风险摘要:计算机和相关系统对公众的风险论坛。 安全与开放方法研究所:一个开放、协作的安全研究社区。很多有趣的信息。 互联网安全中心:提供免费的基准测试和评分工具,用于评估操作系统、网络设备和应用程序的安全性。包括案例研究和技术论文。 美国国家安全局商业国家安全算法套件国家安全系统间信息安全共享批准的加密标准说明。该套件列出了在过渡到量子抗性算法期间使用的批准算法。
第2章-加密工具
加密常见问题解答:冗长而有价值的常见问题解答,涵盖密码学的所有方面。 Bouncy Castle加密包:加密算法的Java实现。该软件包的组织方式是,它包含一个适用于任何环境的轻量级API。该软件包免费用于商业或非商业用途。 密码:另一个有用的软件集合。 美国密码协会:业余密码学家协会。该网站包含与经典密码有关的网站的信息和链接。 加密角落:西蒙·辛格的网站。大量好的信息,以及学习密码学的交互式工具。
第3章-用户身份验证
NIST可信身份组:与用户身份验证和密码使用相关的文档。 NIST图像组:研究测量和评估方法并制定标准,以促进基于图像的生物特征识别技术的使用;目前的模式包括指纹、面部、虹膜和纹身。良好的资源。
第4章-访问控制
NIST RBAC站点:包括RBAC上的大量文档、标准和软件
第5章-数据库安全
云安全联盟:组织推广云安全实施的最佳实践。网站包含有用的文档和链接。
第六章恶意软件
V神话:致力于揭露病毒骗局,消除对真实病毒的误解。 安全列表:有关病毒、黑客和垃圾邮件的信息。 赛门铁克互联网威胁安全报告:商业防病毒软件提供商Symantec关于互联网威胁形势的年度报告。 赛门铁克安全中心:由商业反病毒软件提供商赛门铁克维护的网站,提供有关当前恶意软件风险的许多有用信息。
第7章-拒绝服务攻击
David Dittrich的分布式拒绝服务网站:包含有关DDoS攻击和工具的书籍、论文和其他信息的列表。
第8章-入侵检测
DataLossDB项目汇编各种统计数据、图表、图表和事件报告。 Honeynet工程:研究掠夺性黑客技术和开发蜜罐产品的研究项目 蜜罐:收集了大量研究论文和技术文章。 用鼻子哼哼:Snort的网站,这是一个开源网络入侵预防和检测系统。
第9章-防火墙
防火墙.com:到防火墙参考和软件资源的大量链接。
第10章-缓冲区溢出
Metasploit公司:Metasploit项目为执行渗透测试、IDS签名开发和漏洞研究的人员提供了有关外壳代码漏洞利用的有用信息 OpenBSD安全:OpenBSD项目生成了一个免费的、基于多平台4.4BSD的类UNIX操作系统。
第11章-软件安全
CERT安全编码:CERT网站上的资源,链接到有关常见编码漏洞和安全编程实践的信息。 CWE/SANS前25个最危险的软件错误:在许多重大网络攻击中被利用的最常见编程错误类型的列表,其中详细介绍了这些错误是如何发生的以及如何避免这些错误。 David Wheeler-安全编程:提供他的书和其他关于安全编程的文章的链接。 应用程序可靠性的模糊测试:提供威斯康星大学麦迪逊分校使用随机输入对应用程序进行安全分析的详细信息。 打开Web应用程序安全项目(OWASP):致力于发现和消除不安全软件的原因,并提供开源工具来协助这一过程。包括OWASP安全编码实践快速参考指南,以检查表格式定义了一组通用的软件安全编码实践,这些实践可以集成到软件开发生命周期中。实施这些实践将缓解最常见的软件漏洞。 MITRE常见漏洞和风险:发布漏洞报告的网站。
第12章-操作系统安全
DSD Top35入侵缓解策略:澳大利亚国防信号局列出了顶级入侵缓解策略。 Linux文档项目:Linux系统管理手册。 Microsoft安全工具和清单:用于评估Microsoft Windows系统安全性的工具和指南。 SANS-最高网络安全风险:组织应解决的问题。
第13章-云和物联网安全
