CISSP官方學習手冊（第9版）

涵蓋2021年CISSP所有考點，是您的一站式學習手冊，助您更靈活、更快捷地準備CISSP考試。本書編排得當，內容詳實，包含可供個人評估備考進展的測試、目標地圖、書面實驗題、關鍵考點以及富有挑戰的章節練習題。開始使用本手冊準備CISSP考試吧。 涵蓋全部考試目標 ？ 安全與風險管 理 ？ 資產安全 ？ 安全架構與工程 ？ 通信與網路安全 ？ 身份和訪問管理 ？ 安全評估與測試 ？ 安全運營 ？ 軟體開發安全

第1章 實現安全治理的原則和策略 1

1.1 安全101 2

1.2 理解和套用安全概念 2

1.2.1 保密性 3

1.2.2 完整性 4

1.2.3 可用性 4

1.2.4 DAD、過度保護、真實性、不可否認性和AAA服務 5

1.2.5 保護機制 8

1.3 安全邊界 9

1.4 評估和套用安全治理原則 10

1.4.1 第三方治理 11

1.4.2 檔案審查 11

1.5 管理安全功能 12

1.5.1 與業務戰略、目標、使命和宗旨相一致的安全功能 12

1.5.2 組織的流程 14

1.5.3 組織的角色與責任 15

1.5.4 安全控制框架 16

1.5.5 應盡關心和盡職審查 17

1.6 安全策略、標準、程式和指南 17

1.6.1 安全策略 17

1.6.2 安全標準、基線和指南 18

1.6.3 安全程式 18

1.7 威脅建模 19

1.7.1 識別威脅 19

1.7.2 確定和繪製潛在的攻擊 21

1.7.3 執行簡化分析 22

1.7.4 優先權排序和回響 22

1.8 將基於風險的管理理念套用到供應鏈 23

1.9 本章小結 24

1.10 考試要點 25

1.11 書面實驗 27

1.12 複習題 27

第2章 人員安全和風險管理的概念 32

2.1 人員安全策略和程式 33

2.1.1 崗位描述與職責 33

2.1.2 候選人篩選及招聘 33

2.1.3 入職：僱傭協定及策略 34

2.1.4 員工監管 35

2.1.5 離職、調動和解僱流程 36

2.1.6 供應商、顧問和承包商的協定和控制 38

2.1.7 合規策略要求 39

2.1.8 隱私策略要求 39

2.2 理解並套用風險管理概念 40

2.2.1 風險術語和概念 41

2.2.2 資產估值 43

2.2.3 識別威脅和脆弱性 44

2.2.4 風險評估/分析 45

2.2.5 風險回響 50

2.2.6 安全控制的成本與收益 52

2.2.7 選擇與實施安全對策 54

2.2.8 適用的控制類型 56

2.2.9 安全控制評估 58

2.2.10 監視和測量 58

2.2.11 風險報告和文檔 58

2.2.12 持續改進 59

2.2.13 風險框架 60

2.3 社會工程 62

2.3.1 社會工程原理 63

2.3.2 獲取信息 65

2.3.3 前置詞 65

2.3.4 網路釣魚 65

2.3.5 魚叉式網路釣魚 66

2.3.6 網路釣鯨 67

2.3.7 簡訊釣魚 67

2.3.8 語音網路釣魚 68

2.3.9 垃圾郵件 68

2.3.10 肩窺 69

2.3.11 發票詐欺 69

2.3.12 惡作劇 69

2.3.13 假冒和偽裝 70

2.3.14 尾隨和捎帶 70

2.3.15 垃圾箱搜尋 71

2.3.16 身份欺詐 71

2.3.17 誤植域名 72

2.3.18 影響力運動 73

2.4 建立和維護安全意識、教育和培訓計畫 74

2.4.1 安全意識 74

2.4.2 培訓 75

2.4.3 教育 75

2.4.4 改進 75

2.4.5 有效性評估 76

2.5 本章小結 77

2.6 考試要點 78

2.7 書面實驗 81

2.8 複習題 81

第3章 業務連續性計畫 86

3.1 業務連續性計畫概述 86

3.2 項目範圍和計畫 87

3.2.1 組織分析 88

3.2.2 選擇BCP團隊 88

3.2.3 資源需求 90

3.2.4 法律和法規要求 91

3.3 業務影響分析 92

3.3.1 確定優先權 92

3.3.2 風險識別 93

3.3.3 可能性評估 95

3.3.4 影響分析 95

3.3.5 資源優先權排序 96

3.4 連續性計畫 97

3.4.1 策略開發 97

