安全技术经典译丛 CISSP官方学习指南 第7版PDF电子书下载

第1章 通过原则和策略的安全治理 1

1.1理解和应用机密性、完整性和可用性的概念 2

1.1.1机密性 2

1.1.2完整性 3

1.1.3可用性 4

1.1.4其他安全概念 5

1.1.5保护机制 8

1.2应用安全治理原则 9

1.2.1安全功能战略、目标、任务和愿景的一致 9

1.2.2组织流程 11

1.2.3安全角色和责任 15

1.2.4控制架构 16

1.2.5应尽关注和应尽职责 16

1.3 开发和文档化安全策略、标准、指导方针和程序 17

1.3.1安全策略 17

1.3.2安全标准、基准及指南 18

1.3.3安全程序 18

1.4理解和应用威胁建模 19

1.4.1识别威胁 20

1.4.2确定和用图表示潜在攻击 22

1.4.3执行降低分析 23

1.4.4优先级和响应 23

1.5把安全风险考虑到收购策略和实践中 24

1.6本章小结 25

1.7考试要点 26

1.8书面实验室 28

1.9复习题 28

第2章 人员安全和风险管理概念 31

2.1促进人员安全策略 32

2.1.1筛选候选人 34

2.1.2雇佣协议和策略 34

2.1.3解雇员工的流程 35

2.1.4供应商、顾问和承包商控制 37

2.1.5合规性 38

2.1.6隐私 38

2.2安全治理 39

2.3理解和应用风险管理概念 39

2.3.1风险术语 40

2.3.2识别威胁和脆弱性 42

2.3.3风险评估／分析 43

2.3.4风险分配／接受 48

2.3.5对策的选择和评估 49

2.3.6实施 50

2.3.7控制的类型 51

2.3.8监控和测量 52

2.3.9资产评估 52

2.3.10持续改进 53

2.3.11风险框架 54

2.4建立和管理信息安全教育、培训和意识 55

2.5管理安全功能 56

2.6本章小结 57

2.7考试要点 57

2.8书面实验室 59

2.9复习题 59

第3章 业务连续性计划 63

3.1业务连续性计划 63

3.2项目范围与计划 64

3.2.1业务组织分析 65

3.2.2 BCP团队的选择 65

3.2.3资源要求 66

3.2.4法律和法规要求 67

3.3业务影响评估 68

3.3.1确定优先级 69

3.3.2风险识别 69

3.3.3可能性评估 70

3.3.4影响评估 71

3.3.5资源优先级划分 72

3.4连续性计划 72

3.4.1策略开发 73

3.4.2预备和处理 73

3.4.3计划批准和实现 74

3.4.4计划实现 75

3.4.5培训和教育 75

3.5 BCP文档化 75

3.5.1连续性计划的目标 75

3.5.2重要性声明 76

3.5.3优先级声明 76

3.5.4组织职责的声明 76

3.5.5紧急程度和时限的声明 76

3.5.6风险评估 76

3.5.7可接受的风险／风险缓解 77

3.5.8重大记录计划 77

3.5.9响应紧急事件的指导原则 77

3.5.10维护 78

3.5.11测试和演习 78

3.6本章小结 78

3.7考试要点 79

3.8书面实验室 79

3.9复习题 79

第4章 法律、法规和合规性 83

4.1法律的分类 84

4.1.1刑法 84

4.1.2民法 85

4.1.3行政法 85

4.2法律 86

4.2.1计算机犯罪 86

4.2.2知识产权 89

4.2.3进口／出口 94

42.4隐私 95

4.3合规性 99

4.4合同与采购 100

4.5本章小结 101

4.6考试要点 101

4.7书面实验室 102

4.8复习题 102

第5章 保护资产的安全 107

5.1对资产进行分类和标记 107

5.1.1定义敏感数据 108

5.1.2定义分类 109

5.1.3定义数据安全要求 111

5.1.4理解数据状态 112

5.1.5管理敏感数据 112

5.1.6应用密码学保护机密文件 117

5.2定义数据角色 119

5.2.1数据所有者 119

5.2.2系统所有者 120

5.2.3业务／任务所有者 120

5.2.4数据处理者 121

5.2.5管理员 121

5.2.6保管者 121

5.2.7用户 122

5.3保护隐私 122

5.3.1使用安全基线 122

5.3.2审视和定制 123

5.3.3选择标准 123

5.4本章小结 124

5.5考试要点 124

5.6 书面实验室 125

5.7复习题 125

第6章 密码学与对称加密算法 129

6.1密码学历史上的里程碑 129

6.1.1凯撒密码 129

6.1.2美国内战 130

6.1.3 Ultra与Enigma 130

6.2密码学基础 131

6.2.1密码学的目标 131

6.2.2密码学概念 132

6.2.3密码学的数学原理 133

6.2.4密码 138

6.3现代密码学 143

6.3.1密钥 143

6.3.2对称密钥算法 144

