中圖網(wǎng)小程序
一鍵登錄
更方便
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應(yīng)用
-
>
決戰(zhàn)行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調(diào)優(yōu)實踐之路
-
>
第一行代碼Android
-
>
JAVA持續(xù)交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學(xué)習(xí)
CISSP認證考試指南-(第7版) 版權(quán)信息
- ISBN:9787302491491
- 條形碼:9787302491491 ; 978-7-302-49149-1
- 裝幀:一般膠版紙
- 冊數(shù):暫無
- 重量:暫無
- 所屬分類:>>
CISSP認證考試指南-(第7版) 本書特色
如果你想成為一名經(jīng)過(ISC)2 認證的CISSP,那么在《CISSP認證考試指南(第7版)》里能找到需要了解的所有內(nèi)容。《CISSP認證考試指南(第7版)》講述企業(yè)如何制定和實現(xiàn)策略、措施、指導(dǎo)原則和標準及其原因;介紹網(wǎng)絡(luò)、應(yīng)用程序和系統(tǒng)的脆弱性,脆弱性的被利用情況以及如何應(yīng)對這些威脅;解釋物理安全、操作安全以及不同系統(tǒng)會采用不同安全機制的原因。此外,還回顧美國與國際上用于測試系統(tǒng)安全性的安全準則和評估體系,詮釋這些準則的含義及其使用原因。*后,《CISSP認證考試指南(第7版)》還將闡明與計算機系統(tǒng)及其數(shù)據(jù)相關(guān)的各種法律責(zé)任問題,例如計算機犯罪、法庭證物以及如何為出庭準備計算機證據(jù)。 盡管《CISSP認證考試指南(第7版)》主要是為CISSP 考試撰寫的學(xué)習(xí)指南,但在你通過認證后,它仍不失為一本不可替代的重要參考用書。
CISSP認證考試指南-(第7版) 內(nèi)容簡介
隨著世界不斷改變,人們對增強安全、改進技術(shù)的需求愈加迫切。每個組織、政府機構(gòu)、企業(yè)和軍事單位都開始關(guān)注安全問題。幾乎所有公司和組織機構(gòu)都在積極尋求才華橫溢、經(jīng)驗豐富的安全專業(yè)人員,因為只有這些專家才能保護公司賴以生存和保持競爭力的寶貴資源。而CISSP 認證能證明你已經(jīng)成為一名擁有一定知識和經(jīng)驗的安全專業(yè)人員。當然,這些知識和經(jīng)驗是認證體系預(yù)先規(guī)定的,并得到了整個安全行業(yè)的理解和認可。通過持續(xù)地持有證書,就表明你保持與安全行業(yè)同步發(fā)展。下面列出一些獲取CISSP 認證資格的理由:● 充實現(xiàn)有的關(guān)于安全概念和實際應(yīng)用的知識。● 展示了你是一位擁有專業(yè)知識并且經(jīng)驗豐富的安全專家。● 讓自己在這個競爭激烈的勞動力市場中占據(jù)優(yōu)勢。● 增加收入,并能得到更多工作機會。● 為你現(xiàn)在的工作帶來更好的安全專業(yè)知識。● 表明對安全規(guī)則的貢獻。CISSP 認證能幫助公司確認某人是否具有相應(yīng)的技術(shù)能力、知識和經(jīng)驗,從而能從事具體的安全工作,執(zhí)行風(fēng)險分析,謀劃必要的對策,并可幫助整個組織機構(gòu)保護其設(shè)施、網(wǎng)絡(luò)、系統(tǒng)和信息。CISSP 認證還能擔(dān)保通過認證的人員具備安全行業(yè)所需的熟練程度、專業(yè)技能和知識水平。安全對于成功企業(yè)的重要性在未來只可能不斷增加,從而導(dǎo)致對技術(shù)熟練的安全專業(yè)人員的更大需求。CISSP 認證表明,可由被公眾認可的第三方機構(gòu)負責(zé)確定個人在技術(shù)和理論方面的安全專業(yè)知識,并將其與缺乏這種專業(yè)知識的普通人員區(qū)分開來。對于優(yōu)秀的網(wǎng)絡(luò)管理員、編程人員或工程師來說,理解和實現(xiàn)安全應(yīng)用是一項至關(guān)重要的內(nèi)容。在大量并非針對安全專業(yè)人員的職位描述中,往往仍要求應(yīng)聘人員正確理解安全概念及其實現(xiàn)方式。雖然許多組織機構(gòu)由于職位和預(yù)算的限制而無法聘請單獨的網(wǎng)絡(luò)和安全人員,但都相信安全對于組織機構(gòu)自身來說至關(guān)重要。因此,這些組織機構(gòu)總是嘗試將安全知識和其他技術(shù)知識合并在一個角色內(nèi)。在這個問題上,如果具有CISSP 資格,那么你就會比其他應(yīng)聘人員更有優(yōu)勢。
CISSP認證考試指南-(第7版) 目錄
第1章 安全和風(fēng)險管理 11.1 安全基本原則 2
1.1.1 可用性 3
1.1.2 完整性 3
1.1.3 機密性 3
1.1.4 平衡安全 4
1.2 安全定義 5
1.3 控制類型 6
1.4 安全框架 10
1.4.1
ISO/IEC 27000系列 12
1.4.2 企業(yè)安全架構(gòu)開發(fā) 14
1.4.3 安全控制開發(fā) 23
1.4.4 流程管理開發(fā) 26
