新書推薦:
《
小时光 油画棒慢绘零基础教程
》
售價:NT$
403.0
《
可控性混乱
》
售價:NT$
301.0
《
篡魏:司马懿和他的夺权同盟
》
售價:NT$
296.0
《
狂飙年代:18世纪俄国的新文化和旧文化(第三卷)
》
售價:NT$
806.0
《
协和专家大医说:医话肿瘤
》
售價:NT$
500.0
《
潜水指南 全彩图解第4版
》
售價:NT$
602.0
《
超大规模集成电路设计——从工具到实例
》
售價:NT$
403.0
《
村上春树·旅(一本充满村上元素的旅行指南,带你寻访电影《挪威的森林》拍摄地,全彩印刷;200余幅摄影作品)
》
售價:NT$
301.0
|
編輯推薦: |
《CISSP官方学习手册(第9版)》通过明细的架构与简明的语言,全面系统地讲述CISSP认证考试的八大知识域:安全与风险管理、资产安全、安全架构与工程、通信与网络安全、身份和访问管理(IAM)、安
全评估与测试、安全运营和软件开发安全。《CISSP官方学习手册(第9版)》涵盖风险管理、云计算、移动安全、应用开发安全等关键安全议题,总结全球最新的网络安全上佳实践。本书旨在为任何对CISSP感兴趣且想通过认证的读者提供诚挚指导。尽管本书主要是为CISSP认证考试撰写的学习手册,但我们希望本书在你通过认证考试后仍然可以作为一本有价值的专业参考书。
|
內容簡介: |
涵盖2021年CISSP所有考点,是您的一站式学习手册,助您更灵活、更快捷地准备CISSP考试。本书编排得当,内容详实,包含可供个人评估备考进展的测试、目标地图、书面实验题、关键考点以及富有挑战的章节练习题。开始使用本手册准备CISSP考试吧。
涵盖全部考试目标
? 安全与风险管 理
? 资产安全
? 安全架构与工程
? 通信与网络安全
? 身份和访问管理
? 安全评估与测试
? 安全运营
? 软件开发安全
|
關於作者: |
Mike Chapple,博士、CISSP、Security 、CySA 、PenTest 、CISA、CISM、CCSP、CIPP/US,圣母大学IT、分析学和运营学教授。曾任品牌研究所首席信息官、美国国家安全局和美国空军信息安全研究员。他主攻网络入侵检测和访问控制专业。Mike经常为TechTarget所属的SearchSecurity网站撰稿,著书逾25本,其中包括《(ISC)2:CISSP官方习题集》《CompTIA CySA (CS0-001考试)学习指南》《CompTIA Security (SY0-601考试)学习指南》以及《网络空间战:互联世界的信息作战》。
James Michael Stewart,CISSP、CEH、CHFI、ECSA、CND、ECIH、CySA 、PenTest 、CASP 、Security 、Network 、A 、CISM和CFR,从事写作和培训工作超过25年,目前专注于安全领域。他自2002年起一直讲授CISSP培训课程,互联网安全、道德黑客/渗透测试等内容更在他的授课范围之内。他是超过75部著作的作者或撰稿者,其著作内容涉及安全认证、微软主题和网络管理,其中包括《CompTIA Security (SY0-601考试)复习指南》。
Darril Gibson,CISSP、Security 、CASP,YCDA有限责任公司首席执行官,是40多部著作的作者或合作作者。Darril持有多种专业证书,经常写作,提供咨询服务和开展教学,内容涉及各种技术和安全主题。
|
目錄:
|
第1章 实现安全治理的原则和策略 1
1.1 安全101 2
1.2 理解和应用安全概念 2
1.2.1 保密性 3
1.2.2 完整性 4
1.2.3 可用性 4
1.2.4 DAD、过度保护、真实性、不可否认性和AAA服务 5
1.2.5 保护机制 8
1.3 安全边界 9
1.4 评估和应用安全治理原则 10
1.4.1 第三方治理 11
1.4.2 文件审查 11
1.5 管理安全功能 12
1.5.1 与业务战略、目标、使命和宗旨相一致的安全功能 12
1.5.2 组织的流程 14
1.5.3 组织的角色与责任 15
1.5.4 安全控制框架 16
1.5.5 应尽关心和尽职审查 17
1.6 安全策略、标准、程序和指南 17
1.6.1 安全策略 17
1.6.2 安全标准、基线和指南 18
1.6.3 安全程序 18
1.7 威胁建模 19
1.7.1 识别威胁 19
1.7.2 确定和绘制潜在的攻击 21
1.7.3 执行简化分析 22
1.7.4 优先级排序和响应 22
1.8 将基于风险的管理理念应用到供应链 23
1.9 本章小结 24
1.10 考试要点 25
1.11 书面实验 27
1.12 复习题 27
第2章 人员安全和风险管理的概念 32
2.1 人员安全策略和程序 33
2.1.1 岗位描述与职责 33
2.1.2 候选人筛选及招聘 33
2.1.3 入职:雇佣协议及策略 34
2.1.4 员工监管 35
2.1.5 离职、调动和解雇流程 36
2.1.6 供应商、顾问和承包商的协议和控制 38
2.1.7 合规策略要求 39
2.1.8 隐私策略要求 39
2.2 理解并应用风险管理概念 40
2.2.1 风险术语和概念 41
2.2.2 资产估值 43
2.2.3 识别威胁和脆弱性 44
2.2.4 风险评估/分析 45
2.2.5 风险响应 50
2.2.6 安全控制的成本与收益 52
2.2.7 选择与实施安全对策 54
2.2.8 适用的控制类型 56
2.2.9 安全控制评估 58
2.2.10 监视和测量 58
2.2.11 风险报告和文档 58
2.2.12 持续改进 59
2.2.13 风险框架 60
2.3 社会工程 62
2.3.1 社会工程原理 63
2.3.2 获取信息 65
2.3.3 前置词 65
2.3.4 网络钓鱼 65
