CISSP 權威指南, 8/e (CISSP All-in-One Exam Guide, 8/e)

CISSP 權威指南, 8/e (CISSP All-in-One Exam Guide, 8/e)

作者: Shon Harris Fernando Maymi 欒浩 顧偉 唐俊飛譯上海匯哲信息科技有限公司審校
出版社: 清華大學
出版在: 2021-01-01
ISBN-13: 9787302567738
ISBN-10: 7302567735
裝訂格式: 平裝
總頁數: 1056 頁





內容描述


《CISSP權威指南(第8版)》針對新發布的“信息系統安全認證專家考試”做了全面細緻的修訂和更新,
覆蓋所有考試領域以及(ISC)2新開發的2018 CISSP通用知識體系。
這本綜合性權威指南編排精當,每章開頭列出學習目標,
正文中穿插試提示,章末附有練習題和精闢解釋。
本書由權威的IT安全認證和培訓專家撰寫,將幫助你輕鬆通過考試;
也可作為你工作中的一本重要參考書。


目錄大綱


目  錄
第1章  安全和風險管理  1
1.1  安全基本原則  3
1.1.1  可用性  3
1.1.2  完整性  4
1.1.3  機密性  4
1.1.4  平衡安全性  5
1.2  安全定義  6
1.3  控制措施類型  8
1.4  安全框架  12
1.4.1  ISO/IEC 27000系列  14
1.4.2  企業安全架構建設  16
1.4.3  部署安全控制措施  27
1.4.4  建立流程管理體系  31
1.4.5  功能性與安全性  37
1.5  反電腦犯罪法律的難題  37
1.6  網絡犯罪的復雜性  39
1.6.1  電子資產  40
1.6.2  攻擊的演變  41
1.6.3  國際化問題  44
1.6.4  法律體系的分級  47
1.7  知識產權  50
1.7.1  商業秘密  50
1.7.2  版權(著作權)  51
1.7.3  商標  52
1.7.4  專利  53
1.7.5  內部知識產權保護  54
1.7.6  軟件盜版  54
1.8  個人隱私保護  56
1.8.1  日益增加的隱私法需求  58
1.8.2  法律、法規與指引  59
1.8.3  員工隱私問題  65
1.9  數據泄露  67
1.9.1  有關數據泄露的美國法律  67
1.9.2  其他國家有關數據泄露的
法律  69
1.10  方針、策略、標準、基線、
指南與程序  69
1.10.1  安全方針及策略  70
1.10.2  標準  72
1.10.3  基線  73
1.10.4  指南  74
1.10.5  程序  74
1.10.6  實施  75
1.11  風險管理  75
1.11.1  全面風險管理  76
1.11.2  信息系統風險管理策略  76
1.11.3  風險管理團隊  77
1.11.4  風險管理流程  78
1.12  威脅建模  78
1.12.1  威脅建模概念  78
1.12.2  威脅建模方法論  80
1.13  風險評估與分析  82
1.13.1  風險評估團隊  83
1.13.2  信息與資產的價值  84
1.13.3  資產價值的成本要素  84
1.13.4  識別脆弱性與威脅  85
1.13.5  風險評估方法論  86
1.13.6  風險分析方法  90
1.13.7  定性風險分析  93
1.13.8  保護機制  96
1.13.9  總體風險與殘餘風險的對比  99
1.13.10  處理風險  100
1.14  供應鏈風險管理  101
1.14.1 上下游供應商  103
1.14.2  服務水平協議  104
1.15  風險管理框架  104
1.15.1  信息系統分類  105
1.15.2  選擇安全控制措施  106
1.15.3  實施安全控制措施  106
1.15.4  評估安全控制措施  107
1.15.5  信息系統授權  107
1.15.6  持續監測安全控制措施  107
1.16  業務連續性和災難恢復  108
1.16.1  標準與最佳實踐  110
1.16.2  將業務連續性管理融入企業安全計劃  112
1.16.3  業務連續性計劃的組件  114
1.17  人員安全  127
1.17.1  聘用安全實踐  128
1.17.2  入職安全實踐  129
1.17.3  解聘  130
1.17.4  安全意識宣貫培訓  130
1.17.5  學位或認證  132
1.18  安全治理  133
1.19  道德  137
1.19.1  電腦道德協會  138
1.19.2  Internet架構委員會  139
1.19.3  企業道德計劃  140
1.20  總結  140
1.21  快速提示  142
1.22  問題  145
1.23  答案  152
第2章  資產安全  157
2.1  信息生命周期  158
2.1.1  獲取  158
2.1.2  使用  159
2.1.3  歸檔  159
2.1.4  廢棄  160
2.2  數據分級  160
2.2.1  數據分級水平  161
2.2.2  分級控制措施  164
2.3  管理責任層級  165