1.4.5 功能與安全性 32
1.5 計算機犯罪法的難題 32
1.6 網(wǎng)絡(luò)犯罪的復(fù)雜性 34
1.6.1 電子資產(chǎn) 35
1.6.2 攻擊的演變 36
1.6.3 國際問題 38
1.6.4 法律的類型 41
1.7 知識產(chǎn)權(quán)法 44
1.7.1 商業(yè)秘密 44
1.7.2 版權(quán) 45
1.7.3 商標 45
1.7.4 專利 46
1.7.5 知識產(chǎn)權(quán)的內(nèi)部保護 47
1.7.6 軟件盜版 48
1.8 隱私 50
1.8.1 對隱私法不斷增長的需求 51
1.8.2 法律、指令和法規(guī) 52
1.8.3 員工隱私問題 58
1.9 數(shù)據(jù)泄露 59
1.9.1 美國的數(shù)據(jù)泄露相關(guān)法律 60
1.9.2 其他國家有關(guān)數(shù)據(jù)泄露的法律 61
1.10 策略、標準、基線、指南和
過程 61 1.10.1 安全策略 62 1.10.2 標準 64 1.10.3 基線 65 1.10.4 指南 66 1.10.5 措施 66 1.10.6 實施 66 1.11 風(fēng)險管理 67 1.11.1 全面的風(fēng)險管理 68 1.11.2 信息系統(tǒng)風(fēng)險管理策略 68 1.11.3 風(fēng)險管理團隊 69 1.11.4 風(fēng)險管理過程 69 1.12 威脅建模 70 1.12.1 脆弱性 70 1.12.2 威脅 71 1.12.3 攻擊 71 1.12.4 消減分析 72 1.13 風(fēng)險評估和分析 73 1.13.1 風(fēng)險分析團隊 74 1.13.2 信息和資產(chǎn)的價值 74 1.13.3 構(gòu)成價值的成本 75 1.13.4 識別脆弱性和威脅 75 1.13.5 風(fēng)險評估方法 76 1.13.6 風(fēng)險分析方法 80 1.13.7 定性風(fēng)險分析 83 1.13.8 保護機制 86 1.13.9 綜合考慮 88 1.13.10 總風(fēng)險與剩余風(fēng)險 88 1.13.11 處理風(fēng)險 89 1.13.12 外包 90 1.14 風(fēng)險管理框架 91 1.14.1 信息分類 92 1.14.2 安全控制的選擇 92 1.14.3 安全控制的實現(xiàn) 93 1.14.4 安全控制的評估 93 1.14.5 信息系統(tǒng)的授權(quán) 93 1.14.6 安全控制的監(jiān)管 93 1.15 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù) 94 1.15.1 標準和*佳實踐 96 1.15.2 使BCM成為企業(yè)安全計劃的
一部分 98 1.15.3 BCP項目的組成 100 1.16 人員安全 111 1.16.1 招聘實踐 112 1.16.2 解雇 113 1.16.3 安全意識培訓(xùn) 114 1.16.4 學(xué)位或證書 115 1.17 安全治理 115 1.18 道德 120 1.18.1 計算機道德協(xié)會 120 1.18.2 互聯(lián)網(wǎng)架構(gòu)研究委員會 121 1.18.3 企業(yè)道德計劃 122 1.19 小結(jié) 122 1.20 快速提示 123 1.21 問題 126 1.22 答案 133 第2章 資產(chǎn)安全 137 2.1 信息生命周期 137 2.1.1 獲取 138 2.1.2 使用 138 2.1.3 存檔 139 2.1.4 處置 139 2.2 信息分類 140 2.2.1 分類等級 141 2.2.2 分類控制 143 2.3 責(zé)任分層 144 2.3.1 行政管理層 144 2.3.2 數(shù)據(jù)所有者 147 2.3.3 數(shù)據(jù)看管員 147 2.3.4 系統(tǒng)所有者 148 2.3.5 安全管理員 148 2.3.6 主管 148 2.3.7 變更控制分析員 148 2.3.8 數(shù)據(jù)分析員 149 2.3.9 用戶 149 2.3.10 審計員 149 2.3.11 為何需要這么多角色 149 2.4 保留策略 149 2.5 保護隱私 152 2.5.1 數(shù)據(jù)所有者 153 2.5.2 數(shù)據(jù)處理者 153 2.5.3 數(shù)據(jù)殘留 153 2.5.4 收集的限制 156 2.6 保護資產(chǎn) 156 2.6.1 數(shù)據(jù)安全控制 157 2.6.2 介質(zhì)控制 159 2.7 數(shù)據(jù)泄露 163 2.8 保護其他資產(chǎn) 170 2.8.1 保護移動設(shè)備 170 2.8.2 紙質(zhì)記錄 171 2.8.3 保險箱 171 2.9 小結(jié) 172 2.10 快速提示 172 2.11 問題 173 2.12 答案 176 第3章 安全工程 179 3.1 系統(tǒng)架構(gòu) 180 3.2 計算機架構(gòu) 183 3.2.1 中央處理單元 183 3.2.2 多重處理 186 3.2.3 存儲器類型 187 3.3 