3.4.2 預備和處理 97

3.5 計畫批准和實施 99

3.5.1 計畫批准 99

3.5.2 計畫實施 99

3.5.3 培訓和教育 99

3.5.4 BCP文檔化 100

3.6 本章小結 103

3.7 考試要點 103

3.8 書面實驗 104

3.9 複習題 104

第4章 法律、法規和合規 108

4.1 法律的分類 108

4.1.1 刑法 109

4.1.2 民法 110

4.1.3 行政法 110

4.2 法律 111

4.2.1 計算機犯罪 111

4.2.2 智慧財產權 114

4.2.3 許可 118

4.2.4 進口/出口控制 119

4.2.5 隱私 120

4.3 合規 127

4.4 契約和採購 128

4.5 本章小結 129

4.6 考試要點 129

4.7 書面實驗 130

4.8 複習題 130

第5章 保護資產安全 135

5.1 對信息和資產進行識別和分類 136

5.1.1 定義敏感數據 136

5.1.2 定義數據分類 137

5.1.3 定義資產分類 139

5.1.4 理解數據狀態 139

5.1.5 確定合規要求 140

5.1.6 確定數據安全控制 141

5.2 建立信息和資產的處理要求 142

5.2.1 數據維護 143

5.2.2 數據丟失預防 143

5.2.3 標記敏感數據和資產 144

5.2.4 處理敏感信息和資產 145

5.2.5 數據收集限制 145

5.2.6 數據位置 146

5.2.7 存儲敏感數據 146

5.2.8 數據銷毀 147

5.2.9 確保適當的數據和資產保留期 149

5.3 數據保護方法 150

5.3.1 數字著作權管理 151

5.3.2 雲訪問安全代理 152

5.3.3 假名化 152

5.3.4 令牌化 153

5.3.5 匿名化 154

5.4 理解數據角色 155

5.4.1 數據所有者 155

5.4.2 資產所有者 156

5.4.3 業務/任務所有者 156

5.4.4 數據處理者和數據控制者 157

5.4.5 數據託管員 157

5.4.6 管理員 157

5.4.7 用戶和主體 158

5.5 使用安全基線 158

5.5.1 對比定製和範圍界定 159

5.5.2 選擇標準 160

5.6 本章小結 160

5.7 考試要點 161

5.8 書面實驗 162

5.9 複習題 162

第6章 密碼學和對稱密鑰算法 167

6.1 密碼學基本知識 167

6.1.1 密碼學的目標 168

6.1.2 密碼學的概念 169

6.1.3 密碼數學 170

6.1.4 密碼 175

6.2 現代密碼學 181

6.2.1 密碼密鑰 182

6.2.2 對稱密鑰算法 183

6.2.3 非對稱密鑰算法 184

6.2.4 哈希算法 186

6.3 對稱密碼 187

6.3.1 密碼運行模式 187

6.3.2 數據加密標準 189

6.3.3 三重DES 189

6.3.4 國際數據加密算法 190

6.3.5 Blowfish 190

6.3.6 Skipjack 191

6.3.7 Rivest Ciphers 191

6.3.8 高級加密標準 192

6.3.9 CAST 192

6.3.10 比較各種對稱加密算法 192

6.3.11 對稱密鑰管理 193

6.4 密碼生命周期 195

6.5 本章小結 195

6.6 考試要點 196

6.7 書面實驗 197

6.8 複習題 197

第7章 PKI和密碼套用 201

7.1 非對稱密碼 202

7.1.1 公鑰和私鑰 202

7.1.2 RSA 203

7.1.3 ElGamal 204

7.1.4 橢圓曲線 205

7.1.5 Diffie-Hellman密鑰交換 205

7.1.6 量子密碼 206

7.2 哈希函式 207

7.2.1 SHA 208

7.2.2 MD5 209

7.2.3 RIPEMD 209

7.2.4 各種哈希算法的哈希值長度比較 209

7.3 數字簽名 210

7.3.1 HMAC 211

7.3.2 數字簽名標準 212

7.4 公鑰基礎設施 212

7.4.1 證書 212

7.4.2 發證機構 213

7.4.3 證書的生命周期 214