2.3.1  行政管理層  166
2.3.2  信息所有者  168
2.3.3  數據托管者  169
2.3.4  系統所有者  169
2.3.5  安全管理員  169
2.3.6  主管  170
2.3.7  變更控制分析師  170
2.3.8  數據分析師  170
2.3.9  用戶  170
2.3.10  審計師  170
2.3.11  為什麽有這麽多角色?  171
2.4  資產留存策略  171
2.5  隱私保護  174
2.5.1  數據所有者  175
2.5.2  數據處理者  175
2.5.3  數據殘留  175
2.5.4  信息收集限制  178
2.6  保護資產  179
2.6.1  數據安全控制措施  179
2.6.2  介質安全控制措施  183
2.6.3  移動設備安全保護  187
2.6.4  紙質記錄  188
2.6.5  保險櫃  188
2.6.6  選擇恰當的安全標準  189
2.7  數據泄露  189
2.8  總結  197
2.9  快速提示  198
2.10  問題  199
2.11  答案  202
第3章  安全架構與工程  205
3.1  系統架構  206
3.2  電腦架構  209
3.2.1  中央處理器  210
3.2.2  多處理器  213
3.2.3  存儲器類型  214
3.3  操作系統  225
3.3.1  進程管理  225
3.3.2  內存管理  233
3.3.3  輸入/輸出設備管理  237
3.3.4  中央處理器(CPU)集成架構  239
3.3.5  操作系統架構  242
3.3.6  虛擬機  248
3.4  系統安全架構  251
3.4.1  安全策略  252
3.4.2  安全架構需求  252
3.5  安全模型  256
3.5.1  Bell-LaPadula模型  257
3.5.2  Biba模型  257
3.5.3  Bell-LaPadula 模型與Biba模型  258
3.5.4  Clark-Wilson 模型  258
3.5.5  非乾擾模型  259
3.5.6  Brewer-Nash模型  260
3.5.7  Graham-Denning模型  260
3.5.8  Harrison-Ruzzo-Ullman模型  261
3.6  系統評價  262
3.6.1  通用準則  262
3.6.2  產品評價的必要性  265
3.7  認證和認可  265
3.7.1  認證  266
3.7.2  認可  266
3.8  開放式系統與封閉式系統  267
3.9  系統安全  268
3.9.1  客戶端系統  268
3.9.2  客戶/服務端系統  268
3.9.3  分佈式系統安全  269
3.9.4  雲計算安全  269
3.9.5  並行計算  270
3.9.6  數據庫系統安全  271
3.9.7  Web系統安全  272
3.9.8  移動系統安全  273
3.9.9  信息物理系統  274
3.10  工控安全威脅回顧  277
3.10.1  維護鉤子  277
3.10.2  檢查時間/使用時間
攻擊  278
3.11  密碼編碼術的背景  279
3.12  密碼學的定義與概念  284
3.12.1  Kerckhoffs原則  286
3.12.2  密碼系統的強度  286
3.12.3  一次性密碼本  287
3.12.4  滾動密碼與隱藏密碼  289
3.12.5  隱寫術  290
3.13  密碼運算的類型  292
3.13.1  替換密碼  292
3.13.2  置換密碼  292
3.14  加密方法  294
3.14.1  對稱算法與非對稱算法  294
3.14.2  對稱密碼算法  295
3.14.3  非對稱密碼算法  296
3.14.4  分組密碼與流密碼  299
3.14.5  混合加密方法  303
3.15  對稱密碼系統的種類  308
3.15.1  數據加密標準  308
3.15.2  三重DES  315
3.15.3  高級加密標準  315
3.15.4  國際數據加密算法  316
3.15.5  Blowfish  316
3.15.6  RC4  316
3.15.7  RC5  317
3.15.8  RC6  317
3.16  非對稱密碼系統的種類  317
3.16.1  Diffie-Hellman算法  318
3.16.2  RSA  320
3.16.3  El Gamal  322
3.16.4  橢圓曲線密碼系統  322
3.16.5  背包問題算法  323
3.16.6  零知識證明  323
3.17  消息完整性  324
3.17.1  單向哈希  324
3.17.2  各種哈希算法  328
3.17.3  MD4算法  329
3.17.4  MD5算法  329
3.17.5  SHA 算法  329
3.17.6  對單向哈希函數的攻擊  330
3.18  公鑰基礎架構  331
3.18.1  證書認證機構  331
3.18.2  證書  333
3.18.3  證書註冊機構  333
3.18.4  PKI步驟  334