操作系統(tǒng) 197 3.3.1 進程管理 197 3.3.2 存儲器管理 204 3.3.3 輸入/輸出設(shè)備管理 207 3.3.4 CPU架構(gòu)集成 209 3.3.5 操作系統(tǒng)架構(gòu) 212 3.3.6 虛擬機 217 3.4 系統(tǒng)安全架構(gòu) 219 3.4.1 安全策略 219 3.4.2 安全架構(gòu)要求 220 3.5 安全模型 224 3.5.1 Bell-LaPadula模型 224 3.5.2 Biba模型 225 3.5.3 Clark-Wilson模型 225 3.5.4 無干擾模型 226 3.5.5 Brewer and Nash模型 227 3.5.6 Graham-Denning模型 227 3.5.7 Harrison-Ruzzo-Ullman模型 227 3.6 系統(tǒng)評估方法 228 3.6.1 通用準則 229 3.6.2 對產(chǎn)品進行評估的原因 232 3.7 認證與認可 232 3.7.1 認證 232 3.7.2 認可 233 3.8 開放系統(tǒng)與封閉系統(tǒng) 234 3.8.1 開放系統(tǒng) 234 3.8.2 封閉系統(tǒng) 234 3.9 分布式系統(tǒng)安全 234 3.9.1 云計算 235 3.9.2 并行計算 235 3.9.3 數(shù)據(jù)庫 236 3.9.4 Web應(yīng)用 238 3.9.5 移動設(shè)備 239 3.9.6 網(wǎng)絡(luò)物理系統(tǒng) 240 3.10 一些對安全模型和架構(gòu)的威脅 242 3.10.1 維護陷阱 243 3.10.2 檢驗時間/使用時間攻擊 243 3.11 密碼學(xué)背景 244 3.12 密碼學(xué)定義與概念 249 3.12.1 Kerckhoffs原則 251 3.12.2 密碼系統(tǒng)的強度 251 3.12.3 密碼系統(tǒng)的服務(wù) 252 3.12.4 一次性密碼本 252 3.12.5 滾動密碼與隱藏密碼 254 3.12.6 隱寫術(shù) 255 3.13 密碼的類型 257 3.13.1 替代密碼 257 3.13.2 換位密碼 257 3.14 加密的方法 259 3.14.1 對稱算法與非對稱算法 259 3.14.2 分組密碼與流密碼 263 3.14.3 混合加密方法 267 3.15 對稱系統(tǒng)的類型 272 3.15.1 數(shù)據(jù)加密標準 272 3.15.2 三重DES 278 3.15.3 高級加密標準 278 3.15.4 國際數(shù)據(jù)加密算法 279 3.15.5 Blowfish 279 3.15.6 RC4 279 3.15.7 RC5 279 3.15.8 RC6 280 3.16 非對稱系統(tǒng)的類型 280 3.16.1 Diffie-Hellman 算法 280 3.16.2 RSA 282 3.16.3 El Gamal 284 3.16.4 橢圓曲線密碼系統(tǒng) 284 3.16.5 背包算法 285 3.16.6 零知識證明 285 3.17 消息完整性 286 3.17.1 單向散列 286 3.17.2 各種散列算法 290 3.17.3 MD4 291 3.17.4 MD5 291 3.17.5 SHA 291 3.17.6 針對單向散列函數(shù)的攻擊 291 3.17.7 數(shù)字簽名 292 3.17.8 數(shù)字簽名標準 294 3.18 公鑰基礎(chǔ)設(shè)施 294 3.18.1 認證授權(quán)機構(gòu) 295 3.18.2 證書 297 3.18.3 注冊授權(quán)機構(gòu) 297 3.18.4 PKI 步驟 297 3.19 密鑰管理 299 3.19.1 密鑰管理原則 300 3.19.2 密鑰和密鑰管理的規(guī)則 301 3.20 可信平臺模塊 301 3.21 針對密碼學(xué)的攻擊 303 3.21.1 唯密文攻擊 303 3.21.2 已知明文攻擊 303 3.21.3 選定明文攻擊 303 3.21.4 選定密文攻擊 304 3.21.5 差分密碼分析 304 3.21.6 線性密碼分析 304 3.21.7 旁路攻擊 305 3.21.8 重放攻擊 305 3.21.9 代數(shù)攻擊 305 3.21.10 分析式攻擊 306 3.21.11 統(tǒng)計式攻擊 306 3.21.12 社會工程攻擊 306 3.21.13 中間相遇攻擊 306 3.22 站點和設(shè)施安全 306 3.23 站點規(guī)劃過程 307 3.23.1 通過環(huán)境設(shè)計來預(yù)防犯罪 310 3.23.2 制訂物理安全計劃 314 3.24 保護資產(chǎn) 324 3.24.1 保護移動設(shè)備 324 3.24.2 使用保險柜 325 3.25 內(nèi)部支持系統(tǒng) 325 3.25.1 電力 325 3.25.2 環(huán)境問題 329 3.25.3 火災(zāi)的預(yù)防、檢測和撲滅 331 3.26 小結(jié) 335 3.27 快速提示 336 3.28 問題 340 3.29 答案 346 