7.4.4 證書的格式 217

7.5 非對稱密鑰管理 217

7.6 混合加密法 218

7.7 套用密碼學 219

7.7.1 便攜設備 219

7.7.2 電子郵件 220

7.7.3 Web套用 222

7.7.4 隱寫術和水印 224

7.7.5 聯網 225

7.7.6 新興的套用 227

7.8 密碼攻擊 228

7.9 本章小結 231

7.10 考試要點 232

7.11 書面實驗 233

7.12 複習題 233

第8章 安全模型、設計和能力的原則 237

8.1 安全設計原則 238

8.1.1 客體和主體 238

8.1.2 封閉系統和開放系統 239

8.1.3 默認安全配置 240

8.1.4 失效安全 241

8.1.5 保持簡單 243

8.1.6 零信任 243

8.1.7 通過設計保護隱私 244

8.1.8 信任但要驗證 245

8.2 用於確保保密性、完整性和可用性的技術 245

8.2.1 限定 246

8.2.2 界限 246

8.2.3 隔離 246

8.2.4 訪問控制 247

8.2.5 信任與保證 247

8.3 理解安全模型的基本概念 247

8.3.1 可信計算基 248

8.3.2 狀態機模型 249

8.3.3 信息流模型 250

8.3.4 無干擾模型 250

8.3.5 獲取-授予模型 251

8.3.6 訪問控制矩陣 252

8.3.7 Bell-LaPadula模型 252

8.3.8 Biba模型 254

8.3.9 Clark-Wilson模型 256

8.3.10 Brewer and Nash模型 257

8.3.11 Goguen-Meseguer模型 258

8.3.12 Sutherland模型 258

8.3.13 Graham-Denning模型 258

8.3.14 Harrison-Ruzzo-Ullman模型 259

8.4 根據系統安全要求挑選控制 259

8.4.1 通用準則 260

8.4.2 操作授權 262

8.5 理解信息系統的安全能力 263

8.5.1 記憶體保護 263

8.5.2 虛擬化 264

8.5.3 可信平台模組 264

8.5.4 接口 264

8.5.5 容錯 264

8.5.6 加密/解密 264

8.6 本章小結 265

8.7 考試要點 265

8.8 書面實驗 267

8.9 複習題 267

第9章 安全漏洞、威脅和對策 272

9.1 共擔責任 273

9.2 評價和彌補安全架構、設計和解決方案元素的漏洞 274

9.2.1 硬體 274

9.2.2 固件 286

9.3 基於客戶端的系統 287

9.3.1 移動代碼 287

9.3.2 本地快取 289

9.4 基於伺服器端的系統 290

9.4.1 大規模並行數據系統 290

9.4.2 格線計算 291

9.4.3 對等網路 292

9.5 工業控制系統 292

9.6 分散式系統 293

9.7 高性能計算系統 295

9.8 物聯網 296

9.9 邊緣和霧計算 298

9.10 嵌入式設備和信息物理融合系統 299

9.10.1 靜態系統 300

9.10.2 可聯網設備 300

9.10.3 信息物理融合系統 301

9.10.4 與嵌入式和靜態系統相關的元素 301

9.10.5 嵌入式和靜態系統的安全問題 302

9.11 專用設備 304

9.12 微服務 305

9.13 基礎設施即代碼 306

9.14 虛擬化系統 307

9.14.1 虛擬軟體 310

9.14.2 虛擬化網路 310

9.14.3 軟體定義一切 310

9.14.4 虛擬化的安全管理 312

9.15 容器化 314

9.16 無伺服器架構 315

9.17 移動設備 315

9.17.1 移動設備的安全性能 317

9.17.2 移動設備的部署策略 327

9.18 基本安全保護機制 332

9.18.1 進程隔離 333

9.18.2 硬體分隔 333

9.18.3 系統安全策略 333

9.19 常見的安全架構缺陷和問題 334

9.19.1 隱蔽通道 334

9.19.2 基於設計或編碼缺陷的攻擊 335

9.19.3 rootkit 336

9.19.4 增量攻擊 337

