新書推薦:
《
现代吴语的研究(中华现代学术名著3)
》
售價:HK$
65.0
《
天下的当代性:世界秩序的实践与想象(新版)
》
售價:HK$
77.3
《
德国天才4:断裂与承续
》
售價:HK$
109.8
《
妈妈的情绪,决定孩子的未来
》
售價:HK$
42.6
《
推拿纲目
》
售價:HK$
403.2
《
精致考古--山东大学实验室考古项目论文集(一)
》
售價:HK$
244.2
《
从天下到世界——国际法与晚清中国的主权意识
》
售價:HK$
76.2
《
血色帝国:近代英国社会与美洲移民
》
售價:HK$
58.2
|
編輯推薦: |
《CISSP官方学习指南第8版》是涵盖2018年CISSP所有考试目标的一站式备考资源,将助你更明智、更快捷地准备CISSP考试。这本精品书籍编排精当,每章开头列出目标地图,正文穿插真实场景,详细讲解各个知识点,章末附有考试要点、书面实验题和极富挑战的复习题;前言中的评估测验针对性极强,可供自我评估备考进展状况。借助Sybex提供的可在各种设备上访问的独特在线学习环境和测试题库,你可进一步巩固所学的知识。开始使用本书准备CISSP考试吧。
|
內容簡介: |
100%涵盖全部考试目标:
◆ 安全与风险管理
◆ 资产安全
◆ 安全架构和工程
◆ 通信与网络安全
◆ 身份和访问管理
◆ 安全评估与测试
◆ 安全运营
◆ 软件开发安全
|
關於作者: |
Mike Chapple,CISSP、博士、Security 、CISA、CySA ,圣母大学IT、分析学和运营学副教授。曾任品牌研究所首席信息官、美国国家安全局和美国空军信息安全研究员。他主攻网络入侵检测和访问控制专业。Mike经常为TechTarget所属的SearchSecurity网站撰稿,著书逾25本,其中包括《ISC:CISSP官方习题集》《CompTIA CSA 学习指南》以及《网络战:互连世界中的信息战》。
James Michael Stewart,CISSP、CEH、ECSA、CHFI、Security 、Network ,从事写作和培训工作20多年,目前专注于安全领域。自2002年起一直讲授CISSP培训课程,互联网安全、道德黑客渗透测试等内容更在他的授课范围之内。他是超过75部著作以及大量课件的作者和撰稿者,内容涉及安全认证、微软主题和网络管理,其中包括《SecuritySY0-501复习指南》。
Mike Chapple,CISSP、博士、Security 、CISA、CySA ,圣母大学IT、分析学和运营学副教授。曾任品牌研究所首席信息官、美国国家安全局和美国空军信息安全研究员。他主攻网络入侵检测和访问控制专业。Mike经常为TechTarget所属的SearchSecurity网站撰稿,著书逾25本,其中包括《ISC:CISSP官方习题集》《CompTIA CSA 学习指南》以及《网络战:互连世界中的信息战》。
James Michael Stewart,CISSP、CEH、ECSA、CHFI、Security 、Network ,从事写作和培训工作20多年,目前专注于安全领域。自2002年起一直讲授CISSP培训课程,互联网安全、道德黑客渗透测试等内容更在他的授课范围之内。他是超过75部著作以及大量课件的作者和撰稿者,内容涉及安全认证、微软主题和网络管理,其中包括《SecuritySY0-501复习指南》。
Darril Gibson,CISSP、Security 、CASP,YCDA有限责任公司首席执行官,是40多部著作的作者或共同作者。Darril持有多种专业证书,经常写作、提供咨询服务和开展教学,涉及各种技术和安全主题。
王连强,现任北京时代新威信息技术有限公司技术负责人,博士、全国信安标委WG7成员,持有信息系统审计师、IPMP等认证证书,负责统筹本书翻译各项工作事务,并承担本书第6章、第7章和第17章的翻译工作,以及全书的审校和定稿工作。
吴潇,现任北京天融信网络安全技术有限公司专家级安全顾问,持有CISSP、CISA、PMP、ISO27001等认证证书,负责本书第1~4章的翻译工作。
罗爱国,现就职于互联网公司,持有CISSP及CSSLP认证证书,参与本书第18~21章的翻译工作。
郭鹏程,现任北森云计算安全负责人,中国云安全联盟专家委员会专家、云安全讲师、C-Star咨询师,持有CISSP、CCSK等认证证书,负责本书第11章、第13章和第14章的翻译工作。
刘北水,现任中国赛宝实验室信息安全研究中心工程师,持有CISSP、PMP等认证证书,负责本书第15章和第16章的翻译工作,并为本书撰写译者序。
孙书强,北京中科博安科技有限公司创始人,ISC2北京分会秘书长、ISC2官方授权讲师,持有CISSP-ISSAP、ISSMP、CISA、PMP、系统分析师等认证证书,负责本书第8章和第9章的翻译工作。
顾广宇,现任国家电网安徽省电力科学研究院高级工程师,持有CISSP认证证书,负责本书第10章和第12章的翻译工作。
马多贺,现任中国科学院信息工程研究所副研究员,ISC2北京分会会员主席、CISSP认证讲师、博士、硕士生导师,持有CISSP、PMP等认证证书,参与了本书第5章的翻译工作。
最后,感谢顾伟在本书译校过程中提供的帮助。
|
目錄:
|
第1章 实现安全治理的原则和策略1
1.1 理解和应用保密性、完整性及可用性的概念1
1.1.1 保密性2
1.1.2 完整性3
1.1.3 可用性4
1.1.4 其他安全概念6
1.1.5 保护机制8
1.1.6 分层9
1.1.7 抽象9
1.1.8 数据隐藏9
1.1.9 加密10
1.2 评估和应用安全治理原则10
1.2.1 与业务战略、目标、使命和宗旨相一致的安全功能10
1.2.2 组织的流程12
1.2.3 组织的角色与责任16
1.2.4 安全控制框架17
1.2.5 应尽关心和尽职审查18
1.3 开发、记录和实施安全策略、标准、程序和指南18
1.3.1 安全策略18