2.3.5 鱼叉式网络钓鱼 66
2.3.6 网络钓鲸 67
2.3.7 短信钓鱼 67
2.3.8 语音网络钓鱼 68
2.3.9 垃圾邮件 68
2.3.10 肩窥 69
2.3.11 发票诈骗 69
2.3.12 恶作剧 69
2.3.13 假冒和伪装 70
2.3.14 尾随和捎带 70
2.3.15 垃圾箱搜寻 71
2.3.16 身份欺诈 71
2.3.17 误植域名 72
2.3.18 影响力运动 73
2.4 建立和维护安全意识、教育和培训计划 74
2.4.1 安全意识 74
2.4.2 培训 75
2.4.3 教育 75
2.4.4 改进 75
2.4.5 有效性评估 76
2.5 本章小结 77
2.6 考试要点 78
2.7 书面实验 81
2.8 复习题 81
第3章 业务连续性计划 86
3.1 业务连续性计划概述 86
3.2 项目范围和计划 87
3.2.1 组织分析 88
3.2.2 选择BCP团队 88
3.2.3 资源需求 90
3.2.4 法律和法规要求 91
3.3 业务影响分析 92
3.3.1 确定优先级 92
3.3.2 风险识别 93
3.3.3 可能性评估 95
3.3.4 影响分析 95
3.3.5 资源优先级排序 96
3.4 连续性计划 97
3.4.1 策略开发 97
3.4.2 预备和处理 97
3.5 计划批准和实施 99
3.5.1 计划批准 99
3.5.2 计划实施 99
3.5.3 培训和教育 99
3.5.4 BCP文档化 100
3.6 本章小结 103
3.7 考试要点 103
3.8 书面实验 104
3.9 复习题 104
第4章 法律、法规和合规 108
4.1 法律的分类 108
4.1.1 刑法 109
4.1.2 民法 110
4.1.3 行政法 110
4.2 法律 111
4.2.1 计算机犯罪 111
4.2.2 知识产权 114
4.2.3 许可 118
4.2.4 进口/出口控制 119
4.2.5 隐私 120
4.3 合规 127
4.4 合同和采购 128
4.5 本章小结 129
4.6 考试要点 129
4.7 书面实验 130
4.8 复习题 130
第5章 保护资产安全 135
5.1 对信息和资产进行识别和分类 136
5.1.1 定义敏感数据 136
5.1.2 定义数据分类 137
5.1.3 定义资产分类 139
5.1.4 理解数据状态 139
5.1.5 确定合规要求 140
5.1.6 确定数据安全控制 141
5.2 建立信息和资产的处理要求 142
5.2.1 数据维护 143
5.2.2 数据丢失预防 143
5.2.3 标记敏感数据和资产 144
5.2.4 处理敏感信息和资产 145
5.2.5 数据收集限制 145
5.2.6 数据位置 146
5.2.7 存储敏感数据 146
5.2.8 数据销毁 147
5.2.9 确保适当的数据和资产保留期 149
5.3 数据保护方法 150
5.3.1 数字版权管理 151
5.3.2 云访问安全代理 152
5.3.3 假名化 152
5.3.4 令牌化 153
5.3.5 匿名化 154
5.4 理解数据角色 155
5.4.1 数据所有者 155
5.4.2 资产所有者 156
5.4.3 业务/任务所有者 156
5.4.4 数据处理者和数据控制者 157
5.4.5 数据托管员 157
5.4.6 管理员 157
5.4.7 用户和主体 158
5.5 使用安全基线 158
5.5.1 对比定制和范围界定 159
5.5.2 选择标准 160
5.6 本章小结 160
5.7 考试要点 161
5.8 书面实验 162
5.9 复习题 162
第6章 密码学和对称密钥算法 167
6.1 密码学基本知识 167
6.1.1 密码学的目标 168
6.1.2 密码学的概念 169
6.1.3 密码数学 170
6.1.4 密码 175
6.2 现代密码学 181
6.2.1 密码密钥 182
6.2.2 对称密钥算法 183
6.2.3 非对称密钥算法 184
6.2.4 哈希算法 186
6.3 对称密码 187
6.3.1 密码运行模式 187
6.3.2 数据加密标准 189
6.3.3 三重DES 189
6.3.4 国际数据加密算法 190
6.3.5 Blowfish 190
6.3.6 Skipjack 191
6.3.7 Rivest Ciphers 191
6.3.8 高级加密标准 192
6.3.9 CAST 192
6.3.10 比较各种对称加密算法 192
6.3.11 对称密钥管理 193
6.4 密码生命周期 195
6.5 本章小结 195
6.6 考试要点 196
6.7 书面实验 197
6.8 复习题 197
第7章 PKI和密码应用 201
7.1 非对称密码 202
7.1.1 公钥和私钥 202
7.1.2 RSA 203
7.1.3 ElGamal 204
7.1.4 椭圆曲线 205
7.1.5 Diffie-Hellman密钥交换 205
7.1.6 量子密码 206
7.2 哈希函数 207
7.2.1 SHA 208
7.2.2 MD5 209
7.2.3 RIPEMD 209
7.2.4 各种哈希算法的哈希值长度比较 209
7.3 数字签名 210
7.3.1 HMAC 211
7.3.2 数字签名标准 212
7.4 公钥基础设施 212
7.4.1 证书 212
7.4.2 发证机构 213
7.4.3 证书的生命周期 214
7.4.4 证书的格式 217
7.5 非对称密钥管理 217
7.6 混合加密法 218
7.7 应用密码学 219
7.7.1 便携设备 219
7.7.2 电子邮件 220
7.7.3 Web应用 222
7.7.4 隐写术和水印 224
