《信息安全原理》美Michael E.Whitman,Herbert J.Mattord著，王晓海译

综述
本书全面介绍了信息安全的整个领域，其中包括许多相关元素的背景，以及理解该领域所需的足够细节。本书包含了该学科的术语、简史，并概述了信息安全计划的管理模式。
本书的结构遵循一种称为安全系统软件开发生命周期（或SecSDLC）的模式。
第一章、信息安全简介
发展史……安全的概念…..CNSS安全模型….
信息系统（IS）比计算机硬件更丰富，它是使企业能够使用信息的人员、过程和技术的完整集合。IS的六个关键组件：硬件、软件、网络、人员、过程和数据，使信息可被输入、处理、输出和存储，每个组件都有自己的优缺点，也有自己的特性和用处。更重要的是每个都有自己的安全需求。
信息安全是通过策略、培训和技术等应用程序来保护使用、存储或传输信息的信息资产。
信息的机密性、完整性和可用性也称为C.I.A.三特性，在任意时刻都必须保护，保护可通过多种措施实现（策略、教育培训和意识、技术）。
信息安全不是绝对的，它是一个过程而不是一个目标，任何人都能在任何时间、任何地点、以任何方式来利用系统。但这种不受限的访问将危及信息的安全性，另一方面，如果信息系统得到完全的保护，将不允许任何人访问。
本书所讨论的信息安全，不是浅层意义上的个人攻击，而是从企业角度先理解信息安全的机构需求，解释为什么成功的信息安全计划是机构综合管理层和IT管理层共同的责任。以及各种威胁和攻击。
以下仅针对计算机安全方面做一介绍。

001“黑客”

专业黑客现在对直接攻击系统已经厌倦了，而注意力转向编写软件。这些程序是自动入侵软件，从而使新手黑客变成脚本小子（script kiddie）或分包猴子（packet monkey）。好消息是，如果专业黑客能够在脚本小子或分包猴子可以找到的地方发布一种脚本工具，系统及安全管理员也能够找到它。（这也就要求相关人员要了解最新的入侵脚本，充分准备并保持警惕，就可以预知通过脚本实施的攻击，并进行防卫）

002软件攻击

1.恶意软件
2.后门
3.拒绝服务（DoS）及分布式拒绝服务（DDoS）攻击
4.电子邮件攻击
5.通信拦截攻击

003技术硬件故障或错误（技术缺陷可能导致意外，包括不可靠的服务或可用性不足）

1.Intel Pentium CPU故障
2.平均故障间隔时间

003技术软件故障或错误（系统使用的软件可能包含故意或无意产生的错误，导致发生失败，造成可用性损失或对信息的未授权访问）

1.OWASP十大风险列表
2.软件安全中的诸宗罪：
缓冲区溢出、命令注入、跨站脚本攻击（XSS）、未能处理错误、未能保护网络流量、未能安全存储和保护数据、未能使用安全等级强的随机数、格式字符串问题、忽略变更控制、不正当的文件访问、不恰当地使用SSL、信息泄露、整数错误（上溢和下溢）、争用条件、SQL注入、信任网络地址解析、未认证的密钥交换、使用神奇URL和隐藏表单、使用基于弱密码的系统、不易使用。

004技术淘汰

陈旧过时的基础设施会使系统不可信赖，而防毒软件等也需要持续更新。