编辑推荐
《CISSP官方学习指南(第8版)》是涵盖2018年CISSP所有考试目标的一站式备考资源,将助你更明智、更快捷地准备CISSP考试。这本精品书籍编排精当,每章开头列出目标地图,正文穿插“真实场景”,详细讲解各个知识点,章末附有考试要点、书面实验题和极富挑战的复习题;前言中的“评估测验”针对性极强,可供自我评估备考进展状况。借助Sybex提供的可在各种设备上访问的独特在线学习环境和测试题库,你可进一步巩固所学的知识。开始使用本书准备CISSP考试吧。
内容简介
100%涵盖全部考试目标:
安全与风险管理
资产安全
安全架构和工程
通信与网络安全
身份和访问管理
安全评估与测试
安全运营
软件开发安全
作者简介
Mike Chapple,CISSP、博士、Security 、CISA、CySA ,圣母大学IT、分析学和运营学副教授。曾任品牌研究所首席信息官、美国国家安全局和美国空军信息安全研究员。他主攻网络入侵检测和访问控制专业。Mike经常为TechTarget所属的SearchSecurity网站撰稿,著书逾25本,其中包括《(ISC):CISSP官方习题集》《CompTIA CSA 学习指南》以及《网络战:互连世界中的信息战》。
James Michael Stewart,CISSP、CEH、ECSA、CHFI、Security 、Network ,从事写作和培训工作20多年,目前专注于安全领域。自2002年起一直讲授CISSP培训课程,互联网安全、道德黑客/渗透测试等内容更在他的授课范围之内。他是超过75部著作以及大量课件的作者和撰稿者,内容涉及安全认证、微软主题和网络管理,其中包括《Security(SY0-501)复习指南》。
Darril Gibson,CISSP、Security 、CASP,YCDA有限责任公司首席执行官,是40多部著作的作者或共同作者。Darril持有多种专业证书,经常写作、提供咨询服务和开展教学,涉及各种技术和安全主题。
王连强,现任北京时代新威信息技术有限公司技术负责人,博士、全国信安标委WG7成员,持有信息系统审计师、IPMP等认证证书,负责统筹本书翻译各项工作事务,并承担本书第6章、第7章和第17章的翻译工作,以及全书的审校和定稿工作。
吴潇,现任北京天融信网络安全技术有限公司专家级安全顾问,持有CISSP、CISA、PMP、ISO27001等认证证书,负责本书第1~4章的翻译工作。
罗爱国,现就职于互联网公司,持有CISSP及CSSLP认证证书,参与本书第18~21章的翻译工作。
郭鹏程,现任北森云计算安全负责人,中国云安全联盟专家委员会专家、云安全讲师、C-Star咨询师,持有CISSP、CCSK等认证证书,负责本书第11章、第13章和第14章的翻译工作。
刘北水,现任中国赛宝实验室信息安全研究中心工程师,持有CISSP、PMP等认证证书,负责本书第15章和第16章的翻译工作,并为本书撰写译者序。
孙书强,北京中科博安科技有限公司创始人,(ISC)2北京分会秘书长、(ISC)2官方讲师,持有CISSP-ISSAP、ISSMP、CISA、PMP、系统分析师等认证证书,负责本书第8章和第9章的翻译工作。
顾广宇,现任国家电网安徽省电力科学研究院高级工程师,持有CISSP认证证书,负责本书第10章和第12章的翻译工作。
马多贺,现任中国科学院信息工程研究所副研究员,(ISC)2北京分会会员主席、CISSP认证讲师、博士、硕士生导师,持有CISSP、PMP等认证证书,参与了本书第5章的翻译工作。
最后,感谢顾伟在本书译校过程中提供的帮助。
章节目录
第1章 实现安全治理的原则和策略
1.1 理解和应用保密性、完整性及可用性的概念
1.1.1 保密性
1.1.2 完整性
1.1.3 可用性
1.1.4 其他安全概念
1.1.5 保护机制