3.19  密碼技術的應用  336
3.19.1  密碼系統的服務  336
3.19.2  數字簽名  337
3.19.3  數字簽名標準(DSS)  339
3.19.4  密鑰管理  339
3.19.5  可信平臺模塊  341
3.19.6  數字版權管理  343
3.20  對密碼技術的攻擊  343
3.20.1  唯密文攻擊  343
3.20.2  已知明文攻擊  344
3.20.3  選擇明文攻擊  344
3.20.4  選擇密文攻擊  344
3.20.5  差分密碼分析  345
3.20.6  線性密碼分析  345
3.20.7  側通道攻擊  345
3.20.8  重放攻擊  346
3.20.9  代數攻擊  346
3.20.10  分析攻擊  346
3.20.11  統計攻擊  347
3.20.12  社交工程攻擊  347
3.20.13  中間相遇攻擊  347
3.21  設計場所與基礎設施安全  347
3.22  場所安全設計過程  348
3.22.1  通過環境設計來阻止犯罪  352
3.22.2  設計一個物理安全計劃  356
3.23  內部支持系統  367
3.23.1  電力  368
3.23.2  環境問題  372
3.23.3  防火、探測和滅火  374
3.24  總結  379
3.25  快速提示  380
3.26  問題  384
3.27  答案  391
第4章  通信與網絡安全  395
4.1  網絡架構原則  396
4.2  開放系統互聯參考模型  397
4.2.1  協議  398
4.2.2  應用層  400
4.2.3  表示層  401
4.2.4  會話層  402
4.2.5  傳輸層  404
4.2.6  網絡層  405
4.2.7  數據鏈路層  405
4.2.8  物理層  407
4.2.9  OSI模型的功能與協議  408
4.2.10  OSI各層綜述  410
4.2.11  多層協議  411
4.3  TCP/IP模型  412
4.3.1  TCP  413
4.3.2  IP尋址  418
4.3.3  IPv6  420
4.3.4  第二層安全標準  423
4.3.5  聚合協議  424
4.4  傳輸介質  425
4.4.1  傳輸類型  425
4.4.2  布線  429
4.5  無線網絡  433
4.5.1  無線通信技術  434
4.5.2  無線網絡組件  437
4.5.3  無線網絡安全的演化  438
4.5.4  無線標準  443
4.5.5  無線網絡安全最佳實踐  448
4.5.6  衛星  448
4.5.7  移動無線通信  450
4.6  網絡基礎  453
4.6.1  網絡拓撲  454
4.6.2  介質訪問技術  456
4.6.3  傳輸方法  466
4.7  網絡協議和服務  467
4.7.1  地址解析協議  467
4.7.2  動態主機配置協議  469
4.7.3  網絡控制報文協議  471
4.7.4  簡單網絡管理協議  473
4.7.5  域名服務  475
4.7.6  電子郵件服務  481
4.7.7  網絡地址轉換  486
4.7.8  路由協議  487
4.8  網絡組件  491
4.8.1  中繼器  491
4.8.2  網橋  492
4.8.3  路由器  494
4.8.4  交換機  495
4.8.5  網關  499
4.8.6  PBX  501
4.8.7  防火牆  504
4.8.8  代理服務器  523
4.8.9  統一威脅管理  525
4.8.10  內容分發網絡  526
4.8.11  軟件定義網絡  526
4.8.12  終端  528
4.8.13  蜜罐  529
4.8.14  網絡準入控制  530
4.8.15  虛擬網絡  530
4.9  內聯網與外聯網  531
4.10  城域網  533
4.11  廣域網(WAN)  535
4.11.1  通信的發展  536
4.11.2  專用鏈路  538
4.11.3  WAN技術  541
4.12  通信通道  551
4.12.1  多服務訪問技術  551
4.12.2  H.323 網關  553
4.12.3  SIP詳述  554
4.12.4  IP電話安全問題  557
4.13  遠程連接  558
4.13.1  撥號連接  559
4.13.2  ISDN  560
4.13.3  DSL  561
4.13.4  線纜調制解調器  562
4.13.5  VPN  563
4.13.6  身份驗證協議  569
4.14  網絡加密  571
4.14.1  鏈路加密與端對端加密  572
4.14.2  電子郵件加密標準  573
4.14.3  Internet安全  576
4.15  網絡攻擊  581
4.15.1  拒絕服務  581
4.15.2  嗅探  583
4.15.3  DNS劫持  583
4.15.4  偷渡下載  584
4.16  總結  585
4.17  快速提示  585
4.18  問題  589
4.19  答案  596
第5章  身份與訪問管理  601
