本书作者、顶级安全专家Mark S.Kadrich系统地阐述了终端安全是影响信息系统安全的根源这个学术观点，同时提出了以过程控制模型构建网路安全的方法。同时本书也从实际出发，介绍了如何通过过程控制技术来帮助读者保护所有的终端设备，从Microsoft Windows、Apple OS X、Linux到PDA、智慧型电话、嵌入式设备。儘管在安全技术和培训中已经投入了大量人力和资金，但黑客们总是能成功攻击网路中最薄弱的环节——终端。在本书中，作者还介绍了许多实际的信息安全技术、软体和工具，对读者有很高的参考和套用价值。

本书特别适合用作信息安全、计算机、通信、电子工程等领域的科技人员的技术参考书，或作为相关专业的教材。

在过去20年里，Mark S.Kadrich是信息安全界颇有贡献的一员。他长于系统级设计、策略制订、终端安全和风险管理。Kadrich先生已经出版过很多书籍和刊物，是一个热心的作者。

Kadrich先生目前是The Security Consortium（TSC）公司的总裁兼执行长，这是一家私人控股公司，其任务是向客户提供更好的安全产品知识。TSC深入地测试并评价安全产品及其厂商。作为执行长和主要推广人员，Kadrich先生负责确保公司能持续增长。

Symantec公司收购了Sygate公司之后，Kadrich先生担任了Symantec公司的网路与终端安全高级经理一职。他的职责是：确保Symantec公司的业务部门在追求创新的技术解决方案的同时，能正确理解安全策略。

在Symantec收购Sygate之前，Kadrich先生是Sygate的资深科学家。在担任资深科学家期间，Kadrich先生负责制定公司策略，把握未来安全趋势，设法让公司规划通过政府的审批并根据需要推动规划。作为Altview公司的创始人之一，在Sygate收购这家创业公司的时候，Kadrich先生加入了Sygate。

Kadrich先生是Altview公司的创始人，作为主要架构师，他负责设计了一个对网路及其终端进行扫描和场境化的系统，并建立了详细的知识库。该系统最终叫做Magellan系统，它能确定网路上有什幺终端、网路在如何变化；如果有终端要管理的话，该系统还能确定什幺样的终端易于管理。

作为LDT Systems公司的首席技术官（CTO）和首席安全官（CSO），Kadrich先生协助开发和维护了一个基于Web的系统，用于可靠地获取和跟蹤器官捐赠者的资料。

Kadrich先生曾是Counterpane网际网路安全公司的技术服务主任。他负责拟定方法，以培养和提高Counterpane公司在与客户相关的安全活动方面，部署产品和提供服务支持的能力。

Kadrich先生担任过Conxion公司的安全主任。作为安全主任，其职责是规划Conxion信息安全解决方案的战略方针。

在担任Conxion公司的安全主任之前，他是International Network Service（INS）公司的首席顾问，创建了一种安全评估的方法，并向业界主管解释正确实施安全规划的好处。

Kadrich先生是一个信息系统安全认证专家（CISSP），持有Phoenix大学管理信息系统的学士学位，并有计算机工程和电气工程学位（Memphis，1979年）。他的论着发表在《TCP 内幕》、《出版杂誌》、《全球信息技术》、《RSA》、《CSI》，以及《黑帽简报》等杂誌和出版物上。