1.1.6 分层
1.1.7 抽象
1.1.8 数据隐藏
1.1.9 加密
1.2 评估和应用安全治理原则
1.2.1 与业务战略、目标、使命和宗旨相一致的安全功能
1.2.2 组织的流程
1.2.3 组织的角色与责任
1.2.4 安全控制框架
1.2.5 应尽关心和尽职审查
1.3 开发、记录和实施安全策略、标准、程序和指南
1.3.1 安全策略
1.3.2 标准、基线和指南
1.3.3 程序
1.4 理解与应用威胁建模的概念和方法
1.4.1 识别威胁
1.4.2 确定和绘制潜在的攻击
1.4.3 执行简化分析
1.4.4 优先级排序和响应
1.5 将基于风险的管理理念应用到供应链
1.6 本章小结
1.7 考试要点
1.8 书面实验
1.9 复习题
第2章 人员安全和风险管理的概念
2.1 人员安全策略和程序
2.1.1 候选人筛选及招聘
2.1.2 雇佣协议及策略
2.1.3 入职和离职程序
2.1.4 供应商、顾问和承包商的协议和控制
2.1.5 合规策略要求
2.1.6 隐私策略要求
2.2 安全治理
2.3 理解并应用风险管理理念
2.3.1 风险术语
2.3.2 识别威胁和脆弱性
2.3.3 风险评估/分析
2.3.4 风险响应
2.3.5 选择与实施控制措施
2.3.6 适用的控制类型
2.3.7 安全控制评估
2.3.8 监视和测量
2.3.9 资产估值与报告
2.3.10 持续改进
2.3.11 风险框架
2.4 建立和维护安全意识、教育和培训计划
2.5 管理安全功能
2.6 本章小结
2.7 考试要点
2.8 书面实验
2.9 复习题
第3章 业务连续性计划
3.1 业务连续性计划简介
3.2 项目范围和计划
3.2.1 业务组织分析
3.2.2 选择BCP团队
3.2.3 资源需求
3.2.4 法律和法规要求
3.3 业务影响评估
3.3.1 确定优先级
3.3.2 风险识别
3.3.3 可能性评估
3.3.4 影响评估
3.3.5 资源优先级排序
3.4 连续性计划
3.4.1 策略开发
3.4.2 预备和处理
3.5 计划批准和实施
3.5.1 计划批准
3.5.2 计划实施
3.5.3 培训和教育
3.5.4 BCP文档化
3.6 本章小结
3.7 考试要点
3.8 书面实验
3.9 复习题
第4章 法律、法规和合规
4.1 法律的分类
4.1.1 刑法
4.1.2 民法
4.1.3 行政法
4.2 法律
4.2.1 计算机犯罪
4.2.2 知识产权
4.2.3 许可
4.2.4 进口/出口控制
4.2.5 隐私
4.3 合规
4.4 合同和采购
4.5 本章小结
4.6 考试要点
4.7 书面实验
4.8 复习题
第5章 保护资产安全
5.1 资产识别和分类
5.1.1 定义敏感数据
5.1.2 定义数据分类
5.1.3 定义资产分类
5.1.4 确定数据的安全控制
5.1.5 理解数据状态
5.1.6 管理信息和资产
5.1.7 数据保护方法
5.2 定义数据所有权
5.2.1 数据所有者
5.2.2 资产所有者
5.2.3 业务/任务所有者
5.2.4 数据使用者
5.2.5 管理员
5.2.6 托管员
5.2.7 用户
5.2.8 保护隐私
5.3 使用安全基线
5.3.1 范围界定和按需定制
5.3.2 选择标准
5.4 本章小结
5.5 考试要点
5.6 书面实验
5.7 复习题
第6章 密码学和对称密钥算法
6.1 密码学的历史里程碑
6.1.1 凯撒密码
6.1.2 美国南北战争
6.1.3 Ultra与Enigma
6.2 密码学基本知识
6.2.1 密码学的目标
6.2.2 密码学的概念
6.2.3 密码数学
6.2.4 密码
6.3 现代密码学
6.3.1 密码密钥
6.3.2 对称密钥算法
6.3.3 非对称密钥算法
6.3.4 散列算法