5.1  訪問控制概述  601
5.2  安全原理  602
5.2.1  可用性  603
5.2.2  完整性  603
5.2.3  機密性  603
5.3  身份標識、身份驗證、授權與可問責性  604
5.3.1  身份標識和身份驗證  606
5.3.2  身份驗證方法  615
5.3.3  授權  634
5.3.4  可問責性  646
5.3.5  會話管理  650
5.3.6  聯合身份驗證  651
5.4  集成身份即服務  661
5.4.1  本地部署  661
5.4.2  雲計算  661
5.4.3  集成問題  662
5.5  訪問控制機制  663
5.5.1  自主訪問控制  663
5.5.2  強制訪問控制  664
5.5.3  基於角色的訪問控制  667
5.5.4  基於規則的訪問控制  669
5.5.5  基於屬性的訪問控制  670
5.6  訪問控制方法和技術  670
5.6.1  用戶界面限制  671
5.6.2  遠程訪問控制技術  671
5.6.3  訪問控制矩陣  677
5.6.4  內容相關訪問控制  678
5.6.5  上下文相關訪問控制  678
5.7  身份與訪問權限配置生命周期管理  679
5.7.1  配置  679
5.7.2  用戶訪問審查  680
5.7.3  系統賬戶訪問審查  680
5.7.4  撤銷  680
5.8  控制物理與邏輯訪問  681
5.8.1  訪問控制層級  681
5.8.2  行政性控制措施  682
5.8.3  物理性控制措施  683
5.8.4  技術性控制措施  684
5.9  訪問控制實踐  686
5.10  訪問控制持續監測  689
5.10.1  入侵檢測系統  689
5.10.2  入侵防禦系統  698
5.11  訪問控制面臨的威脅  700
5.11.1  字典攻擊  700
5.11.2  暴力破解攻擊  701
5.11.3  登錄欺騙  702
5.11.4  網絡釣魚和域欺騙  702
5.12  總結  705
5.13  快速提示  705
5.14  問題  708
5.15  答案  715
第6章  安全評估與測試  719
6.1  評估、測試和審計策略  720
6.1.1  內部審計  722
6.1.2  外部審計  723
6.1.3  第三方審計  724
6.1.4  測試覆蓋率  725
6.2  審計技術控制措施  725
6.2.1  漏洞測試  726
6.2.2  滲透測試  729
6.2.3  戰爭撥號  732
6.2.4  其他漏洞類型  733
6.2.5  事後檢查  734
6.2.6  日誌審查  735
6.2.7  綜合交易  738
6.2.8  誤用用例測試  738
6.2.9  代碼審查  740
6.2.10  代碼測試  741
6.2.11  接口測試  742
6.3  審計管理控制措施  742
6.3.1  賬戶管理  742
6.3.2  備份驗證  744
6.3.3  災難恢復和業務連續性  747
6.3.4  安全培訓和安全意識宣貫  752
6.3.5  關鍵績效和風險指標  756
6.4  報告  758
6.4.1  分析結果  758
6.4.2  撰寫技術報告  759
6.4.3  摘要  760
6.5  管理評審和批準  761
6.5.1  管理評審之前  762
6.5.2  評審的輸入  762
6.5.3  管理批準  763
6.6  總結  763
6.7  快速提示  764
6.8  問題  765
6.9  答案  769
第7章  運營安全  771
7.1  運營部門的角色  772
7.2  行政管理  773
7.2.1  安全與網絡人員  775
7.2.2  可問責性  776
7.2.3  閾值水平  776
7.3  物理安全  777
7.3.1  工作場所訪問控制  777
7.3.2  人員訪問控制  784
7.3.3  外部邊界保護機制  785
7.3.4  入侵檢測系統  792
7.3.5  巡邏與警衛  795
7.3.6  警犬  795
7.3.7  物理訪問的審計  796
7.3.8  內部安全控制措施  796
7.4  安全資源配置  796
7.4.1  資產清單  797
7.4.2  資產管理  798
7.4.3  配置管理  800
7.4.4  可信恢復  803
7.4.5  輸入/輸出控制措施  805
7.4.6  系統加固  806
7.4.7  遠程訪問的安全性  808
7.4.8  配置雲資產  808
7.5  網絡與資源的可用性  809
7.5.1  平均故障間隔時間  810
7.5.2  平均修復時間  810
7.5.3  單點故障  811
7.5.4  備份  818
7.5.5  應急計劃  821
7.6  預防與檢測  821
7.6.1  不間斷持續監測  822
7.6.2  防火牆  823
7.6.3  入侵檢測和防禦系統  823
7.6.4  白名單與黑名單  824
7.6.5  反惡意軟件  825
7.6.6  脆弱性管理  825
7.6.7  補丁管理  828
7.6.8  沙箱  830