7.7.5 联网 225
7.7.6 新兴的应用 227
7.8 密码攻击 228
7.9 本章小结 231
7.10 考试要点 232
7.11 书面实验 233
7.12 复习题 233
第8章 安全模型、设计和能力的原则 237
8.1 安全设计原则 238
8.1.1 客体和主体 238
8.1.2 封闭系统和开放系统 239
8.1.3 默认安全配置 240
8.1.4 失效安全 241
8.1.5 保持简单 243
8.1.6 零信任 243
8.1.7 通过设计保护隐私 244
8.1.8 信任但要验证 245
8.2 用于确保保密性、完整性和可用性的技术 245
8.2.1 限定 246
8.2.2 界限 246
8.2.3 隔离 246
8.2.4 访问控制 247
8.2.5 信任与保证 247
8.3 理解安全模型的基本概念 247
8.3.1 可信计算基 248
8.3.2 状态机模型 249
8.3.3 信息流模型 250
8.3.4 无干扰模型 250
8.3.5 获取-授予模型 251
8.3.6 访问控制矩阵 252
8.3.7 Bell-LaPadula模型 252
8.3.8 Biba模型 254
8.3.9 Clark-Wilson模型 256
8.3.10 Brewer and Nash模型 257
8.3.11 Goguen-Meseguer模型 258
8.3.12 Sutherland模型 258
8.3.13 Graham-Denning模型 258
8.3.14 Harrison-Ruzzo-Ullman模型 259
8.4 根据系统安全要求挑选控制 259
8.4.1 通用准则 260
8.4.2 操作授权 262
8.5 理解信息系统的安全能力 263
8.5.1 内存保护 263
8.5.2 虚拟化 264
8.5.3 可信平台模块 264
8.5.4 接口 264
8.5.5 容错 264
8.5.6 加密/解密 264
8.6 本章小结 265
8.7 考试要点 265
8.8 书面实验 267
8.9 复习题 267
第9章 安全漏洞、威胁和对策 272
9.1 共担责任 273
9.2 评价和弥补安全架构、设计和解决方案元素的漏洞 274
9.2.1 硬件 274
9.2.2 固件 286
9.3 基于客户端的系统 287
9.3.1 移动代码 287
9.3.2 本地缓存 289
9.4 基于服务器端的系统 290
9.4.1 大规模并行数据系统 290
9.4.2 网格计算 291
9.4.3 对等网络 292
9.5 工业控制系统 292
9.6 分布式系统 293
9.7 高性能计算系统 295
9.8 物联网 296
9.9 边缘和雾计算 298
9.10 嵌入式设备和信息物理融合系统 299
9.10.1 静态系统 300
9.10.2 可联网设备 300
9.10.3 信息物理融合系统 301
9.10.4 与嵌入式和静态系统相关的元素 301
9.10.5 嵌入式和静态系统的安全问题 302
9.11 专用设备 304
9.12 微服务 305
9.13 基础设施即代码 306
9.14 虚拟化系统 307
9.14.1 虚拟软件 310
9.14.2 虚拟化网络 310
9.14.3 软件定义一切 310
9.14.4 虚拟化的安全管理 312
9.15 容器化 314
9.16 无服务器架构 315
9.17 移动设备 315
9.17.1 移动设备的安全性能 317
9.17.2 移动设备的部署策略 327
9.18 基本安全保护机制 332
9.18.1 进程隔离 333
9.18.2 硬件分隔 333
9.18.3 系统安全策略 333
9.19 常见的安全架构缺陷和问题 334
9.19.1 隐蔽通道 334
9.19.2 基于设计或编码缺陷的攻击 335
9.19.3 rootkit 336
9.19.4 增量攻击 337
9.20 本章小结 337
9.21 考试要点 338
9.22 书面实验 343
9.23 复习题 343
第10章 物理安全要求 348
10.1 站点与设施设计的安全原则 349
10.1.1 安全设施计划 349
10.1.2 站点选择 349
10.1.3 设施设计 350
10.2 实现站点与设施安全控制 351
10.2.1 设备故障 352
10.2.2 配线间 353
10.2.3 服务器间与数据中心 354
10.2.4 入侵检测系统 356
10.2.5 摄像头 358
10.2.6 访问滥用 359
10.2.7 介质存储设施 359
10.2.8 证据存储 360
10.2.9 受限区与工作区安全 360
10.2.10 基础设施关注点 361
10.2.11 火灾预防、探测与消防 365
10.3 物理安全的实现与管理 370
10.3.1 边界安全控制 370
10.3.2 内部安全控制 373
10.3.3 物理安全的关键性能指标 375
10.4 本章小结 376
10.5 考试要点 376
10.6 书面实验 379
10.7 复习题 379
第11章 安全网络架构和组件 384
11.1 OSI模型 385
11.1.1 OSI模型的历史 385
11.1.2 OSI功能 385
11.1.3 封装/解封 386
11.1.4 OSI模型层次 387
11.2 TCP/IP模型 390
11.3 网络流量分析 391
11.4 通用应用层协议 391
11.5 传输层协议 392
11.6 域名系统 393
11.6.1 DNS中毒 395
11.6.2 域名劫持 398
11.7 互联网协议网络 399
11.7.1 IPv4与IPv6 399
11.7.2 IP分类 400
11.7.3 ICMP 401
11.7.4 IGMP 401
11.8 ARP关注点 402