6.4 对称密码
6.4.1 数据加密标准
6.4.2 三重DES
6.4.3 国际数据加密算法
6.4.4 Blowfish
6.4.5 Skipjack
6.4.6 高级加密标准
6.4.7 对称密钥管理
6.5 密码生命周期
6.6 本章小结
6.7 考试要点
6.8 书面实验
6.9 复习题
第7章 PKI和密码应用
7.1 非对称密码
7.1.1 公钥和私钥
7.1.2 RSA
7.1.3 El Gamal
7.1.4 椭圆曲线
7.2 散列函数
7.2.1 SHA
7.2.2 MD2
7.2.3 MD4
7.2.4 MD5
7.3 数字签名
7.3.1 HMAC
7.3.2 数字签名标准
7.4 公钥基础设施
7.4.1 证书
7.4.2 发证机构
7.4.3 证书的生成和销毁
7.5 非对称密钥管理
7.6 应用密码学
7.6.1 便携设备
7.6.2 电子邮件
7.6.3 Web应用程序
7.6.4 数字版权管理
7.6.5 联网
7.7 密码攻击
7.8 本章小结
7.9 考试要点
7.10 书面实验
7.11 复习题
第8章 安全模型、设计和能力的原则
8.1 使用安全设计原则实施和管理工程过程
8.1.1 客体和主体
8.1.2 封闭系统和开放系统
8.1.3 用于确保保密性、完整性和可用性的技术
8.1.4 控制
8.1.5 信任与保证
8.2 理解安全模型的基本概念
8.2.1 可信计算基
8.2.2 状态机模型
8.2.3 信息流模型
8.2.4 非干扰模型
8.2.5 Take-Grant模型
8.2.6 访问控制矩阵
8.2.7 Bell-LaPadula模型
8.2.8 Biba模型
8.2.9 Clark-Wilson模型
8.2.10 Brewer and Nash模型
8.2.11 Goguen-Meseguer模型
8.2.12 Sutherland模型
8.2.13 Graham-Denning模型
8.3 基于系统安全需求选择控制措施
8.3.1 彩虹系列
8.3.2 TCSEC分类和所需功能
8.3.3 通用准则
8.3.4 行业和国际安全实施指南
8.3.5 认证和鉴定
8.4 理解信息系统的安全功能
8.4.1 内存保护
8.4.2 虚拟化
8.4.3 可信平台模块
8.4.4 接口
8.4.5 容错
8.5 本章小结
8.6 考试要点
8.7 书面实验
8.8 复习题
第9章 安全漏洞、威胁和对策
9.1 评估和缓解安全漏洞
9.1.1 硬件
9.1.2 固件
9.2 基于客户端的系统
9.2.1 applet
9.2.2 本地缓存
9.3 基于服务端的系统
9.4 数据库系统安全
9.4.1 聚合
9.4.2 推理
9.4.3 数据挖掘和数据仓库
9.4.4 数据分析
9.4.5 大规模并行数据系统
9.5 分布式系统和端点安全
9.5.1 基于云的系统和云计算
9.5.2 网格计算
9.5.3 对等网络
9.6 物联网
9.7 工业控制系统
9.8 评估和缓解基于Web系统的漏洞
9.9 评估和缓解移动系统的漏洞
9.9.1 设备安全
9.9.2 应用安全
9.9.3 BYOD关注点
9.10 评估和缓解嵌入式设备和信息物理系统的漏洞
9.10.1 嵌入式系统和静态系统的示例
9.10.2 保护嵌入式和静态系统的方法
9.11 基本安全保护机制
9.11.1 技术机制
9.11.2 安全策略和计算机架构
9.11.3 策略机制
9.12 常见的架构缺陷和安全问题
9.12.1 隐蔽通道
9.12.2 基于设计或编码缺陷的攻击和安全问题
9.12.3 编程
9.12.4 计时、状态改变和通信中断
9.12.5 技术和过程集成
9.12.6 电磁辐射
9.13 本章小结
9.14 考试要点
9.15 书面实验
9.16 复习题
