編輯推薦
頂級IT安全認證和培訓專家Shon harris執筆,從教程到題集輕鬆備戰,CISSP考試過關首選
內容簡介
《CISSP認證考試指南(第6版)》由IT安全認證和培訓的首席專家撰寫,將幫助您輕鬆地通過考試,也可以作為工作的一本重要參考書。
圖書目錄
第1章成為一名CISSP 1
1.1成為CISSP的理由 1
1.2CISSP考試 2
1.3CISSP認證的發展簡史 5
1.4如何註冊考試 6
1.5本書概要 6
1.6CISSP應試小貼士 6
1.7本書使用指南 8
1.7.1問題 8
1.7.2答案 16
第2章信息安全治理與風險管理 17
2.1安全基本原則 18
2.1.1可用性 18
2.1.2完整性 19
2.1.3機密性 19
2.1.4平衡安全 20
2.2安全定義 21
2.3控制類型 22
2.4安全框架 26
2.4.1ISO/IEC27000系列 28
2.4.2企業架構開發 32
2.4.3安全控制開發 41
2.4.4COSO 44
2.4.5流程管理開發 45
2.4.6功能與安全性 51
2.5安全管理 52
2.6風險管理 52
2.6.1誰真正了解風險管理 53
2.6.2信息風險管理策略 53
2.6.3風險管理團隊 54
2.7風險評估和分析 55
2.7.1風險分析團隊 56
2.7.2信息和資產的價值 56
2.7.3構成價值的成本 56
2.7.4識別脆弱性和威脅 57
2.7.5風險評估方法 58
2.7.6風險分析方法 63
2.7.7定性風險分析 66
2.7.8保護機制 69
2.7.9綜合考慮 71
2.7.10總風險與剩餘風險 71
2.7.11處理風險 72
2.7.12外包 74
2.8策略、標準、基準、指南和
過程 75
2.8.1安全策略 75
2.8.2標準 78
2.8.3基準 78
2.8.4指南 79
2.8.5措施 79
2.8.6實施 80
2.9信息分類 80
2.9.1分類級別 81
2.9.2分類控制 83
2.10責任分層 84
2.10.1董事會 84
2.10.2執行管理層 85
2.10.3CIO 86
2.10.4CPO 87
2.10.5CSO 87
2.11安全指導委員會 88
2.11.1審計委員會 89
2.11.2數據所有者 89
2.11.3數據看管員 89
2.11.4系統所有者 89
2.11.5安全管理員 90
2.11.6安全分析員 90
2.11.7應用程式所有者 90
2.11.8監督員 90
2.11.9變更控制分析員 91
2.11.10數據分析員 91
2.11.11過程所有者 91
2.11.12解決方案提供商 91
2.11.13用戶 91
2.11.14生產線經理 92
2.11.15審計員 92
2.11.16為何需要這么多角色 92
2.11.17人員安全 92
2.11.18招聘實踐 93
2.11.19解僱 94
2.11.20安全意識培訓 95
2.11.21學位或證書 96
2.12安全治理 96
2.13小結 100
2.14快速提示 101
2.14.1問題 103
2.14.2答案 110
第3章訪問控制 115
3.1訪問控制概述 115
3.2安全原則 116
3.2.1可用性 116
3.2.2完整性 117
3.2.3機密性 117
3.3身份標識、身份驗證、授權與可問責性 117
3.3.1身份標識與身份驗證 119
3.3.2密碼管理 127
3.3.3授權 149
3.4訪問控制模型 161
3.4.1自主訪問控制 161
3.4.2強制訪問控制 162
3.4.3角色型訪問控制 164
3.5訪問控制方法和技術 166
3.5.1規則型訪問控制 167
3.5.2限制性用戶接口 167
3.5.3訪問控制矩陣 168
3.5.4內容相關訪問控制 169
3.5.5上下文相關訪問控制 169
3.6訪問控制管理 170
3.6.1集中式訪問控制管理 171
3.6.2分散式訪問控制管理 176
3.7訪問控制方法 176
3.7.1訪問控制層 177
3.7.2行政管理性控制 177
3.7.3物理性控制 178
4.7.4技術性控制 179
3.8可問責性 181
3.8.1審計信息的檢查 183
3.8.2保護審計數據和日誌信息 184
3.8.3擊鍵監控 184
3.9訪問控制實踐 185
3.10訪問控制監控 187
3.10.1入侵檢測 187
3.10.2入侵防禦系統 194
3.11對訪問控制的幾種威脅 196
3.11.1字典攻擊 196
3.11.2蠻力攻擊 197
3.11.3登錄欺騙 198
3.11.4網路釣魚 198
3.11.5威脅建模 200
3.12小結 202
3.13快速提示 202
3.13.1問題 204
3.13.2答案 211
第4章安全架構和設計 215
4.1計算機安全 216
4.2系統架構 217
4.3計算機架構 220
4.3.1中央處理單元 220
