网站首页交通运输军事农业科学医药卫生历史地理哲学宗教天文地球工业技术政治法律数理化文化科学教育体育文学环境安全生物社会科学经济自然科学航空航天艺术语言文字马列毛邓综合图书其他书籍外文

《CISSP认证考试指南 第6版》PDF下载

  • 购买积分:26 如何计算积分?
  • 作  者:(美)ShonHarris著;张胜生,张博,付业辉译
  • 出 版 社:北京:清华大学出版社
  • 出版年份:2014
  • ISBN:9787302344407
  • 页数:1016 页
图书介绍:本书以其专注和翔实的风格,而备受推崇。《CISSP认证考试指南(第6版)》完全覆盖(ISC)2认证信息安全专家认证考试的全部考试目标。第6版的全面更新,以确保完全覆盖(ISC)2最新的知识和领域体系,这个新版本还提供了政府雇员和承包商必须符合的新要求的细则。

点击购买此书全本PDF电子书

第1章 成为一名CISSP 1

1.1成为CISSP的理由 1

1.2 CISSP考试 2

1.3 CISSP认证的发展简史 5

1.4如何注册考试 6

1.5本书概要 6

1.6 CISSP应试小贴士 6

1.7本书使用指南 8

1.7.1问题 8

1.7.2答案 16

第2章 信息安全治理与风险管理 17

2.1安全基本原则 18

2.1.1可用性 18

2.1.2完整性 19

2.1.3机密性 19

2.1.4平衡安全 20

2.2安全定义 21

2.3控制类型 22

2.4安全框架 26

2.4.1 ISO/IEC 27000系列 28

2.4.2企业架构开发 32

2.4.3安全控制开发 41

2.4.4 coso 44

2.4.5流程管理开发 45

2.4.6功能与安全性 51

2.5安全管理 52

2.6风险管理 52

2.6.1谁真正了解风险管理 53

2.6.2信息风险管理策略 53

2.6.3风险管理团队 54

2.7风险评估和分析 55

2.7.1风险分析团队 56

2.7.2信息和资产的价值 56

2.7.3构成价值的成本 56

2.7.4识别脆弱性和威胁 57

2.7.5风险评估方法 58

2.7.6风险分析方法 63

2.7.7定性风险分析 66

2.7.8保护机制 69

2.7.9综合考虑 71

2.7.10总风险与剩余风险 71

2.7.11处理风险 72

2.7.12外包 74

2.8策略、标准、基准、指南和过程 75

2.8.1安全策略 75

2.8.2标准 78

2.8.3基准 78

2.8.4指南 79

2.8.5措施 79

2.8.6实施 80

2.9信息分类 80

2.9.1分类级别 81

2.9.2分类控制 83

2.10责任分层 84

2.10.1董事会 84

2.10.2执行管理层 85

2.10.3 CIO 86

2.10.4 CPO 87

2.10.5 CSO 87

2.11安全指导委员会 88

2.11.1审计委员会 89

2.11.2数据所有者 89

2.11.3数据看管员 89

2.11.4系统所有者 89

2.11.5安全管理员 90

2.11.6安全分析员 90

2.11.7应用程序所有者 90

2.11.8监督员 90

2.11.9变更控制分析员 91

2.11.10数据分析员 91

2.11.11过程所有者 91

2.11.12解决方案提供商 91

2.11.13用户 91

2.11.14生产线经理 92

2.11.15审计员 92

2.11.16为何需要这么多角色 92

2.11.17人员安全 92

2.11.18招聘实践 93

2.11.19解雇 94

2.11.20 安全意识培训 95

2.11.21学位或证书 96

2.12安全治理 96

2.13小结 100

2.14快速提示 101

2.14.1问题 103

2.14.2答案 110

第3章 访问控制 115

3.1访问控制概述 115

3.2安全原则 116

3.2.1可用性 116

3.2.2完整性 117

3.2.3机密性 117

3.3身份标识、身份验证、授权与可问责性 117

3.3.1身份标识与身份验证 119

3.3.2密码管理 127

3.3.3授权 149

3.4访问控制模型 161

3.4.1自主访问控制 161

3.4.2强制访问控制 162

