《CISSP官方學習指南(第7版)》是2017年04月01日由清華大學出版社出版的圖書,作者是[美]James M. Stewart, Mike Chapple, Darril Gibson。
基本介紹
- 書名:CISSP官方學習指南(第7版)
- 作者:[美]James M. Stewart, Mike Chapple, Darril Gibson
- 譯者:唐俊飛
- ISBN:9787302459330
- 定價:128元
- 出版社:清華大學出版社
- 出版時間:2017-04-01
內容簡介,作者簡介,圖書目錄,
內容簡介
準備CISSP認證的完全指南全面更新至2015年CISSP CIB 《CISSP官方學習指南(第7版)》是完整涵蓋2015年CISSP認證知識體系的一站式資源,100%覆蓋了2015年CISSP CIB考點。可以通過本書更明智、更快捷地準備考試,包括檢查備考情況的評估測試、目標地圖、真實場景、實踐練習、關鍵主題考試要點和有挑戰的章末複習題。通過Sybex提供的獨特的線上學習環境和測試題庫(它們可以在多種設備上訪問),進一步增強你的考試能力。開始使用本書準備CISSP考試吧! 100%覆蓋所有考試目標。
◆ 安全和風險管理
◆ 資產安全
◆ 安全工程
◆ 通信和網路安全
◆ 身份與訪問管理
◆ 安全評估和測試
◆ 安全運營
◆ 軟體開發安全
作者簡介
James Michael Stewart,擁有CISSP、CEH、CHFI、Security+認證,致力於鑽研安全、認證和各種作業系統20餘年,他教授大量的就業技能和認證課程。
Mike Chapple,博士,擁有 CISSP認證,在Notre Dame大學任職,擔任IT服務部門資深總監,負責信息安全、數據治理、IT架構、項目管理、戰略規劃和產品管理功能。
Darril Gibson,擁有CISSP認證,是YCDA有限公司的CEO。他定期撰寫和諮詢各種技術和安全主題,已經撰寫或合著的圖書超過35本。
圖書目錄
第1章 通過原則和策略的安全治理 1
1.1 理解和套用機密性、完整性
和可用性的概念 2
1.1.1 機密性 2
1.1.2 完整性 3
1.1.3 可用性 4
1.1.4 其他安全概念 5
1.1.5 保護機制 8
1.2 套用安全治理原則 9
1.2.1 安全功能戰略、目標、
任務和願景的一致 9
1.2.2 組織流程 11
1.2.3 安全形色和責任 15
1.2.4 控制架構 16
1.2.5 應盡關注和應盡職責 16
1.3 開發和文檔化安全策略、
標準、指導方針和程式 17
1.3.1 安全策略 17
1.3.2 安全標準、基準及指南 18
1.3.3 安全程式 18
1.4 理解和套用威脅建模 19
1.4.1 識別威脅 20
1.4.2 確定和用圖表示潛在攻擊 22
1.4.3 執行降低分析 23
1.4.4 優先權和回響 23
1.5 把安全風險考慮到收購
策略和實踐中 24
1.6 本章小結 25
1.7 考試要點 26
1.8 書面實驗室 28
1.9 複習題 28
第2章 人員安全和風險管理概念 31
2.1 促進人員安全策略 32
2.1.1 篩選候選人 34
2.1.2 僱傭協定和策略 34
2.1.3 解僱員工的流程 35
2.1.4 供應商、顧問和承包商控制 37
2.1.5 合規性 38
2.1.6 隱私 38
2.2 安全治理 39
2.3 理解和套用風險管理概念 39
2.3.1 風...