11.9 安全通信协议 403
11.10 多层协议的含义 403
11.10.1 融合协议 404
11.10.2 网络电话 405
11.10.3 软件定义网络 406
11.11 微分网段 407
11.12 无线网络 408
11.12.1 保护SSID 409
11.12.2 无线信道 409
11.12.3 进行现场调查 410
11.12.4 无线安全 410
11.12.5 Wi-Fi保护设置 413
11.12.6 无线 MAC过滤器 413
11.12.7 无线天线管理 413
11.12.8 使用强制门户 414
11.12.9 一般Wi-Fi安全程序 414
11.12.10 无线通信 415
11.12.11 无线攻击 417
11.13 其他通信协议 420
11.14 蜂窝网络 421
11.15 内容分发网络 421
11.16 安全网络组件 422
11.16.1 硬件的安全操作 422
11.16.2 常用网络设备 423
11.16.3 网络访问控制 425
11.16.4 防火墙 425
11.16.5 端点安全 430
11.16.6 布线、拓扑和传输介质技术 432
11.16.7 传输介质 433
11.16.8 网络拓扑 435
11.16.9 以太网 437
11.16.10 子技术 438
11.17 本章小结 440
11.18 考试要点 441
11.19 书面实验 444
11.20 复习题 444
第12章 安全通信与网络攻击 449
12.1 协议安全机制 449
12.1.1 身份认证协议 450
12.1.2 端口安全 451
12.1.3 服务质量 452
12.2 语音通信的安全 452
12.2.1 公共交换电话网 452
12.2.2 VoIP 453
12.2.3 语音钓鱼和电话飞客 454
12.2.4 PBX欺骗与滥用 455
12.3 远程访问安全管理 456
12.3.1 远程访问与远程办公技术 456
12.3.2 远程连接安全 457
12.3.3 规划远程访问安全策略 457
12.4 多媒体协作 458
12.4.1 远程会议 458
12.4.2 即时通信和聊天 459
12.5 负载均衡 459
12.5.1 虚拟IP和负载持久性 460
12.5.2 主动-主动与主动-被动 460
12.6 管理电子邮件安全 461
12.6.1 电子邮件安全目标 461
12.6.2 理解电子邮件安全问题 462
12.6.3 电子邮件安全解决方案 463
12.7 虚拟专用网 465
12.7.1 隧道技术 466
12.7.2 VPN的工作机理 467
12.7.3 始终在线VPN 469
12.7.4 分割隧道与全隧道 469
12.7.5 常用的VPN协议 469
12.8 交换与虚拟局域网 471
12.9 网络地址转换 475
12.9.1 私有IP地址 476
12.9.2 状态NAT 477
12.9.3 自动私有IP分配 477
12.10 第三方连接 478
12.11 交换技术 479
12.11.1 电路交换 479
12.11.2 分组交换 480
12.11.3 虚电路 480
12.12 WAN技术 481
12.13 光纤链路 482
12.14 安全控制特征 483
12.14.1 透明性 483
12.14.2 传输管理机制 483
12.15 防止或减轻网络攻击 483
12.15.1 窃听 484
12.15.2 篡改攻击 484
12.16 本章小结 484
12.17 考试要点 485
12.18 书面实验 487
12.19 复习题 487
第13章 管理身份和认证 492
13.1 控制对资产的访问 493
13.1.1 控制物理和逻辑访问 493
13.1.2 CIA三性和访问控制 494
13.2 管理身份标识和认证 494
13.2.1 比较主体和客体 495
13.2.2 身份注册、证明和创建 496
13.2.3 授权和问责 497
13.2.4 身份认证因素概述 498
13.2.5 你知道什么 499
13.2.6 你拥有什么 501
13.2.7 你是什么 502
13.2.8 多因素身份认证 505
13.2.9 使用身份认证应用程序进行双因素身份认证 505
13.2.10 无口令身份认证 506
13.2.11 设备身份认证 507
13.2.12 服务身份认证 508
13.2.13 双向身份认证 508
13.3 实施身份管理 508
13.3.1 单点登录 509
13.3.2 SSO与联合身份标识 510
13.3.3 凭证管理系统 511
13.3.4 凭证管理器应用程序 512
13.3.5 脚本访问 512
13.3.6 会话管理 512
13.4 管理身份和访问配置生命周期 513
13.4.1 配置和入职 513
13.4.2 取消配置和离职 514
13.4.3 定义新角色 515
13.4.4 账户维护 515
13.4.5 账户访问审查 516
13.5 本章小结 516
13.6 考试要点 517
13.7 书面实验 518
13.8 复习题 518
第14章 控制和监控访问 522
14.1 比较访问控制模型 523
14.1.1 比较权限、权利和特权 523
14.1.2 理解授权机制 523
14.1.3 使用安全策略定义需求 525
14.1.4 介绍访问控制模型 525
14.1.5 自主访问控制 526
14.1.6 非自主访问控制 526
14.2 实现认证系统 532
14.2.1 互联网上实现SSO 532
14.2.2 在内部网络上实现SSO 536
14.3 了解访问控制攻击 540
14.3.1 常见访问控制攻击 540
14.3.2 特权提升 541
14.3.3 核心保护方法 552
14.4 本章小结 553