3.4.3角色型访问控制 164

3.5访问控制方法和技术 166

3.5.1规则型访问控制 167

3.5.2限制性用户接口 167

3.5.3访问控制矩阵 168

3.5.4内容相关访问控制 169

3.5.5上下文相关访问控制 169

3.6访问控制管理 170

3.6.1集中式访问控制管理 171

3.6.2分散式访问控制管理 176

3.7访问控制方法 176

3.7.1访问控制层 177

3.7.2行政管理性控制 177

3.7.3物理性控制 178

4.7.4技术性控制 179

3.8可问责性 181

3.8.1审计信息的检查 183

3.8.2保护审计数据和日志信息 184

3.8.3击键监控 184

3.9访问控制实践 185

3.10访问控制监控 187

3.10.1入侵检测 187

3.10.2入侵防御系统 194

3.11对访问控制的几种威胁 196

3.11.1字典攻击 196

3.11.2蛮力攻击 197

3.11.3登录欺骗 198

3.11.4网络钓鱼 198

3.11.5威胁建模 200

3.12小结 202

3.13快速提示 202

3.13.1问题 204

3.13.2答案 211

第4章 安全架构和设计 215

4.1计算机安全 216

4.2系统架构 217

4.3计算机架构 220

4.3.1中央处理单元 220

4.3.2多重处理 224

4.3.3操作系统架构 226

4.3.4存储器类型 235

4.3.5虚拟存储器 245

4.3.6输入/输出设备管理 246

4.3.7 CPU架构 248

4.4操作系统架构 251

4.5系统安全架构 260

4.5.1安全策略 260

4.5.2安全架构要求 261

4.6安全模型 265

4.6.1状态机模型 266

4.6.2 Bell-LaPadula模型 268

4.6.3 Biba模型 270

4.6.4 Clark-Wilson模型 271

4.6.5信息流模型 274

4.6.6无干扰模型 276

4.6.7格子模型 276

4.6.8 Brewer and Nash模型 278

4.6.9 Graham-Denning模型 279

4.6.10 Harrison-Ruzzo-Ullman模型 279

4.7运行安全模式 280

4.7.1专用安全模式 280

4.7.2系统高安全模式 281

4.7.3分隔安全模式 281

4.7.4多级安全模式 281

4.7.5信任与保证 283

4.8系统评估方法 283

4.8.1对产品进行评估的原因 284

4.8.2橘皮书 284

4.9橘皮书与彩虹系列 288

4.10信息技术安全评估准则 289

4.11通用准则 291

4.12认证与认可 295

4.12.1认证 295

4.12.2认可 295

4.13开放系统与封闭系统 296

4.13.1开放系统 296

4.13.2封闭系统 297

4.14一些对安全模型和架构的威胁 297

4.14.1维护陷阱 297

4.14.2检验时间/使用时间攻击 298

4.15 小结 299

4.16快速提示 300

4.16.1问题 302

4.16.2答案 307

第5章 物理和环境安全 311

5.1物理安全简介 311

5.2规划过程 313

5.2.1通过环境设计来预防犯罪 316

5.2.2制订物理安全计划 320

5.3保护资产 331

5.4内部支持系统 332

5.4.1电力 333

5.4.2环境问题 337

5.4.3通风 339

5.4.4火灾的预防、检测和扑灭 339

5.5周边安全 345

5.5.1设施访问控制 346

5.5.2人员访问控制 352

5.5.3外部边界保护机制 353

5.5.4入侵检测系统 360

5.5.5巡逻警卫和保安 362

5.5.6安全狗 363

5.5.7对物理访问进行审计 363

5.5.8测试和演习 363

5.6小结 364

5.7快速提示 364

5.7.1问题 366

5.7.2答案 371

第6章 通信与网络安全 375

6.1通信 376

6.2开放系统互连参考模型 377

6.2.1协议 378

6.2.2应用层 379

6.2.3表示层 380

6.2.4会话层 381

6.2.5传输层 383