2.3.1風險術語40
2.3.2識別威脅和脆弱性42
2.3.3風險評估/分析43
2.3.4風險分配/接受48
2.3.5對策的選擇和評估49
2.3.6實施50
2.3.7控制的類型51
2.3.8監控和測量52
2.3.9資產評估52
2.3.10持續改進53
2.3.11風險框架54
2.4建立和管理信息安全教育、
培訓和意識55
2.5管理安全功能56
2.6本章小結57
2.7考試要點57
2.8書面實驗室59
2.9複習題59
第3章業務連續性計畫63
3.1業務連續性計畫63
3.2項目範圍與計畫64
3.2.1業務組織分析65
3.2.2BCP團隊的選擇65
3.2.3資源要求66
3.2.4法律和法規要求67
3.3業務影響評估68
3.3.1確定優先權69
3.3.2風險識別69
3.3.3可能性評估70
3.3.4影響評估71
3.3.5資源優先權劃分72
3.4連續性計畫72
3.4.1策略開發73
3.4.2預備和處理73
3.4.3計畫批准和實現74
3.4.4計畫實現75
3.4.5培訓和教育75
3.5BCP文檔化75
3.5.1連續性計畫的目標75
3.5.2重要性聲明76
3.5.3優先權聲明76
3.5.4組織職責的聲明76
3.5.5緊急程度和時限的聲明76
3.5.6風險評估76
3.5.7可接受的風險/風險緩解77
3.5.8重大記錄計畫77
3.5.9回響緊急事件的指導原則77
3.5.10維護78
3.5.11測試和演習78
3.6本章小結78
3.7考試要點79
3.8書面實驗室79
3.9複習題79
第4章法律、法規和合規性83
4.1法律的分類84
4.1.1刑法84
4.1.2民法85
4.1.3行政法85
4.2法律86
4.2.1計算機犯罪86
4.2.2智慧財產權89
4.2.3進口/出口94
4.2.4隱私95
4.3合規性99
4.4契約與採購100
4.5本章小結101
4.6考試要點101
4.7書面實驗室102
4.8複習題102
第5章保護資產的安全107
5.1對資產進行分類和標記107
5.1.1定義敏感數據108
5.1.2定義分類109
5.1.3定義數據安全要求111
5.1.4理解數據狀態112
5.1.5管理敏感數據112
5.1.6套用密碼學保護機密檔案117
5.2定義數據角色119
5.2.1數據所有者119
5.2.2系統所有者120
5.2.3業務/任務所有者120
5.2.4數據處理者121
5.2.5管理員121
5.2.6保管者121
5.2.7用戶122
5.3保護隱私122
5.3.1使用安全基線122
5.3.2審視和定製123
5.3.3選擇標準123
5.4本章小結124
5.5考試要點124
5.6書面實驗室125
5.7複習題125
第6章密碼學與對稱加密算法129
6.1密碼學歷史上的里程碑129
6.1.1凱撒密碼129
6.1.2美國內戰130
6.1.3Ultra與Enigma130
6.2密碼學基礎131
6.2.1密碼學的目標131
6.2.2密碼學概念132
6.2.3密碼學的數學原理133
6.2.4密碼138
6.3現代密碼學143
6.3.1密鑰143
6.3.2對稱密鑰算法144
6.3.3非對稱密鑰算法145
6.3.4散列算法147
6.4對稱密碼147
6.4.1數據加密標準148
6.4.2三重數據加密算法(3DES)149
6.4.3國際數據加密算法(IDEA)150
6.4.4Blowfish150
6.4.5Skipjack151
6.4.6高級加密標準(AES)151
6.4.7對稱密鑰管理152
6.4.8密碼生命周期154
6.5本章小結154
6.6考試要點154
6.7書面實驗室155
6.8複習題156
第7章PKI和密碼學套用159
7.1非對稱密碼學159
7.1.1公鑰與私鑰160
7.1.2RSA160
7.1.3ElGamal161
7.1.4橢圓曲線密碼系統(ECC)162
7.2散列函式162
7.2.1SHA163
7.2.2MD2164
7.2.3MD4164
7.2.4MD5165
7.3數字簽名165
7.3.1HMAC166
7.3.2數字簽名標準167
7.4公鑰基礎設施(PKI)167
7.4.1證書167
7.4.2證書授權機構168
7.4.3證書的生成與撤消169