第10章 物理安全要求
10.1 站点与设施设计的安全原则
10.1.1 安全设施计划
10.1.2 站点选择
10.1.3 可见度
10.1.4 自然灾害
10.1.5 设施设计
10.2 实现站点与设施安全控制
10.2.1 设备故障
10.2.2 配线间
10.2.3 服务器间与数据中心
10.2.4 介质存储设施
10.2.5 证据存储
10.2.6 受限区与工作区安全
10.2.7 基础设施与HVAC
10.2.8 火灾预防、探测与消防
10.3 物理安全的实现与管理
10.3.1 边界安全控制
10.3.2 内部安全控制
10.4 本章小结
10.5 考试要点
10.6 书面实验
10.7 复习题
第11章 安全网络架构和保护网络组件
11.1 OSI模型
11.1.1 OSI模型的历史
11.1.2 OSI功能
11.1.3 封装/解封
11.1.4 OSI模型层次
11.2 TCP/IP模型
11.3 融合协议
11.4 无线网络
11.4.1 保护无线接入点
11.4.2 保护SSID
11.4.3 进行现场调查
11.4.4 使用安全加密协议
11.4.5 天线放置
11.4.6 天线类型
11.4.7 调整功率电平控制
11.4.8 WPS
11.4.9 使用强制门户
11.4.10 一般Wi-Fi安全程序
11.4.11 无线攻击
11.5 安全网络组件
11.5.1 网络访问控制
11.5.2 防火墙
11.5.3 端点安全
11.5.4 硬件的安全操作
11.6 布线、无线、拓扑、通信和传输介质技术
11.6.1 传输介质
11.6.2 网络拓扑
11.6.3 无线通信与安全
11.6.4 局域网技术
11.7 本章小结
11.8 考试要点
11.9 书面实验
11.10 复习题
第12章 安全通信与网络攻击
12.1 网络与协议安全机制
12.1.1 安全通信协议
12.1.2 身份验证协议
12.2 语音通信的安全
12.2.1 VoIP
12.2.2 社会工程
12.2.3 欺骗与滥用
12.3 多媒体合作
12.3.1 远程会议
12.3.2 即时通信
12.4 管理邮件安全
12.4.1 邮件安全目标
12.4.2 理解邮件安全问题
12.4.3 邮件安全解决方案
12.5 远程访问安全管理
12.5.1 远程访问安全计划
12.5.2 拨号上网协议
12.5.3 中心化远程身份验证服务
12.6 虚拟专用网
12.6.1 隧道技术
12.6.2 VPN的工作机理
12.6.3 常用的VPN协议
12.6.4 虚拟局域网
12.7 虚拟化
12.7.1 虚拟软件
12.7.2 虚拟化网络
12.8 网络地址转换
12.8.1 私有IP地址
12.8.2 有状态NAT
12.8.3 静态与动态NAT
12.8.4 自动私有IP分配
12.9 交换技术
12.9.1 电路交换
12.9.2 分组交换
12.9.3 虚电路
12.10 WAN技术
12.10.1 WAN连接技术
12.10.2 拨号封装协议
12.11 多种安全控制特征
12.11.1 透明性
12.11.2 验证完整性
12.11.3 传输机制
12.12 安全边界
12.13 防止或减轻网络攻击
12.13.1 DoS与DDoS
12.13.2 窃听
12.13.3 假冒/伪装
12.13.4 重放攻击
12.13.5 修改攻击
12.13.6 地址解析协议欺骗
12.13.7 DNS毒化、欺骗及劫持
12.13.8 超链接欺骗
12.14 本章小结
12.15 考试要点
12.16 书面实验
12.17 复习题
第13章 管理身份和身份验证
13.1 控制对资产的访问
13.1.1 比较主体和客体
13.1.2 CIA三性和访问控制
13.1.3 访问控制的类型
