- عنوان کتاب: Computer Security Principles and Practice
- نویسنده: William Stallings Lawrie Brown
- حوزه: امنیت زیرساخت
- سال انتشار: 2024
- تعداد صفحه: 1641
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 24.2 مگابایت
از زمان انتشار ویرایش چهارم این کتاب، این حوزه شاهد نوآوریها و پیشرفتهای مداومی بوده است. در این ویرایش جدید، ما سعی میکنیم این تغییرات را ثبت کنیم و در عین حال پوشش گسترده و جامعی از کل حوزه را حفظ کنیم. تعدادی اصلاحات برای بهبود آموزش و کاربرپسندی، بهروزرسانی منابع و اشاره به حوادث امنیتی اخیر، همراه با تعدادی تغییرات اساسیتر در سراسر کتاب، انجام شده است. قابل توجهترین این تغییرات عبارتند از: • احراز هویت چند عاملی و احراز هویت موبایل: فصل 3 شامل بحث جدیدی در مورد احراز هویت چند عاملی (MFA) است که در آن کاربر دو یا چند مدرک (یا عامل) را برای تأیید هویت خود ارائه میدهد. این امر به طور فزایندهای برای رفع مشکلات شناخته شده فقط با استفاده از رمز عبور برای احراز هویت استفاده میشود. این کار معمولاً با استفاده از یک توکن احراز هویت سختافزاری یا با استفاده از پیامک یا یک برنامه احراز هویت در دستگاههای تلفن همراه انجام میشود، همانطور که در مورد آن بحث خواهیم کرد. • کنترل دسترسی اجباری (MAC): فصل ۴ شامل بحثهای اصلاحشدهای در مورد کنترلهای دسترسی اجباری است که قبلاً در فصل ۲۷ آنلاین گنجانده شده بود. این کنترلها اکنون به عنوان بخشی از پیشرفتهای امنیتی اساسی در نسخههای اخیر برخی از سیستمهای لینوکس، macOS و ویندوز گنجانده شدهاند. • مهندسی اجتماعی و حملات باجافزار: بحث در فصلهای ۶ و ۸ در مورد مهندسی اجتماعی و استفاده از آن در فعال کردن حملات باجافزار بهروزرسانی شده است که نشاندهنده افزایش وقوع چنین حملاتی و نیاز به دفاع در برابر آنهاست. این دفاعها شامل آموزش آگاهیبخشی امنیتی بهبود یافته است، همانطور که در فصل ۱۷ بحث خواهیم کرد. • حملات نفوذ به ایمیلهای تجاری و زنجیره تأمین: فصل ۸ شامل بحث جدیدی در مورد رشد حملات نفوذ به ایمیلهای تجاری و زنجیره تأمین (BEC)، از جمله حمله اخیر SolarWinds است که در سالهای اخیر برای نفوذ به بسیاری از سازمانهای تجاری و دولتی استفاده شده است. • فهرست بهروز شده از خطرناکترین خطاهای نرمافزاری: فصل ۱۱ شامل فهرست بهروز شدهای از ۲۵ خطای نرمافزاری خطرناک است. همچنین حمله تزریق کد اخیر به بسته Apache Log4j که به طور گسترده مورد سوءاستفاده قرار گرفته است، مورد بحث قرار میگیرد. • فهرست بهروز شده کنترلهای ضروری: فصل ۱۲ شامل فهرستهای بهروز شده کنترلهای ضروری، از جمله «هشت مورد ضروری» اداره سیگنالهای استرالیا است که باید توسط همه سازمانها برای بهبود امنیت سیستمهای عامل خود استفاده شوند. • سیستمهای کامپیوتری قابل اعتماد: فصل ۱۲ شامل بحثهای اصلاحشدهای در مورد سیستمهای کامپیوتری قابل اعتماد است که قبلاً در فصل ۲۷ آنلاین گنجانده شده بود، که مربوط به استفاده از سیستمهای امن در برخی از سازمانهای دولتی است. • فهرست بهروز شده کنترلهای امنیتی: فصل ۱۵ شامل فهرست بهروز شدهای از کنترلهای امنیتی NIST است که باید هنگام رسیدگی به خطرات امنیتی شناسایی شده در سازمانها در نظر گرفته شوند. • آگاهی و آموزش امنیتی: فصل ۱۷ شامل بخشی بهروز شده در مورد آگاهی و آموزش امنیتی برای پرسنل است که با توجه به افزایش حوادث امنیتی ناشی از اقدامات عمدی یا تصادفی پرسنل، از اهمیت فزایندهای برخوردار است. • مقررات عمومی حفاظت از دادهها (GDPR) اتحادیه اروپا: فصل ۱۹ شامل بخش جدیدی در مورد GDPR اتحادیه اروپا در سال ۲۰۱۶ است که عملاً استاندارد جهانی برای حفاظت از دادههای شخصی، جمعآوری، دسترسی و استفاده از آن است. • رمز جریانی ChaCha20: فصل 20 شامل بخش جدیدی با جزئیات رمز جریانی ChaCha20 است که جایگزین جزئیات رمز RC4 که اکنون منسوخ شده است، میشود. • حالت شمارنده گالوا: پیوست E اکنون شامل جزئیات حالت رمزگذاری احراز هویت شده جدید شمارنده گالوا برای استفاده از رمزهای بلوکی است.