1.3.2 标准、基线和指南19
1.3.3 程序20
1.4 理解与应用威胁建模的概念和方法21
1.4.1 识别威胁22
1.4.2 确定和绘制潜在的攻击25
1.4.3 执行简化分析26
1.4.4 优先级排序和响应26
1.5 将基于风险的管理理念应用到供应链27
1.6 本章小结28
1.7 考试要点29
1.8 书面实验31
1.9 复习题31
第2章 人员安全和风险管理的概念35
2.1 人员安全策略和程序36
2.1.1 候选人筛选及招聘38
2.1.2 雇佣协议及策略38
2.1.3 入职和离职程序39
2.1.4 供应商、顾问和承包商的协议和控制41
2.1.5 合规策略要求42
2.1.6 隐私策略要求42
2.2 安全治理43
2.3 理解并应用风险管理理念44
2.3.1 风险术语45
2.3.2 识别威胁和脆弱性46
2.3.3 风险评估分析47
2.3.4 风险响应53
2.3.5 选择与实施控制措施54
2.3.6 适用的控制类型56
2.3.7 安全控制评估57
2.3.8 监视和测量57
2.3.9 资产估值与报告57
2.3.10 持续改进58
2.3.11 风险框架59
2.4 建立和维护安全意识、教育和培训计划60
2.5 管理安全功能61
2.6 本章小结62
2.7 考试要点62
2.8 书面实验64
2.9 复习题64
第3章 业务连续性计划68
3.1 业务连续性计划简介68
3.2 项目范围和计划69
3.2.1 业务组织分析69
3.2.2 选择BCP团队70
3.2.3 资源需求71
3.2.4 法律和法规要求72
3.3 业务影响评估73
3.3.1 确定优先级74
3.3.2 风险识别74
3.3.3 可能性评估75
3.3.4 影响评估76
3.3.5 资源优先级排序77
3.4 连续性计划77
3.4.1 策略开发77
3.4.2 预备和处理78
3.5 计划批准和实施79
3.5.1 计划批准79
3.5.2 计划实施79
3.5.3 培训和教育80
3.5.4 BCP文档化80
3.6 本章小结83
3.7 考试要点83
3.8 书面实验84
3.9 复习题84
第4章 法律、法规和合规88
4.1 法律的分类88
4.1.1 刑法89
4.1.2 民法90
4.1.3 行政法90
4.2 法律90
4.2.1 计算机犯罪91
4.2.2 知识产权94
4.2.3 许可97
4.2.4 进口出口控制98
4.2.5 隐私98
4.3 合规104
4.4 合同和采购105
4.5 本章小结105
4.6 考试要点106
4.7 书面实验106
4.8 复习题107
第5章 保护资产安全110
5.1 资产识别和分类110
5.1.1 定义敏感数据111
5.1.2 定义数据分类112
5.1.3 定义资产分类114
5.1.4 确定数据的安全控制114
5.1.5 理解数据状态115
5.1.6 管理信息和资产116
5.1.7 数据保护方法121
5.2 定义数据所有权123
5.2.1 数据所有者123
5.2.2 资产所有者124
5.2.3 业务任务所有者124
5.2.4 数据使用者125
5.2.5 管理员127
5.2.6 托管员127
5.2.7 用户128
5.2.8 保护隐私128
5.3 使用安全基线128
5.3.1 范围界定和按需定制129
5.3.2 选择标准129
5.4 本章小结130
5.5 考试要点130
5.6 书面实验131
5.7 复习题131
第6章 密码学和对称密钥算法135
6.1 密码学的历史里程碑135
6.1.1 凯撒密码136
6.1.2 美国南北战争136
6.1.3 Ultra与Enigma137
6.2 密码学基本知识137
6.2.1 密码学的目标137
6.2.2 密码学的概念139
6.2.3 密码数学140
6.2.4 密码144
6.3 现代密码学149
6.3.1 密码密钥149
6.3.2 对称密钥算法150
6.3.3 非对称密钥算法151
6.3.4 散列算法153
6.4 对称密码154
6.4.1 数据加密标准154
6.4.2 三重DES155
6.4.3 国际数据加密算法156
6.4.4 Blowfish157
6.4.5 Skipjack157
6.4.6 高级加密标准157
6.4.7 对称密钥管理158
6.5 密码生命周期160
6.6 本章小结160
6.7 考试要点161
6.8 书面实验162
6.9 复习题162
第7章 PKI和密码应用166
7.1 非对称密码166
7.1.1 公钥和私钥167
7.1.2 RSA167
7.1.3 El Gamal169
7.1.4 椭圆曲线169
7.2 散列函数170
7.2.1 SHA171
7.2.2 MD2171
7.2.3 MD4171
7.2.4 MD5172
7.3 数字签名172
7.3.1 HMAC173
7.3.2 数字签名标准174
7.4 公钥基础设施174
7.4.1 证书174
7.4.2 发证机构175
7.4.3 证书的生成和销毁176
7.5 非对称密钥管理177
7.6 应用密码学178
7.6.1 便携设备178
7.6.2 电子邮件179
7.6.3 Web应用程序180
7.6.4 数字版权管理182
7.6.5 联网185
7.7 密码攻击187
7.8 本章小结189
7.9 考试要点190
7.10 书面实验191
7.11 复习题191
第8章 安全模型、设计和能力的原则195
8.1 使用安全设计原则实施和管理工程过程195
8.1.1 客体和主体196
8.1.2 封闭系统和开放系统196
8.1.3 用于确保保密性、完整性和可用性的技术197
8.1.4 控制198
8.1.5 信任与保证198
8.2 理解安全模型的基本概念199
8.2.1 可信计算基200
8.2.2 状态机模型201
8.2.3 信息流模型201