7.4.4非對稱密鑰的管理170
7.5密碼學的套用171
7.5.1攜帶型設備171
7.5.2電子郵件171
7.5.3Web套用172
7.5.4數字著作權管理(DRM)174
7.5.5網路連線176
7.6密碼學攻擊179
7.7本章小結181
7.8考試要點181
7.9書面實驗室182
7.10複習題183
第8章安全模型的原則、
設計和功能187
8.1使用安全設計原則實施和
管理工程過程187
8.1.1客體和主體188
8.1.2封閉式系統和開放式系統188
8.1.3用於確保機密性、完整性和
可用性的技術189
8.1.4控制190
8.1.5信任與保證190
8.2理解安全模型的基本概念191
8.2.1可信計算基192
8.2.2狀態機模型193
8.2.3信息流模型193
8.2.4無干擾模型194
8.2.5Take-Grant模型194
8.2.6訪問控制矩陣195
8.2.7Bell-LaPadula模型196
8.2.8Biba模型197
8.2.9Clark-Wilson模型199
8.2.10BrewerandNash模型
(也叫作ChineseWall)200
8.2.11Goguen-Meseguer模型200
8.2.12Sutherland模型200
8.2.13Graham-Denning模型200
8.3基於系統安全評估模型
選擇控制和對策201
8.3.1彩虹系列201
8.3.2TCSEC分類和所需功能202
8.3.3彩虹系列中的其他顏色203
8.3.4ITSEC類別與所需的
保證和功能性205
8.3.5通用準則206
8.3.6認證和鑑定208
8.4理解信息系統的安全功能210
8.4.1記憶體保護210
8.4.2虛擬化210
8.4.3可信平台模組211
8.4.4接口211
8.4.5容錯211
8.5本章小結212
8.6考試要點212
8.7書面實驗室213
8.8複習題213
第9章安全脆弱性、威脅和對施217
9.1評估和緩解安全脆弱性218
9.1.1硬體218
9.1.2存儲器226
9.1.3存儲設備230
9.1.4存儲介質的安全性231
9.1.5輸入和輸出設備231
9.1.6固件233
9.2基於客戶端234
9.2.1applet234
9.2.2本地快取235
9.3基於服務端237
9.4資料庫安全237
9.4.1聚合237
9.4.2推理238
9.4.3數據挖掘和數據倉庫238
9.4.4數據分析239
9.4.5大規模並行數據系統239
9.5分散式系統239
9.5.1雲計算241
9.5.2格線計算241
9.5.3點對點242
9.6工業控制系統242
9.7評估和緩解基於Web系統的
脆弱性243
9.8評估和緩解移動系統的
脆弱性243
9.8.1設備安全244
9.8.2套用安全247
9.8.3BYOD關注點248
9.9評估和緩解嵌入式設備和
物聯網系統的脆弱性251
9.9.1嵌入式系統和靜態
系統的示例251
9.9.2安全方法252
9.10基本安全保護機制253
9.10.1技術機制254
9.10.2安全策略與計算機
體系結構256
9.10.3策略機制256
9.11常見的缺陷和安全問題257
9.11.1隱蔽通道257
9.11.2基於設計或編碼缺陷的
攻擊和安全問題258
9.11.3編程260
9.11.4計時、狀態改變和
通信中斷260
9.11.5技術和過程完整性261
9.11.6電磁輻射261
9.12本章小結262
9.13考試要點262
9.14書面實驗室264
9.15複習題264
第10章物理安全需求269
10.1套用安全原則到選址和
設施設計270
10.1.1安全設施計畫270
10.1.2場所選擇270
10.1.3可視性271
10.1.4自然災害271
10.1.5設施的設計271
10.2設計和實施物理安全272
10.2.1設備故障273
10.2.2配線間273
10.2.3伺服器機房274
10.2.4介質存儲設施275
10.2.5證據存儲276
10.2.6受限的和工作區域安全
(例如,運營中心)276
10.2.7數據中心安全277
10.2.8基礎設施和HVAC
注意事項279
10.2.9水的問題(例如,漏水
和水災)281
10.2.10火災的預防、檢測和
抑制281
10.3實施和管理物理安全285