6.3.3非对称密钥算法 145

6.3.4散列算法 147

6.4对称密码 147

6.4.1数据加密标准 148

6.4.2三重数据加密算法（3DES） 149

6.4.3国际数据加密算法（IDEA） 150

6.4.4 Blowfish 150

6.4.5 Skipjack 151

6.4.6高级加密标准（AES） 151

6.4.7对称密钥管理 152

6.4.8密码生命周期 154

6.5本章小结 154

6.6考试要点 154

6.7书面实验室 155

6.8复习题 156

第7章PKI和密码学应用 159

7.1非对称密码学 159

7.1.1公钥与私钥 160

7.1.2 RSA 160

7.1.3 El Gamal 161

7.1.4椭圆曲线密码系统（ECC） 162

7.2散列函数 162

7.2.1 SHA 163

7.2.2 MD2 164

7.2.3 MD4 164

7.2.4 MD5 165

7.3数字签名 165

7.3.1 HMAC 166

7.3.2数字签名标准 167

7.4公钥基础设施（PKI） 167

7.4.1证书 167

7.4.2证书授权机构 168

7.4.3证书的生成与撤消 169

7.4.4非对称密钥的管理 170

7.5密码学的应用 171

7.5.1便携式设备 171

7.5.2电子邮件 171

7.5.3 Web应用 172

7.5.4数字版权管理（DRM） 174

7.5.5网络连接 176

7.6密码学攻击 179

7.7本章小结 181

7.8考试要点 181

7.9书面实验室 182

7.10复习题 183

第8章 安全模型的原则、设计和功能 187

8.1使用安全设计原则实施和管理工程过程 187

8.1.1客体和主体 188

8.1.2封闭式系统和开放式系统 188

8.1.3用于确保机密性、完整性和可用性的技术 189

8.1.4控制 190

8.1.5信任与保证 190

8.2理解安全模型的基本概念 191

8.2.1可信计算基 192

8.2.2状态机模型 193

8.2.3信息流模型 193

8.2.4无干扰模型 194

8.2.5 Take-Grant模型 194

8.2.6访问控制矩阵 195

8.2.7 Bell-LaPadula模型 196

8.2.8 Biba模型 197

8.2.9 Clark-Wilson模型 199

8.2.10 Brewer and Nash模型 （也叫作Chinese Wall） 200

8.2.11 Goguen-Meseguer模型 200

8.2.12 Sutherland模型 200

8.2.13 Graham-Denning模型 200

8.3基于系统安全评估模型选择控制和对策 201

8.3.1彩虹系列 201

8.3.2 TCSEC分类和所需功能 202

8.3.3彩虹系列中的其他颜色 203

8.3.4 ITSEC类别与所需的保证和功能性 205

8.3.5通用准则 206

8.3.6认证和鉴定 208

8.4理解信息系统的安全功能 210

8.4.1内存保护 210

8.4.2虚拟化 210

8.4.3可信平台模块 211

8.4.4接口 211

8.4.5容错 211

8.5本章小结 212

8.6考试要点 212

8.7书面实验室 213

8.8复习题 213

第9章 安全脆弱性、威胁和对施 217

9.1评估和缓解安全脆弱性 218

9.1.1硬件 218

9.1.2存储器 226

9.1.3存储设备 230

9.1.4存储介质的安全性 231

9.1.5输入和输出设备 231

9.1.6固件 233

9.2基于客户端 234

9.2.1 applet 234

9.2.2本地缓存 235

9.3基于服务端 237

9.4数据库安全 237

9.4.1聚合 237

9.4.2推理 238

9.4.3数据挖掘和数据仓库 238

9.4.4数据分析 239

9.4.5大规模并行数据系统 239

9.5分布式系统 239

9.5.1云计算 241

9.5.2网格计算 241

9.5.3点对点 242

9.6工业控制系统 242

9.7评估和缓解基于Web系统的脆弱性 243

9.8评估和缓解移动系统的脆弱性 243

9.8.1设备安全 244

9.8.2应用安全 247

9.8.3 BYOD关注点 248

9.9评估和缓解嵌入式设备和物联网系统的脆弱性 251

9.9.1嵌入式系统和静态系统的示例 251

9.9.2安全方法 252

9.10基本安全保护机制 253

9.10.1技术机制 254

9.10.2安全策略与计算机体系结构 256

9.10.3策略机制 256

9.11常见的缺陷和安全问题 257

9.11.1隐蔽通道 257

9.11.2基于设计或编码缺陷的攻击和安全问题 258

9.11.3编程 260

9.11.4计时、状态改变和通信中断 260

9.11.5技术和过程完整性 261

9.11.6电磁辐射 261

9.12本章小结 262