Since the fourth edition of this book was published, the field has seen continued innovations and improvements. In this new edition, we try to capture these changes while maintaining a broad and comprehensive coverage of the entire field. There have been a number of refinements to improve pedagogy and user-friendliness, updated references, and mention of recent security incidents, along with a number of more substantive changes throughout the book. The most noteworthy of these changes include: • Multi-factor authentication and mobile authentication: Chapter 3 includes a new discussion on multi-factor authentication (MFA) in which the user presents two or more pieces of evidence (or factors) to verify their identity. This is increasingly used to address the known problems with just using a password for authentication. This is commonly done using either a hardware authentication token, or using SMS text messages or an authentication app on mobile devices, as we discuss. • Mandatory access control (MAC): Chapter 4 includes some revised discussion on mandatory access controls that was previously included in the online Chapter 27. These controls are now included as part of the underlying security enhancements in recent releases of some Linux, macOS, and Windows systems. • Social engineering and ransomware attacks: The discussion in Chapters 6 and 8 on social engineering, and its use in enabling ransomware attacks have been updated, reflecting the growing incidence of such attacks, and the need to defend against them. These defenses include improved security awareness training, as we discuss in Chapter 17. • Supply-chain and business email compromise attacks: Chapter 8 includes new discussion on the growth of supply-chain and business email compromise (BEC) attacks, including the recent SolarWinds attack, which have been used to compromise many commercial and government organizations in recent years. • Updated list of the most dangerous software errors: Chapter 11 includes an updated list of the Top 25 Most Dangerous Software Errors. It also discusses the recent widely exploited code injection attack on the Apache Log4j package. • Updated list of essential controls: Chapter 12 includes updated lists of essential controls, including the Australian Signals Directorate’s “Essential Eight” that should be used by all organizations to improve the security of their operating systems. • Trusted computer systems: Chapter 12 includes some revised discussion on trusted computer systems that was previously included in the online Chapter 27, which is relevant to the use of secure systems in some government organizations. • Updated list of security controls: Chapter 15 includes a significantly updated list of the NIST security controls that should be considered when addressing identified security risks in organizations. • Security awareness and training: Chapter 17 includes a significantly revised section on security awareness and training for personnel, which is of increasing importance given the rise in security incidents that result from deliberate or accidental personnel actions. • European Union (EU) General Data Protection Regulation (GDPR): Chapter 19 includes a new section on the EU’s 2016 GDPR that is effectively the global standard for the protection of personal data, its collection, access, and use. • The ChaCha20 stream cipher: Chapter 20 includes a new section with details of the ChaCha20 stream cipher, replacing details of the now depreciated RC4 cipher. • Galois Counter Mode: Appendix E now includes details of the new Galois Counter authenticated encryption mode of use for block ciphers.
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
نظرات کاربران