8.2.4 非干扰模型202
8.2.5 Take-Grant模型202
8.2.6 访问控制矩阵203
8.2.7 Bell-LaPadula模型204
8.2.8 Biba模型206
8.2.9 Clark-Wilson模型207
8.2.10 Brewer and Nash模型208
8.2.11 Goguen-Meseguer模型208
8.2.12 Sutherland模型209
8.2.13 Graham-Denning模型209
8.3 基于系统安全需求选择控制措施209
8.3.1 彩虹系列210
8.3.2 TCSEC分类和所需功能211
8.3.3 通用准则214
8.3.4 行业和国际安全实施指南217
8.3.5 认证和鉴定217
8.4 理解信息系统的安全功能219
8.4.1 内存保护219
8.4.2 虚拟化220
8.4.3 可信平台模块220
8.4.4 接口220
8.4.5 容错221
8.5 本章小结221
8.6 考试要点221
8.7 书面实验222
8.8 复习题222
第9章 安全漏洞、威胁和对策226
9.1 评估和缓解安全漏洞227
9.1.1 硬件227
9.1.2 固件241
9.2 基于客户端的系统242
9.2.1 applet242
9.2.2 本地缓存244
9.3 基于服务端的系统245
9.4 数据库系统安全246
9.4.1 聚合246
9.4.2 推理246
9.4.3 数据挖掘和数据仓库247
9.4.4 数据分析247
9.4.5 大规模并行数据系统248
9.5 分布式系统和端点安全248
9.5.1 基于云的系统和云计算250
9.5.2 网格计算253
9.5.3 对等网络253
9.6 物联网254
9.7 工业控制系统255
9.8 评估和缓解基于Web系统的漏洞255
9.9 评估和缓解移动系统的漏洞259
9.9.1 设备安全260
9.9.2 应用安全263
9.9.3 BYOD关注点264
9.10 评估和缓解嵌入式设备和信息物理系统的漏洞267
9.10.1 嵌入式系统和静态系统的示例267
9.10.2 保护嵌入式和静态系统的方法268
9.11 基本安全保护机制270
9.11.1 技术机制270
9.11.2 安全策略和计算机架构272
9.11.3 策略机制273
9.12 常见的架构缺陷和安全问题273
9.12.1 隐蔽通道274
9.12.2 基于设计或编码缺陷的攻击和安全问题274
9.12.3 编程276
9.12.4 计时、状态改变和通信中断277
9.12.5 技术和过程集成277
9.12.6 电磁辐射277
9.13 本章小结278
9.14 考试要点278
9.15 书面实验280
9.16 复习题281
第10章 物理安全要求284
10.1 站点与设施设计的安全原则285
10.1.1 安全设施计划285
10.1.2 站点选择285
10.1.3 可见度286
10.1.4 自然灾害286
10.1.5 设施设计286
10.2 实现站点与设施安全控制287
10.2.1 设备故障288
10.2.2 配线间288
10.2.3 服务器间与数据中心290
10.2.4 介质存储设施293
10.2.5 证据存储293
10.2.6 受限区与工作区安全294
10.2.7 基础设施与HVAC295
10.2.8 火灾预防、探测与消防297
10.3 物理安全的实现与管理300
10.3.1 边界安全控制300
10.3.2 内部安全控制303
10.4 本章小结306
10.5 考试要点307
10.6 书面实验309
10.7 复习题309
第11章 安全网络架构和保护网络组件312
11.1 OSI模型312
11.1.1 OSI模型的历史313
11.1.2 OSI功能313
11.1.3 封装解封314
11.1.4 OSI模型层次315
11.2 TCPIP模型321
11.3 融合协议334
11.4 无线网络336
11.4.1 保护无线接入点336
11.4.2 保护SSID338
11.4.3 进行现场调查338
11.4.4 使用安全加密协议339
11.4.5 天线放置341
11.4.6 天线类型342
11.4.7 调整功率电平控制342
11.4.8 WPS342
11.4.9 使用强制门户343
11.4.10 一般Wi-Fi安全程序343
11.4.11 无线攻击344
11.5 安全网络组件346
11.5.1 网络访问控制347
11.5.2 防火墙347
11.5.3 端点安全350
11.5.4 硬件的安全操作351
11.6 布线、无线、拓扑、通信和
传输介质技术353
11.6.1 传输介质354
11.6.2 网络拓扑357
11.6.3 无线通信与安全359
11.6.4 局域网技术363
11.7 本章小结366
11.8 考试要点367
11.9 书面实验369
11.10 复习题369
第12章 安全通信与网络攻击373
12.1 网络与协议安全机制373
12.1.1 安全通信协议374
12.1.2 身份验证协议374
12.2 语音通信的安全375
12.2.1 VoIP375
12.2.2 社会工程376
12.2.3 欺骗与滥用377
12.3 多媒体合作378
12.3.1 远程会议379
12.3.2 即时通信379
12.4 管理邮件安全379
12.4.1 邮件安全目标380
12.4.2 理解邮件安全问题381
12.4.3 邮件安全解决方案381
12.5 远程访问安全管理383
12.5.1 远程访问安全计划385
12.5.2 拨号上网协议386
12.5.3 中心化远程身份验证服务386
12.6 虚拟专用网387
12.6.1 隧道技术387
12.6.2 VPN的工作机理388
12.6.3 常用的VPN协议388
12.6.4 虚拟局域网390
12.7 虚拟化391