9.20 本章小結 337

9.21 考試要點 338

9.22 書面實驗 343

9.23 複習題 343

第10章 物理安全要求 348

10.1 站點與設施設計的安全原則 349

10.1.1 安全設施計畫 349

10.1.2 站點選擇 349

10.1.3 設施設計 350

10.2 實現站點與設施安全控制 351

10.2.1 設備故障 352

10.2.2 配線間 353

10.2.3 伺服器間與數據中心 354

10.2.4 入侵檢測系統 356

10.2.5 攝像頭 358

10.2.6 訪問濫用 359

10.2.7 介質存儲設施 359

10.2.8 證據存儲 360

10.2.9 受限區與工作區安全 360

10.2.10 基礎設施關注點 361

10.2.11 火災預防、探測與消防 365

10.3 物理安全的實現與管理 370

10.3.1 邊界安全控制 370

10.3.2 內部安全控制 373

10.3.3 物理安全的關鍵性能指標 375

10.4 本章小結 376

10.5 考試要點 376

10.6 書面實驗 379

10.7 複習題 379

第11章 安全網路架構和組件 384

11.1 OSI模型 385

11.1.1 OSI模型的歷史 385

11.1.2 OSI功能 385

11.1.3 封裝/解封 386

11.1.4 OSI模型層次 387

11.2 TCP/IP模型 390

11.3 網路流量分析 391

11.4 通用套用層協定 391

11.5 傳輸層協定 392

11.6 域名系統 393

11.6.1 DNS中毒 395

11.6.2 域名劫持 398

11.7 網際網路協定網路 399

11.7.1 IPv4與IPv6 399

11.7.2 IP分類 400

11.7.3 ICMP 401

11.7.4 IGMP 401

11.8 ARP關注點 402

11.9 安全通信協定 403

11.10 多層協定的含義 403

11.10.1 融合協定 404

11.10.2 網路電話 405

11.10.3 軟體定義網路 406

11.11 微分網段 407

11.12 無線網路 408

11.12.1 保護SSID 409

11.12.2 無線信道 409

11.12.3 進行現場調查 410

11.12.4 無線安全 410

11.12.5 Wi-Fi保護設定 413

11.12.6 無線 MAC過濾器 413

11.12.7 無線天線管理 413

11.12.8 使用強制門戶 414

11.12.9 一般Wi-Fi安全程式 414

11.12.10 無線通信 415

11.12.11 無線攻擊 417

11.13 其他通信協定 420

11.14 蜂窩網路 421

11.15 內容分發網路 421

11.16 安全網路組件 422

11.16.1 硬體的安全操作 422

11.16.2 常用網路設備 423

11.16.3 網路訪問控制 425

11.16.4 防火牆 425

11.16.5 端點安全 430

11.16.6 布線、拓撲和傳輸介質技術 432

11.16.7 傳輸介質 433

11.16.8 網路拓撲 435

11.16.9 乙太網 437

11.16.10 子技術 438

11.17 本章小結 440

11.18 考試要點 441

11.19 書面實驗 444

11.20 複習題 444

第12章 安全通信與網路攻擊 449

12.1 協定安全機制 449

12.1.1 身份認證協定 450

12.1.2 連線埠安全 451

12.1.3 服務質量 452

12.2 語音通信的安全 452

12.2.1 公共交換電話網 452

12.2.2 VoIP 453

12.2.3 語音釣魚和電話飛客 454

12.2.4 PBX欺騙與濫用 455

12.3 遠程訪問安全管理 456

12.3.1 遠程訪問與遠程辦公技術 456

12.3.2 遠程連線安全 457

12.3.3 規劃遠程訪問安全策略 457

12.4 多媒體協作 458

12.4.1 遠程會議 458

12.4.2 即時通信和聊天 459

12.5 負載均衡 459

12.5.1 虛擬IP和負載持久性 460

