《CISSP權威指南(第8版)》是2021年清華大學出版社出版的圖書,作者是[美]肖恩·哈里斯(Shon Harris)、費爾南多·梅密(Fernando Maymí)。
基本介紹
- 書名:CISSP權威指南(第8版)
- 作者:[美]肖恩·哈里斯(Shon Harris),費爾南多·梅密(Fernando Maymí)
- 類別:信息安全行業寶典;安全認證考試;CISSP AIO 第八版;
- 譯者:欒浩 顧偉 唐俊飛
- 出版社: 清華大學出版社
- 出版時間:2021年1月1日
- 定價:198 元
- ISBN:9787302567738
內容簡介,圖書目錄,
內容簡介
涵蓋CISSP的8個專業領域: ? 安全和風險管理 ? 資產安全 ? 安全架構與工程 ? 通信與網路安全 ? 身份與訪問管理 ? 安全評估與測試 ? 運營安全 ? 軟體開發安全
圖書目錄
目 錄
第1章 安全和風險管理 1
1.1 安全基本原則 3
1.1.1 可用性 3
1.1.2 完整性 4
1.1.3 機密性 4
1.1.4 平衡安全性 5
1.2 安全定義 6
1.3 控制措施類型 8
1.4 安全框架 12
1.4.1 ISO/IEC 27000系列 14
1.4.2 企業安全架構建設 16
1.4.3 部署安全控制措施 27
1.4.4 建立流程管理體系 31
1.4.5 功能性與安全性 37
1.5 反計算機犯罪法律的難題 37
1.6 網路犯罪的複雜性 39
1.6.1 電子資產 40
1.6.2 攻擊的演變 41
1.6.3 國際化問題 44
1.6.4 法律體系的分級 47
1.7 智慧財產權 50
1.7.1 商業秘密 50
1.7.2 著作權(著作權) 51
1.7.3 商標 52
1.7.4 專利 53
1.7.5 內部智慧財產權保護 54
1.7.6 軟體盜版 54
1.8 個人隱私保護 56
1.8.1 日益增加的隱私法需求 58
1.8.2 法律、法規與指引 59
1.8.3 員工隱私問題 65
1.9 數據泄露 67
1.9.1 有關數據泄露的美國法律 67
1.9.2 其他國家有關數據泄露的
法律 69
1.10 方針、策略、標準、基線、
指南與程式 69
1.10.1 安全方針及策略 70
1.10.2 標準 72
1.10.3 基線 73
1.10.4 指南 74
1.10.5 程式 74
1.10.6 實施 75
1.11 風險管理 75
1.11.1 全面風險管理 76
1.11.2 信息系統風險管理策略 76
1.11.3 風險管理團隊 77
1.11.4 風險管理流程 78
1.12 威脅建模 78
1.12.1 威脅建模概念 78
1.12.2 威脅建模方法論 80
1.13 風險評估與分析 82
1.13.1 風險評估團隊 83
1.13.2 信息與資產的價值 84
1.13.3 資產價值的成本要素 84
1.13.4 識別脆弱性與威脅 85
1.13.5 風險評估方法論 86
1.13.6 風險分析方法 90
1.13.7 定性風險分析 93
1.13.8 保護機制 96
1.13.9 總體風險與殘餘風險的對比 99
1.13.10 處理風險 100
1.14 供應鏈風險管理 101
1.14.1 上下游供應商 103
1.14.2 服務水平協定 104
1.15 風險管理框架 104
1.15.1 信息系統分類 105
1.15.2 選擇安全控制措施 106
1.15.3 實施安全控制措施 106
1.15.4 評估安全控制措施 107
1.15.5 信息系統授權 107
1.15.6 持續監測安全控制措施 107
1.16 業務連續性和災難恢復 108
1.16.1 標準與最佳實踐 110
1.16.2 將業務連續性管理融入企業安全計畫 112
1.16.3 業務連續性計畫的組件 114
1.17 人員安全 127
1.17.1 聘用安全實踐 128
1.17.2 入職安全實踐 129
1.17.3 解聘 130
1.17.4 安全意識宣貫培訓 130
1.17.5 學位或認證 132
1.18 安全治理 133
1.19 道德 137
1.19.1 計算機道德協會 138
