b测试对产品发布能否取得成功起着至关重要的作用。本书详细介绍了b测试的各个方面。内容包括：b测试的必要性，什么是b测试，b测试的准备，b测试的实施过程，如何处理b测试中的问题，以及如何有效利用b测试所收集的数据等等。本书作者有着丰富的b测试经验，书中除了介绍相关的理论外，还通过大量案例研究将作者个人的经验融入其中，因此本书极具实用性。本书适合对b测试感兴趣或想改善公司现有b测试过程的相关人员阅读。B测试是一个非常复杂的过程。若成功执行B测试，可以获取大量有价值的信息。若B测试执行失败，不仅会浪费时间和财力，而且无法获取有价值的数据。本书由B测试领域的权威专家编写，将帮助你充分发挥B测试的强大功能。作者将其丰富的B测试经验融于书中，你可以利用这些经验高效执行B测试，以改善产品质量。本书通过真实的案例研究，首先清晰地解释了什么是B测试，以及为什么需要进行B测试。然后，深入研究B测试过程，依次展示B测试过程所涉及的各个方面。最后，作者介绍了如何高效利用B测试结果。主要内容有：◆通过案例研究来理解B测试中的操作步骤◆利用已有的B测试经验完成B测试◆基于高效B测试过程生成高质量产品◆以跨平台、跨技术的方式来应用B测试◆改进现有的B测试过程，找出过程中存在的关键问题