第4章 通信與網(wǎng)絡(luò)安全 351 4.1 通信 352 4.2 開放系統(tǒng)互連參考模型 353 4.2.1 協(xié)議 354 4.2.2 應(yīng)用層 356 4.2.3 表示層 356 4.2.4 會話層 357 4.2.5 傳輸層 359 4.2.6 網(wǎng)絡(luò)層 360 4.2.7 數(shù)據(jù)鏈路層 360 4.2.8 物理層 362 4.2.9 OSI模型中的功能和協(xié)議 362 4.2.10 綜合這些層 364 4.2.11 多層協(xié)議 365 4.3 TCP/IP模型 366 4.3.1 TCP 367 4.3.2 IP尋址 371 4.3.3 IPv6 373 4.3.4 第2層安全標準 376 4.3.5 匯聚協(xié)議 377 4.4 傳輸類型 378 4.4.1 模擬和數(shù)字 378 4.4.2 異步和同步 379 4.4.3 寬帶和基帶 381 4.5 線纜 382 4.5.1 同軸電纜 382 4.5.2 雙絞線 382 4.5.3 光纜 383 4.5.4 布線問題 384 4.6 網(wǎng)絡(luò)互聯(lián)基礎(chǔ) 386 4.6.1 網(wǎng)絡(luò)拓撲 386 4.6.2 介質(zhì)訪問技術(shù) 388 4.6.3 傳輸方法 397 4.6.4 網(wǎng)絡(luò)協(xié)議和服務(wù) 398 4.6.5 域名服務(wù) 405 4.6.6 電子郵件服務(wù) 410 4.6.7 網(wǎng)絡(luò)地址轉(zhuǎn)換 414 4.6.8 路由協(xié)議 416 4.7 網(wǎng)絡(luò)互聯(lián)設(shè)備 419 4.7.1 中繼器 420 4.7.2 網(wǎng)橋 420 4.7.3 路由器 422 4.7.4 交換機 423 4.7.5 網(wǎng)關(guān) 427 4.7.6 PBX 428 4.7.7 防火墻 431 4.7.8 代理服務(wù)器 448 4.7.9 蜜罐 450 4.7.10 統(tǒng)一威脅管理 450 4.7.11 內(nèi)容分發(fā)網(wǎng)絡(luò) 451 4.7.12 軟件定義網(wǎng)絡(luò) 452 4.8 內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng) 454 4.9 城域網(wǎng) 455 4.10 廣域網(wǎng) 457 4.10.1 通信的發(fā)展 458 4.10.2 專用鏈路 459 4.10.3 WAN技術(shù) 462 4.11 遠程連接 478 4.11.1 撥號連接 478 4.11.2 ISDN 479 4.11.3 DSL 480 4.11.4 線纜調(diào)制解調(diào)器 481 4.11.5 VPN 482 4.11.6 身份驗證協(xié)議 488 4.12 無線網(wǎng)絡(luò) 489 4.12.1 無線通信技術(shù) 490 4.12.2 WLAN組件 492 4.12.3 WLAN安全的演化 494 4.12.4 無線標準 498 4.12.5 保護WLAN的*佳實踐 502 4.12.6 衛(wèi)星 503 4.12.7 移動無線通信 504 4.13 網(wǎng)絡(luò)加密 508 4.13.1 鏈路加密與端對端加密 508 4.13.2 電子郵件加密標準 510 4.13.3 互聯(lián)網(wǎng)安全 512 4.14 網(wǎng)絡(luò)攻擊 516 4.14.1 拒絕服務(wù) 516 4.14.2 嗅探 518 4.14.3 DNS劫持 519 4.14.4 偷渡下載 519 4.15 小結(jié) 520 4.16 快速提示 520 4.17 問題 523 4.18 答案 530 第5章 身份與訪問管理 535 5.1 訪問控制概述 535 5.2 安全原則 536 5.2.1 可用性 536 5.2.2 完整性 537 5.2.3 機密性 537 5.3 身份標識、身份驗證、授權(quán)與
可問責(zé)性 538 5.3.1 身份標識與身份驗證 539 5.3.2 身份驗證 548 5.3.3 授權(quán) 564 5.3.4 聯(lián)合 574 5.3.5 身份即服務(wù) 581 5.3.6 集成身份識別服務(wù) 581 5.4 訪問控制模型 582 5.4.1 自主訪問控制 582 5.4.2 強制訪問控制 583 5.4.3 角色訪問控制 585 5.4.4 規(guī)則型訪問控制 587 5.5 訪問控制方法和技術(shù) 588 5.5.1 限制性用戶接口 588 5.5.2 訪問控制矩陣 589 5.5.3 內(nèi)容相關(guān)訪問控制 590 5.5.4 上下文相關(guān)訪問控制 591 5.6 訪問控制管理 591 5.6.1 集中式訪問控制管理 592 5.6.2 分散式訪問控制管理 597 5.7 訪問控制方法 597 5.7.1 訪問控制層 598 5.7.2 行政管理性控制 598 5.7.3 物理性控制 599 5.7.4 技術(shù)性控制 600 5.8 可問責(zé)性 603 5.8.1 審計信息的檢查 604 