1.19.2 Internet架構委員會 139
1.19.3 企業道德計畫 140
1.20 總結 140
1.21 快速提示 142
1.22 問題 145
1.23 答案 152
第2章 資產安全 157
2.1 信息生命周期 158
2.1.1 獲取 158
2.1.2 使用 159
2.1.3 歸檔 159
2.1.4 廢棄 160
2.2 數據分級 160
2.2.1 數據分級水平 161
2.2.2 分級控制措施 164
2.3 管理責任層級 165
2.3.1 行政管理層 166
2.3.2 信息所有者 168
2.3.3 數據託管者 169
2.3.4 系統所有者 169
2.3.5 安全管理員 169
2.3.6 主管 170
2.3.7 變更控制分析師 170
2.3.8 數據分析師 170
2.3.9 用戶 170
2.3.10 審計師 170
2.3.11 為什麼有這么多角色? 171
2.4 資產留存策略 171
2.5 隱私保護 174
2.5.1 數據所有者 175
2.5.2 數據處理者 175
2.5.3 數據殘留 175
2.5.4 信息收集限制 178
2.6 保護資產 179
2.6.1 數據安全控制措施 179
2.6.2 介質安全控制措施 183
2.6.3 移動設備安全保護 187
2.6.4 紙質記錄 188
2.6.5 保險柜 188
2.6.6 選擇恰當的安全標準 189
2.7 數據泄露 189
2.8 總結 197
2.9 快速提示 198
2.10 問題 199
2.11 答案 202
第3章 安全架構與工程 205
3.1 系統架構 206
3.2 計算機架構 209
3.2.1 中央處理器 210
3.2.2 多處理器 213
3.2.3 存儲器類型 214
3.3 作業系統 225
3.3.1 進程管理 225
3.3.2 記憶體管理 233
3.3.3 輸入/輸出設備管理 237
3.3.4 中央處理器(CPU)集成架構 239
3.3.5 作業系統架構 242
3.3.6 虛擬機 248
3.4 系統安全架構 251
3.4.1 安全策略 252
3.4.2 安全架構需求 252
3.5 安全模型 256
3.5.1 Bell-LaPadula模型 257
3.5.2 Biba模型 257
3.5.3 Bell-LaPadula 模型與Biba模型 258
3.5.4 Clark-Wilson 模型 258
3.5.5 非干擾模型 259
3.5.6 Brewer-Nash模型 260
3.5.7 Graham-Denning模型 260
3.5.8 Harrison-Ruzzo-Ullman模型 261
3.6 系統評價 262
3.6.1 通用準則 262
3.6.2 產品評價的必要性 265
3.7 認證和認可 265
3.7.1 認證 266
3.7.2 認可 266
3.8 開放式系統與封閉式系統 267
3.9 系統安全 268
3.9.1 客戶端系統 268
3.9.2 客戶/服務端系統 268
3.9.3 分散式系統安全 269
3.9.4 雲計算安全 269
3.9.5 並行計算 270
3.9.6 資料庫系統安全 271
3.9.7 Web系統安全 272
3.9.8 移動系統安全 273
3.9.9 信息物理系統 274
3.10 工控安全威脅回顧 277
3.10.1 維護鉤子 277
3.10.2 檢查時間/使用時間
攻擊 278
3.11 密碼編碼術的背景 279
3.12 密碼學的定義與概念 284
3.12.1 Kerckhoffs原則 286
3.12.2 密碼系統的強度 286
3.12.3 一次性密碼本 287
3.12.4 滾動密碼與隱藏密碼 289
3.12.5 隱寫術 290
3.13 密碼運算的類型 292
3.13.1 替換密碼 292
3.13.2 置換密碼 292
3.14 加密方法 294
3.14.1 對稱算法與非對稱算法 294
3.14.2 對稱密碼算法 295
3.14.3 非對稱密碼算法 296
3.14.4 分組密碼與流密碼 299
3.14.5 混合加密方法 303
