编辑推荐
null
内容简介
如果你想成为一名经过(ISC)2 认证的CISSP,那么在《CISSP认证考试指南(第7版)》里能找到需要了解的所有内容。《CISSP认证考试指南(第7版)》讲述企业如何制定和实现策略、措施、指导原则和标准及其原因;介绍网络、应用程序和系统的脆弱性,脆弱性的被利用情况以及如何应对这些威胁;解释物理安全、操作安全以及不同系统会采用不同安全机制的原因。此外,还回顾美国与国际上用于测试系统安全性的安全准则和评估体系,诠释这些准则的含义及其使用原因。最后,《CISSP认证考试指南(第7版)》还将阐明与计算机系统及其数据相关的各种法律责任问题,例如计算机犯罪、法庭证物以及如何为出庭准备计算机证据。 尽管《CISSP认证考试指南(第7版)》主要是为CISSP 考试撰写的学习指南,但在你通过认证后,它仍不失为一本不可替代的重要参考用书。
作者介绍
Shon Harris,CISSP,是Shon Harris安全有限责任公司和逻辑安全有限责任公司的创始人兼首席执行官,她是一名安全顾问,是美国空军信息作战部门的前任工程师,也是一名教师和作家。在2014年去世前,Shon拥有并运营自己的培训和咨询公司13年。她为财富100 强公司和政府机构广泛的安全问题提供咨询服务。她撰写了3 本最畅销的CISSP 图书,也曾参与撰写Gray Hat Hacking: The Ethical Hacker's Handbook和Security Information and Event Management(SIEM) Implementation,并担任Information Security Magazine的技术编辑。 Fernando Maymi,博士,CISSP,拥有逾25年的安全领域工作经验。他目前领导一个多学科小组,负责网络空间操作的颠覆性创新,并试图通过加强公共部门与私企的合作关系来更好地保护网络空间。Fernando曾在美国和其他国家担任政府和私营部门组织的顾问。在美国和拉丁美洲,他为学术、政府和专业机构讲授了数十门网络安全课程。Fernando曾发表十几篇技术文章,并拥有三项专利。Fernando曾荣获美国陆军研究与发展成就奖,被评为HENAAC杰出人物。他与Shon Harris密切合作,并为包括《CISSP认证考试指南(第6版)》在内的诸多项目提供建议。Fernando还是一名志愿者,致力于盲人导盲,养着两只导盲犬:Trinket和Virgo。
目 录
第1章安全和风险管理 1.1安全基本原则 1.1.1可用性 1.1.2完整性 1.1.3机密性 1.1.4平衡安全 1.2安全定义 1.3控制类型 1.4安全框架 1.4.1ISO/IEC 27000系列 1.4.2企业安全架构开发 1.4.3安全控制开发 1.4.4流程管理开发 1.4.5功能与安全性 1.5计算机犯罪法的难题 1.6网络犯罪的复杂性 1.6.1电子资产 1.6.2攻击的演变 1.6.3国际问题 1.6.4法律的类型 1.7知识产权法 1.7.1商业秘密 1.7.2版权 1.7.3商标 1.7.4专利 1.7.5知识产权的内部保护 1.7.6软件盗版 1.8隐私 1.8.1对隐私法不断增长的需求 1.8.2法律、指令和法规 1.8.3员工隐私问题 1.9数据泄露 1.9.1美国的数据泄露相关法律 1.9.2其他国家有关数据泄露的法律 1.10策略、标准、基线、指南和过程 1.10.1安全策略 1.10.2标准 1.10.3基线 1.10.4指南 1.10.5措施 1.10.6实施 1.11风险管理 1.11.1全面的风险管理 1.11.2信息系统风险管理策略 1.11.3风险管理团队 1.11.4风险管理过程 1.12威胁建模 1.12.1脆弱性 1.12.2威胁 1.12.3攻击 1.12.4消减分析 1.13风险评估和分析 