NIST CLoud计算程序:有用的信息、链接和文档。 物联网世界论坛:许多有用的文档和视频。
第14章-IT安全管理和风险评估
ISO 27000目录:ISO为信息安全事项保留的ISO 27000系列标准概述 ISO 27000标准:27000条信息的另一个来源 威瑞森数据泄露调查报告定期更新安全问题,并在美国特勤局的协助下编制年度总结报告。
第16章-物理安全
InfraGuard公司:支持基础设施安全工作的FBI计划。包含许多有用的文档和链接 基础设施安全伙伴关系:处理基础设施安全问题的公私伙伴关系。包含许多有用的文档和链接。 联邦应急管理局(FEMA):包含许多与企业和个人的物理安全相关的有用文档。 NIST PIV项目:包含与PIV相关的工作文档、规范和链接。
第17章-人力资源
联邦机构安全实践:一套涵盖组织安全政策所有方面的大量文件 计算机安全事件响应团队:为安全专业人员提供向世界各地其他人报告、讨论和传播计算机安全相关信息的手段。该网站提供报告安全事件的信息和技术资源信息。
第18章-安全审计
网络事件日志中的安全问题:IETF工作组正在制定系统日志标准。
第19章-法律和道德方面
国际网络威胁工作队:由网络安全专业人员组成的在线安全社区,共同应对所有相关网络威胁,包括网络犯罪和网络战的各个方面。有用的文件和其他信息。 国际高科技犯罪调查协会:执法部门和私营部门的合作努力。包含有用的链接集和其他资源。 计算机伦理研究所:包括文档、案例研究和链接。 规则:由负责任计算特设委员会维护。
第20章-对称加密和消息保密
NIST块密码:关于AES和DES的NIST文件。 块密码操作模式:NIST页面,包含NIST批准的操作模式的完整信息。
第21章-公钥密码和消息认证
RSA实验室:RSA Security,Inc.的研究中心,它提供了大量关于RSA和其他密码学主题的技术材料。 NIST安全哈希页:SHA FIPS和相关文件。
第22章-互联网安全协议和标准
S/MIME章程:S/MIME的最新RFC和互联网草案。 DKIM公司网站由互联网互助协会主办,该网站包含大量与DKIM相关的文件和信息。 DKIM章程:DKIM的最新RFC和互联网草案。 TLS章程:TLS的最新RFC和internet草案。 OpenSSL项目:开发开源SSL和TLS软件的项目。网站包括文档和链接。 IPsec维护和扩展章程:IPsec的最新RFC和互联网草稿。
第23章-互联网认证应用
MIT Kerberos站点:有关Kerberos的信息,包括常见问题解答、论文和文档,以及指向商业产品站点的指针。 麻省理工学院Kerberos联盟:创建Kerberos是为了将其作为全球计算机网络的通用身份验证平台。 USC/ISI Kerberos页面:Kerberos材料的另一个好来源。 Kerberos工作组:IETF小组开发Kerberos标准。 公共关键基础设施工作组:IETF小组基于X.509v3开发标准。 NIST PKI计划:良好的信息来源。
第24章-无线网络安全
IEEE 802.11无线局域网工作组:包含工作组文档和讨论档案。 Wi-Fi联盟:促进802.11产品之间以及与以太网之间互操作能力的行业团体。 可扩展身份验证协议(EAP)工作组:IETF工作组负责EAP和相关问题。
第25章-Linux安全
NSA SELinux网站电子:包含有关SELinux的有用文档。
第26章-Windows安全
Microsoft安全中心:收集了大量有关Windows和Windows Vista安全的信息
第27章-可信计算
可信计算组:参与开发和推广可信计算机标准的供应商团体。网站包括白皮书、规范和供应商链接。 通用标准门户:通用标准项目的官方网站。
附录C-RFC
副本请求:IETF RFC存储库。包括一个完整列表不断更新所有RFC。 RFC源手册:以易于使用、易于访问的格式提供有关RFC的相关信息。