4.3.2多重處理 224
4.3.3作業系統架構 226
4.3.4存儲器類型 235
4.3.5虛擬存儲器 245
4.3.6輸入/輸出設備管理 246
4.3.7CPU架構 248
4.4作業系統架構 251
4.5系統安全架構 260
4.5.1安全策略 260
4.5.2安全架構要求 261
4.6安全模型 265
4.6.1狀態機模型 266
4.6.2Bell-LaPadula模型 268
4.6.3Biba模型 270
4.6.4Clark-Wilson模型 271
4.6.5信息流模型 274
4.6.6無干擾模型 276
4.6.7格子模型 276
4.6.8BrewerandNash模型 278
4.6.9Graham-Denning模型 279
4.6.10Harrison-Ruzzo-Ullman模型 279
4.7運行安全模式 280
4.7.1專用安全模式 280
4.7.2系統高安全模式 281
4.7.3分隔安全模式 281
4.7.4多級安全模式 281
4.7.5信任與保證 283
4.8系統評估方法 283
4.8.1對產品進行評估的原因 284
4.8.2橘皮書 284
4.9橘皮書與彩虹系列 288
4.10信息技術安全評估準則 289
4.11通用準則 291
4.12認證與認可 295
4.12.1認證 295
4.12.2認可 295
4.13開放系統與封閉系統 296
4.13.1開放系統 296
4.13.2封閉系統 297
4.14一些對安全模型和架構的威脅 297
4.14.1維護陷阱 297
4.14.2檢驗時間/使用時間攻擊 298
4.15小結 299
4.16快速提示 300
4.16.1問題 302
4.16.2答案 307
第5章物理和環境安全 311
5.1物理安全簡介 311
5.2規划過程 313
5.2.1通過環境設計來預防犯罪 316
5.2.2制訂物理安全計畫 320
5.3保護資產 331
5.4內部支持系統 332
5.4.1電力 333
5.4.2環境問題 337
5.4.3通風 339
5.4.4火災的預防、檢測和撲滅 339
5.5周邊安全 345
5.5.1設施訪問控制 346
5.5.2人員訪問控制 352
5.5.3外部邊界保護機制 353
5.5.4入侵檢測系統 360
5.5.5巡邏警衛和保全 362
5.5.6安全狗 363
5.5.7對物理訪問進行審計 363
5.5.8測試和演習 363
5.6小結 364
5.7快速提示 364
5.7.1問題 366
5.7.2答案 371
第6章通信與網路安全 375
6.1通信 376
6.2開放系統互連參考模型 377
6.2.1協定 378
6.2.2套用層 379
6.2.3表示層 380
6.2.4會話層 381
6.2.5傳輸層 383
6.2.6網路層 384
6.2.7數據鏈路層 385
6.2.8物理層 386
6.2.9OSI模型中的功能和協定 387
6.2.10綜合這些層 389
6.3TCP/IP模型 390
6.3.1TCP 391
6.3.2IP定址 395
6.3.3IPv6 397
6.3.4第2層安全標準 400
6.4傳輸的類型 402
6.4.1模擬和數字 402
6.4.2異步和同步 404
6.4.3寬頻和基帶 405
6.5布線 406
6.5.1同軸電纜 407
6.5.2雙絞線 407
6.5.3光纜 408
6.5.4布線問題 409
6.6網路互聯基礎 411
6.6.1網路拓撲 412
6.6.2介質訪問技術 414
6.6.3網路協定和服務 425
6.6.4域名服務 433
6.6.5電子郵件服務 440
6.6.6網路地址轉換 444
6.6.7路由協定 446
6.7網路互聯設備 449
6.7.1中繼器 449
6.7.2網橋 450
6.7.3路由器 451
6.7.4交換機 453
6.7.5網關 457
6.7.6PBX 459
6.7.7防火牆 462
6.7.8代理伺服器 480
6.7.9蜜罐 482
6.7.10統一威脅管理 482
6.7.11雲計算 483
6.8內聯網與外聯網 486
6.9城域網 487
6.10廣域網 489
6.10.1通信的發展 490
6.10.2專用鏈路 492
6.10.3WAN技術 495
6.11遠程連線 513
6.11.1撥號連線 513
6.11.2ISDN 514
6.11.3DSL 515
6.11.4線纜數據機 516
6.11.5VPN 518
6.11.6身份驗證協定 523
6.12無線技術 525
6.12.1無線通信 526
6.12.2WLAN組件 528
6.12.3無線標準 534
6.12.4WLAN戰爭駕駛攻擊 538
6.12.5衛星 538
6.12.6移動無線通信 539
6.12.7行動電話安全 543
6.13小結 545
6.14快速提示 546
6.14.1問題 549