第1章 定义终端 1

1.1 概要 2

1.2 特别注意 3

1.3 Windows终端 3

1.4 非Windows终端 5

1.5 嵌入式终端 5

1.6 行动电话和个人数字助理（PDA） 7

1.7 Palm 8

1.8 Windows CE——Windows Mobile 8

1.9 SYMBIAN作业系统 9

1.10 黑莓 10

1.11 消失的边界——骗人 11

1.11.1 边界在变化 12

1.11.2 快速移动不等于消失 12

1.11.3 终端是新的边界 13

1.11.4 保护数据 14

1.12 关键点 14

1.12.1 终端是新的战场 14

1.12.2 对人类来说变化太快 14

第2章 安全防护为什幺会失败 15

2.1 概要 16

2.2 特别注意 16

2.3 设定舞台 17

2.4 商业利益驱动的过程 19

2.4.1 解决过去问题的方案 20

2.4.2 我们没有严格地质问厂商 21

2.5 病毒、蠕虫、木马和殭尸程式 21

2.5.1 今天的恶意软体：大、快而且危险 22

2.5.2 引人瞩目的失败 23

2.5.3 攻击利用的是什幺 24

2.5.4 殭尸程式 24

2.6 可以料想的悲惨结果 26

2.6.1 比以往更多的花费 26

2.6.2 我们无法获得预期的成功 28

2.6.3 我们仍然很诧异 28

2.7 有什幺遗漏吗 29

2.7.1 我们做错了什幺 29

2.7.2 我们错过了一些线索吗 30

2.8 关键点 31

2.8.1 恶意软体继续肆虐 31

2.8.2 厂商没有帮上忙 31

2.8.3 我们需要问更难的问题 31

2.8.4 我们遗漏了什幺吗 32

第3章 缺失之处 33

3.1 概要 34

3.2 特别注意 34

3.3 现有尝试已经失败（目前的模型） 35

3.4 我们不明白为什幺失败 36

3.5 我们还在沿用旧的思想 37

3.6 像控制问题那样定义网路 39

3.6.1 将控制模型与技术对应 41

3.6.2 确定反馈路径 42

3.6.3 识别出影响其他度量的那些度量 43

3.6.4 规划业务途径和技术路线 44

3.6.5 我们可以建立一个更好的模型吗 45

3.7 确定控制节点 45

3.7.1 将技术和控制节点对应 46

3.7.2 将控制节点与控制模式对应 46

3.7.3 测定时间常数 47

3.7.4 控制路径与业务过程 48

3.8 完成图释 49

3.9 关键点 54

3.9.1 我们需要更好的思想 54

3.9.2 信任与风险 54

3.9.3 过程控制有助于建立模型 54

3.9.4 不能忽视业务过程 55

3.9.5 我们需要共同的语言 55

第4章 查明缺失的环节 56

4.1 概要 56

4.2 特别注意 57

4.3 两个数据点蕴含一个解决方案 57

4.3.1 攻击载体 58

4.3.2 过程控制分析 59

4.4 联繫似乎就是终端 59

4.4.1 恶意软体的目标 59

4.4.2 允许网路接入 60

4.5 需要做些什幺 61

4.5.1 基本的阻断和治理 61

4.5.2 管理主机的完整性 62

4.5.3 控制接入网路 63

4.6 网路访问控制 63

4.6.1 验证最低限度的信任 65

4.6.2 只允许可信系统 65

4.6.3 亡羊补牢 66

4.6.4 利用技术强制实施决策 66

4.7 关键点 67

4.7.1 终端是关键 67

4.7.2 必须利用技术 67

4.7.3 网路是比例过程控制解决方案的一部分 67

第5章 终端与网路集成 68

5.1 概要 68

5.2 特别注意 68

5.3 体系是关键 69

5.4 基础 69

5.4.1 多老才算过时 70

5.4.2 网路分区仍然有效 70

5.5 我需要铲车吗 74

5.5.1 升级的代价不菲 74

5.5.2 一种花销较少的方法 75

5.5.3 技术展望与未来 78

5.6 终端支持 79

5.6.1 认证 79

5.6.2 厂商支持 79

5.7 安全漏洞与修复 81

5.7.1 检测 82

5.7.2 漏洞跟蹤服务 82

5.7.3 漏洞管理 82

5.7.4 修复 84

5.7.5 渗透测试 84

5.8 签约客户与访客 86

5.9 关键点 86

5.9.1 了解你的体系结构 86

5.9.2 三种基本的网路访问控制模型 86

5.9.3 谨慎选择厂商 87

5.9.4 不要相信未来 87

5.9.5 允许受控接入是重要的 87

5.9.6 漏洞管理在安全过程中有一席之地 88

5.9.7 技术，流程，然后闭合迴路 88

第6章 信任的起点 89

6.1 概要 89

6.2 特别注意 90