12.7.1 虚拟软件391
12.7.2 虚拟化网络392
12.8 网络地址转换392
12.8.1 私有IP地址393
12.8.2 有状态NAT394
12.8.3 静态与动态NAT395
12.8.4 自动私有IP分配395
12.9 交换技术396
12.9.1 电路交换396
12.9.2 分组交换397
12.9.3 虚电路397
12.10 WAN技术398
12.10.1 WAN连接技术399
12.10.2 拨号封装协议401
12.11 多种安全控制特征401
12.11.1 透明性402
12.11.2 验证完整性402
12.11.3 传输机制402
12.12 安全边界403
12.13 防止或减轻网络攻击403
12.13.1 DoS与DDoS404
12.13.2 窃听404
12.13.3 假冒伪装405
12.13.4 重放攻击405
12.13.5 修改攻击406
12.13.6 地址解析协议欺骗406
12.13.7 DNS毒化、欺骗及劫持406
12.13.8 超链接欺骗407
12.14 本章小结407
12.15 考试要点409
12.16 书面实验410
12.17 复习题410
第13章 管理身份和身份验证414
13.1 控制对资产的访问414
13.1.1 比较主体和客体415
13.1.2 CIA 三性和访问控制416
13.1.3 访问控制的类型416
13.2 比较身份识别和身份验证418
13.2.1 身份注册和证明418
13.2.2 授权和问责419
13.2.3 身份验证因素420
13.2.4 密码421
13.2.5 智能卡和令牌423
13.2.6 生物识别技术425
13.2.7 多因素身份验证428
13.2.8 设备验证429
13.2.9 服务身份验证429
13.3 实施身份管理430
13.3.1 单点登录430
13.3.2 凭据管理系统434
13.3.3 集成身份服务434
13.3.4 管理会话435
13.3.5 AAA协议435
13.4 管理身份和访问配置生命周期437
13.4.1 访问配置437
13.4.2 账户审核438
13.4.3 账户撤消439
13.5 本章小结439
13.6 考试要点440
13.7 书面实验441
13.8 复习题441
第14章 控制和监控访问445
14.1 比较访问控制模型445
14.1.1 比较权限、权利和特权445
14.1.2 理解授权机制446
14.1.3 使用安全策略定义需求447
14.1.4 实施纵深防御447
14.1.5 总结访问控制模型448
14.1.6 自主访问控制449
14.1.7 非自主访问控制449
14.2 了解访问控制攻击454
14.2.1 风险要素454
14.2.2 识别资产455
14.2.3 识别威胁456
14.2.4 识别漏洞457
14.2.5 常见的访问控制攻击457
14.2.6 保护方法综述465
14.3 本章小结467
14.4 考试要点467
14.5 书面实验468
14.6 复习题468
第15章 安全评估与测试472
15.1 构建安全评估和测试方案473
15.1.1 安全测试473
15.1.2 安全评估474
15.1.3 安全审计474
15.2 开展漏洞评估476
15.2.1 漏洞描述477
15.2.2 漏洞扫描477
15.2.3 渗透测试484
15.3 测试软件 486
15.3.1 代码审查与测试486
15.3.2 接口测试489
15.3.3 误用例测试489
15.3.4 测试覆盖率分析490
15.3.5 网站监测490
15.4 实施安全管理流程491
15.4.1 日志审查491
15.4.2 账户管理491
15.4.3 备份验证492
15.4.4 关键绩效和风险指标492
15.5 本章小结492
15.6 考试要点493
15.7 书面实验494
15.8 复习题494
第16章 安全运营管理498
16.1 应用安全运营概念498
16.1.1 知其所需和最小特权499
16.1.2 职责分离500
16.1.3 岗位轮换502
16.1.4 强制休假503
16.1.5 特权账户管理503
16.1.6 管理信息生命周期504
16.1.7 服务水平协议505
16.1.8 关注人员安全506
16.2 安全配置资源507
16.2.1 管理硬件和软件资产507
16.2.2 保护物理资产508
16.2.3 管理虚拟资产509
16.2.4 管理云资产509
16.2.5 介质管理510
16.3 配置管理513
16.3.1 基线513
16.3.2 使用镜像技术创建基线513
16.4 变更管理514
16.4.1 安全影响分析516
16.4.2 版本控制516
16.4.3 配置文档517
16.5 补丁管理和漏洞减少517
16.5.1 系统管理517
16.5.2 补丁管理518
16.5.3 漏洞管理519
16.5.4 常见的漏洞和风险520
16.6 本章小结521
16.7 考试要点521
16.8 书面实验522
16.9 复习题523
第17章 事件的预防和响应526
17.1 事件响应管理527
17.1.1 事件的定义527
17.1.2 事件响应步骤527
17.2 落实检测和预防措施532
17.2.1 基本预防措施532
17.2.2 了解攻击533
17.2.3 入侵检测和预防系统540
17.2.4 具体预防措施545
17.3 日志记录、监测和审计553
17.3.1 日志记录和监测553
17.3.2 出口监测559
17.3.3 效果评价审计561
17.3.4 安全审计和审查564
17.3.5 报告审计结果564
17.4 本章小结566
17.5 考试要点567
17.6 书面实验569
17.7 复习题570
第18章 灾难恢复计划573