14.5 考试要点 553
14.6 书面实验 555
14.7 复习题 555
第15章 安全评估与测试 559
15.1 构建安全评估和测试方案 560
15.1.1 安全测试 560
15.1.2 安全评估 561
15.1.3 安全审计 562
15.2 开展漏洞评估 565
15.2.1 漏洞描述 565
15.2.2 漏洞扫描 565
15.2.3 渗透测试 574
15.2.4 合规性检查 576
15.3 测试软件 576
15.3.1 代码审查与测试 577
15.3.2 接口测试 580
15.3.3 误用案例测试 581
15.3.4 测试覆盖率分析 581
15.3.5 网站监测 581
15.4 实施安全管理流程 582
15.4.1 日志审查 582
15.4.2 账户管理 583
15.4.3 灾难恢复和业务连续性 583
15.4.4 培训和意识 584
15.4.5 关键绩效和风险指标 584
15.5 本章小结 584
15.6 考试要点 585
15.7 书面实验 586
15.8 复习题 586
第16章 安全运营管理 590
16.1 应用基本的安全运营概念 591
16.1.1 因需可知和最小特权 591
16.1.2 职责分离和责任 592
16.1.3 双人控制 593
16.1.4 岗位轮换 593
16.1.5 强制休假 594
16.1.6 特权账户管理 594
16.1.7 服务水平协议 595
16.2 解决人员安全和安保问题 596
16.2.1 胁迫 596
16.2.2 出差 596
16.2.3 应急管理 597
16.2.4 安全培训和意识 597
16.3 安全配置资源 597
16.3.1 信息和资产所有权 598
16.3.2 资产管理 598
16.4 实施资源保护 599
16.4.1 媒介管理 599
16.4.2 媒介保护技术 600
16.5 云托管服务 602
16.5.1 使用云服务模型分担责任 602
16.5.2 可扩展性和弹性 604
16.6 开展配置管理 604
16.6.1 配置 604
16.6.2 基线 605
16.6.3 使用镜像技术创建基线 605
16.6.4 自动化 606
16.7 管理变更 606
16.7.1 变更管理 608
16.7.2 版本控制 609
16.7.3 配置文档 609
16.8 管理补丁和减少漏洞 609
16.8.1 系统管理 609
16.8.2 补丁管理 610
16.8.3 漏洞管理 611
16.8.4 漏洞扫描 611
16.8.5 常见漏洞和披露 612
16.9 本章小结 612
16.10 考试要点 613
16.11 书面实验 614
16.12 复习题 615
第17章 事件的预防和响应 619
17.1 实施事件管理 620
17.1.1 事件的定义 620
17.1.2 事件管理步骤 621
17.2 实施检测和预防措施 625
17.2.1 基本预防措施 626
17.2.2 了解攻击 627
17.2.3 入侵检测和预防系统 634
17.2.4 具体预防措施 641
17.3 日志记录和监测 646
17.3.1 日志记录技术 646
17.3.2 监测的作用 648
17.3.3 监测技术 651
17.3.4 日志管理 654
17.3.5 出口监测 654
17.4 自动事件响应 655
17.4.1 了解SOAR 655
17.4.2 机器学习和AI工具 656
17.4.3 威胁情报 657
17.4.4 SOAR、机器学习、人工智能和威胁馈送的交叉融汇 660
17.5 本章小结 660
17.6 考试要点 661
17.7 书面实验 663
17.8 复习题 663
第18章 灾难恢复计划 667
18.1 灾难的本质 668
18.1.1 自然灾难 668
18.1.2 人为灾难 672
18.2 理解系统韧性、高可用性和容错能力 676
18.2.1 保护硬盘驱动器 677
18.2.2 保护服务器 678
18.2.3 保护电源 679
18.2.4 可信恢复 680
18.2.5 服务质量 680
18.3 恢复策略 681
18.3.1 业务单元和功能优先级 681
18.3.2 危机管理 682
18.3.3 应急沟通 683
18.3.4 工作组恢复 683
18.3.5 备用处理站点 683
18.3.6 数据库恢复 687
18.4 恢复计划开发 688
18.4.1 应急响应 689
18.4.2 职员和通信 689
18.4.3 评估 690
18.4.4 备份和离站存储 690
18.4.5 软件托管协议 693
18.4.6 公用设施 694
18.4.7 物流和供应 694
18.4.8 恢复与还原的比较 694
18.5 培训、意识与文档记录 695
18.6 测试与维护 695
18.6.1 通读测试 696
18.6.2 结构化演练 696
18.6.3 模拟测试 696
18.6.4 并行测试 696
18.6.5 完全中断测试 696
18.6.6 经验教训 697
18.6.7 维护 697
18.7 本章小结 698
18.8 考试要点 698
18.9 书面实验 699
18.10 复习题 699
第19章 调查和道德 703
19.1 调查 703
19.1.1 调查的类型 704
19.1.2 证据 705
19.1.3 调查过程 710
19.2 计算机犯罪的主要类别 713
19.2.1 军事和情报攻击 714
19.2.2 商业攻击 714
19.2.3 财务攻击 715
19.2.4 恐怖攻击 715
19.2.5 恶意攻击 716
19.2.6 兴奋攻击 717
19.2.7 黑客行动主义者 717
19.3 道德规范 717
19.3.1 组织道德规范 718