13.2 比较身份识别和身份验证
13.2.1 身份注册和证明
13.2.2 授权和问责
13.2.3 身份验证因素
13.2.4 密码
13.2.5 智能卡和令牌
13.2.6 生物识别技术
13.2.7 多因素身份验证
13.2.8 设备验证
13.2.9 服务身份验证
13.3 实施身份管理
13.3.1 单点登录
13.3.2 凭据管理系统
13.3.3 集成身份服务
13.3.4 管理会话
13.3.5 AAA协议
13.4 管理身份和访问配置生命周期
13.4.1 访问配置
13.4.2 账户审核
13.4.3 账户撤消
13.5 本章小结
13.6 考试要点
13.7 书面实验
13.8 复习题
第14章 控制和监控访问
14.1 比较访问控制模型
14.1.1 比较权限、权利和特权
14.1.2 理解授权机制
14.1.3 使用安全策略定义需求
14.1.4 实施纵深防御
14.1.5 总结访问控制模型
14.1.6 自主访问控制
14.1.7 非自主访问控制
14.2 了解访问控制攻击
14.2.1 风险要素
14.2.2 识别资产
14.2.3 识别威胁
14.2.4 识别漏洞
14.2.5 常见的访问控制攻击
14.2.6 保护方法综述
14.3 本章小结
14.4 考试要点
14.5 书面实验
14.6 复习题
第15章 安全评估与测试
15.1 构建安全评估和测试方案
15.1.1 安全测试
15.1.2 安全评估
15.1.3 安全审计
15.2 开展漏洞评估
15.2.1 漏洞描述
15.2.2 漏洞扫描
15.2.3 渗透测试
15.3 测试软件
15.3.1 代码审查与测试
15.3.2 接口测试
15.3.3 误用例测试
15.3.4 测试覆盖率分析
15.3.5 网站监测
15.4 实施安全管理流程
15.4.1 日志审查
15.4.2 账户管理
15.4.3 备份验证
15.4.4 关键绩效和风险指标
15.5 本章小结
15.6 考试要点
15.7 书面实验
15.8 复习题
第16章 安全运营管理
16.1 应用安全运营概念
16.1.1 知其所需和最小特权
16.1.2 职责分离
16.1.3 岗位轮换
16.1.4 强制休假
16.1.5 特权账户管理
16.1.6 管理信息生命周期
16.1.7 服务水平协议
16.1.8 关注人员安全
16.2 安全配置资源
16.2.1 管理硬件和软件资产
16.2.2 保护物理资产
16.2.3 管理虚拟资产
16.2.4 管理云资产
16.2.5 介质管理
16.3 配置管理
16.3.1 基线
16.3.2 使用镜像技术创建基线
16.4 变更管理
16.4.1 安全影响分析
16.4.2 版本控制
16.4.3 配置文档
16.5 补丁管理和漏洞减少
16.5.1 系统管理
16.5.2 补丁管理
16.5.3 漏洞管理
16.5.4 常见的漏洞和风险
16.6 本章小结
16.7 考试要点
16.8 书面实验
16.9 复习题
第17章 事件的预防和响应
17.1 事件响应管理
17.1.1 事件的定义
17.1.2 事件响应步骤
17.2 落实检测和预防措施
17.2.1 基本预防措施
17.2.2 了解攻击
17.2.3 入侵检测和预防系统
17.2.4 具体预防措施
17.3 日志记录、监测和审计
17.3.1 日志记录和监测
17.3.2 出口监测
17.3.3 效果评价审计
17.3.4 安全审计和审查
17.3.5 报告审计结果
17.4 本章小结
17.5 考试要点
17.6 书面实验
17.7 复习题
第18章 灾难恢复计划
18.1 灾难的本质
18.1.1 自然灾难
18.1.2 人为灾难
18.2 理解系统恢复和容错能力
18.2.1 保护硬盘驱动器
18.2.2 保护服务器
