在当今日益复杂的网络环境下,信息安全涉及硬件、软件、数据、人、物理环境及其基础设施,一两本书不足以说透其中奥妙精髓。
根据《计算机信息系统安全专用产品分类原则(GA 163-1997)》,该标准适用于保护计算机信息系统安全专用产品,涉及实体安全、运行安全和信息安全三个方面。实体安全包括环境安全,设备安全和媒体安全三个方面。运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别七个方面。
今天我们给大家推荐了一波书单,内容与上述七个方面重合,如有遗漏,欢迎补充。
1、计算机及系统原理方面
防御也好攻击也罢,都是从计算机出发的,熟悉计算机安全操作系统、各种安全协议、安全机制等基础内容,简直是为你在与黑客的狙击战中穿了一件防弹衣。
·《深入理解计算机系统》 作者:Randal E.Bryant / David O'Hallaron
·《程序的构造和解释》 作者:Harold Abelson / Gerald Jay Sussman / Julie Sussman
·《计算机程序设计艺术》 作者:Donald E.Knuth
·《数据库系统概念》 作者:Silberschatz.A.
2、操作系统方面
目前,常见的操作系统平台包括Windows、Linux、Mac、Android、UNIX等。作为计算机系统的内核与基石,操作系统需要管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等,大多数操作系统都含有某种程度的信息安全机制。
·《深入理解UNIX系统内核》 作者:Uresh Vahalia
·《深入理解Windows操作系统》 作者:Russinovich,M.E. / Solomon,D.A.
·《深入理解Mac OS X & iOS操作系统》 作者:Jonathan Levin
·《Linux程序设计》 作者:Neil Matthew / Richard Stones
·《第一行代码:Android》 作者:郭霖
·《Android系统源代码情景分析》 作者:罗升阳
3、网络安全方面
当然,从事信息安全工作还要了解网络安全的基础知识,包括构成网络安全原理所必需的密码学知识、网络安全原理和主要的工业标准与应用。
·《信息安全原理与实践》 作者:Mark Stamp
·《网络安全基础:应用与标准》 作者:William Stallings
·《网站入侵与脚本攻防修炼》 作者:逍遥
·《密码学原理与实践》 作者:Douglas R. Stinson
4、编程语言方面
信息安全的概念广泛,涉及网络安全、做渗透测试、应用审核等,良好的代码功底、掌握多种汇编语言能够优化自身编写的程序,提高安全性和运行效率,从事更高级的安全研发工作。
·《C程序设计语言》 作者:Brian W. Kernighan / Dennis M. Ritchie
·《Python编程 从入门到实践》 作者:埃里克·马瑟斯
·《Java编程思想》 作者:Bruce Eckel
·《Intel汇编语言程序设计》 作者:Kip Irvine
·《UNIX编程艺术》 作者:Eric S·Raymond
·《代码大全(第2版)》 作者:Steve McConnell
·《汇编语言》 作者:王爽
5、软件安全方面
软件安全目前还存在不少漏洞,大多数IT安全事件都与软件编程错误有关,黑客就是通过寻找其中的BUG实现非法入侵,因此,有必要加深对软件漏洞方面的了解,思考如何在开发、测试等软件生命周期的各个环节中加入安全因素,以增强软件产品的安全性。
·《白帽子讲Web安全》 作者:吴翰清
·《0day安全:软件漏洞分析技术》 作者:王清
·《计算机病毒防范艺术》 作者:斯泽
·《模糊测试-强制性安全漏洞挖掘》 作者:Michael Sutton / Adam Greene / Pedram Amini
·《灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术》 作者:Daniel Regalado / Shon Harris
然而,下面这本书才是国内许多极客的初心,堪称理工科中的《新华字典》。
以上的书籍只是沧海一粟,要想从事信息安全事业,你需要了解各种HTML、PHP等网页相关技术、熟悉安全开发流程……因此专业读物也异常丰富。带着问题去读,这样才能迅速掌握书中的精华。当然,最重要的是保持一颗极客的好奇心,有格局才有视野,网络信息安全讲的就是不谋全局者不足以谋一域,漏洞就在那被忽略的一域等着你。
这些书籍我都整理成PDF文档了,可以分享给大家,如果你需要的话评论区留言111