本书主要介绍企业信息系统面临的安全威胁和相应的对策。全书从企业信息系统安全所面临的主要威胁及不安全因素入手，介绍了企业网络的安全体系及系统的安全原则。书中详细讲述了企业信息系统的风险管理及安全控制；防火墙的体系结构及应用；恶意代码的种类、传播与防治；病毒的特征及防治；企业电子邮件的安全；企业Web的安全；应急响应与灾难恢复的具体措施以及企业网络的安全解决方案。本书内容全面，简明实用，可作为企、事业单位信息系统的管理人员、信息安全技术人员和信息安全专业本科生和研究生的参考用书。也可以作为计算机科学技术及应用、软件工程及应用、信息工程、信息管理与信息系统、银行信息管理、会计信息管理和计算机安全等专业的工具书和教材。目录第1章企业信息系统安全问题概述11.1企业信息系统安全面临的主要威胁21.1.1企业信息系统的安全需求21.1.2Internet/Intranet/Extranet51.1.3Internet环境的安全问题91.1.4信息系统安全隐患131.1.5内部威胁151.1.6外部访问失控威胁181.1.7外部恶意攻击威胁191.1.8意外事件与灾难威胁211.2Web服务与电子邮件的不安全因素221.2.1Web服务的不安全因素221.2.2电子邮件的不安全因素241.3企业网络的安全体系291.3.1信息系统安全的层次模型291.3.2全方位的安全体系311.4普遍接受的系统安全原则34第2章企业信息系统风险管理372.1风险管理概述382.1.1风险的概念382.1.2风险管理的生命周期392.2风险评估402.2.1第一步――系统特征分析402.2.2第二步――威胁识别432.2.3第三步――弱点识别442.2.4第四步――控制分析472.2.5第五步――可能性确定472.2.6第六步――影响分析482.2.7第七步――风险确定502.2.8第八步――控制建议512.2.9第九步――结果文档522.3风险减缓522.3.1风险减缓措施522.3.2风险减缓策略532.3.3风险减缓的实施532.3.4安全控制552.3.5成本/收益分析562.3.6残余风险57第3章信息系统安全控制593.1安全控制概述603.2物理控制633.2.1物理安全633.2.2物理防范措施643.3逻辑访问控制653.3.1认证653.3.2逻辑访问控制分类663.4人事控制683.4.1人事管理原则683.4.2人事管理措施693.5账号与口令控制723.5.1口令攻击与安全的口令723.5.2不安全的口令733.5.3对账号与口令的管理743.6操作系统安全控制75第4章业防火墙794.1防火墙的概念804.1.1什么是防火墙804.1.2防火墙的功能814.1.3使用防火墙的好处834.1.4防火墙的局限性844.2典型的防火墙864.2.1包过滤防火墙864.2.2代理服务防火墙884.2.3状态检测防火墙914.3防火墙体系结构924.3.1双宿主机防火墙924.3.2屏蔽主机防火墙934.3.3屏蔽子网防火墙934.4防火墙的具体应用954.4.1防火墙的购买决策954.4.2防火墙的政策1014.4.3防火墙规则配置1024.4.4防火墙环境下的服务器部署1044.4.5代理服务的典型应用107第5章恶意代码1135.1恶意代码概述1145.1.1恶意代码的种类1145.1.2恶意代码的产生、传播与防治1165.2病毒1185.2.1病毒的特征1185.2.2病毒的防治1215.2.3病毒实例――CIH1235.3蠕虫1275.3.1网络蠕虫分析1275.3.2蠕虫实例――尼姆达1295.4恶意网页1335.4.1网页恶意代码分析1335.4.2恶意网页实例1375.4.3网页恶意代码的预防1395.5特洛伊木马1415.5.1什么是特洛伊木马1415.5.2木马的隐蔽性1415.5.3木马实例――冰河145第6章企业电子邮件安全1476.1背景与标准1486.1.1背景1486.1.2多用途Internet邮件扩展MIME1496.1.3邮件传输标准1536.1.4简单邮件传输协议1536.1.5私用邮件传输1576.1.6客户端访问标准1586.1.7邮局协议POP31586.1.8IMAP4协议1626.1.9私有邮箱访问机制1676.2相关的加密标准1676.2.1什么是加密与数字签名1676.2.2PGP与S/MIME1706.2.3选择PGP和S/MIME1726.3邮件服务器安全与内容安全1726.3.1邮件服务器的加固1736.3.2内容安全1746.3.3未经允许而发送的大量电子邮件1806.3.4认证邮件中继1846.3.5安全访问1846.3.6通过Web访问1856.4邮件客户端的安全1856.4.1安全地安装及配置邮件客户端1856.4.2安全地编写邮件1876.4.3插件1886.4.4基于Web的邮件系统1886.4.5拒绝垃圾邮件188第7章企业Web安全1917.1Web服务器安全1927.1.1安装Web服务1927.1.2配置访问控制1927.1.3使用文件完整性检查1977.1.4IIS安全1987.2Web内容安全2007.2.1在公共Web站点上发布信息2007.2.2关于收集个人信息的规则2027.2.3安全活动内容和内容生成技术2037.2.4WWW的信息监控2097.3用户认证与加密2127.3.1确定认证与加密需求2127.3.2基于地址的认证2137.3.3基础认证2137.3.4摘要认证2137.3.5SSL/TLS2147.4Web服务的管理2167.4.1日志2167.4.2备份2207.4.3恢复2237.4.4测试2247.4.5远程管理225第8章应急响应与灾难恢复2278.1应急规划2288.1.1什么是应急规划2288.1.2应急规划流程2298.2应急处理2318.2.1安全事件2318.2.2安全事件的评估2338.2.3安全事件的通告2348.2.4安全事件的处理2358.2.5调查与法律2368.2.6文档记录2378.2.7消除脆弱性2378.2.8策略与规程的升级2388.3攻击追踪2398.3.1攻击2398.3.2实例――拒绝服务攻击2398.3.3攻击追踪2438.4灾难恢复2498.4.1灾难恢复2498.4.2容灾备份250第9章网络安全新技术2579.1VPN技术2589.1.1VPN的功能2589.1.2IP安全协议（IPSec）2629.1.3企业VPN2709.2PKI技术2719.2.1数字证书2719.2.2PKI的构成2739.2.3PKI体系结构2759.2.4PKI的操作2789.3入侵检测技术2819.3.1为什么需要入侵检测系统2819.3.2入侵检测系统的主要类型2829.3.3入侵检测的主要方法2849.3.4入侵检测系统和防火墙的配合使用2859.3.5企业入侵检测系统的指标286第10章企业网络安全解决方案28910.1企业安全解决方案设计原则29010.2小型企业安全解决方案29010.2.1某小型企业网络概况29110.2.2网络安全详细解决方案29310.3大中型企业安全解决方案29710.3.1某企业网络概况29710.3.2企业安全详细解决方案299参考文献307

本书由OCTAVE方法的开发者编写，是OCTAVE原则和实施的权威指南，书中提供了评估和管理信息安全风险的系统方法，描述了自主评估的实施过程，演示了如何剪裁评估方法，使其适合不同组织的需要。

本书是由CompTIA授权的权威Security+认证教材。本书围绕考试目标着重介绍了安全的基本概念、通信安全、基础设施安全、密码学基础以及操作和组织安全等内容。本书概念清晰、逻辑性强、讲解细致，既考虑到了实际备考的需求，又考虑到了未来从业所面临的实际问题。书中每章后面都备有复习题和答案，另外还有几百道练习题的测试引擎和两套模拟考题。本书是备考Security+认证人员的必备教程，也是从事网络安全工作的技术人员的参考书。