5.8.2 保護審計數(shù)據(jù)和日志信息 605 5.8.3 擊鍵監(jiān)控 605 5.9 訪問控制實踐 606 5.10 訪問控制監(jiān)控 608 5.10.1 入侵檢測 608 5.10.2 入侵防御系統(tǒng) 616 5.11 對訪問控制的幾種威脅 618 5.11.1 字典攻擊 618 5.11.2 蠻力攻擊 619 5.11.3 登錄欺騙 619 5.11.4 網(wǎng)絡(luò)釣魚 619 5.12 小結(jié) 622 5.13 快速提示 622 5.14 問題 625 5.15 答案 632 第6章 安全評估與測試 635 6.1 審計策略 636 6.1.1 內(nèi)部審計 637 6.1.2 第三方審計 638 6.2 審計技術(shù)控制 640 6.2.1 脆弱性測試 640 6.2.2 滲透測試 642 6.2.3 戰(zhàn)爭撥號攻擊 646 6.2.4 其他脆弱性類型 646 6.2.5 事后檢查 648 6.2.6 日志審查 649 6.2.7 綜合事務(wù) 651 6.2.8 誤用案例測試 652 6.2.9 代碼審查 653 6.2.10 接口測試 655 6.3 審計管理控制 655 6.3.1 賬戶管理 655 6.3.2 備份驗證 657 6.3.3 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性 659 6.3.4 安全培訓(xùn)和安全意識培訓(xùn) 664 6.3.5 關(guān)鍵績效和風(fēng)險指標 667 6.4 報告 669 6.4.1 技術(shù)報告 669 6.4.2 執(zhí)行摘要 669 6.5 管理評審 670 6.5.1 管理評審前 671 6.5.2 審查輸入 671 6.5.3 管理層的行動 672 6.6 小結(jié) 672 6.7 快速提示 673 6.8 問題 674 6.9 答案 678
過程 61 1.10.1 安全策略 62 1.10.2 標準 64 1.10.3 基線 65 1.10.4 指南 66 1.10.5 措施 66 1.10.6 實施 66 1.11 風(fēng)險管理 67 1.11.1 全面的風(fēng)險管理 68 1.11.2 信息系統(tǒng)風(fēng)險管理策略 68 1.11.3 風(fēng)險管理團隊 69 1.11.4 風(fēng)險管理過程 69 1.12 威脅建模 70 1.12.1 脆弱性 70 1.12.2 威脅 71 1.12.3 攻擊 71 1.12.4 消減分析 72 1.13 風(fēng)險評估和分析 73 1.13.1 風(fēng)險分析團隊 74 1.13.2 信息和資產(chǎn)的價值 74 1.13.3 構(gòu)成價值的成本 75 1.13.4 識別脆弱性和威脅 75 1.13.5 風(fēng)險評估方法 76 1.13.6 風(fēng)險分析方法 80 1.13.7 定性風(fēng)險分析 83 1.13.8 保護機制 86 1.13.9 綜合考慮 88 1.13.10 總風(fēng)險與剩余風(fēng)險 88 1.13.11 處理風(fēng)險 89 1.13.12 外包 90 1.14 風(fēng)險管理框架 91 1.14.1 信息分類 92 1.14.2 安全控制的選擇 92 1.14.3 安全控制的實現(xiàn) 93 1.14.4 安全控制的評估 93 1.14.5 信息系統(tǒng)的授權(quán) 93 1.14.6 安全控制的監(jiān)管 93 1.15 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù) 94 1.15.1 標準和*佳實踐 96 1.15.2 使BCM成為企業(yè)安全計劃的
一部分 98 1.15.3 BCP項目的組成 100 1.16 人員安全 111 1.16.1 招聘實踐 112 1.16.2 解雇 113 1.16.3 安全意識培訓(xùn) 114 1.16.4 學(xué)位或證書 115 1.17 安全治理 115 1.18 道德 120 1.18.1 計算機道德協(xié)會 120 1.18.2 互聯(lián)網(wǎng)架構(gòu)研究委員會 121 1.18.3 企業(yè)道德計劃 122 1.19 小結(jié) 122 1.20 快速提示 123 1.21 問題 126 1.22 答案 133 第2章 資產(chǎn)安全 137 2.1 信息生命周期 137 2.1.1 獲取 138 2.1.2 使用 138 2.1.3 存檔 139 2.1.4 處置 139 2.2 信息分類 140 2.2.1 分類等級 141 2.2.2 分類控制 143 2.3 責(zé)任分層 144 2.3.1 行政管理層 144 2.3.2 數(shù)據(jù)所有者 147 2.3.3 數(shù)據(jù)看管員 147 2.3.4 系統(tǒng)所有者 148 2.3.5 安全管理員 148 2.3.6 主管 148 2.3.7 變更控制分析員 148 2.3.8 數(shù)據(jù)分析員 149 2.3.9 用戶 149 2.3.10 審計員 149 2.3.11 為何需要這么多角色 149 2.4 保留策略 149 2.5 