19.3.2 (ISC)2的道德规范 718
19.3.3 道德规范和互联网 719
19.4 本章小结 721
19.5 考试要点 721
19.6 书面实验 722
19.7 复习题 722
第20章 软件开发安全 726
20.1 系统开发控制概述 727
20.1.1 软件开发 727
20.1.2 系统开发生命周期 733
20.1.3 生命周期模型 736
20.1.4 甘特图与PERT 742
20.1.5 变更和配置管理 743
20.1.6 DevOps方法 744
20.1.7 应用编程接口 745
20.1.8 软件测试 746
20.1.9 代码仓库 747
20.1.10 服务水平协议 748
20.1.11 第三方软件采购 749
20.2 创建数据库和数据仓储 749
20.2.1 数据库管理系统的体系结构 750
20.2.2 数据库事务 752
20.2.3 多级数据库的安全性 753
20.2.4 开放数据库互连 756
20.2.5 NoSQL 757
20.3 存储器威胁 757
20.4 理解基于知识的系统 758
20.4.1 专家系统 758
20.4.2 机器学习 759
20.4.3 神经网络 759
20.5 本章小结 760
20.6 考试要点 760
20.7 书面实验 761
20.8 复习题 761
第21章 恶意代码和应用攻击 765
21.1 恶意软件 766
21.1.1 恶意代码的来源 766
21.1.2 病毒 767
21.1.3 逻辑炸弹 770
21.1.4 特洛伊木马 770
21.1.5 蠕虫 771
21.1.6 间谍软件与广告软件 773
21.1.7 勒索软件 773
21.1.8 恶意脚本 774
21.1.9 零日攻击 774
21.2 恶意软件预防 775
21.2.1 易受恶意软件攻击的平台 775
21.2.2 反恶意软件 775
21.2.3 完整性监控 776
21.2.4 高级威胁保护 776
21.3 应用程序攻击 777
21.3.1 缓冲区溢出 777
21.3.2 检查时间到使用时间 778
21.3.3 后门 778
21.3.4 特权提升和rootkit 779
21.4 注入漏洞 779
21.4.1 SQL注入攻击 779
21.4.2 代码注入攻击 782
21.4.3 命令注入攻击 783
21.5 利用授权漏洞 783
21.5.1 不安全的直接对象引用 784
21.5.2 目录遍历 784
21.5.3 文件包含 785
21.6 利用Web应用程序漏洞 786
21.6.1 跨站脚本 786
21.6.2 请求伪造 789
21.6.3 会话劫持 789
21.7 应用程序安全控制 790
21.7.1 输入验证 790
21.7.2 Web应用程序防火墙 791
21.7.3 数据库安全 792
21.7.4 代码安全 793
21.8 安全编码实践 795
21.8.1 源代码注释 795
21.8.2 错误处理 795
21.8.3 硬编码凭证 797
21.8.4 内存管理 797
21.9 本章小结 798
21.10 考试要点 798
21.11 书面实验 799
21.12 复习题 799
附录A 书面实验答案 803
附录B 复习题答案 815
|
內容試閱:
|
《CISSP官方学习手册(第9版)》可为你参加CISSP(注册信息系统安全师)认证考试打下坚实基础。买下这本书,就表明你想学习并通过这一认证提高自己的专业技能。这里将对《CISSP官方学习手册(第9版)》和CISSP考试做基本介绍。
《CISSP官方学习手册(第9版)》为那些希望通过CISSP认证考试的勤奋读者而设计。如果你的目标是成为一名持证安全专业人员,则CISSP认证和本学习手册是你的最佳选择。《CISSP官方学习手册(第9版)》旨在帮助你做好CISSP应试准备。
在深入阅读《CISSP官方学习手册(第9版)》前,你首先要完成几项任务。你需要对IT和安全有一个大致了解。你应该在CISSP考试涵盖的8个知识域中的两个或多个拥有5年全职全薪工作经验(如果你有本科学历,则有4年工作经验即可)。如果根据(ISC)2规定的条件,你具备了参加CISSP考试的资格,则意味着你做好了充分准备,可借助《CISSP官方学习手册(第9版)》备考CISSP。有关(ISC)2的详细信息,稍后将介绍。
如果你拥有(ISC)2先决条件路径认可的其他认证,(ISC)2也允许把5年的工作经验要求减掉一年。这些认证包括CAP、CISM、CISA、CCIE、CCNA Security、CompTIA CASP、CompTIA Security 、CompTIA CySA 等,以及多种GIAC认证。有关资格认证的完整列表,可访问(ISC)2网站。
注意:
需要指出的是,你只能用一种方法降低工作经验的年限要求,要么是本科学历,要么是认证证书,不能两者都用。
如果你刚刚开始CISSP认证之旅,还没有工作经验,那么《CISSP官方学习手册(第9版)》仍然可以成为你准备考试的有效工具。但是,你会发现自己对一些主题知识不太熟悉,需要使用其他材料进行一些额外的研究,然后返回《CISSP官方学习手册(第9版)》中继续学习。
(ISC)2
CISSP考试由国际信息系统安全认证联盟(International Information Systems Security Certification Consortium)管理,该联盟的英文简称是(ISC)2。(ISC)2是一个全球性非营利组织,致力于实现四大任务目标:
● 为信息系统安全领域维护通用知识体系(CBK)。
● 为信息系统安全专业人员和从业者提供认证。
● 开展认证培训并管理认证考试。
● 通过继续教育监察合格认证申请人的持续评审工作。
(ISC)2由董事会管理,董事会成员从持证从业人员中按级别选出。