6.3 从一个安全的创建环境开始 90

6.3.1 过程是关键 90

6.3.2 在安全明亮的地方创建 91

6.3.3 需要一个安全底线 93

6.3.4 控制你的原始码 93

6.4 必要的工具 94

6.4.1 软体防火墙 94

6.4.2 反病毒 95

6.4.3 补丁管理 97

6.4.4 入侵检测 98

6.4.5 入侵防御 99

6.4.6 主机完整性 101

6.4.7 加密 102

6.5 信任，但要验证 103

6.5.1 测试，测试，测试 103

6.5.2 跟蹤你的结果 104

6.6 关键点 104

6.6.1 起点安全 104

6.6.2 必需的工具 105

6.6.3 检查你的结果 105

第7章 威胁载体 106

7.1 概要 106

7.2 特别注意 106

7.3 保护作业系统 107

7.3.1 一些内置的保护 107

7.3.2 一些内在的弱点 110

7.4 “杀手级”套用 111

7.4.1 P2P攻击 113

7.4.2 让我们“聊聊”它 113

7.5 关键点 114

7.5.1 作业系统是你最好的敌人 114

7.5.2 软体是你最坏的朋友 114

第8章 Microsoft Windows 115

8.1 概要 115

8.2 特别注意 116

8.3 简单说说Vista 117

8.4 最初的安全检查 118

8.4.1 系统扫描 118

8.4.2 查找Rootkit包 119

8.4.3 系统档案 121

8.4.4 交换数据流 122

8.4.5 检查注册表 123

8.4.6 关于进程 126

8.4.7 间谍软体 126

8.4.8 查看日誌 127

8.4.9 网路欺骗 127

8.4.10 扫尾工作 127

8.5 加固作业系统 128

8.5.1 独立系统 129

8.5.2 检查你的反病毒软体 133

8.5.3 上紧螺丝 135

8.6 应用程式 138

8.6.1 软体限制策略 138

8.6.2 IE浏览器 139

8.6.3 网路会议 140

8.6.4 终端服务 140

8.6.5 Windows Messenger 140

8.6.6 Windows更新 141

8.7 企业安全 141

8.8 伺服器 143

8.9 闭合迴路 144

8.10 工具和厂商 145

8.11 关键点 146

8.11.1 从新鲜环境开始 146

8.11.2 Rootkit包 146

8.11.3 安全装备竞赛 147

8.11.4 Windows可以是安全的 147

8.11.5 过程是关键 147

8.11.6 闭合迴路 147

第9章 Apple OS X 148

9.1 概要 148

9.2 特别注意 149

9.3 最初的安全检查 151

9.3.1 系统扫描 151

9.3.2 查找rootkit包 154

9.3.3 系统档案 155

9.3.4 处理你的进程 156

9.3.5 网路上有些什幺 160

9.3.6 间谍软体和其他恶意软体 162

9.3.7 查看日誌档案 164

9.4 加固作业系统 166

9.5 应用程式 168

9.6 网路 169

9.7 工具和厂商 171

9.7.1 Apple远程桌面 171

9.7.2 Little Snitch 172

9.7.3 反病毒软体 172

9.7.4 Symantec 173

9.7.5 Virex 173

9.7.6 ClamXav 174

9.8 闭合迴路 174

9.9 关键点 174

9.9.1 网路 175

9.9.2 应用程式 175

9.9.3 Rootkit包 175

9.9.4 数据保护 175

9.9.5 检查日誌 176

9.9.6 主机完整性 176

9.9.7 安全工具 176

9.9.8 闭合迴路 176

第10章 Linux 177

10.1 概要 178

10.2 特别注意 178

10.2.1 支持 179

10.2.2 套用 179

10.2.3 FEDORA 180

10.2.4 XANDROS 180

10.2.5 支持的套用 180

10.2.6 漫谈 181

10.2.7 合适与完美 181

10.2.8 不是背书 182

10.3 初始安全检查 182

10.3.1 系统扫描 182

10.3.2 查找ROOTKIT包 184

10.3.3 系统档案 185

10.3.4 进程 187

10.3.5 网路 189

10.3.6 间谍软体和恶意软体 190

10.3.7 查看日誌 190

10.4 加固作业系统 191

10.4.1 安装 191

10.4.2 清除无用软体（Dunselware） 191