18.1 灾难的本质574
18.1.1 自然灾难574
18.1.2 人为灾难577
18.2 理解系统恢复和容错能力580
18.2.1 保护硬盘驱动器581
18.2.2 保护服务器582
18.2.3 保护电源583
18.2.4 受信恢复583
18.2.5 服务质量584
18.3 恢复策略585
18.3.1 确定业务单元的优先顺序585
18.3.2 危机管理586
18.3.3 应急通信586
18.3.4 工作组恢复586
18.3.5 可替代的工作站点587
18.3.6 相互援助协议590
18.3.7 数据库恢复590
18.4 恢复计划开发592
18.4.1 紧急事件响应592
18.4.2 人员通知593
18.4.3 评估593
18.4.4 备份和离站存储593
18.4.5 软件托管协议596
18.4.6 外部通信597
18.4.7 公用设施597
18.4.8 物流和供应597
18.4.9 恢复与还原的比较597
18.5 培训、意识与文档记录598
18.6 测试与维护599
18.6.1 通读测试599
18.6.2 结构化演练599
18.6.3 模拟测试599
18.6.4 并行测试599
18.6.5 完全中断测试599
18.6.6 维护600
18.7 本章小结600
18.8 考试要点600
18.9 书面实验601
18.10 复习题601
第19章 调查和道德605
19.1 调查605
19.1.1 调查的类型606
19.1.2 证据607
19.1.3 调查过程610
19.2 计算机犯罪的主要类别613
19.2.1 军事和情报攻击613
19.2.2 商业攻击614
19.2.3 财务攻击614
19.2.4 恐怖攻击614
19.2.5 恶意攻击615
19.2.6 兴奋攻击616
19.3 道德规范616
19.3.1 ISC2的道德规范616
19.3.2 道德规范和互联网617
19.4 本章小结618
19.5 考试要点618
19.6 书面实验619
19.7 复习题619
第20章 软件开发安全623
20.1 系统开发控制概述623
20.1.1 软件开发624
20.1.2 系统开发生命周期628
20.1.3 生命周期模型630
20.1.4 甘特图与PERT635
20.1.5 变更和配置管理635
20.1.6 DevOps方法636
20.1.7 应用编程接口637
20.1.8 软件测试638
20.1.9 代码仓库639
20.1.10 服务水平协议639
20.1.11 软件采购640
20.2 创建数据库和数据仓储640
20.2.1 数据库管理系统的体系结构641
20.2.2 数据库事务643
20.2.3 多级数据库的安全性644
20.2.4 ODBC646
20.2.5 NoSQL646
20.3 存储数据和信息647
20.3.1 存储器的类型647
20.3.2 存储器威胁647
20.4 理解基于知识的系统648
20.4.1 专家系统648
20.4.2 机器学习649
20.4.3 神经网络649
20.4.4 安全性应用649
20.5 本章小结650
20.6 考试要点650
20.7 书面实验651
20.8 复习题651
第21章 恶意代码和应用攻击654
21.1 恶意代码654
21.1.1 恶意代码的来源654
21.1.2 病毒655
21.1.3 逻辑炸弹659
21.1.4 特洛伊木马660
21.1.5 蠕虫661
21.1.6 间谍软件与广告软件662
21.1.7 零日Zero-Day攻击663
21.2 密码攻击663
21.2.1 密码猜测攻击663
21.2.2 字典攻击664
21.2.3 社会工程学665
21.2.4 对策666
21.3 应用程序攻击666
21.3.1 缓冲区溢出666
21.3.2 检验时间到使用时间667
21.3.3 后门667
21.3.4 权限提升和rootkit667
21.4 Web应用的安全性668
21.4.1 跨站脚本668
21.4.2 跨站请求伪造669
21.4.3 SQL注入攻击669
21.5 侦察攻击671
21.5.1 IP探测672
21.5.2 端口扫描672
21.5.3 漏洞扫描672
21.6 伪装攻击673
21.6.1 IP欺骗673
21.6.2 会话劫持673
21.7 本章小结673
21.8 考试要点674
21.9 书面实验674
21.10 复习题675
附录A 书面实验答案678
附录B 复习题答案687
|
內容試閱:
|
《CISSP官方学习指南第8版》可为你参加CISSP注册信息系统安全师认证考试打下坚实基础。买下这《CISSP官方学习指南第8版》,就表明你想学习并通过这一认证提高自己的专业技能。这里将对《CISSP官方学习指南第8版》和CISSP考试做基本介绍。
《CISSP官方学习指南第8版》为想以努力学习方式通过CISSP认证考试的读者和学生而设计。如果你的目标是成为一名持证安全专业人员,则CISSP认证和本学习指南是你的最佳选择。《CISSP官方学习指南第8版》的目的就是帮助你为参加CISSP考试做好准备。
在深入阅读《CISSP官方学习指南第8版》前,你首先要完成几项任务。你需要对IT和安全有一个大致了解。你应该在CISSP考试涵盖的8个知识域中的两个或多个拥有5年全职全薪工作经验如果你有本科学历,则有4年工作经验即可。如果根据ISC2规定的条件你具备了参加CISSP考试的资格,则意味着你做好了充分准备可借助《CISSP官方学习指南第8版》备考CISSP。有关ISC2的详细信息,稍后介绍。
如果你拥有ISC2先决条件路径认可的其他认证,ISC2也允许把5年工作经验的要求减掉一年。这些认证包括CAP、CISM、CISA、CCNA Security、Security 、MCSA、MCSE等,以及多种GIAC认证。有关资格认证的完整列表,可访问https:www.isc2.orgcertifications CISSPPrerequisite-pathway查询。需要指出的是,你只能用一种方法减少工作经验年限,要么是本科学历,要么是认证证书,不能两者都用。