(ISC)2支持和提供多项专业认证,包括CISSP、CISSP-ISSAP、CISSP-ISSMP、 CISSP-ISSEP、SSCP、CAP、CSSLP、HCISPP和CCSP。这些认证旨在验证所有行业IT安全专业人员的知识和技术水平。有关(ISC)2及其证书认证的详情,可访问(ISC)2网站。
CISSP证书专为在组织内负责设计和维护安全基础设施的安全专业人员而设。
知识域
CISSP认证涵盖8个知识域的内容,分别是:
● 域1 安全与风险管理
● 域2 资产安全
● 域3 安全架构与工程
● 域4 通信与网络安全
● 域5 身份和访问管理(IAM)
● 域6 安全评估与测试
● 域7 安全运营
● 域8 软件开发安全
这8个知识域以独立于厂商的视角展现了一个通用安全框架。这个框架是支持在全球所有类型的组织中讨论安全实践的基础。
资格预审
(ISC)2规定了成为一名CISSP必须满足的资格要求。首先,你必须是一名有5年以上全职全薪工作经验或者有4年工作经验并具有IT或IS本科学历或经批准的安全认证(有关详细信息,请参阅(ISC)2官网的安全专业从业人员。专业工作经验的定义是:在8个CBK域的两个或多个域内从事过有工资或佣金收入的安全工作。
其次,你必须同意遵守道德规范。CISSP道德规范是(ISC)2希望所有CISSP申请人都严格遵守的一套行为准则,旨在使他们在信息系统安全领域保持专业素养。你可在(ISC)2网站的信息栏下查询有关内容。
(ISC)2还提供一个名为“(ISC)2准会员”的入门方案。这个方案允许没有任何从业经验或经验不足的申请人参加CISSP考试,通过考试后再获得工作经验。准会员资格有6年有效期,申请人需要在这6年时间里获得5年安全工作经验。只有在提交5年工作经验证明(通常是有正式签名的文件和一份简历)之后,准会员才能得到CISSP证书。
CISSP考试简介
CISSP考试堪称从万米高空俯瞰安全,涉及更多的是理论和概念,而非执行方案和规程。它的涵盖面很广,但并不深入。若想通过这个考试,你需要熟知所有的域,但不必对每个域都那么精通。
CISSP英文考试将以自适应形式呈现。(ISC)2给考试定名为CISSP-CAT(计算机化自适应考试)。
CISSP-CAT考试最少含100道考题,最多含150道考题。呈现给你的所有考项不会全部计入你的分数或考试通过状态。(ISC)2把这些不计分考项称为考前题(pretest question),而把计分考项称为操作项(operational item)。这些考题在考试中均不标明计入考分(操作项)还是不计入考分(考前题)。认证申请人会在考试中遇到25个不计分考项——无论他们只做100道考题就达到了通过等级,还是做了所有150道题。
CISSP-CAT考试时间最长不超过3小时。如果你没达到某个通过等级就用完了时间,将被自动判定为失败。
CISSP-CAT不允许返回至前面的考题修改答案。一旦你提交选择的答案并离开一道考题,你选择的答案将是最终结果。
CISSP-CAT没有公布或设置需要达到的分数。相反,你必须在最后的75个操作项(即考题)之内展示自己具有超过(ISC)2通过线(也叫通过标准)的答题能力。
如果计算机判断你达到通过标准的概率低于5%,而且你已答过75个操作项(此时已答100题),你的考试将自动以失败告终。如果计算机判断你达到通过标准的概率大于95%,而且你已答过75个操作项(此时已答100题),你的考试将自动以合格结束。如果这两个极端都没有满足,那么你将看到下一个考题,计算机将在你答题后再次评估你的状态。一旦计算机评分系统根据必要数量的考题以95%的信心得出结论,判断你有能力达到或无法达到通过标准,将不保证有更多考题展示给你。如果你在提交150题的答案后未达到通过标准或者超时,那就意味着你失败了。
如果你第一次未能顺利通过CISSP考试,可在以下条件下再次参加CISSP考试:
● 每12个月内你最多可以参加四次CISSP考试。
● 在第一次考试和第二次考试之间,你必须等待30天。
● 在第二次考试和第三次考试之间,你必须再等待60天。
● 在第三次考试和下次考试之间,你必须再等待90天。
重考政策于2020年10月更新;有关官方政策,请参阅(ISC)2官网。
每次考试都需要你支付全额考试费。
从前的英文纸质或CBT(基于计算机的考试)平面250题版考试已不可能重现。CISSP现在只通过(ISC)2-授权Pearson VUE测试中心使用英文CBT CISSP-CAT格式。
注意:
2021年初,(ISC)2通过Pearson VUE为CISSP试行了在线考试监控方案。该试验的结果将在2021 Q3进行评估,(ISC)2将根据结果作出决定。请关注(ISC)2博客,了解有关远程在线监考CISSP考试产品的最新信息。
更新后的CISSP考试将以英文、法文、德文、巴西葡萄牙文、西班牙文(现代)、日文、简体中文和韩文等版本提供。CISSP非英文版考试仍然使用250个问题的平滑线性、固定形式进行。关于CISSP考试的详情和最新信息,请访问(ISC)2官网并下载CISSP终极指南和CISSP考试大纲(目前位于“2:注册并准备考试”部分)。你还可以在(ISC)2博客上找到有用的信息。例如,该博客在2020年10月发布了一篇题为“CISSP考试为什么会改变?”的优秀文章。
CISSP考试的考题类型
CISSP考试的大多数考题都有4个选项,这种题目只有一个正确答案。有些考题很简单,比如要求你选一个定义。有些考题则复杂一些,要求你选出合适的概念或最佳实践规范。有些考题会向你呈现一个场景或一种情况,让你选出最佳答案。
你必须选出一个正确或最佳答案并把它标记出来。有时,正确答案一目了然。而在其他时候,几个答案似乎全都正确。遇到这种情况时,你必须为所问的问题选出最佳答案。你应该留意一般性、特定、通用、超集和子集答案选项。还有些时候,几个答案看起来全都不对。遇到这种情况时,你需要把最正确的那个答案选出来。