9.13考试要点 262

9.14书面实验室 264

9.15 复习题 264

第10章 物理安全需求 269

10.1应用安全原则到选址和设施设计 270

10.1.1安全设施计划 270

10.1.2场所选择 270

10.1.3可视性 271

10.1.4自然灾害 271

10.1.5设施的设计 271

10.2设计和实施物理安全 272

10.2.1设备故障 273

10.2.2配线间 273

10.2.3服务器机房 274

10.2.4介质存储设施 275

10.2.5证据存储 276

10.2.6受限的和工作区域安全（例如，运营中心） 276

10.2.7数据中心安全 277

10.2.8基础设施和HVAC注意事项 279

10.2.9水的问题（例如，漏水和水灾） 281

10.2.10火灾的预防、检测和抑制 281

10.3实施和管理物理安全 285

10.3.1周边（例如，访问控制和监控） 285

10.3.2内部安全（例如，陪同要求／访问者控制、钥匙和锁） 287

10.4本章小结 291

10.5考试要点 292

10.6书面实验室 293

10.7复习题 294

第11章 网络安全架构与保护网络组件 297

11.1 OSI模型 298

11.1.1 OSI模型的历史 298

11.1.2 OSI功能 298

11.1.3封装／解封装 299

11.1.4 OSI分层 300

11.2 TCP／IP模型 305

11.2.1 TCP／IP协议族概述 306

11.2.2分层协议的应用 313

11.2.3 TCP／IP的脆弱性 314

11.2.4域名解析 315

11.3汇聚协议 315

11.4内容分发网络 317

11.5无线网络 317

11.5.1保护无线接入点 317

11.5.2保护SSID 319

11.5.3执行现场勘测 319

11.5.4使用加密协议 320

11.5.5天线位置的确定 322

11.5.6天线类型 322

11.5.7调整功率水平控制 323

11.5.8使用强制门户 323

11.5.9一般的W i-Fi安全措施 323

11.6保护网络组件 324

11.6.1网络接入控制 325

11.6.2防火墙 325

11.6.3终端安全 328

11.6.4其他网络设备 328

11.7布线、无线、拓扑和通信技术 330

11.7.1网络布线 331

11.7.2网络拓扑 334

11.7.3无线通信与安全性 335

11.7.4 LAN技术 339

11.8本章小结 342

11.9考试要点 343

11.10书面实验室 344

11.11复习题 345

第12章 安全通信和网络攻击 349

12.1网络与协议安全机制 350

12.1.1安全通信协议 350

12.1.2身份认证协议 351

12.2安全的语音通信 351

12.2.1互联网语音协议（VoIP） 352

12.2.2社会工程学 352

12.2.3伪造与滥用 353

12.3多媒体协作 354

12.3.1远程会议 355

12.3.2即时消息 355

12.4管理电子邮件的安全性 355

12.4.1电子邮件安全性的目标 356

12.4.2理解电子邮件的安全性问题 356

12.4.3电子邮件安全性解决方案 357

12.5远程接入安全管理 359

12.5.1计划远程接入安全 360

12.5.2拨号协议 361

12.5.3集中化的远程身份认证服务 361

12.6虚拟专用网络 362

12.6.1隧道技术 362

12.6.2 VPN的工作原理 363

12.6.3常用VPN协议 363

12.6.4虚拟局域网 365

12.7虚拟化 365

12.7.1虚拟化软件 366

12.7.2虚拟化网络 366

12.8网络地址转换 367

12.8.1专用IP地址 368

12.8.2状态NAT 369

12.8.3静态 NAT与动态NAT 369

12.8.4自动私有IP地址寻址 370

12.9交换技术 371

12.9.1电路交换 371

12.9.2分组交换 371

12.9.3虚电路 372

12.10 WAN技术 372

12.10.1 WAN连接技术 374

12.10.2 X.25 WAN连接 374

12.10.3帧中继连接 374

12.10.4 ATM 375

12.10.5 SMDS 375

12.10.6专门的协议 375

12.10.7拨号封装协议 375

12.11各种安全控制特性 376

12.11.1透明性 376

12.11.2验证完整性 376

12.11.3传输机制 377

12.12安全边界 377

12.13网络攻击与对策 378

12.13.1 DoS和DDoS 378

12.13.2偷听 379

12.13.3假冒／伪装 379

12.13.4重放攻击 380

12.13.5修改攻击 380

12.13.6地址解析协议欺骗 380

12.13.7 DNS投毒、欺骗和劫持 381

12.13.8超链接欺骗 381