本书的目的本书的目的是概述密码编码学和网络安全的原理和应用。前两部分讨论密码编码学和网络安全技术，阐述网络安全的基本内容。其他部分讨论网络安全的应用，包括已经实现或正用于提供网络安全的实用应用软件。因此本书涉及多个学科。特别地，要想理解本书讨论的某些技术的精髓，必须要有数论的基本知识和概率论中的某些结果。然而本书试图自成体系，不仅给出了必需的数论知识，而且让读者对这些知识有直观的理解。采用的方法是，在需要的时候才引入这些背景知识。这样有助于读者理解讨论这些知识的动机，作者认为这种方法比把所有的数学知识一次性全部放在本书开头要好。本书适用的对象本书适合于教师和专业人员使用。本书可作为计算机科学.c计算机工程.c电气工程专业本科生密码编码学和网络安全方面课程的教材，学时为一学期。本书也可作为参考用书或作为自学教材。WilliamStallings：在计算机网络和计算机体系结构领域作出了独特的、广泛的贡献。他在18个专题方面编写出版了48本书籍，五次获得教材和著作家协会颁发的优秀计算机科学和工程教材奖。他还作为独立顾问为计算机网络制造商、软件开发商、研究机构和计算机用户提供咨询服务。WilliamStallings获得了麻省理工学院计算机科学博士学位。他在PrenticeHall出版的著作都可以从PrenticeHall的网站http：／／WWW.prenhall.com／stallings上找到。张焕国：教授、博士生导师，武汉大学计算机科学与技术学院副院长。主要从事信息安全、容错计算和计算机应用方面的教学和科研工作。现任中国密码学会理事，中国计算机学会容错专业委员会委员，湖北省电子学会副理事长，湖北省暨武汉市计算机学会理事。本书系统地介绍了密码编码学与网络安全的基本原理和应用技术。全书主要包括下列四个部分。传统密码部分详细讨论了传统密码算法和设计原理，包括使用传统密码来保证秘密性。公钥密码和hash函数部分详细讨论了公钥密码算法和设计原理、消息认证码和hash函数的应用，以及数字签名和公钥证书。网络安全部分讨论了系统层的安全问题，包括入侵者和病毒造成的威胁及相应的对策、防火墙和可信系统的应用。本书第三版与第二版相比，在继续广泛涵盖密码编码学与网络安全领域内容的同时，新增了有限域、高级加密标准（AES）、RC4密码、CTR模式等内容，并对椭圆曲线密码部分的内容做了很多扩充。此外，对于基本内容的讲述方法也有许多变化和更新。本书内容全面，讲述深入浅出，便于理解，尤其适合于课堂教学和自学，是一本难得的好书。特别是本书后面讨论的网络安全在现实世界中的应用，包括已经实现的和正在使用的提供网络安全的实际应用。本书可作为研究生和高年级本科生的教材，也可供从事信息安全、计算机、通信、电子工程等领域的科技人员参考。

美国“软件开发”杂志第十三界图书效率大奖本书由绪论和两个部分组成。绪论介绍了本书其余部分所用到的必要概念和词汇，探讨了软件构架文档的使用方法以及它之所以重要的原因，定义了构架视图类型、风格和视图，这3个概念是本书介绍的编档方案的基础，另外，绪论部分还包含了正确编档的7个基本规则。第I部分"软件构架视图类型及风格"介绍了对软件构架进行编档的基本工具：视图类型。这一部分介绍了3个基本视图类型：模块视图类型、组件和连接器视图类型以及分配视图类型。每个视图类型包含多种构架风格，即视图类型的特化。这一部分具体描述了这些风格。第II部分"软件构架编档实践"集中论述了完整的构架文档包，制作构架文档包是出色的软件构架师的职责。第II部分完善了第I部分铺陈的内容。本书主要供软件构架师和负责为软件项目编写构架文档的技术文献书写员阅读，同时也可供那些打算学习和利用这种文档的人们阅读。