12.5.2 主動-主動與主動-被動 460

12.6 管理電子郵件安全 461

12.6.1 電子郵件安全目標 461

12.6.2 理解電子郵件安全問題 462

12.6.3 電子郵件安全解決方案 463

12.7 虛擬專用網 465

12.7.1 隧道技術 466

12.7.2 VPN的工作機理 467

12.7.3 始終線上VPN 469

12.7.4 分割隧道與全隧道 469

12.7.5 常用的VPN協定 469

12.8 交換與虛擬區域網路 471

12.9 網路地址轉換 475

12.9.1 私有IP位址 476

12.9.2 狀態NAT 477

12.9.3 自動私有IP分配 477

12.10 第三方連線 478

12.11 交換技術 479

12.11.1 電路交換 479

12.11.2 分組交換 480

12.11.3 虛電路 480

12.12 WAN技術 481

12.13 光纖鏈路 482

12.14 安全控制特徵 483

12.14.1 透明性 483

12.14.2 傳輸管理機制 483

12.15 防止或減輕網路攻擊 483

12.15.1 竊聽 484

12.15.2 篡改攻擊 484

12.16 本章小結 484

12.17 考試要點 485

12.18 書面實驗 487

12.19 複習題 487

第13章 管理身份和認證 492

13.1 控制對資產的訪問 493

13.1.1 控制物理和邏輯訪問 493

13.1.2 CIA三性和訪問控制 494

13.2 管理身份標識和認證 494

13.2.1 比較主體和客體 495

13.2.2 身份註冊、證明和創建 496

13.2.3 授權和問責 497

13.2.4 身份認證因素概述 498

13.2.5 你知道什麼 499

13.2.6 你擁有什麼 501

13.2.7 你是什麼 502

13.2.8 多因素身份認證 505

13.2.9 使用身份認證應用程式進行雙因素身份認證 505

13.2.10 無口令身份認證 506

13.2.11 設備身份認證 507

13.2.12 服務身份認證 508

13.2.13 雙向身份認證 508

13.3 實施身份管理 508

13.3.1 單點登錄 509

13.3.2 SSO與聯合身份標識 510

13.3.3 憑證管理系統 511

13.3.4 憑證管理器應用程式 512

13.3.5 腳本訪問 512

13.3.6 會話管理 512

13.4 管理身份和訪問配置生命周期 513

13.4.1 配置和入職 513

13.4.2 取消配置和離職 514

13.4.3 定義新角色 515

13.4.4 賬戶維護 515

13.4.5 賬戶訪問審查 516

13.5 本章小結 516

13.6 考試要點 517

13.7 書面實驗 518

13.8 複習題 518

第14章 控制和監控訪問 522

14.1 比較訪問控制模型 523

14.1.1 比較許可權、權利和特權 523

14.1.2 理解授權機制 523

14.1.3 使用安全策略定義需求 525

14.1.4 介紹訪問控制模型 525

14.1.5 自主訪問控制 526

14.1.6 非自主訪問控制 526

14.2 實現認證系統 532

14.2.1 網際網路上實現SSO 532

14.2.2 在內部網路上實現SSO 536

14.3 了解訪問控制攻擊 540

14.3.1 常見訪問控制攻擊 540

14.3.2 特權提升 541

14.3.3 核心保護方法 552

14.4 本章小結 553

14.5 考試要點 553

14.6 書面實驗 555

14.7 複習題 555

第15章 安全評估與測試 559

15.1 構建安全評估和測試方案 560

15.1.1 安全測試 560

15.1.2 安全評估 561

15.1.3 安全審計 562

15.2 開展漏洞評估 565

15.2.1 漏洞描述 565

15.2.2 漏洞掃描 565

15.2.3 滲透測試 574

15.2.4 合規性檢查 576

15.3 測試軟體 576

15.3.1 代碼審查與測試 577

15.3.2 接口測試 580

15.3.3 誤用案例測試 581

15.3.4 測試覆蓋率分析 581