1.13.1风险分析团队 1.13.2信息和资产的价值 1.13.3构成价值的成本 1.13.4识别脆弱性和威胁 1.13.5风险评估方法 1.13.6风险分析方法 1.13.7定性风险分析 1.13.8保护机制 1.13.9综合考虑 1.13.10总风险与剩余风险 1.13.11处理风险 1.13.12外包 1.14风险管理框架 1.14.1信息分类 1.14.2安全控制的选择 1.14.3安全控制的实现 1.14.4安全控制的评估 1.14.5信息系统的授权 1.14.6安全控制的监管 1.15业务连续性与灾难恢复 1.15.1标准和最佳实践 1.15.2使BCM成为企业安全计划的一部分 1.15.3BCP项目的组成 1.16人员安全 1.16.1招聘实践 1.16.2解雇 1.16.3安全意识培训 1.16.4学位或证书 1.17安全治理 1.18道德 1.18.1计算机道德协会 1.18.2互联网架构研究委员会 1.18.3企业道德计划 1.19小结 1.20快速提示 1.21问题 1.22答案 第2章资产安全 2.1信息生命周期 2.1.1获取 2.1.2使用 2.1.3存档 2.1.4处置 2.2信息分类 2.2.1分类等级 2.2.2分类控制 2.3责任分层 2.3.1行政管理层 2.3.2数据所有者 2.3.3数据看管员 2.3.4系统所有者 2.3.5安全管理员 2.3.6主管 2.3.7变更控制分析员 2.3.8数据分析员 2.3.9用户 2.3.10审计员 2.3.11为何需要这么多角色 2.4保留策略 2.5保护隐私 2.5.1数据所有者 2.5.2数据处理者 2.5.3数据残留 2.5.4收集的限制 2.6保护资产 2.6.1数据安全控制 2.6.2介质控制 2.7数据泄露 2.8保护其他资产 2.8.1保护移动设备 2.8.2纸质记录 2.8.3保险箱 2.9小结 2.10快速提示 2.11问题 2.12答案 第3章安全工程 3.1系统架构 3.2计算机架构 3.2.1中央处理单元 3.2.2多重处理 3.2.3存储器类型 3.3操作系统 3.3.1进程管理 3.3.2存储器管理 3.3.3输入/输出设备管理 3.3.4CPU架构集成 3.3.5操作系统架构 3.3.6虚拟机 3.4系统安全架构 3.4.1安全策略 3.4.2安全架构要求 3.5安全模型 3.5.1Bell—LaPadula模型 3.5.2Biba模型 3.5.3Clark—Wilson模型 3.5.4无干扰模型 3.5.5Brewer and Nash模型 3.5.6Graham—Denning模型 3.5.7Harrison—Ruzzo—Ullman模型 3.6系统评估方法 3.6.1通用准则 3.6.2对产品进行评估的原因 3.7认证与认可 3.7.1认证 3.7.2认可 3.8开放系统与封闭系统 3.8.1开放系统 3.8.2封闭系统 3.9分布式系统安全 3.9.1云计算 3.9.2并行计算 3.9.3数据库 3.9.4 Web应用 3.9.5移动设备 3.9.6网络物理系统 3.10一些对安全模型和架构的威胁 3.10.1维护陷阱 3.10.2检验时间/使用时间攻击 3.11密码学背景 3.12密码学定义与概念 3.12.1Kerckhoffs原则 3.12.2密码系统的强度 3.12.3密码系统的服务 3.12.4一次性密码本 3.12.5滚动密码与隐藏密码 3.12.6隐写术 3.13密码的类型 3.13.1替代密码 3.13.2换位密码 3.14加密的方法 3.14.1对称算法与非对称算法 3.14.2分组密码与流密码 3.14.3混合加密方法 3.15对称系统的类型 3.15.1数据加密标准 3.15.2三重DES 3.15.3高级加密标准 3.15.4国际数据加密算法 3.15.5Blowfish 3.15.6RC4 