12.14本章小结 382

12.15 考试要点 383

12.16书面实验室 384

12.17复习题 385

第13章 管理身份与认证 389

13.1控制对资产的访问 389

13.1.1主体与客体的对比 390

13.1.2访问控制的类型 391

13.1.3 CIA三要素 392

13.2比较身份标识与认证 393

13.2.1身份的注册和证明 393

13.2.2授权与可问责性 393

13.2.3认证因素 394

13.2.4 密码 395

13.2.5智能卡和令牌 397

13.2.6生物识别 398

13.2.7多因素身份认证 401

13.2.8设备认证 401

13.3实施身份管理 402

13.3.1单点登录 402

13.3.2 LDAP和集中式访问控制 402

13.3.3 LDAP和PKI 402

13.3.4 Kerberos 403

13.3.5联合身份管理和SSo 404

13.3.6其他单点登录的例子 405

13.3.7证书管理系统 406

13.3.8整合身份服务 406

13.3.9管理会话 406

13.3.10 AAA协议 407

13.4管理标识和访问开通生命周期 408

13.4.1开通 408

13.4.2账号审核 409

13.4.3账号撤消 410

13.5本章小结 410

13.6考试要点 411

13.7书面实验室 412

13.8复习题 412

第14章 控制和监控访问 417

14.1对比访问控制模型 417

14.1.1对比许可、权限和特权 418

14.1.2理解授权机制 418

14.1.3用安全策略定义需求 419

14.1.4部署深度防御 419

14.1.5自主访问控制 420

14.1.6非自主访问控制 421

14.2理解访问控制攻击方式 425

14.2.1风险元素 425

14.2.2常见的访问控制攻击 428

14.3本章小结 436

14.4考试要点 437

14.5书面实验室 438

14.6复习题 438

第15章 安全评估和测试 441

15.1创建安全评估和测试程序 442

15.1.1安全测试 442

15.1.2安全评估 443

15.1.3安全审计 443

15.2执行漏洞评估 444

15.2.1漏洞扫描 444

15.2.2渗透测试 451

15.3测试你的软件 452

15.3.1代码审查和测试 452

15.3.2接口测试 455

15.3.3误用案例测试 455

15.3.4测试覆盖率分析 456

15.4实现安全管理过程 456

15.4.1日志审核 456

15.4.2账户管理 456

15.4.3备份验证 457

15.4.4关键性能指标和风险指标 457

15.5本章小结 457

15.6考试要点 458

15.7书面实验室 458

15.8复习题 459

第16章 管理安全运营 463

16.1应用安全运营的概念 464

16.1.1知其所需和最小特权 464

16.1.2职责和责任分离 465

16.1.3岗位轮换 467

16.1.4强制休假 468

16.1.5监控特殊的特权 468

16.1.6管理信息生命周期 469

16.1.7服务级别协议 470

16.1.8关注人员安全 470

16.2提供和管理资源 471

16.2.1管理硬件和软件资产 471

16.2.2保护物理资产 472

16.2.3管理虚拟资产 472

16.2.4管理基于云的资产 472

16.2.5介质管理 473

16.2.6管理介质的生命周期 475

16.3配置管理 476

16.3.1基线 476

16.3.2用镜像创建基线 476

16.4变更管理 478

16.4.1安全影响分析 479

16.4.2版本控制 479

16.4.3配置文档 480

16.5补丁管理和减少漏洞 480

16.5.1补丁管理 480

16.5.2漏洞管理 481

16.5.3漏洞扫描 481

16.5.4漏洞评估 482

16.5.5常见漏洞和披露 483

16.6本章小结 483

16.7考试要点 484

16.8书面实验室 485

16.9复习题 485

第17章 事件预防和响应 489

17.1管理事件响应 490

17.1.1事件界定 490

17.1.2事件响应步骤 491

17.1.3检测 491

17.1.4响应 492

17.1.5缓解 492

17.1.6报告 492

17.1.7恢复 493

17.1.8修复 493

17.1.9经验教训 494

17.2部署预防措施 494

17.2.1基本的预防措施 495

17.2.2理解攻击 495

17.2.3入侵检测和防御系统 502

17.2.4特殊的防御措施 507

17.3日志、监控和审计 513

17.3.1日志和监控 513

17.3.2出口监控 520

17.3.4审计和评估有效性 521

17.4本章小结 525

17.5考试要点 527

17.6书面实验室 529

17.7复习题 529