6.2.6网络层 384

6.2.7数据链路层 385

6.2.8物理层 386

6.2.9 OSI模型中的功能和协议 387

6.2.10综合这些层 389

6.3 TCP/IP模型 390

6.3.1 TCP 391

6.3.2 IP寻址 395

6.3.3 IPv6 397

6.3.4第2层安全标准 400

6.4传输的类型 402

6.4.1模拟和数字 402

6.4.2异步和同步 404

6.4.3宽带和基带 405

6.5布线 406

6.5.1同轴电缆 407

6.5.2双绞线 407

6.5.3光缆 408

6.5.4布线问题 409

6.6网络互联基础 411

6.6.1网络拓扑 412

6.6.2介质访问技术 414

6.6.3网络协议和服务 425

6.6.4域名服务 433

6.6.5电子邮件服务 440

6.6.6网络地址转换 444

6.6.7路由协议 446

6.7网络互联设备 449

6.7.1中继器 449

6.7.2网桥 450

6.7.3路由器 451

6.7.4交换机 453

6.7.5网关 457

6.7.6 PBX 459

6.7.7防火墙 462

6.7.8代理服务器 480

6.7.9蜜罐 482

6.7.10统一威胁管理 482

6.7.11云计算 483

6.8内联网与外联网 486

6.9城域网 487

6.10广域网 489

6.10.1通信的发展 490

6.10.2专用链路 492

6.10.3 WAN技术 495

6.11远程连接 513

6.11.1拨号连接 513

6.11.2 ISDN 514

6.11.3 DSL 515

6.11.4线缆调制解调器 516

6.11.5 VPN 518

6.11.6身份验证协议 523

6.12无线技术 525

6.12.1无线通信 526

6.12.2 WLAN组件 528

6.12.3无线标准 534

6.12.4 WLAN战争驾驶攻击 538

6.12.5卫星 538

6.12.6移动无线通信 539

6.12.7移动电话安全 543

6.13小结 545

6.14快速提示 546

6.14.1问题 549

6.14.2答案 556

第7章 密码术 561

7.1密码学的历史 562

7.2密码学定义与概念 566

7.2.1 Kerckhoffs原则 568

7.2.2密码系统的强度 568

7.2.3密码系统的服务 569

7.2.4一次性密码本 570

7.2.5滚动密码与隐藏密码 572

7.2.6隐写术 573

7.3密码的类型 575

7.3.1替代密码 575

7.3.2换位密码 575

7.4加密的方法 577

7.4.1对称算法与非对称算法 577

7.4.2对称密码学 577

7.4.3非对称密码学 579

7.4.4分组密码与流密码 581

7.4.5混合加密方法 586

7.5对称系统的类型 591

7.5.1数据加密标准 591

7.5.2三重DES 597

7.5.3高级加密标准 597

7.5.4国际数据加密算法 598

7.5.5 Blowfish 598

7.5.6 RC4 598

7.5.7 RC5 599

7.5.8 RC6 599

7.6非对称系统的类型 600

7.6.1 Diffie-Hellman算法 600

7.6.2 RSA 602

7.6.3 El Gamal 604

7.6.4椭圆曲线密码系统 604

7.6.5背包算法 605

7.6.6零知识证明 605

7.7消息完整性 606

7.7.1单向散列 606

7.7.2各种散列算法 610

7.7.3 MD2 611

7.7.4 MD4 611

7.7.5 MD5 611

7.7.6针对单向散列函数的攻击 612

7.7.7数字签名 613

7.7.8数字签名标准 615

7.8公钥基础设施 616

7.8.1认证授权机构 616

7.8.2证书 619

7.8.3注册授权机构 619

7.8.4 PKI步骤 620

7.9密钥管理 621

7.9.1密钥管理原则 622

7.9.2密钥和密钥管理的规则 623

7.10可信平台模块 623

7.11链路加密与端对端加密 625

7.12电子邮件标准 627