3.15 對稱密碼系統的種類 308
3.15.1 數據加密標準 308
3.15.2 三重DES 315
3.15.3 高級加密標準 315
3.15.4 國際數據加密算法 316
3.15.5 Blowfish 316
3.15.6 RC4 316
3.15.7 RC5 317
3.15.8 RC6 317
3.16 非對稱密碼系統的種類 317
3.16.1 Diffie-Hellman算法 318
3.16.2 RSA 320
3.16.3 El Gamal 322
3.16.4 橢圓曲線密碼系統 322
3.16.5 背包問題算法 323
3.16.6 零知識證明 323
3.17 訊息完整性 324
3.17.1 單向哈希 324
3.17.2 各種哈希算法 328
3.17.3 MD4算法 329
3.17.4 MD5算法 329
3.17.5 SHA 算法 329
3.17.6 對單向哈希函式的攻擊 330
3.18 公鑰基礎架構 331
3.18.1 證書認證機構 331
3.18.2 證書 333
3.18.3 證書註冊機構 333
3.18.4 PKI步驟 334
3.19 密碼技術的套用 336
3.19.1 密碼系統的服務 336
3.19.2 數字簽名 337
3.19.3 數字簽名標準(DSS) 339
3.19.4 密鑰管理 339
3.19.5 可信平台模組 341
3.19.6 數字著作權管理 343
3.20 對密碼技術的攻擊 343
3.20.1 唯密文攻擊 343
3.20.2 已知明文攻擊 344
3.20.3 選擇明文攻擊 344
3.20.4 選擇密文攻擊 344
3.20.5 差分密碼分析 345
3.20.6 線性密碼分析 345
3.20.7 側信道攻擊 345
3.20.8 重放攻擊 346
3.20.9 代數攻擊 346
3.20.10 分析攻擊 346
3.20.11 統計攻擊 347
3.20.12 社交工程攻擊 347
3.20.13 中間相遇攻擊 347
3.21 設計場所與基礎設施安全 347
3.22 場所安全設計過程 348
3.22.1 通過環境設計來阻止犯罪 352
3.22.2 設計一個物理安全計畫 356
3.23 內部支持系統 367
3.23.1 電力 368
3.23.2 環境問題 372
3.23.3 防火、探測和滅火 374
3.24 總結 379
3.25 快速提示 380
3.26 問題 384
3.27 答案 391
第4章 通信與網路安全 395
4.1 網路架構原則 396
4.2 開放系統互聯參考模型 397
4.2.1 協定 398
4.2.2 套用層 400
4.2.3 表示層 401
4.2.4 會話層 402
4.2.5 傳輸層 404
4.2.6 網路層 405
4.2.7 數據鏈路層 405
4.2.8 物理層 407
4.2.9 OSI模型的功能與協定 408
4.2.10 OSI各層綜述 410
4.2.11 多層協定 411
4.3 TCP/IP模型 412
4.3.1 TCP 413
4.3.2 IP定址 418
4.3.3 IPv6 420
4.3.4 第二層安全標準 423
4.3.5 聚合協定 424
4.4 傳輸介質 425
4.4.1 傳輸類型 425
4.4.2 布線 429
4.5 無線網路 433
4.5.1 無線通信技術 434
4.5.2 無線網路組件 437
4.5.3 無線網路安全的演化 438
4.5.4 無線標準 443
4.5.5 無線網路安全最佳實踐 448
4.5.6 衛星 448
4.5.7 移動無線通信 450
4.6 網路基礎 453
4.6.1 網路拓撲 454
4.6.2 介質訪問技術 456
4.6.3 傳輸方法 466
4.7 網路協定和服務 467
4.7.1 地址解析協定 467
4.7.2 動態主機配置協定 469
4.7.3 網路控制報文協定 471
4.7.4 簡單網路管理協定 473
4.7.5 域名服務 475
4.7.6 電子郵件服務 481
4.7.7 網路地址轉換 486
4.7.8 路由協定 487