15.3.5 網站監測 581

15.4 實施安全管理流程 582

15.4.1 日誌審查 582

15.4.2 賬戶管理 583

15.4.3 災難恢復和業務連續性 583

15.4.4 培訓和意識 584

15.4.5 關鍵績效和風險指標 584

15.5 本章小結 584

15.6 考試要點 585

15.7 書面實驗 586

15.8 複習題 586

第16章 安全運營管理 590

16.1 套用基本的安全運營概念 591

16.1.1 因需可知和最小特權 591

16.1.2 職責分離和責任 592

16.1.3 雙人控制 593

16.1.4 崗位輪換 593

16.1.5 強制休假 594

16.1.6 特權賬戶管理 594

16.1.7 服務水平協定 595

16.2 解決人員安全和安保問題 596

16.2.1 脅迫 596

16.2.2 出差 596

16.2.3 應急管理 597

16.2.4 安全培訓和意識 597

16.3 安全配置資源 597

16.3.1 信息和資產所有權 598

16.3.2 資產管理 598

16.4 實施資源保護 599

16.4.1 媒介管理 599

16.4.2 媒介保護技術 600

16.5 雲託管服務 602

16.5.1 使用雲服務模型分擔責任 602

16.5.2 可擴展性和彈性 604

16.6 開展配置管理 604

16.6.1 配置 604

16.6.2 基線 605

16.6.3 使用鏡像技術創建基線 605

16.6.4 自動化 606

16.7 管理變更 606

16.7.1 變更管理 608

16.7.2 版本控制 609

16.7.3 配置文檔 609

16.8 管理補丁和減少漏洞 609

16.8.1 系統管理 609

16.8.2 補丁管理 610

16.8.3 漏洞管理 611

16.8.4 漏洞掃描 611

16.8.5 常見漏洞和披露 612

16.9 本章小結 612

16.10 考試要點 613

16.11 書面實驗 614

16.12 複習題 615

第17章 事件的預防和回響 619

17.1 實施事件管理 620

17.1.1 事件的定義 620

17.1.2 事件管理步驟 621

17.2 實施檢測和預防措施 625

17.2.1 基本預防措施 626

17.2.2 了解攻擊 627

17.2.3 入侵檢測和預防系統 634

17.2.4 具體預防措施 641

17.3 日誌記錄和監測 646

17.3.1 日誌記錄技術 646

17.3.2 監測的作用 648

17.3.3 監測技術 651

17.3.4 日誌管理 654

17.3.5 出口監測 654

17.4 自動事件回響 655

17.4.1 了解SOAR 655

17.4.2 機器學習和AI工具 656

17.4.3 威脅情報 657

17.4.4 SOAR、機器學習、人工智慧和威脅饋送的交叉融匯 660

17.5 本章小結 660

17.6 考試要點 661

17.7 書面實驗 663

17.8 複習題 663

第18章 災難恢復計畫 667

18.1 災難的本質 668

18.1.1 自然災難 668

18.1.2 人為災難 672

18.2 理解系統韌性、高可用性和容錯能力 676

18.2.1 保護硬碟驅動器 677

18.2.2 保護伺服器 678

18.2.3 保護電源 679

18.2.4 可信恢復 680

18.2.5 服務質量 680

18.3 恢復策略 681

18.3.1 業務單元和功能優先權 681

18.3.2 危機管理 682

18.3.3 應急溝通 683

18.3.4 工作組恢復 683

18.3.5 備用處理站點 683

18.3.6 資料庫恢復 687

18.4 恢復計畫開發 688

18.4.1 應急回響 689

18.4.2 職員和通信 689

18.4.3 評估 690

18.4.4 備份和離站存儲 690

18.4.5 軟體託管協定 693

18.4.6 公用設施 694

18.4.7 物流和供應 694

18.4.8 恢復與還原的比較 694

18.5 培訓、意識與文檔記錄 695

18.6 測試與維護 695

18.6.1 通讀測試 696

