前言

为实施国家安全战略，加快网络空间安全高层次人才培养，2015年6月，“网络空间安全”已正式被教育部批准为国家一级学科。

网络空间安全的英文名字是Cyberspace Security。早在1982年，加拿大作家威廉·吉布森在其短篇科幻小说《燃烧的铬》中创造了Cyberspace一词，意指由计算机创建的虚拟信息空间。Cyberspace在这里强调计算机爱好者在游戏机前体验到交感幻觉，体现了Cyberspace不仅是信息的简单聚合体，也包含了信息对人类思想认知的影响。此后，随着信息技术的快速发展和互联网的广泛应用，Cyberspace的概念不断丰富和演化。2008年，美国第54号总统令对Cyberspace进行了定义：Cyberspace是信息环境中的一个整体域，它由独立且互相依存的信息基础设施和网络组成，包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统等。

网络空间既是人的生存环境，也是信息的生存环境，因此网络空间安全是人和信息对网络空间的基本要求。另一方面，网络空间是所有信息系统的集合，而且是复杂的庞大系统，人在其中与信息相互作用、相互影响。因此，网络空间安全问题更加综合、更加复杂。

网络空间安全涉及面很广，如何通过书籍的形式把最想要表达的内容与知识呈现给广大读者，并且如何把理论与实践紧密结合在一起，深入浅出，让读者体会到网络空间安全实际与我们每个人的生活息息相关。这是本书所要深入考虑的问题。

由于作者参与研发的在线会议系统直接面向国际市场，典型客户包括世界著名的银行、金融机构、IT业界、通信公司、政府部门等，这使得作者早在十多年前就可以接触国际上最前沿的各类网络空间安全攻击方式，研究每种攻击方式会给网站或客户可能带来的损害，以及针对每种攻击的最佳解决方案。

由于Web的开放与普及性，导致目前世界网络空间70%以上的安全问题都来自于Web安全攻击，所以本书的选材更偏向Web安全。多年来，作者一直活跃在各种Web安全问题的解决方案上，力图从系统设计、产品代码、软件测试与运营维护多个角度全方位打造安全的产品体系。虽然在网络空间安全领域“破坏总比创建容易”，编者也曾为寻找某类攻击最佳解决方案碰到过许多挫折，但在网络空间安全求真求实的路上从不忘初心，令人欣慰的是，这世上“方法总比困难多”。

本书偏动手实验与实训，与之配套的 《网络空间安全技术》 偏理论与技术研究。

《网络空间安全技术》 包括三大篇章：1.技术原理；2.安全攻击；3.安全防护。不仅有各种常见安全问题出现的原理，还有攻击是如何产生的，以及最重要的是如何防护各种攻击。同时有大数据、人工智能方面的安全应用，安全法律法规等，有深度防御、总体防御、安全开发生命周期SDL、连续监测与主动防御等。该书试图用一个完整的体系和最新的技术来构建安全的网络空间体系，该书官网及配套资料下载地址：http://books.roqisoft.com/isec。

《网络空间安全实验教程》 从国内国际排名最高的各种攻击的定义、产生原理、攻击方式、可能产生的危害等入手，每章都配有攻击成功案例与复现方法，对于这些案例只需要读者能上网就可以进行实验，本书官网及配套资料下载地址：http://books.ro-qisoft.com/psec。

《网络空间安全实验教程》 篇章安排：

第1章 注入攻击实训

第2章XSS与XXE攻击实训

第3章 认证与授权攻击实训

第4章 开放重定向与IFrame框架钓鱼攻击实训

第5章CSRF/SSRF与远程代码执行攻击实训

第6章 不安全配置与路径遍历攻击实训

第7章 不安全的直接对象引用与应用层逻辑漏洞攻击实训

第8章 客户端绕行与文件上传攻击实训

第9章 弱与不安全的加密算法攻击实训

第10章 暴力破解与HTTP Header攻击实训

第11章HTTP参数污染/篡改与缓存溢出攻击实训

第12章 安全集成攻击平台Burp Suite实训

第13章 安全渗透测试工具ZAP实训

本书每章除有经典攻击成功案例供读者练习外，还有目前国内外已经发生的同类安全漏洞披露，让读者体会到网络空间安全实际就在身边，同时配有扩展训练习题，以指导读者深入地进行学习。

为保持本书与其配套教材的连贯性，书中所有章节安排与选材，以及实验都由王顺完成。

由于时间仓促，书中难免存在不妥之处，请读者原谅，并提出宝贵意见。

编者