7.6.9  蜜罐和蜜網  830
7.6.10  出口流量持續監測  831
7.6.11  安全信息和事件管理  832
7.6.12  外包服務  832
7.7  事故管理流程  833
7.7.1  檢測  837
7.7.2  響應  837
7.7.3  緩解  838
7.7.4  報告  839
7.7.5  恢復  839
7.7.6  修復  840
7.8  調查  840
7.8.1  電腦取證與適當的證據收集  841
7.8.2  動機、機會與手段  842
7.8.3  電腦犯罪行為  843
7.8.4  事故調查  843
7.8.5  調查類型  844
7.8.6  司法調查流程  845
7.8.7  什麽是法庭上可受理的?  850
7.8.8  監視、搜查和扣押  852
7.9  災難恢復  853
7.9.1  業務流程恢復  856
7.9.2  恢復站點策略  857
7.9.3  供應和技術恢復  863
7.9.4  備份存儲策略  866
7.9.5  終端用戶環境  874
7.9.6  可用性  875
7.10  責任及其影響  877
7.10.1  責任示例場景  879
7.10.2  第三方風險  881
7.10.3  合同協議  881
7.10.4  採購和供應商流程  881
7.11  保險  882
7.12  實施災難恢復  883
7.12.1  人員  884
7.12.2  評估  884
7.12.3  還原  885
7.12.4  通信  887
7.12.5  培訓  887
7.13  人員安全問題  888
7.13.1  應急管理  888
7.13.2  脅迫  889
7.13.3  旅行  889
7.13.4  培訓  890
7.14  總結  890
7.15  快速提示  890
7.16  問題  892
7.17  答案  897
第8章  軟件開發安全  901
8.1  構建良好代碼  902
8.1.1  如何處置軟件安全問題?  902
8.1.2  不同環境需要不同的安全  904
8.1.3  環境與應用程序  905
8.1.4  功能性與安全性  905
8.1.5  實施與默認配置問題  906
8.2  軟件開發生命周期  907
8.2.1  項目管理  907
8.2.2  需求收集階段  908
8.2.3  設計階段  909
8.2.4  開發階段  912
8.2.5  測試階段  914
8.2.6  運營維護階段  916
8.3  軟件開發方法論  918
8.3.1  瀑布模式  918
8.3.2  V形模式  919
8.3.3  原型模式  919
8.3.4  增量模式  920
8.3.5  螺旋模式  921
8.3.6  快速應用程序開發  922
8.3.7  敏捷模式  923
8.3.8  集成產品團隊  926
8.3.9  DevOps  927
8.4  能力成熟度集成模型(CMMI)  928
8.5  變更管理  930
8.6  開發環境的安全性  931
8.6.1  開發平臺的安全性  932
8.6.2  代碼庫的安全性  932
8.6.3  軟件配置管理  933
8.7  安全編碼  934
8.7.1  源代碼漏洞  934
8.7.2  安全編碼實踐  934
8.8  編程語言與概念  935
8.8.1  匯編器、編譯器和解釋器  937
8.8.2  面向對象的概念  939
8.8.3  其他軟件開發的概念  945
8.8.4  應用程序接口  947
8.9  分佈式計算  947
8.9.1  分佈式計算環境  948
8.9.2  CORBA和 ORB  949
8.9.3  COM和DCOM  951
8.9.4  Java平臺企業版  953
8.9.5  面向服務的架構  953
8.10  移動代碼  956
8.10.1  Java applet  956
8.10.2  ActiveX控件  958
8.11  Web安全  959
8.11.1  Web環境的具體威脅  960
8.11.2  Web應用安全準則  965
8.12  數據庫管理  966
8.12.1  數據庫管理軟件  967
8.12.2  數據庫模型  968
8.12.3  數據庫編程接口  972
8.12.4  關系型數據庫組件  974
8.12.5  完整性  976
8.12.6  數據庫安全問題  978
8.12.7  數據倉庫與數據挖掘  982
8.13  惡意軟件  985
8.13.1  病毒  987
8.13.2  蠕蟲  989
8.13.3  rootkit  989
8.13.4  間諜軟件和廣告軟件  990
8.13.5  僵屍網絡  991
8.13.6  邏輯炸彈  992
8.13.7  特洛伊木馬  992
8.13.8  反惡意軟件  993
8.13.9  垃圾郵件檢測  996
8.13.10  反惡意軟件程序  997
8.14  評估獲取軟件的安全性  998
8.15  總結  999
8.16  快速提示  999
8.17  問題  1002
8.18  答案  1008
附錄  關於在線內容  1013