6.14.2答案 556
第7章密碼術 561
7.1密碼學的歷史 562
7.2密碼學定義與概念 566
7.2.1Kerckhoffs原則 568
7.2.2密碼系統的強度 568
7.2.3密碼系統的服務 569
7.2.4一次性密碼本 570
7.2.5滾動密碼與隱藏密碼 572
7.2.6隱寫術 573
7.3密碼的類型 575
7.3.1替代密碼 575
7.3.2換位密碼 575
7.4加密的方法 577
7.4.1對稱算法與非對稱算法 577
7.4.2對稱密碼學 577
7.4.3非對稱密碼學 579
7.4.4分組密碼與流密碼 581
7.4.5混合加密方法 586
7.5對稱系統的類型 591
7.5.1數據加密標準 591
7.5.2三重DES 597
7.5.3高級加密標準 597
7.5.4國際數據加密算法 598
7.5.5Blowfish 598
7.5.6RC4 598
7.5.7RC5 599
7.5.8RC6 599
7.6非對稱系統的類型 600
7.6.1Diffie-Hellman算法 600
7.6.2RSA 602
7.6.3ElGamal 604
7.6.4橢圓曲線密碼系統 604
7.6.5背包算法 605
7.6.6零知識證明 605
7.7訊息完整性 606
7.7.1單向散列 606
7.7.2各種散列算法 610
7.7.3MD2 611
7.7.4MD4 611
7.7.5MD5 611
7.7.6針對單向散列函式的攻擊 612
7.7.7數字簽名 613
7.7.8數字簽名標準 615
7.8公鑰基礎設施 616
7.8.1認證授權機構 616
7.8.2證書 619
7.8.3註冊授權機構 619
7.8.4PKI步驟 620
7.9密鑰管理 621
7.9.1密鑰管理原則 622
7.9.2密鑰和密鑰管理的規則 623
7.10可信平台模組 623
7.11鏈路加密與端對端加密 625
7.12電子郵件標準 627
7.12.1多用途Internet郵件擴展(MIME) 627
7.12.2可靠加密 628
7.12.3量子密碼學 629
7.13Internet安全 630
7.14攻擊 640
7.14.1唯密文攻擊 640
7.14.2已知明文攻擊 640
7.14.3選定明文攻擊 640
7.14.4選定密文攻擊 640
7.14.5差分密碼分析 641
7.14.6線性密碼分析 641
7.14.7旁路攻擊 641
7.14.8重放攻擊 642
7.14.9代數攻擊 642
7.14.10分析式攻擊 642
7.14.11統計式攻擊 642
7.14.12社會工程攻擊 643
7.14.13中間相遇攻擊 643
7.15小結 644
7.16快速提示 644
7.16.1問題 646
7.16.2答案 651
第8章業務連續性與災難恢復 655
8.1業務連續性和災難恢復 656
8.1.1標準和最佳實踐 659
8.1.2使BCM成為企業安全計畫的一部分 661
8.2BCP項目的組成 664
8.2.1項目範圍 665
8.2.2 BCP策略 666
8.2.3項目管理 666
8.2.4業務連續性規劃要求 668
8.2.5業務影響分析(BIA) 669
8.2.6相互依存性 675
8.3預防性措施 676
8.4恢復戰略 676
8.4.1業務流程恢復 680
8.4.2設施恢復 680
8.4.3供給和技術恢復 685
8.4.4選擇軟體備份設施 689
8.4.5終端用戶環境 691
8.4.6數據備份選擇方案 691
8.4.7電子備份解決方案 694
8.4.8高可用性 697
8.5保險 699
8.6恢復與還原 700
8.6.1為計畫制定目標 703
8.6.2實現戰略 704
8.7測試和審查計畫 706
8.7.1核查性測試 707
8.7.2結構化的排練性測試 707
8.7.3模擬測試 707
8.7.4並行測試 708
8.7.5全中斷測試 708
8.7.6其他類型的培訓 708
8.7.7應急回響 708
8.7.8維護計畫 709
8.8小結 712
8.9快速提示 712
8.9.1問題 714
8.9.2答案 720
第9章法律、法規、合規和調查 725
9.1計算機法律的方方面面 725
9.2計算機犯罪法律的關鍵點 726
9.3網路犯罪的複雜性 728
9.3.1電子資產 730
9.3.2攻擊的演變 730
9.3.3國際問題 733
9.3.4法律的類型 736
9.4智慧財產權法 739
9.4.1商業秘密 739
9.4.2著作權 740
9.4.3商標 740
9.4.4專利 741
9.4.5智慧財產權的內部保護 742
9.4.6軟體盜版 743
9.5隱私 745
9.5.1對隱私法不斷增長的需求 746
9.5.2法律、指令和法規 747
9.6義務及其後果 756
9.6.1個人信息 759
9.6.2黑客入侵 759