10.3.1周邊(例如,訪問控制
和監控)285
10.3.2內部安全(例如,陪同要求/
訪問者控制、鑰匙和鎖)287
10.4本章小結291
10.5考試要點292
10.6書面實驗室293
10.7複習題294
第11章網路安全架構與保護
網路組件297
11.1OSI模型298
11.1.1OSI模型的歷史298
11.1.2OSI功能298
11.1.3封裝/解封裝299
11.1.4OSI分層300
11.2TCP/IP模型305
11.2.1TCP/IP協定族概述306
11.2.2分層協定的套用313
11.2.3TCP/IP的脆弱性314
11.2.4域名解析315
11.3匯聚協定315
11.4內容分發網路317
11.5無線網路317
11.5.1保護無線接入點317
11.5.2保護SSID319
11.5.3執行現場勘測319
11.5.4使用加密協定320
11.5.5天線位置的確定322
11.5.6天線類型322
11.5.7調整功率水平控制323
11.5.8使用強制門戶323
11.5.9一般的Wi-Fi安全措施323
11.6保護網路組件324
11.6.1網路接入控制325
11.6.2防火牆325
11.6.3終端安全328
11.6.4其他網路設備328
11.7布線、無線、拓撲和
通信技術330
11.7.1網路布線331
11.7.2網路拓撲334
11.7.3無線通信與安全性335
11.7.4LAN技術339
11.8本章小結342
11.9考試要點343
11.10書面實驗室344
11.11複習題345
第12章安全通信和網路攻擊349
12.1網路與協定安全機制350
12.1.1安全通信協定350
12.1.2身份認證協定351
12.2安全的語音通信351
12.2.1網際網路語音協定(VoIP)352
12.2.2社會工程學352
12.2.3偽造與濫用353
12.3多媒體協作354
12.3.1遠程會議355
12.3.2即時訊息355
12.4管理電子郵件的安全性355
12.4.1電子郵件安全性的目標356
12.4.2理解電子郵件的安全性
問題356
12.4.3電子郵件安全性
解決方案357
12.5遠程接入安全管理359
12.5.1計畫遠程接入安全360
12.5.2撥號協定361
12.5.3集中化的遠程身份
認證服務361
12.6虛擬專用網路362
12.6.1隧道技術362
12.6.2VPN的工作原理363
12.6.3常用VPN協定363
12.6.4虛擬區域網路365
12.7虛擬化365
12.7.1虛擬化軟體366
12.7.2虛擬化網路366
12.8網路地址轉換367
12.8.1專用IP位址368
12.8.2狀態NAT369
12.8.3靜態NAT與動態NAT369
12.8.4自動私有IP位址定址370
12.9交換技術371
12.9.1電路交換371
12.9.2分組交換371
12.9.3虛電路372
12.10WAN技術372
12.10.1WAN連線技術374
12.10.2X.25WAN連線374
12.10.3幀中繼連線374
12.10.4ATM375
12.10.5SMDS375
12.10.6專門的協定375
12.10.7撥號封裝協定375
12.11各種安全控制特性376
12.11.1透明性376
12.11.2驗證完整性376
12.11.3傳輸機制377
12.12安全邊界377
12.13網路攻擊與對策378
12.13.1DoS和DDoS378
12.13.2偷聽379
12.13.3假冒/偽裝379
12.13.4重放攻擊380
12.13.5修改攻擊380
12.13.6地址解析協定欺騙380
12.13.7DNS投毒、欺騙和
劫持381
12.13.8超連結欺騙381
12.14本章小結382
12.15考試要點383
12.16書面實驗室384
12.17複習題385
第13章管理身份與認證389
13.1控制對資產的訪問389
13.1.1主體與客體的對比390
13.1.2訪問控制的類型391
13.1.3CIA三要素392
13.2比較身份標識與認證393
13.2.1身份的註冊和證明393
13.2.2授權與可問責性393
13.2.3認證因素394
13.2.4密碼395
13.2.5智慧卡和令牌397