3.15.7RC5 3.15.8RC6 3.16非对称系统的类型 3.16.1Diffie—Hellman算法 3.16.2RSA 3.16.3El Gamal 3.16.4椭圆曲线密码系统 3.16.5背包算法 3.16.6零知识证明 3.17消息完整性 3.17.1单向散列 3.17.2各种散列算法 3.17.3MD4 3.17.4MD5 3.17.5SHA 3.17.6针对单向散列函数的攻击 3.17.7数字签名 3.17.8数字签名标准 3.18公钥基础设施 3.18.1认证授权机构 3.18.2证书 3.18.3注册授权机构 3.18.4PKI步骤 3.19密钥管理 3.19.1密钥管理原则 3.19.2密钥和密钥管理的规则 3.20可信平台模块 3.21针对密码学的攻击 3.21.1唯密文攻击 3.21.2已知明文攻击 3.21.3选定明文攻击 3.21.4选定密文攻击 3.21.5差分密码分析 3.21.6线性密码分析 3.21.7旁路攻击 3.21.8重放攻击 3.21.9代数攻击 3.21.10分析式攻击 3.21.11统计式攻击 3.21.12社会工程攻击 3.21.13中间相遇攻击 3.22站点和设施安全 3.23站点规划过程 3.23.1通过环境设计来预防犯罪 3.23.2制订物理安全计划 3.24保护资产 3.24.1保护移动设备 3.24.2使用保险柜 3.25内部支持系统 3.25.1电力 3.25.2环境问题 3.25.3火灾的预防、检测和扑灭 3.26小结 3.27快速提示 3.28问题 3.29答案 第4章通信与网络安全 4.1通信 4.2开放系统互连参考模型 4.2.1协议 4.2.2应用层 4.2.3表示层 4.2.4会话层 4.2.5传输层 4.2.6网络层 4.2.7数据链路层 4.2.8物理层 4.2.9OSI模型中的功能和协议 4.2.10综合这些层 4.2.11多层协议 4.3TCP/IP模型 4.3.1TCP 4.3.2IP寻址 4.33IPv6 4.3.4第2层安全标准 4.3.5汇聚协议 4.4传输类型 4.4.1模拟和数字 4.4.2异步和同步 4.4.3宽带和基带 4.5线缆 4.5.1同轴电缆 4.5.2双绞线 4.5.3光缆 4.5.4布线问题 4.6网络互联基础 4.6.1网络拓扑 4.6.2介质访问技术 4.6.3传输方法 4.6.4网络协议和服务 4.6.5域名服务 4.6.6电子邮件服务 4.6.7网络地址转换 4.6.8路由协议 4.7网络互联设备 4.7.1中继器 4.7.2网桥 4.7.3路由器 4.7.4交换机 4.7.5网关 4.7.6PBX 4.7.7防火墙 4.7.8代理服务器 4.7.9蜜罐 4.7.10统一威胁管理 4.7.11内容分发网络 4.7.12软件定义网络 4.8内联网与外联网 4.9城域网 4.10广域网 4.10.1通信的发展 4.10.2专用链路 4.10.3 WAN技术 4.11远程连接 4.11.1拨号连接 4.11.2ISDN 4.11.3DSL 4.11.4线缆调制解调器 4.11.5VPN 4.11.6身份验证协议 4.12无线网络 4.12.1无线通信技术 4.12.2WLAN组件 4.12.3WLAN安全的演化 4.12.4无线标准 4.12.5保护WLAN的最佳实践 4.12.6卫星 4.12.7移动无线通信 4.13网络加密 4.13.1链路加密与端对端加密 4.13.2电子邮件加密标准 4.13.3互联网安全 4.14网络攻击 4.14.1拒绝服务 4.14.2嗅探 4.14.3DNS劫持 4.14.4偷渡下载 4.15小结 4.16快速提示 4.17问题 4.18答案 …… 第5章身份与访问管理 第6章安全评估与测试 第7章安全运营 第8章软件开发安全 附录A完整的复习题 术语表
媒体评论
null