保護隱私 152 2.5.1 數(shù)據(jù)所有者 153 2.5.2 數(shù)據(jù)處理者 153 2.5.3 數(shù)據(jù)殘留 153 2.5.4 收集的限制 156 2.6 保護資產(chǎn) 156 2.6.1 數(shù)據(jù)安全控制 157 2.6.2 介質(zhì)控制 159 2.7 數(shù)據(jù)泄露 163 2.8 保護其他資產(chǎn) 170 2.8.1 保護移動設(shè)備 170 2.8.2 紙質(zhì)記錄 171 2.8.3 保險箱 171 2.9 小結(jié) 172 2.10 快速提示 172 2.11 問題 173 2.12 答案 176 第3章 安全工程 179 3.1 系統(tǒng)架構(gòu) 180 3.2 計算機架構(gòu) 183 3.2.1 中央處理單元 183 3.2.2 多重處理 186 3.2.3 存儲器類型 187 3.3 操作系統(tǒng) 197 3.3.1 進程管理 197 3.3.2 存儲器管理 204 3.3.3 輸入/輸出設(shè)備管理 207 3.3.4 CPU架構(gòu)集成 209 3.3.5 操作系統(tǒng)架構(gòu) 212 3.3.6 虛擬機 217 3.4 系統(tǒng)安全架構(gòu) 219 3.4.1 安全策略 219 3.4.2 安全架構(gòu)要求 220 3.5 安全模型 224 3.5.1 Bell-LaPadula模型 224 3.5.2 Biba模型 225 3.5.3 Clark-Wilson模型 225 3.5.4 無干擾模型 226 3.5.5 Brewer and Nash模型 227 3.5.6 Graham-Denning模型 227 3.5.7 Harrison-Ruzzo-Ullman模型 227 3.6 系統(tǒng)評估方法 228 3.6.1 通用準則 229 3.6.2 對產(chǎn)品進行評估的原因 232 3.7 認證與認可 232 3.7.1 認證 232 3.7.2 認可 233 3.8 開放系統(tǒng)與封閉系統(tǒng) 234 3.8.1 開放系統(tǒng) 234 3.8.2 封閉系統(tǒng) 234 3.9 分布式系統(tǒng)安全 234 3.9.1 云計算 235 3.9.2 并行計算 235 3.9.3 數(shù)據(jù)庫 236 3.9.4 Web應(yīng)用 238 3.9.5 移動設(shè)備 239 3.9.6 網(wǎng)絡(luò)物理系統(tǒng) 240 3.10 一些對安全模型和架構(gòu)的威脅 242 3.10.1 維護陷阱 243 3.10.2 檢驗時間/使用時間攻擊 243 3.11 密碼學(xué)背景 244 3.12 密碼學(xué)定義與概念 249 3.12.1 Kerckhoffs原則 251 3.12.2 密碼系統(tǒng)的強度 251 3.12.3 密碼系統(tǒng)的服務(wù) 252 3.12.4 一次性密碼本 252 3.12.5 滾動密碼與隱藏密碼 254 3.12.6 隱寫術(shù) 255 3.13 密碼的類型 257 3.13.1 替代密碼 257 3.13.2 換位密碼 257 3.14 加密的方法 259 3.14.1 對稱算法與非對稱算法 259 3.14.2 分組密碼與流密碼 263 3.14.3 混合加密方法 267 3.15 對稱系統(tǒng)的類型 272 3.15.1 數(shù)據(jù)加密標準 272 3.15.2 三重DES 278 3.15.3 高級加密標準 278 3.15.4 國際數(shù)據(jù)加密算法 279 3.15.5 Blowfish 279 3.15.6 RC4 279 3.15.7 RC5 279 3.15.8 RC6 280 3.16 非對稱系統(tǒng)的類型 280 3.16.1 Diffie-Hellman 算法 280 3.16.2 RSA 282 3.16.3 El Gamal 284 3.16.4 橢圓曲線密碼系統(tǒng) 284 3.16.5 背包算法 285 3.16.6 零知識證明 285 3.17 消息完整性 286 3.17.1 單向散列 286 3.17.2 各種散列算法 290 3.17.3 MD4 291 3.17.4 MD5 291 3.17.5 SHA 291 3.17.6 針對單向散列函數(shù)的攻擊 291 3.17.7 數(shù)字簽名 292 3.17.8 數(shù)字簽名標準 294 3.18 公鑰基礎(chǔ)設(shè)施 294 3.18.1 認證授權(quán)機構(gòu) 295 3.18.2 證書 297 3.18.3 注冊授權(quán)機構(gòu) 297 3.18.4 PKI 步驟 297 3.19 密鑰管理 299 3.19.1 密鑰管理原則 300 3.19.2 密鑰和密鑰管理的規(guī)則 301 3.20 可信平臺模塊 301 3.21 針對密碼學(xué)的攻擊 303 3.21.1 唯密文攻擊 303 3.21.2 已知明文攻擊 303 3.21.3 選定明文攻擊 303 3.21.4 選定密文攻擊 304 3.21.5 差分密碼分析 304 3.21.6 線性密碼分析 304 3.21.7 旁路攻擊 305 