ISC2
CISSP考试由国际信息系统安全认证联盟International Information Systems Security Certification Consortium管理,该联盟的英文简称是ISC2。ISC2是一个全球性非营利组织,致力于实现4大任务目标:
● 为信息系统安全领域维护通用知识体系CBK。
● 为信息系统安全专业人员和从业者提供认证。
● 开展认证培训并管理认证考试。
● 通过继续教育,监察合格认证申请人的持续评审工作。
ISC2由董事会管理,董事从持证从业人员中按级别选出。
ISC2支持和提供多项专业认证,其中包括CISSP、SSCP、CAP、CSSLP、CCFP、HCISPP和CCSP。这些认证旨在验证所有行业IT安全专业人员的知识和技术水平。有关ISC2及其证书认证的详情,可访问ISC2网站www.isc2.org查询。
CISSP证书专为在组织内负责设计和维护安全基础设施的安全专业人员而设。
知识域
CISSP认证涵盖8个知识域的内容,分别是:
● 安全与风险管理
● 资产安全
● 安全架构和工程
● 通信与网络安全
● 身份和访问管理
● 安全评估与测试
● 安全运营
● 软件开发安全
这8个知识域以独立于厂商的视角展现了一个通用安全框架。这个框架是支持在全球所有类型的组织中讨论安全实践的基础。
最新修订的主题域在2018年4月15日开始的考试中体现出来。若需要根据8个知识域的划分全面了解CISSP考试涵盖的主题范围,请访问ISC2网站www.isc2.org,索取申请人信息公告Candidate Information Bulletin。这份文件包含完整的考试大纲以及有关认证的其他相关信息。
资格预审
ISC2规定了成为一名CISSP必须满足的资格要求。首先,你必须是一名有5年以上全职全薪工作经验或者有4年工作经验并具有IT或IS本科学历的安全专业从业人员。专业工作经验的定义是:在8个CBK域的两个或多个域内有工资或佣金收入的安全工作。
其次,你必须同意遵守道德规范。CISSP道德规范是ISC2希望所有CISSP申请人都严格遵守的一套行为准则,目的是在信息系统安全领域保持专业素养。你可在ISC2网站www.isc2.org的信息栏下查询有关内容。
ISC2还提供一个名为ISC2准会员的入门方案。这个方案允许没有任何从业经验或经验不足的申请人参加CISSP考试,通过考试后再获得工作经验。准会员资格有6年有效期,申请人需要在这6年时间里获得5年安全工作经验。只有在提交5年工作经验证明通常是有正式签名的文件和一份简历之后,准会员才能得到CISSP证书。
CISSP考试简介
CISSP考试堪称从万米高空俯瞰安全,涉及更多的是理论和概念,而非执行方案和规程。它的涵盖面很广,但并不很深。若想通过这个考试,你需要熟知所有的域,但不必对每个域都那么精通。
2017年12月18日后,CISSP英语考试将以自适应形式呈现。ISC2给新版考试定名为CISSP-CAT计算机化自适应考试。有关这一新版考试呈现形式的详细信息,可访问https:www.isc2.orgcertificationsCISSPCISSP-CAT查询。
CISSP-CAT考试将最少含100道考题,最多含150道考题。呈现给你的所有考项不会全部计入你的分数或考试通过状态。ISC2把这些不计分考项定名为考前题pretest question,而计分考项叫作操作项operational item。这些考题在考试中均不标明计入考分还是不计入考分。认证申请人会在考试中遇到25个不计分考项无论他们只做100道考题就达到了通过等级还是看全了所有150道题。
CISSP-CAT考试时间最长不超过3小时。如果你没等达到某个通过等级就用完了时间,将被自动判定失败。
CISSP-CAT不允许返回前面的考题修改答案。你离开一道考题后,你选择的答案将是最终结果。
CISSP-CAT没有公布或设置需要达到的分数。相反,你必须在最后的75个操作项即考题之内展示自己具有超过ISC2通过线也叫通过标准的答题能力。
如果计算机判断你达到通过标准的概率低于5%,而且你已答过75个操作项,你的考试将自动以失败告终。一旦计算机评分系统根据必要数量考题以95%的信心得出结论,判断你有能力达到或无法达到通过标准,将不保证有更多考题展示给你。
如果你第一次未能顺利通过CISSP考试,你可在以下条件下再次参加CISSP考试:
● 每12个月内你最多可以参加3次CISSP考试。
● 从第一次考试到第二次考试之间,你必须等待30天。
● 从第二次考试到第三次考试之间,你必须再等待90天。
● 从第三次考试到下次考试之间,你必须再等待180天,或者第一次考试之日后满12个月。
每次考试都需要支付全额考试费。
从前的纸质或CBT基于计算机的考试平面250题版考试已不可能重现。CISSP现在只使用CBT CISSP-CAT格式。
更新后的CISSP考试将以英文、法文、德文、巴西葡萄牙文、西班牙文、日文、简体中文和韩文等版本提供。
自2017年12月18日起,CISSP注册信息系统安全师考试仅英语考试将通过ISC2授权的Pearson VUE考试中心在所授权地区以CAT形式进行。英文以外其他语言CISSP考试以及ISC2所有其他认证考试将继续以固定的线性考试linear examination方式进行。
CISSP考试的考题类型
CISSP考试的大多数考题都有4个选项,这种题目只有一个正确答案。有些考题很简单,比如要求你选一个定义。有些考题则复杂一些,要求你选出合适的概念或最佳实践规范。有些考题会向你呈现一个场景或一种情况,让你选出最佳答案。下面举一个例子:
1. 以下哪一项是安全解决方案的最重要目标并具有最高优先级?