7.12.1多用途Internet邮件扩展(MIME) 627

7.12.2可靠加密 628

7.12.3量子密码学 629

7.13 Internet安全 630

7.14攻击 640

7.14.1唯密文攻击 640

7.14.2已知明文攻击 640

7.14.3选定明文攻击 640

7.14.4选定密文攻击 640

7.14.5差分密码分析 641

7.14.6线性密码分析 641

7.14.7旁路攻击 641

7.14.8重放攻击 642

7.14.9代数攻击 642

7.14.10分析式攻击 642

7.14.11统计式攻击 642

7.14.12社会工程攻击 643

7.14.13中间相遇攻击 643

7.15小结 644

7.16快速提示 644

7.16.1问题 646

7.16.2答案 651

第8章 业务连续性与灾难恢复 655

8.1业务连续性和灾难恢复 656

8.1.1标准和最佳实践 659

8.1.2使BCM成为企业安全计划的一部分 661

8.2 BCP项目的组成 664

8.2.1项目范围 665

8.2.2 BCP策略 666

8.2.3项目管理 666

8.2.4业务连续性规划要求 668

8.2.5业务影响分析(BIA) 669

8.2.6相互依存性 675

8.3预防性措施 676

8.4恢复战略 676

8.4.1业务流程恢复 680

8.4.2设施恢复 680

8.4.3供给和技术恢复 685

8.4.4选择软件备份设施 689

8.4.5终端用户环境 691

8.4.6数据备份选择方案 691

8.4.7电子备份解决方案 694

8.4.8高可用性 697

8.5保险 699

8.6恢复与还原 700

8.6.1为计划制定目标 703

8.6.2实现战略 704

8.7测试和审查计划 706

8.7.1核查性测试 707

8.7.2结构化的排练性测试 707

8.7.3模拟测试 707

8.7.4并行测试 708

8.7.5全中断测试 708

8.7.6其他类型的培训 708

8.7.7应急响应 708

8.7.8维护计划 709

8.8小结 712

8.9快速提示 712

8.9.1问题 714

8.9.2答案 720

第9章 法律、法规、合规和调查 725

9.1计算机法律的方方面面 725

9.2计算机犯罪法律的关键点 726

9.3网络犯罪的复杂性 728

9.3.1电子资产 730

9.3.2攻击的演变 730

9.3.3国际问题 733

9.3.4法律的类型 736

9.4知识产权法 739

9.4.1商业秘密 739

9.4.2版权 740

9.4.3商标 740

9.4.4专利 741

9.4.5知识产权的内部保护 742

9.4.6软件盗版 743

9.5隐私 745

9.5.1对隐私法不断增长的需求 746

9.5.2法律、指令和法规 747

9.6义务及其后果 756

9.6.1个人信息 759

9.6.2黑客入侵 759

9.6.3第三方风险 760

9.6.4合同协议 760

9.6.5采购和供应商流程 761

9.7合规性 762

9.8调查 763

9.8.1事故管理 763

9.8.2事故响应措施 766

9.8.3计算机取证和适当的证据收集 769

9.8.4国际计算机证据组织 770

9.8.5动机、机会和方式 771

9.8.6计算机犯罪行为 771

9.8.7事故调查员 772

9.8.8取证调查过程 772

9.8.9法庭上可接受的证据 777

9.8.10监视、搜索和查封 780

9.8.11访谈和审讯 781

9.8.12几种不同类型的攻击 781

9.8.13域名抢注 783

9.9道德 783

9.9.1计算机道德协会 784

9.9.2 Internet架构研究委员会 785

9.9.3企业道德计划 786

9.10小结 786

9.11快速提示 787

9.11.1问题 789

9.11.2答案 794

第10章 软件开发安全 797

10.1软件的重要性 797

10.2何处需要安全 798

10.2.1不同的环境需要不同的安全 799

10.2.2环境与应用程序 799

10.2.3功能与安全 800

10.2.4实现和默认配置问题 800

10.3系统开发生命周期 801