3.21.8 重放攻擊 305 3.21.9 代數(shù)攻擊 305 3.21.10 分析式攻擊 306 3.21.11 統(tǒng)計式攻擊 306 3.21.12 社會工程攻擊 306 3.21.13 中間相遇攻擊 306 3.22 站點和設(shè)施安全 306 3.23 站點規(guī)劃過程 307 3.23.1 通過環(huán)境設(shè)計來預(yù)防犯罪 310 3.23.2 制訂物理安全計劃 314 3.24 保護資產(chǎn) 324 3.24.1 保護移動設(shè)備 324 3.24.2 使用保險柜 325 3.25 內(nèi)部支持系統(tǒng) 325 3.25.1 電力 325 3.25.2 環(huán)境問題 329 3.25.3 火災(zāi)的預(yù)防、檢測和撲滅 331 3.26 小結(jié) 335 3.27 快速提示 336 3.28 問題 340 3.29 答案 346 第4章 通信與網(wǎng)絡(luò)安全 351 4.1 通信 352 4.2 開放系統(tǒng)互連參考模型 353 4.2.1 協(xié)議 354 4.2.2 應(yīng)用層 356 4.2.3 表示層 356 4.2.4 會話層 357 4.2.5 傳輸層 359 4.2.6 網(wǎng)絡(luò)層 360 4.2.7 數(shù)據(jù)鏈路層 360 4.2.8 物理層 362 4.2.9 OSI模型中的功能和協(xié)議 362 4.2.10 綜合這些層 364 4.2.11 多層協(xié)議 365 4.3 TCP/IP模型 366 4.3.1 TCP 367 4.3.2 IP尋址 371 4.3.3 IPv6 373 4.3.4 第2層安全標準 376 4.3.5 匯聚協(xié)議 377 4.4 傳輸類型 378 4.4.1 模擬和數(shù)字 378 4.4.2 異步和同步 379 4.4.3 寬帶和基帶 381 4.5 線纜 382 4.5.1 同軸電纜 382 4.5.2 雙絞線 382 4.5.3 光纜 383 4.5.4 布線問題 384 4.6 網(wǎng)絡(luò)互聯(lián)基礎(chǔ) 386 4.6.1 網(wǎng)絡(luò)拓撲 386 4.6.2 介質(zhì)訪問技術(shù) 388 4.6.3 傳輸方法 397 4.6.4 網(wǎng)絡(luò)協(xié)議和服務(wù) 398 4.6.5 域名服務(wù) 405 4.6.6 電子郵件服務(wù) 410 4.6.7 網(wǎng)絡(luò)地址轉(zhuǎn)換 414 4.6.8 路由協(xié)議 416 4.7 網(wǎng)絡(luò)互聯(lián)設(shè)備 419 4.7.1 中繼器 420 4.7.2 網(wǎng)橋 420 4.7.3 路由器 422 4.7.4 交換機 423 4.7.5 網(wǎng)關(guān) 427 4.7.6 PBX 428 4.7.7 防火墻 431 4.7.8 代理服務(wù)器 448 4.7.9 蜜罐 450 4.7.10 統(tǒng)一威脅管理 450 4.7.11 內(nèi)容分發(fā)網(wǎng)絡(luò) 451 4.7.12 軟件定義網(wǎng)絡(luò) 452 4.8 內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng) 454 4.9 城域網(wǎng) 455 4.10 廣域網(wǎng) 457 4.10.1 通信的發(fā)展 458 4.10.2 專用鏈路 459 4.10.3 WAN技術(shù) 462 4.11 遠程連接 478 4.11.1 撥號連接 478 4.11.2 ISDN 479 4.11.3 DSL 480 4.11.4 線纜調(diào)制解調(diào)器 481 4.11.5 VPN 482 4.11.6 身份驗證協(xié)議 488 4.12 無線網(wǎng)絡(luò) 489 4.12.1 無線通信技術(shù) 490 4.12.2 WLAN組件 492 4.12.3 WLAN安全的演化 494 4.12.4 無線標準 498 4.12.5 保護WLAN的*佳實踐 502 4.12.6 衛(wèi)星 503 4.12.7 移動無線通信 504 4.13 網(wǎng)絡(luò)加密 508 4.13.1 鏈路加密與端對端加密 508 4.13.2 電子郵件加密標準 510 4.13.3 互聯(lián)網(wǎng)安全 512 4.14 網(wǎng)絡(luò)攻擊 516 4.14.1 拒絕服務(wù) 516 4.14.2 嗅探 518 4.14.3 DNS劫持 519 4.14.4 偷渡下載 519 4.15 小結(jié) 520 4.16 快速提示 520 4.17 問題 523 4.18 答案 530 第5章 身份與訪問管理 535 5.1 訪問控制概述 535 5.2 安全原則 536 5.2.1 可用性 536 5.2.2 完整性 537 5.2.3 機密性 537 5.3 身份標識、身份驗證、授權(quán)與