A. 防止泄露
B. 保持完整性
C. 保持人身安全
D. 保持可用性
你必须选出一个正确或最佳答案并把它标记出来。有时,正确答案一目了然。而在其他时候,几个答案似乎全都正确。遇到这种情况时,你必须为所问的问题选出最佳答案,你应该留意一般性、特定、通用、超集和子集答案选项。还有些时候,几个答案看起来全都不对。遇到这种情况时,你需要把最不正确的那个答案选出来。
注意:
顺便提一句,这道题的答案是C。保持人身安全永远是重中之重。
除了标准多选题格式以外,ISC2还增加了一种高级考题格式,叫作高级创新题advanced innovative question。其中包括拖放题和热点题。这些类型考题要求你按操作顺序、优先级偏好或与所需解决方案的适当位置的关联来排列主题或概念。具体来说,拖放题要求参试者移动标签或图标,以在图像上把考项标记出来。热点题要求考生用十字记号笔在图像上标出一个位置。这些考题涉及的概念很容易处理和理解,但你要注意放置或标记操作的准确性。
有关考试的建议
CISSP考试由两个关键元素组成。首先,你需要熟知8个知识域涉及的内容。其次,你必须掌握高超的考试技巧。你最多只有3小时时间,期间可能要回答多达150道题。如此算来,每道题的答题时间平均只有1分多钟。因此,快速答题至关重要,但也不必太过匆忙,只要不浪费时间就好。
ISC2对CISSP-CAT格式的描述并未讲明猜答案是不是适合每种情况的好办法,但是这似乎确实是比跳题答问更好的策略。我们建议你在猜一道题的答案之前尽量减少选项的数量;如果实在无法排除任何答案选项,可考虑跳过这道题,而不进行随机猜测。对减少了数量的选项作出有根据的猜测,可以提高答对考题的概率。
我们还要请大家注意,ISC2并没有说明,面对由多个部分组成的考题时,如果你只答对了部分内容,是否会得到部分考分。因此,你需要注意带复选框而不是带单选按钮的考题,并且确保按需要的数量选择考项,以适当解决问题。
你将被发给一块白板和一支记号笔,用来记下你的思路和想法。但是写在白板上的任何东西都不能改变你的考分。离开考场之前,你必须把这块白板还给考试管理员。
为帮助你在考试中取得最好成绩,这里提出几条一般性指南:
● 先读一遍考题,再把答案选项读一遍,之后再读一遍考题。
● 先排除错误答案,再选择正确答案。
● 注意双重否定。
● 确保自己明白考题在问什么。
掌控好自己的时间。尽管可在考试过程中歇一会儿,但这毕竟会把部分考试时间消耗掉。你可以考虑带些饮品和零食,但食物和饮料不可带进考场,而且休息所用的时间是要计入考试时间的。确保自己只随身携带药物或其他必需的物品,所有电子产品都要留在家里或汽车里。你应该避免在手腕上戴任何东西,其中包括手表、健身跟踪器和首饰。你不可使用任何形式的防噪耳机或耳塞式耳机,不过你可使用泡沫耳塞。我们还建议你穿着舒适的衣服,并带上一件薄外套一些考场有点儿凉。
如果英语不是你的第一语言,你可注册其他语言版本的考试。或者,如果你选择使用英文版考试,你将被允许使用翻译词典务必事先联系你的考场,以便提前做好安排。你必须能够证明你确实需要这样一部词典,这通常需要你出示自己的出生证或护照。
注意:
考试或考试目标偶尔会发生一些小变化。每逢这种情况,Sybex都会在自己网站上贴出更新的内容。参加考试前应访问www.wiley.comgocissp8e,确保自己掌握最新信息。
学习和备考技巧
我们建议你为CISSP考试制定一个月左右的晚间强化学习计划。这里提几点建议,可以最大限度增加你的学习时间;你可根据自己的学习习惯做必要修改:
● 用一两个晚上细读《CISSP官方学习指南第8版》的每一章并把它的复习材料做一遍。
● 回答所有复习题,并把《CISSP官方学习指南第8版》和考试引擎中的练习考试做一遍。完成每章的书面实验,并利用每章的复习题来找到一些主题,投入更多时间对它们进行深入学习,掌握其中的关键概念和战略,或许能令你受益。
● 复习ISC2的考试大纲:www.isc2.org。
● 利用学习工具附带的速记卡来强化自己对概念的理解。
提示:
我们建议你把一半的学习时间用来阅读和复习概念,把另一半时间用来做练习题。有学生报告说,花在练习题上的时间越多,考试主题记得越清楚。除了本学习指南的练习考试外,Sybex还出版了《ISC:CISSP官方习题集》。这《CISSP官方学习指南第8版》为每个域都设置了100多道练习题,还含4个完整的练习考试。与本学习指南一样,它还有在线版考题。
完成认证流程
你被通知成功通过CISSP认证考试后,你离真正获得CISSP证书还差最后一步。最后一步是背书endorsement。这基本上是让一个本身是CISSP或ISC2其他证书持有者、有很高声望并熟悉你的职业履历的人为你提交一份举荐表。通知你通过考试的电子邮件会附带把这个举荐表发给你。举荐人必须审查你的履历,确保你在8个CISSP知识域有足够的工作经验,然后以数字形式或通过传真或邮寄方式把举荐表提交给ISC2。你必须在收到通知考试成绩的电子邮件后的90天内,向ISC2递交举荐文件。ISC2将在收到举荐表后结束整个认证流程,并将通过美国邮政USPS给你寄送欢迎包。
CISSP考试后的专项加强认证
ISC2为CISSP证书持有者设置了3个专项加强认证。ISC2围绕CISSP考试介绍的概念设置专项加强认证,主要针对架构、管理和工程这3个具体方面。这3个专项加强认证如下。
信息系统安全架构师ISSAP 面向从事信息安全架构工作的人员。涉及的关键域包括:访问控制系统和方法,密码学,物理安全集成,需求分析和安全标准、指南及准则,业务连续性计划和灾难恢复计划中与技术相关的方面,以及电信和网络安全。这是专为设计安全系统或基础设施的人员,或审计和分析这些结构的人员设置的一种证书。