13.2.6生物識別398
13.2.7多因素身份認證401
13.2.8設備認證401
13.3實施身份管理402
13.3.1單點登錄402
13.3.2LDAP和集中式訪問
控制402
13.3.3LDAP和PKI402
13.3.4Kerberos403
13.3.5聯合身份管理和SSO404
13.3.6其他單點登錄的例子405
13.3.7證書管理系統406
13.3.8整合身份服務406
13.3.9管理會話406
13.3.10AAA協定407
13.4管理標識和訪問開通
生命周期408
13.4.1開通408
13.4.2賬號審核409
13.4.3賬號撤消410
13.5本章小結410
13.6考試要點411
13.7書面實驗室412
13.8複習題412
第14章控制和監控訪問417
14.1對比訪問控制模型417
14.1.1對比許可、許可權和特權418
14.1.2理解授權機制418
14.1.3用安全策略定義需求419
14.1.4部署深度防禦419
14.1.5自主訪問控制420
14.1.6非自主訪問控制421
14.2理解訪問控制攻擊方式425
14.2.1風險元素425
14.2.2常見的訪問控制攻擊428
14.3本章小結436
14.4考試要點437
14.5書面實驗室438
14.6複習題438
第15章安全評估和測試441
15.1創建安全評估和測試程式442
15.1.1安全測試442
15.1.2安全評估443
15.1.3安全審計443
15.2執行漏洞評估444
15.2.1漏洞掃描444
15.2.2滲透測試451
15.3測試你的軟體452
15.3.1代碼審查和測試452
15.3.2接口測試455
15.3.3誤用案例測試455
15.3.4測試覆蓋率分析456
15.4實現安全管理過程456
15.4.1日誌審核456
15.4.2賬戶管理456
15.4.3備份驗證457
15.4.4關鍵性能指標和
風險指標457
15.5本章小結457
15.6考試要點458
15.7書面實驗室458
15.8複習題459
第16章管理安全運營463
16.1套用安全運營的概念464
16.1.1知其所需和最小特權464
16.1.2職責和責任分離465
16.1.3崗位輪換467
16.1.4強制休假468
16.1.5監控特殊的特權468
16.1.6管理信息生命周期469
16.1.7服務級別協定470
16.1.8關注人員安全470
16.2提供和管理資源471
16.2.1管理硬體和軟體資產471
16.2.2保護物理資產472
16.2.3管理虛擬資產472
16.2.4管理基於雲的資產472
16.2.5介質管理473
16.2.6管理介質的生命周期475
16.3配置管理476
16.3.1基線476
16.3.2用鏡像創建基線476
16.4變更管理478
16.4.1安全影響分析479
16.4.2版本控制479
16.4.3配置文檔480
16.5補丁管理和減少漏洞480
16.5.1補丁管理480
16.5.2漏洞管理481
16.5.3漏洞掃描481
16.5.4漏洞評估482
16.5.5常見漏洞和披露483
16.6本章小結483
16.7考試要點484
16.8書面實驗室485
16.9複習題485
第17章事件預防和回響489
17.1管理事件回響490
17.1.1事件界定490
17.1.2事件回響步驟491
17.1.3檢測491
17.1.4回響492
17.1.5緩解492
17.1.6報告492
17.1.7恢復493
17.1.8修復493
17.1.9經驗教訓494
17.2部署預防措施494
17.2.1基本的預防措施495
17.2.2理解攻擊495
17.2.3入侵檢測和防禦系統502
17.2.4特殊的防禦措施507
17.3日誌、監控和審計513
17.3.1日誌和監控513
17.3.2出口監控520
17.3.4審計和評估有效性521
17.4本章小結525
17.5考試要點527
17.6書面實驗室529
17.7複習題529
第18章災難恢復計畫533
18.1災難的本質534
18.1.1自然災難534
18.1.2人為災難538
18.1.3其他公共設施和基礎
設施故障539
18.2理解系統恢復和容錯能力541
18.2.1保護硬碟驅動器542