10.4.3 更新和补丁 192

10.4.4 网路 193

10.4.5 访问控制 195

10.5 套用 200

10.5.1 读，写，算 200

10.5.2 远程管理 202

10.6 网路 203

10.6.1 NETBIOS的不幸 203

10.6.2 无线网路 203

10.6.3 网路套用 204

10.6.4 802.1X 205

10.7 企业管理 205

10.8 工具和厂商 206

10.9 闭合迴路 208

10.10 关键点 209

10.10.1 两个极端的对比 209

10.10.2 XANDROS运行NETBIOS 210

10.10.3 更新FEDORA 210

10.10.4 用户依然是问题 210

10.10.5 为成功而筹划 211

10.10.6 闭合迴路的可能性 211

第11章 PDA与智慧型电话 212

11.1 概要 212

11.2 注意 212

11.2.1 当前的严重威胁 213

11.2.2 有趣的解决方法 214

11.2.3 连线 214

11.2.4 新领域 215

11.3 作业系统 215

11.3.1 Windows Mobile 215

11.3.2 SYMBIAN OS 217

11.3.3 黑莓 218

11.3.4 PALM 220

11.3.5 移动Linux 220

11.3.6 初始安全检查 220

11.4 手持设备安全保护 221

11.4.1 Windows Mobile 221

11.4.2 SYMBIAN OS 221

11.4.3 PALM 222

11.4.4 黑莓 222

11.4.5 同步 223

11.5 套用 224

11.5.1 电子邮件 224

11.5.2 简讯 224

11.5.3 浏览 225

11.6 网路 225

11.6.1 WiFi 225

11.6.2 蓝牙安全 226

11.6.3 蜂窝协定 229

11.7 工具与厂商 230

11.7.1 GOOD 231

11.7.2 BLUEFIRE安全技术 231

11.7.3 SMOBILE系统 232

11.7.4 移动ARMOR 233

11.7.5 反病毒厂商 233

11.7.6 非企业用户 234

11.7.7 WEB站点 235

11.8 闭合迴路 235

11.9 关键点 235

11.9.1 行业尚未成熟 236

11.9.2 手持设备将是下一个攻击目标 236

11.9.3 网路的不幸 236

11.9.4 解决方案和安全分歧 236

11.9.5 强制措施将会启用 236

11.9.6 还没有实现闭环过程控制 237

第12章 嵌入式设备 238

12.1 概要 238

12.2 特别注意 238

12.3 什幺是嵌入式系统 239

12.4 哪里有嵌入式系统 239

12.5 为什幺担心 241

12.6 嵌入式安全威胁 243

12.7 初始安全检查 244

12.8 套用 249

12.9 网路 250

12.10 工具及厂商 250

12.11 嵌入式安全 251

12.12 闭合迴路 252

12.13 关键点 252

12.13.1 我们被嵌入式系统包围 252

12.13.2 没有真正的安全 253

12.13.3 TPM没给嵌入式解决方案帮上忙 253

12.13.4 闭合迴路 253

12.13.5 你可以做一些工作 254

第13章 终端安全失败案例研究 255

13.1 概要 255

13.2 案例研究1 255

13.2.1 失败模式：出了什幺问题 255

13.2.2 终端如何捲入其中 256

13.2.3 影响 256

13.2.4 过程控制缺失 256

13.2.5 如何避免 257

13.3 案例研究2 257

13.3.1 失败模式：出了什幺问题 257

13.3.2 终端如何捲入其中 258

13.3.3 影响 258

13.3.4 过程控制缺失 258

13.3.5 如何避免 259

13.4 案例研究3 259

13.4.1 失败模式：出了什幺问题 259

13.4.2 终端如何捲入其中 259

13.4.3 影响 259

13.4.4 过程控制缺失 260

13.4.5 如何避免 260

13.5 案例研究4 260

13.5.1 失败模式：出了什幺问题 260

13.5.2 终端如何捲入其中 261

13.5.3 影响 261

13.5.4 过程控制缺失 261

13.5.5 如何避免 261

13.6 关键点 262

13.6.1 不同点和相似点 262

13.6.2 闭环过程控制哲学 263

13.6.3 余下的工作 263

附录：术语 264