某些多项选择题可能要求你选择多个答案,题目将说明此题需要多选以提供完整答案。
除了标准多选题格式,考试还包括一种高级考题格式,被(ISC)2称为高级创新题(advanced innovative question)。其中包括拖放题和热点题。这些类型的考题要求你按操作顺序、优先级偏好或与所需解决方案的适当位置的关联来排列主题或概念。具体来说,拖放题要求考生移动标签或图标并在图像上把考项标记出来。热点题要求考生用十字记号笔在图像上标出一个位置。这些考题涉及的概念很容易处理和理解,但你要注意放置或标记操作的准确性。
有关考试的建议
CISSP考试由两个关键元素组成。首先,你需要熟知8个知识域涉及的内容。其次,你必须掌握高超的考试技巧。你最多只有3小时的时间,期间可能要回答多达150道题。如此算来,每道题的答题时间平均只有1分多钟。所以,快速答题至关重要,但也不必太过匆忙,只要不浪费时间就好。
CISSP考试不再允许考生跳题而且不允许返回,所以不管怎样,你都必须在每个考题上给出你最好的答案。建议你在猜一道题的答案之前尽量减少选项的数量;然后你可以从一组减少的选项中做出有根据的猜测,以增加你正确答题的机会。
另外,请注意,(ISC)2并没有说明,面对由多个部分组成的考题时,如果你只答对了部分内容,是否会得到部分考分。因此,你需要注意带复选框的考题,并确保按需要的数量选择考项,以对该考题做出最佳选择。
在考场中,你将得到一块白板和一支记号笔,以便你记下自己的思路和想法。但是写在白板上的任何东西都不能改变你的考分。离开考场之前,你必须把这块白板还给考试管理员。
为帮助你在考试中取得最佳成绩,这里提出几条一般性指南:
● 先读一遍考题,再把答案选项读一遍,之后再读一遍考题。
● 先排除错误答案,再选择正确答案。
● 注意双重否定。
● 确保自己明白考题在问什么。
掌控好自己的时间。尽管可在考试过程中歇一会儿,但这毕竟会浪费部分考试时间。你可以考虑带些饮品和零食,但食物和饮料不可带进考场,而且休息所用的时间是要计入考试时间的。确保自己只随身携带药物或其他必需物品,所有电子产品都要留在家里或汽车里。你应该避免在手腕上戴任何东西,包括手表、计步器和首饰。你不可使用任何形式的防噪耳机或耳塞式耳机,不过可以使用泡沫耳塞。另外,建议你穿舒适的衣服,并带上一件薄外套(一些考场有点儿凉)。
最后,(ISC)2考试政策可能会发生变化,在注册和参加考试之前请务必登录其官网查看当前政策。
学习和备考技巧
建议你为CISSP考试制订一个月左右的晚间强化学习计划。这里提的几点建议可以最大限度地增加你的学习时间;你可根据自己的学习习惯进行必要的修改。
● 用一两个晚上细读《CISSP官方学习手册(第9版)》的每一章并把它的复习题做一遍。
● 回答所有复习题,并把《CISSP官方学习手册(第9版)》和在线考试引擎中的模拟考题做一遍。一定要研究错题,以掌握不了解的知识。
● 完成每章的书面实验。
● 阅读并理解考试要点。
● 复习(ISC)2的考试大纲。
● 利用学习工具附带的速记卡来强化自己对概念的理解。
提示:
建议你把一半的学习时间用来阅读和复习概念,并把另一半时间用来做练习题。有学生报告说,花在练习题上的时间越多,考试主题记得越清楚。除了本学习手册的模拟考试,Sybex还出版了《(ISC)2:CISSP官方习题集(第3版)》。该书为每个域都设置了100多道练习题,还包含4个标准的模拟考试。与本学习手册一样,它还有在线版考题。
完成认证流程
你被通知成功通过CISSP认证考试后,离真正获得CISSP证书还差最后一步。最后一步是背书(endorsement)。从根本上说,这要求你让一个本身是CISSP或(ISC)2其他证书持有者、有很高声望并熟悉你的职业履历的人为你提交一份举荐表。通过CISSP考试后,你将收到一封包含说明的电子邮件,也可在(ISC)2网站上查看背书申请流程。如果注册了CISSP,那么你必须在考试后9个月内完成背书。如果注册了(ISC)2的准会员,那么你有6年的时间完成背书。一旦(ISC)2接受背书,认证过程将完成,你将收到欢迎包裹。
获得CISSP认证后,必须努力维护该认证。需要在3年之内获得120个持续专业教育(CPE)学分。有关获得和报告CPE的详细信息,请参阅(ISC)2继续专业教育(CPE)手册和CPE Opportunities页面。在获得认证后还需要每年支付年度维护费(AMF)。有关AMF的详细信息,请参阅(ISC)2 CPE手册和官网信息。
本学习手册的元素
每一章都包含帮助你集中学习和测试知识的常用元素。下面介绍其中的部分元素。
真实场景 在学习各章内容的过程中,你会发现《CISSP官方学习手册(第9版)》对典型且真实可信的工作场景的描述。在这些情景下,你从该章学到的安全战略和方法可在解决问题或化解潜在困难的过程中发挥作用。这让你有机会了解如何把具体的安全策略、指南或实践规范应用到实际工作中。
提示和注意 对于每一章中的插入性语句,应该额外注意,它们通常是章节中相关重要材料的重点细节。
本章小结 这是对该章的简要回顾,归纳了该章涵盖的内容。
考试要点 考试要点突出了可能以某种形式出现在考试中的主题。虽然我们显然不可能确切知道某次考试将包括哪些内容,但这一部分有助于你进一步掌握本章概念和主题的关键。考试要点是一章中保留的最低限度的知识点。
书面实验 每章都设有书面实验,以综述该章出现的各种概念和主题。书面实验提出的问题旨在帮助你把散布于该章各处的重要内容归纳到一起,形成一个整体,使你能够提出或描述潜在安全战略或解决方案。强烈建议你在查看附录A中提供的解决方案之前,先写出答案。
复习题 每章都设有复习题,旨在衡量你对该章所述关键概念的掌握程度。你应该在读完每章内容后把这些题做一遍;如果你答错了一些题,说明你需要花更长时间来钻研相关主题。《CISSP官方学习手册(第9版)》附录B给出复习题的答案。
|
|