18.6.2 結構化演練 696

18.6.3 模擬測試 696

18.6.4 並行測試 696

18.6.5 完全中斷測試 696

18.6.6 經驗教訓 697

18.6.7 維護 697

18.7 本章小結 698

18.8 考試要點 698

18.9 書面實驗 699

18.10 複習題 699

第19章 調查和道德 703

19.1 調查 703

19.1.1 調查的類型 704

19.1.2 證據 705

19.1.3 調查過程 710

19.2 計算機犯罪的主要類別 713

19.2.1 軍事和情報攻擊 714

19.2.2 商業攻擊 714

19.2.3 財務攻擊 715

19.2.4 恐怖攻擊 715

19.2.5 惡意攻擊 716

19.2.6 興奮攻擊 717

19.2.7 黑客行動主義者 717

19.3 道德規範 717

19.3.1 組織道德規範 718

19.3.2 (ISC)2的道德規範 718

19.3.3 道德規範和網際網路 719

19.4 本章小結 721

19.5 考試要點 721

19.6 書面實驗 722

19.7 複習題 722

第20章 軟體開發安全 726

20.1 系統開發控制概述 727

20.1.1 軟體開發 727

20.1.2 系統開發生命周期 733

20.1.3 生命周期模型 736

20.1.4 甘特圖與PERT 742

20.1.5 變更和配置管理 743

20.1.6 DevOps方法 744

20.1.7 套用編程接口 745

20.1.8 軟體測試 746

20.1.9 代碼倉庫 747

20.1.10 服務水平協定 748

20.1.11 第三方軟體採購 749

20.2 創建資料庫和數據倉儲 749

20.2.1 資料庫管理系統的體系結構 750

20.2.2 資料庫事務 752

20.2.3 多級資料庫的安全性 753

20.2.4 開放資料庫互連 756

20.2.5 NoSQL 757

20.3 存儲器威脅 757

20.4 理解基於知識的系統 758

20.4.1 專家系統 758

20.4.2 機器學習 759

20.4.3 神經網路 759

20.5 本章小結 760

20.6 考試要點 760

20.7 書面實驗 761

20.8 複習題 761

第21章 惡意代碼和套用攻擊 765

21.1 惡意軟體 766

21.1.1 惡意代碼的來源 766

21.1.2 病毒 767

21.1.3 邏輯炸彈 770

21.1.4 特洛伊木馬 770

21.1.5 蠕蟲 771

21.1.6 間諜軟體與廣告軟體 773

21.1.7 勒索軟體 773

21.1.8 惡意腳本 774

21.1.9 零日攻擊 774

21.2 惡意軟體預防 775

21.2.1 易受惡意軟體攻擊的平台 775

21.2.2 反惡意軟體 775

21.2.3 完整性監控 776

21.2.4 高級威脅保護 776

21.3 應用程式攻擊 777

21.3.1 緩衝區溢出 777

21.3.2 檢查時間到使用時間 778

21.3.3 後門 778

21.3.4 特權提升和rootkit 779

21.4 注入漏洞 779

21.4.1 SQL注入攻擊 779

21.4.2 代碼注入攻擊 782

21.4.3 命令注入攻擊 783

21.5 利用授權漏洞 783

21.5.1 不安全的直接對象引用 784

21.5.2 目錄遍歷 784

21.5.3 檔案包含 785

21.6 利用Web應用程式漏洞 786

21.6.1 跨站腳本 786

21.6.2 請求偽造 789

21.6.3 會話劫持 789

21.7 應用程式安全控制 790

21.7.1 輸入驗證 790

21.7.2 Web應用程式防火牆 791

21.7.3 資料庫安全 792

21.7.4 代碼安全 793

21.8 安全編碼實踐 795

21.8.1 原始碼注釋 795

21.8.2 錯誤處理 795

21.8.3 硬編碼憑證 797

21.8.4 記憶體管理 797

21.9 本章小結 798

21.10 考試要點 798

21.11 書面實驗 799

21.12 複習題 799

附錄A 書面實驗答案 803

附錄B 複習題答案 815