9.6.3第三方風險 760
9.6.4契約協定 760
9.6.5採購和供應商流程 761
9.7合規性 762
9.8調查 763
9.8.1事故管理 763
9.8.2事故回響措施 766
9.8.3計算機取證和適當的證據收集 769
9.8.4國際計算機證據組織 770
9.8.5動機、機會和方式 771
9.8.6計算機犯罪行為 771
9.8.7事故調查員 772
9.8.8取證調查過程 772
9.8.9法庭上可接受的證據 777
9.8.10監視、搜尋和查封 780
9.8.11訪談和審訊 781
9.8.12幾種不同類型的攻擊 781
9.8.13域名搶注 783
9.9道德 783
9.9.1計算機道德協會 784
9.9.2Internet架構研究委員會 785
9.9.3企業道德計畫 786
9.10小結 786
9.11快速提示 787
9.11.1問題 789
9.11.2答案 794
第10章軟體開發安全 797
10.1軟體的重要性 797
10.2何處需要安全 798
10.2.1不同的環境需要不同的安全 799
10.2.2環境與應用程式 799
10.2.3功能與安全 800
10.2.4實現和默認配置問題 800
10.3系統開發生命周期 801
10.3.1啟動 803
10.3.2購買/開發 804
10.3.3實現 805
10.3.4操作/維護 805
10.3.5處理 805
10.4軟體開發生命周期 807
10.4.1項目管理 807
10.4.2需求收集階段 808
10.4.3設計階段 809
10.4.4開發階段 811
10.4.5測試/驗證階段 813
10.4.6發布/維護階段 815
10.5安全軟體開發最佳實踐 816
10.6軟體開發模型 818
10.6.1邊做邊改模型 818
10.6.2瀑布模型 819
10.6.3V形模型(V模型) 819
10.6.4原型模型 820
10.6.5增量模型 821
10.6.6螺旋模型 822
10.6.7快速套用開發 823
10.6.8敏捷模型 824
10.7能力成熟度模型 825
10.8變更控制 827
10.9程式語言和概念 829
10.9.1彙編程式、編譯器和解釋器 831
10.9.2面向對象概念 832
10.10分散式計算 841
10.10.1分散式計算環境 841
10.10.2CORBA與ORB 842
10.10.3COM與DCOM 844
10.10.4Java平台,企業版本 845
10.10.5面向服務架構 846
10.11移動代碼 849
10.11.1Javaapplet 849
10.11.2ActiveX控制項 851
10.12Web安全 852
10.12.1針對Web環境的特定威脅 852
10.12.2Web套用安全原則 859
10.13資料庫管理 860
10.13.1資料庫管理軟體 861
10.13.2資料庫模型 862
10.13.3資料庫編程接口 866
10.13.4關係資料庫組件 867
10.13.5完整性 869
10.13.6資料庫安全問題 871
10.13.7數據倉庫與數據挖掘 875
10.14專家系統和知識性系統 878
10.15人工神經網路 880
10.17小結 894
10.18快速提示 894
10.18.1問題 897
10.18.2答案 903
第11章安全運營 909
11.1運營部門的角色 909
11.2行政管理 910
11.2.1安全和網路人員 912
11.2.2可問責性 913
11.2.3閾值級別 913
11.3保證級別 914
11.4運營責任 914
11.4.1不尋常或無法解釋的事件 915
11.4.2偏離標準 915
11.4.3不定期的初始程式載入(也稱為重啟) 915
11.4.4資產標識和管理 915
11.4.5系統控制 916
11.4.6可信恢復 917
11.4.7輸入與輸出控制 918
11.4.8系統強化 919
11.4.9遠程訪問安全 921
11.5配置管理 921
11.5.1變更控制過程 922
11.5.2變更控制文檔化 923
11.6介質控制 924
11.7數據泄漏 928
11.8網路和資源可用性 929
11.8.1平均故障間隔時間(MTBF) 930
11.8.2平均修復時間(MTTR) 930
11.8.3單點失敗 931
11.8.4備份 937
11.8.5應急計畫 939
11.9大型機 940
11.10電子郵件安全 942
11.10.1電子郵件的工作原理 943
11.10.2傳真安全 945
11.11脆弱性測試 953
11.11.1滲透測試 956
11.11.3其他脆弱性類型 958
11.11.4事後檢查 959
11.12小結 960
11.13快速提示 961
11.13.1問題 962
11.13.2答案 967
附錄A完整的問題 969
附錄B配套光碟使用指南 1013