第18章 灾难恢复计划 533

18.1灾难的本质 534

18.1.1自然灾难 534

18.1.2人为灾难 538

18.1.3其他公共设施和基础设施故障 539

18.2理解系统恢复和容错能力 541

18.2.1保护硬盘驱动器 542

18.2.2保护服务器 542

18.2.3保护电源 543

18.2.4受信恢复 544

18.2.5服务质量 545

18.3恢复策略 545

18.3.1确定业务单元的优先顺序 546

18.3.2危机管理 546

18.3.3应急通信 547

18.3.4工作组恢复 547

18.3.5可替代的工作站点 547

18.3.6相互援助协议 550

18.3.7数据库恢复 551

18.4恢复计划开发 552

18.4.1紧急事件响应 552

18.4.2人员通知 553

18.4.3评估 553

18.4.4备份和离站存储 553

18.4.5软件托管协议 556

18.4.6外部通信 556

18.4.7公用设施 557

18.4.8物流和供应 557

18.4.9恢复与还原的比较 557

18.5培训、意识与文档记录 558

18.6测试与维护 558

18.6.1通读测试 558

18.6.2结构化演练 559

18.6.3模拟测试 559

18.6.4并行测试 559

18.6.5完全中断测试 559

18.6.6维护 559

18.7总结 560

18.8考试要点 560

18.9书面实验 561

18.10复习题 561

第19章 事件与道德规范 565

19.1调查 565

19.1.1调查的类型 566

19.1.2证据 567

19.1.3调查过程 570

19.2计算机犯罪的主要类别 571

19.2.1军事和情报攻击 571

19.2.2商业攻击 572

19.2.3财务攻击 572

19.2.4恐怖攻击 573

19.2.5恶意攻击 573

19.2.6兴奋攻击 574

19.3事故处理 575

19.3.1常见的事故类型 575

19.3.2响应团队 576

19.3.3事故响应过程 578

19.3.4约谈个人 580

19.3.5事故数据的完整性和保存 580

19.3.6事故报告 580

19.4道德规范 581

19.4.1 （ISC）2的道德规范 582

19.4.2道德规范和互联网 582

19.5本章小结 583

19.6考试要点 584

19.7书面实验室 585

19.8复习题 585

第20章 软件开发安全 589

20.1系统开发控制概述 589

20.1.1软件开发 590

20.1.2系统开发生命周期 593

20.1.3生命周期模型 595

20.1.4甘特图与PERT 600

20.1.5变更和配置管理 600

20.1.6 DevOps方法 601

20.1.7应用编程接口 602

20.1.8软件测试 603

20.1.9代码仓库 604

20.1.10服务等级协议 604

20.1.11软件采购 605

20.2创建数据库和数据仓储 605

20.2.1数据库管理系统的体系结构 605

20.2.2数据库事务 608

20.2.3多级数据库的安全性 609

20.2.4 ODBC 610

20.3存储数据和信息 611

20.3.1存储器的类型 611

20.3.2存储器威胁 612

20.4理解基于知识的系统 612

20.4.1专家系统 612

20.4.2神经网络 613

20.4.3决策支持系统 613

20.4.4安全性应用 614

20.5本章小结 614

20.6考试要点 614

20.7书面实验室 615

20.8复习题 615

第21章 恶意代码与应用攻击 619

21.1恶意代码 619

21.1.1恶意代码的来源 620

21.1.2病毒 620

21.1.3逻辑炸弹 624

21.1.4特洛伊木马 624

21.1.5蠕虫 625

21.1.6间谍软件与广告软件 627

21.1.7对策 628

21.2密码攻击 629

21.2.1密码猜测攻击 629

21.2.2字典攻击 630

21.2.3社会工程学攻击 630

21.2.4对策 631

21.3应用程序攻击 631

21.3.1缓冲区溢出 632

21.3.2检验时间到使用时间 632

21.3.3后门 632

21.3.4权限提升和rootkit 633

21.4 Web应用的安全性 633

21.4.1跨站脚本（XSS）攻击 633

21.4.2 SQL注入攻击 634

21.5侦察攻击 636

21.5.1 IP探测 636

21.5.2端口扫描 637

21.5.3漏洞扫描 637

21.5.4垃圾搜寻 637

21.6伪装攻击 638

21.6.1 IP欺骗 638

21.6.2会话劫持 638

21.7本章小结 639

21.8考试要点 639

21.9书面实验室 640

21.10复习题 640

附录A复习题答案 643

附录B书面实验室答案 667

术语表 677