10.3.1启动 803

10.3.2购买/开发 804

10.3.3实现 805

10.3.4操作/维护 805

10.3.5处理 805

10.4软件开发生命周期 807

10.4.1项目管理 807

10.4.2需求收集阶段 808

10.4.3设计阶段 809

10.4.4开发阶段 811

10.4.5测试/验证阶段 813

10.4.6发布/维护阶段 815

10.5安全软件开发最佳实践 816

10.6软件开发模型 818

10.6.1边做边改模型 818

10.6.2瀑布模型 819

10.6.3 V形模型(V模型) 819

10.6.4原型模型 820

10.6.5增量模型 821

10.6.6螺旋模型 822

10.6.7快速应用开发 823

10.6.8敏捷模型 824

10.7能力成熟度模型 825

10.8变更控制 827

10.9编程语言和概念 829

10.9.1汇编程序、编译器和解释器 831

10.9.2面向对象概念 832

10.10分布式计算 841

10.10.1分布式计算环境 841

10.10.2 CORBA与ORB 842

10.10.3 COM与DCOM 844

10.10.4 Java平台,企业版本 845

10.10.5面向服务架构 846

10.11移动代码 849

10.11.1 Java applet 849

10.11.2 ActiveX控件 851

10.12 Web安全 852

10.12.1针对Web环境的特定威胁 852

10.12.2 Web应用安全原则 859

10.13数据库管理 860

10.13.1数据库管理软件 861

10.13.2数据库模型 862

10.13.3数据库编程接口 866

10.13.4关系数据库组件 867

10.13.5完整性 869

10.13.6数据库安全问题 871

10.13.7数据仓库与数据挖掘 875

10.14专家系统和知识性系统 878

10.15人工神经网络 880

10.16恶意软件 882

10.16.1病毒 883

10.16.2蠕虫 885

10.16.3 rootkit 885

10.16.4间谍软件和广告软件 886

10.16.5僵尸网络 886

10.16.6逻辑炸弹 888

10.16.7特洛伊木马 888

10.16.8防病毒软件 889

10.16.9垃圾邮件检测 892

10.16.10防恶意软件程序 892

10.17小结 894

10.18快速提示 894

10.18.1问题 897

10.18.2答案 903

第11章 安全运营 909

11.1运营部门的角色 909

11.2行政管理 910

11.2.1安全和网络人员 912

11.2.2可问责性 913

11.2.3阈值级别 913

11.3保证级别 914

11.4运营责任 914

11.4.1不寻常或无法解释的事件 915

11.4.2偏离标准 915

11.4.3不定期的初始程序加载(也称为重启) 915

11.4.4资产标识和管理 915

11.4.5系统控制 916

11.4.6可信恢复 917

11.4.7输入与输出控制 918

11.4.8系统强化 919

11.4.9远程访问安全 921

11.5配置管理 921

11.5.1变更控制过程 922

11.5.2变更控制文档化 923

11.6介质控制 924

11.7数据泄漏 928

11.8网络和资源可用性 929

11.8.1平均故障间隔时间(MTBF) 930

11.8.2平均修复时间(MTTR) 930

11.8.3单点失败 931

11.8.4备份 937

11.8.5应急计划 939

11.9大型机 940

11.10电子邮件安全 942

11.10.1电子邮件的工作原理 943

11.10.2传真安全 945

11.10.3黑客和攻击方法 946

11.11脆弱性测试 953

11.11.1渗透测试 956

11.11.2战争拨号攻击 958

11.11.3其他脆弱性类型 958

11.11.4事后检查 959

11.12小结 960

11.13快速提示 961

11.13.1问题 962

11.13.2答案 967

附录A 完整的问题 969

附录B 配套光盘使用指南 1013