信息系统安全管理师ISSMP 面向从事信息安全策略、实践规范、原则和规程管理的人员,涉及的关键域包括:企业安全管理实践规范,企业系统开发安全,法律、调查、犯罪取证和职业操守,运营安全合规监督,以及了解业务连续性计划、灾难恢复计划和运行连续性计划。这是专为负责安全基础设施特别是必须强制合规的安全基础设施的人员设置的一种证书。
信息系统安全工程师ISSEP 面向设计安全软硬件信息系统、组件或应用程序的人员,涉及的关键域包括:认证和认可、系统安全工程、技术管理和美国政府信息保障法规。大多数ISSEP为美国政府部门或管理政府安全审查的政府承包商工作。
有关这些专项加强认证的详细信息,可访问ISC2网站www.isc2.org查阅。
《CISSP官方学习指南第8版》的组织结构
《CISSP官方学习指南第8版》涵盖CISSP通用知识体系的8个域,其深度足以让你清晰掌握相关资料。《CISSP官方学习指南第8版》的主体由21章构成。域和各章的关系说明如下。
第1~4章:安全与风险管理。
第5章:资产安全。
第6~10章:安全架构和工程。
第11章和第12章:通信与网络安全。
第13章和第14章:身份和访问管理IAM。
第15章:安全评估与测试。
第16~19章:安全运营。
第20章和第21章:软件开发安全。
每章包含的元素可帮助你归纳学习重点和检验你掌握的知识。有关每章所涵盖域主题的详情,请见《CISSP官方学习指南第8版》目录和各章介绍。
本学习指南的元素
你在阅读本学习指南的过程中会见到许多反复出现的元素。下面将介绍其中的部分元素:
考试要点 考试要点突出了可能以某种形式出现在考试中的主题。虽然我们显然无从确切知道某次考试将包括哪些内容,但这个元素将强化对于掌握CBK特定方面知识及CISSP考试规范至关重要的概念。
复习题 每章都设有复习题,旨在衡量你对该章所述关键理念的掌握程度。你应该在读完每章内容后把这些题做一遍;如果你答错了一些题,说明你需要耗费更长时间来钻研相关主题。《CISSP官方学习指南第8版》附录B给出复习题的答案。
书面实验 每章都设有书面实验,用以综述该章出现的各种概念和主题。书面实验提出的问题旨在帮助你把散布于该章各处的重要内容归纳到一起形成一个整体,使你能够提出或描述潜在安全战略或解决方案。
真实场景 在学习各章内容的过程中,你会发现对典型且真实可信的工作场景的描述,在这些情景下,你从该章学到的安全战略和方法可在解决问题或化解潜在困难的过程中发挥作用。这让你有机会了解如何把具体安全策略、指南或实践规范应用到实际工作中。
本章小结 这是对该章的简要回顾,归纳了该章涵盖的内容。
附加的学习工具
《CISSP官方学习指南第8版》的读者可以得到一些附加的学习工具。我们努力提供一些必要工具,帮助你完成认证考试。请在准备考试时把下列所有工具都载入你的工作站。
注意:
访问www.wiley.comgocissptestprep可得到下面介绍的工具。
Sybex备考软件
Sybex专家开发的备考软件可帮助你为CISSP考试作好充分准备。你会在这个测验引擎中找到《CISSP官方学习指南第8版》包含的所有复习题和评估题。你可进行评估测验,逐章检验自己的复习进展,也可选用练习考试或选用涵盖了所有方面问题的随机生成的考试。
电子速记卡
Sybex开发的电子速记卡包含数百道考题,旨在进一步挑战你参加CISSP考试的能力。从复习题、练习考试和速记卡中,你总能找到足够的练习来应对考试!
PDF格式词汇表
Sybex提供了一个PDF格式的强大词汇表。这个可搜索的全面词汇表包含了你应该掌握的所有关键词语。
附加练习考试
Sybex包含附加练习考试,每个考试的考题设置旨在了解你对CISSP CBK的关键元素掌握了多少。《CISSP官方学习指南第8版》有6个附加练习考试,每个考试含150道考题,以与真实考试最长的时间长度匹配。访问http:www.wiley.comgosybextestprep便可得到这些考试。
如何使用《CISSP官方学习指南第8版》的学习工具
《CISSP官方学习指南第8版》设计的许多特性旨在辅导你准备CISSP认证考试。《CISSP官方学习指南第8版》在每一章的开头列出该章涵盖的CISSP通用知识体系域主题,同时确保该章对每个主题进行充分论述,以此对你提供帮助。每章末尾的复习题和练习考试是为了检验你对学过的内容记住了多少,确保你清楚自己还需要在哪些方面多加努力。以下是使用《CISSP官方学习指南第8版》和学习工具的几点建议详见www.wiley.comgocissptestprep:
● 开始阅读《CISSP官方学习指南第8版》之前先进行一次评估测验。这会让你了解哪些方面需要自己投入更多学习时间,以及哪些方面只需要简单复习一下即可。
● 读完每一章后回答复习题;每当你的答案有误时,都应回到该章重读相关主题,若还需要更多信息,则可从其他资源找出相关内容深入学习。
● 把速记卡下载到你的移动设备上,白天有空闲时间时就看几分钟。
● 抓住每个机会测试自己。除了评估测验和复习题以外,附带的学习工具还有附加练习考试。在不参考相关章节的情况下进行这些考试,看看自己做到什么程度,然后回头复习与丢分相关的主题,直到你完全掌握所有内容并能灵活应用这些概念为止。
最后,如果可能,找一个伙伴。有个人陪伴你一起复习备考,当你遇到有困难的主题时伸手帮你一把,这会使整个过程变得轻松愉快。你还可在伙伴的薄弱环节帮助他,以此来巩固自己学过的知识。
评估测验 ... ...
|
|