18.2.3 保护电源
18.2.4 受信恢复
18.2.5 服务质量
18.3 恢复策略
18.3.1 确定业务单元的优先顺序
18.3.2 危机管理
18.3.3 应急通信
18.3.4 工作组恢复
18.3.5 可替代的工作站点
18.3.6 相互援助协议
18.3.7 数据库恢复
18.4 恢复计划开发
18.4.1 紧急事件响应
18.4.2 人员通知
18.4.3 评估
18.4.4 备份和离站存储
18.4.5 软件托管协议
18.4.6 外部通信
18.4.7 公用设施
18.4.8 物流和供应
18.4.9 恢复与还原的比较
18.5 培训、意识与文档记录
18.6 测试与维护
18.6.1 通读测试
18.6.2 结构化演练
18.6.3 模拟测试
18.6.4 并行测试
18.6.5 完全中断测试
18.6.6 维护
18.7 本章小结
18.8 考试要点
18.9 书面实验
18.10 复习题
第19章 调查和道德
19.1 调查
19.1.1 调查的类型
19.1.2 证据
19.1.3 调查过程
19.2 计算机犯罪的主要类别
19.2.1 军事和情报攻击
19.2.2 商业攻击
19.2.3 财务攻击
19.2.4 恐怖攻击
19.2.5 恶意攻击
19.2.6 兴奋攻击
19.3 道德规范
19.3.1 (ISC)2的道德规范
19.3.2 道德规范和互联网
19.4 本章小结
19.5 考试要点
19.6 书面实验
19.7 复习题
第20章 软件开发安全
20.1 系统开发控制概述
20.1.1 软件开发
20.1.2 系统开发生命周期
20.1.3 生命周期模型
20.1.4 甘特图与PERT
20.1.5 变更和配置管理
20.1.6 DevOps方法
20.1.7 应用编程接口
20.1.8 软件测试
20.1.9 代码仓库
20.1.10 服务水平协议
20.1.11 软件采购
20.2 创建数据库和数据仓储
20.2.1 数据库管理系统的体系结构
20.2.2 数据库事务
20.2.3 多级数据库的安全性
20.2.4 ODBC
20.2.5 NoSQL
20.3 存储数据和信息
20.3.1 存储器的类型
20.3.2 存储器威胁
20.4 理解基于知识的系统
20.4.1 专家系统
20.4.2 机器学习
20.4.3 神经网络
20.4.4 安全性应用
20.5 本章小结
20.6 考试要点
20.7 书面实验
20.8 复习题
第21章 恶意代码和应用攻击
21.1 恶意代码
21.1.1 恶意代码的来源
21.1.2 病毒
21.1.3 逻辑炸弹
21.1.4 特洛伊木马
21.1.5 蠕虫
21.1.6 间谍软件与广告软件
21.1.7 零日(Zero-Day)攻击
21.2 密码攻击
21.2.1 密码猜测攻击
21.2.2 字典攻击
21.2.3 社会工程学
21.2.4 对策
21.3 应用程序攻击
21.3.1 缓冲区溢出
21.3.2 检验时间到使用时间
21.3.3 后门
21.3.4 权限提升和rootkit
21.4 Web应用的安全性
21.4.1 跨站脚本
21.4.2 跨站请求伪造
21.4.3 SQL注入攻击
21.5 侦察攻击
21.5.1 IP探测
21.5.2 端口扫描
21.5.3 漏洞扫描
21.6 伪装攻击
21.6.1 IP欺骗
21.6.2 会话劫持
21.7 本章小结
21.8 考试要点
21.9 书面实验
21.10 复习题
附录A 书面实验答案
附录B 复习题答案
《CISSP官方学习指南》是2019年由清华大学出版社出版,作者迈克·查普尔。
得书感谢您对《《CISSP官方学习指南》》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