揭开黑客的秘密武器库，保护你的Web应用程序！Web架构师和操作员的必读之作。——ErikOlson，微软程序经理，安全专家在Internet大众化及Web技术飞速演变的今天，在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升，以及基子Web的攻击和破坏的增长，安全风险达到了前所未有的高度。《Web应用黑客大曝光》一书以stepbystep的方式教授你如何防御最新的基于Web的攻击，让你理解黑客的邪恶方法和思考过程书中揭示了入侵者收集信息、锁定目标、标识脆弱点、获取控制及掩盖踪迹的全过程。你将目睹真实世界中的黑客事件（从简单到复杂一应俱全）并学习相应的对策。"本书在致力于使Web变成一个更安全的商业环境方面做出了巨大贡献。"——MarkCurphey，开放Web应用安全工程主席在Web技术飞速演变、电子商务蓬勃发展的今天，在线安全风险达到了前所未有的高度。本书详细剖析了Web应用中的常见漏洞，并解释了当安全威胁到来时你应该如何正确行事。本书分为3个部分：1．侦察，备战网络大盗，罗列各种抗拒敌人的有用信息；2．攻击，综合考虑所搜集的所有信息，针对获取Web应用非授权访问的企图，精心编制出应对方法；3．附录，是参考文献的集合（包括Web应用安全检查列表、Web黑客工具和技术的列表、如何配置与安装UrlScan，等等）。全书以step-by-step的方式教授你如何防御最新的基于Web的攻击，让你深入理解黑客的邪恶方法和思考过程。本书是Web应用安全的宝典，是负责网络安全保障工作的网络管理员和系统管理员的必需品，电子商务从业者、网络爱好者及企业和组织的管理层也可以从中获益。

如何才能允许安全地远程访问我的网站呢？如何保护计算机里的数据以免被盗呢？如何设置防火墙呢？黑客将如何攻击呢？如何在网上安全地使用信用卡呢？如果这些问题一直困扰你到深夜，那么你就需要读这本书。作为一个AT&TLabs的计算机安全专家，作者AviRubin时常与各种不同公司的IT专业人员会面。当他被要求向顾客推荐一本好的网络安全书时，Rubin才认识到市场上还油漆有一本可以为顾客简洁、直接回答所有网络安全问题的书。所以Rubin写了一本。以一种面向问题的方法，Rubin将带你走过从保护网络以免遭攻击到网上安全地使用信用卡的每一步。每一章者是以一个问题的陈述开始的，接下来是描述威胁、解释相关技术、并且提供解决方案。许多章都带有对一个或多个案例的研究。技术、并且提供解决方案。许多章都带有对一个或多个案例的研究。本书所提供的简明易懂的知识将帮助读者解决下列问题：识别威胁；分析攻击；安全地储存信息；可靠地招待和安全地备份；理解公共密钥基础设施（PKI）及它的局限；保护网络免受威胁；安装防火墙；处理拒绝服务攻击；理解在线商务和隐私；无论是IT专业人员、系统管理员、学者，还是仅仅是一个普通的Internet用户，本书都有许多不容错过的知识。AvielD.Rubin博士是一个计算机科学家，也是AT&TLabsReseach的主要研究人员。他是计算机安全领域广为人知的专家，他还是USENIX协会的理事，WebSecuritySourcebook（JohnWiley&Sons，1997）一书的作者之一。

原版进口MDAExplained：TheModelDrivenArchitecture：PracticeandPromise本书特色：■详细介绍了OMG的战略性开发方法学——MDA。■阐述了UML和MDA的关系，并介绍了MOF、XMI和CWM等与MDA相关的技术。■分析MDA如何运用基于UML的技术，将基于组件开发、设计模式、中间件等一系列重要的趋势性技术整合到企业级计算中。MDA是OMG在2002年初确定的战略方向，将会成为对未来IT技术产生重大影响的开发方法学。本书深入描述了MDA的概念、关键技术和所有特性，包括MDA基础知识、MDA在企业计算中的地位和作用、UML和MDA的关系、与MDA相关的MOF和XMI、建模语言和建模方法、CWM建模变换，以及涉及到代码生成的话题。本书适合软件架构工程师和面向对象软件工程师阅读，也可作为IT从业人员和软件工程研究者了解MDA的读物。

本书是《信息安全国家重点实验室信息安全丛书》之一。书中系统地介绍了当前计算机网络安全协议的理论和方法，主要内容包括安全协议的基本概念、缺陷以及可能受到的攻击类型，基于推理结构性方法，基于攻击结构性方法，基于证明结构性方法，安全协议分析的形式化接口，安全协议设计的形式化方法，Kerberos协议，IPSec协议，SSL协议，X·509以及SET协议。本书可作为高等院校计算机、通信、信息安全等专业的教学参考书，也可供从事相关专业的教学、科研和工程技术人员参考。