可問責(zé)性 538 5.3.1 身份標識與身份驗證 539 5.3.2 身份驗證 548 5.3.3 授權(quán) 564 5.3.4 聯(lián)合 574 5.3.5 身份即服務(wù) 581 5.3.6 集成身份識別服務(wù) 581 5.4 訪問控制模型 582 5.4.1 自主訪問控制 582 5.4.2 強制訪問控制 583 5.4.3 角色訪問控制 585 5.4.4 規(guī)則型訪問控制 587 5.5 訪問控制方法和技術(shù) 588 5.5.1 限制性用戶接口 588 5.5.2 訪問控制矩陣 589 5.5.3 內(nèi)容相關(guān)訪問控制 590 5.5.4 上下文相關(guān)訪問控制 591 5.6 訪問控制管理 591 5.6.1 集中式訪問控制管理 592 5.6.2 分散式訪問控制管理 597 5.7 訪問控制方法 597 5.7.1 訪問控制層 598 5.7.2 行政管理性控制 598 5.7.3 物理性控制 599 5.7.4 技術(shù)性控制 600 5.8 可問責(zé)性 603 5.8.1 審計信息的檢查 604 5.8.2 保護審計數(shù)據(jù)和日志信息 605 5.8.3 擊鍵監(jiān)控 605 5.9 訪問控制實踐 606 5.10 訪問控制監(jiān)控 608 5.10.1 入侵檢測 608 5.10.2 入侵防御系統(tǒng) 616 5.11 對訪問控制的幾種威脅 618 5.11.1 字典攻擊 618 5.11.2 蠻力攻擊 619 5.11.3 登錄欺騙 619 5.11.4 網(wǎng)絡(luò)釣魚 619 5.12 小結(jié) 622 5.13 快速提示 622 5.14 問題 625 5.15 答案 632 第6章 安全評估與測試 635 6.1 審計策略 636 6.1.1 內(nèi)部審計 637 6.1.2 第三方審計 638 6.2 審計技術(shù)控制 640 6.2.1 脆弱性測試 640 6.2.2 滲透測試 642 6.2.3 戰(zhàn)爭撥號攻擊 646 6.2.4 其他脆弱性類型 646 6.2.5 事后檢查 648 6.2.6 日志審查 649 6.2.7 綜合事務(wù) 651 6.2.8 誤用案例測試 652 6.2.9 代碼審查 653 6.2.10 接口測試 655 6.3 審計管理控制 655 6.3.1 賬戶管理 655 6.3.2 備份驗證 657 6.3.3 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性 659 6.3.4 安全培訓(xùn)和安全意識培訓(xùn) 664 6.3.5 關(guān)鍵績效和風(fēng)險指標 667 6.4 報告 669 6.4.1 技術(shù)報告 669 6.4.2 執(zhí)行摘要 669 6.5 管理評審 670 6.5.1 管理評審前 671 6.5.2 審查輸入 671 6.5.3 管理層的行動 672 6.6 小結(jié) 672 6.7 快速提示 673 6.8 問題 674 6.9 答案 678
展開全部
CISSP認證考試指南-(第7版) 作者簡介
Shon Harris,CISSP,是Shon Harris安全有限責(zé)任公司和邏輯安全有限責(zé)任公司的創(chuàng)始人兼首席執(zhí)行官,她是一名安全顧問,是美國空軍信息作戰(zhàn)部門的前任工程師,也是一名教師和作家。在2014年去世前,Shon擁有并運營自己的培訓(xùn)和咨詢公司13年。她為財富100 強公司和政府機構(gòu)廣泛的安全問題提供咨詢服務(wù)。她撰寫了3 本最暢銷的CISSP 圖書,也曾參與撰寫Gray Hat Hacking: The Ethical Hacker’s Handbook和Security Information and Event Management(SIEM) Implementation,并擔(dān)任Information Security Magazine的技術(shù)編輯。Fernando Maymí, 博士,CISSP,擁有逾25年的安全領(lǐng)域工作經(jīng)驗。他目前領(lǐng)導(dǎo)一個多學(xué)科小組,負責(zé)網(wǎng)絡(luò)空間操作的顛覆性創(chuàng)新,并試圖通過加強公共部門與私企的合作關(guān)系來更好地保護網(wǎng)絡(luò)空間。Fernando曾在美國和其他國家擔(dān)任政府和私營部門組織的顧問。在美國和拉丁美洲,他為學(xué)術(shù)、政府和專業(yè)機構(gòu)講授了數(shù)十門網(wǎng)絡(luò)安全課程。Fernando曾發(fā)表十幾篇技術(shù)文章,并擁有三項專利。Fernando曾榮獲美國陸軍研究與發(fā)展成就獎,被評為HENAAC杰出人物。他與Shon Harris密切合作,并為包括《CISSP認證考試指南(第6版)》在內(nèi)的諸多項目提供建議。Fernando還是一名志愿者,致力于盲人導(dǎo)盲,養(yǎng)著兩只導(dǎo)盲犬:Trinket和Virgo。
書友推薦
- >
上帝之肋:男人的真實旅程
- >
推拿
- >
月亮與六便士
- >
李白與唐代文化
- >
新文學(xué)天穹兩巨星--魯迅與胡適/紅燭學(xué)術(shù)叢書(紅燭學(xué)術(shù)叢書)
- >
【精裝繪本】畫給孩子的中國神話
- >
自卑與超越
- >
姑媽的寶刀
本類暢銷