18.2.2保護伺服器542
18.2.3保護電源543
18.2.4受信恢復544
18.2.5服務質量545
18.3恢復策略545
18.3.1確定業務單元的
優先順序546
18.3.2危機管理546
18.3.3應急通信547
18.3.4工作組恢復547
18.3.5可替代的工作站點547
18.3.6相互援助協定550
18.3.7資料庫恢復551
18.4恢復計畫開發552
18.4.1緊急事件回響552
18.4.2人員通知553
18.4.3評估553
18.4.4備份和離站存儲553
18.4.5軟體託管協定556
18.4.6外部通信556
18.4.7公用設施557
18.4.8物流和供應557
18.4.9恢復與還原的比較557
18.5培訓、意識與文檔記錄558
18.6測試與維護558
18.6.1通讀測試558
18.6.2結構化演練559
18.6.3模擬測試559
18.6.4並行測試559
18.6.5完全中斷測試559
18.6.6維護559
18.7總結560
18.8考試要點560
18.9書面實驗561
18.10複習題561
第19章事件與道德規範565
19.1調查565
19.1.1調查的類型566
19.1.2證據567
19.1.3調查過程570
19.2計算機犯罪的主要類別571
19.2.1軍事和情報攻擊571
19.2.2商業攻擊572
19.2.3財務攻擊572
19.2.4恐怖攻擊573
19.2.5惡意攻擊573
19.2.6興奮攻擊574
19.3事故處理575
19.3.1常見的事故類型575
19.3.2回響團隊576
19.3.3事故回響過程578
19.3.4約談個人580
19.3.5事故數據的完整性和
保存580
19.3.6事故報告580
19.4道德規範581
19.4.1(ISC)2的道德規範582
19.4.2道德規範和網際網路582
19.5本章小結583
19.6考試要點584
19.7書面實驗室585
19.8複習題585
第20章軟體開發安全589
20.1系統開發控制概述589
20.1.1軟體開發590
20.1.2系統開發生命周期593
20.1.3生命周期模型595
20.1.4甘特圖與PERT600
20.1.5變更和配置管理600
20.1.6DevOps方法601
20.1.7套用編程接口602
20.1.8軟體測試603
20.1.9代碼倉庫604
20.1.10服務等級協定604
20.1.11軟體採購605
20.2創建資料庫和數據倉儲605
20.2.1資料庫管理系統的
體系結構605
20.2.2資料庫事務608
20.2.3多級資料庫的安全性609
20.2.4ODBC610
20.3存儲數據和信息611
20.3.1存儲器的類型611
20.3.2存儲器威脅612
20.4理解基於知識的系統612
20.4.1專家系統612
20.4.2神經網路613
20.4.3決策支持系統613
20.4.4安全性套用614
20.5本章小結614
20.6考試要點614
20.7書面實驗室615
20.8複習題615
第21章惡意代碼與套用攻擊619
21.1惡意代碼619
21.1.1惡意代碼的來源620
21.1.2病毒620
21.1.3邏輯炸彈624
21.1.4特洛伊木馬624
21.1.5蠕蟲625
21.1.6間諜軟體與廣告軟體627
21.1.7對策628
21.2密碼攻擊629
21.2.1密碼猜測攻擊629
21.2.2字典攻擊630
21.2.3社會工程學攻擊630
21.2.4對策631
21.3應用程式攻擊631
21.3.1緩衝區溢出632
21.3.2檢驗時間到使用時間632
21.3.3後門632
21.3.4許可權提升和rootkit633
21.4Web套用的安全性633
21.4.1跨站腳本(XSS)攻擊633
21.4.2SQL注入攻擊634
21.5偵察攻擊636
21.5.1IP探測636
21.5.2連線埠掃描637
21.5.3漏洞掃描637
21.5.4垃圾搜尋637
21.6偽裝攻擊638
21.6.1IP欺騙638
21.6.2會話劫持638
21.7本章小結639
21.8考試要點639
21.9書面實驗室640
21.10複習題640
附錄A複習題答案643
附錄B書面實驗室答案667
術語表677