作者介紹


Shon Harris
CISSP,是Shon Harris Security有限責任公司和Logical Security有限責任公司的創始人和首席執行官、安全顧問,也是空軍信息戰部隊前工程師、講師和作家。
2014年去世前,Shon經營自己的培訓和諮詢公司已有13年。
Shon就廣泛的安全問題向《財富》100強企業和政府機構提供諮詢服務。
Shon撰寫了三本暢銷的CISSP書籍,曾參與撰寫《灰帽黑客》和
Security Information Event Management(SIEM) Implementation,
還是Information Security Magazine的技術編輯。

Fernando Maymí
博士,CISSP,是Soar技術公司網絡和安全自治部門的首席科學家,該公司是一家人工智能研究和開發公司。
Fernando是一名退休的陸軍軍官,曾任西點軍校教官。
Fernando在安全領域有25年的工作經驗,目前正在領導多個高級研究項目,為美國國防部開發自主網絡空間代理。
Fernando曾為美國和其他國家的主要城市開發和實施過大規模的網絡安全演習,並擔任高級顧問。
在安全領域,Fernando引領著全世界。
他與Shon Harris密切合作,為包括本書第6版在內的多個項目提供建議。




相關書籍

Knowledge Discovery in Bioinformatics: Techniques, Methods, and Applications

作者 Xiaohua Hu Yi Pan

2021-01-01

丙級門市服務術科講義-櫃檯作業 (微創POS系統、教學影片光碟)

作者 林宜

2021-01-01

印前製程乙級檢定術科應檢寶典|2020版

作者 技能檢定研究室

2021-01-01