譯者序

(ISC)2的CISSP認(rèn)證是目前世界上全面的、權(quán)威的國(guó)際化信息系統(tǒng)安全方面的認(rèn)證，CISSP認(rèn)證證書可證明證書持有者具備符合國(guó)際標(biāo)準(zhǔn)要求的信息安全知識(shí)水平和能力，提升持證專家的專業(yè)可信度，目前，CISSP認(rèn)證證書已得到全球的廣泛認(rèn)可。在安全行業(yè)中，能否取得CISSP認(rèn)證證書，已成為表明專家是否具備完善的信息安全知識(shí)體系和豐富的行業(yè)經(jīng)驗(yàn)的佐證之一。對(duì)于立志扎根于網(wǎng)絡(luò)安全行業(yè)的網(wǎng)絡(luò)安全專家而言，CISSP認(rèn)證應(yīng)該是職業(yè)生涯中最有價(jià)值、最值得追求的職業(yè)認(rèn)證之一。
《CISSP信息系統(tǒng)安全專家認(rèn)證All-in-One(第9版)》是備考CISSP認(rèn)證證書的寶典，在所有CISSP認(rèn)證證書備考資料中享有極高聲譽(yù)。本書內(nèi)容全面、專業(yè)、通俗易懂，是一本享譽(yù)全球、暢銷超過15年的安全經(jīng)典教材，曾幫助包括譯者團(tuán)隊(duì)在內(nèi)的全球無數(shù)網(wǎng)絡(luò)安全專家通過CISSP認(rèn)證考試。
數(shù)字經(jīng)濟(jì)被譽(yù)為第四次工業(yè)革命的鑰匙，已成為全球經(jīng)濟(jì)復(fù)蘇的新引擎，成為國(guó)家發(fā)展新征程的助推器和國(guó)家級(jí)戰(zhàn)略。《十四五數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》指出：2025年數(shù)字經(jīng)濟(jì)將進(jìn)入全面擴(kuò)展期，2035年數(shù)字經(jīng)濟(jì)將進(jìn)入繁榮成熟期。數(shù)字化技術(shù)已滲透到社會(huì)生活的方方面面。新興技術(shù)的日趨普及，對(duì)企業(yè)運(yùn)營(yíng)模式產(chǎn)生了重大影響，而2019年開始的新冠疫情，對(duì)社會(huì)生產(chǎn)生活方式帶來了巨大影響。
近年來，隨著社會(huì)數(shù)字化程度的提升，數(shù)字化安全的風(fēng)險(xiǎn)也日益突出，國(guó)內(nèi)外都發(fā)生了多起網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件，導(dǎo)致數(shù)據(jù)泄露或服務(wù)終止。初創(chuàng)公司Socialarks由于ElasticSearch數(shù)據(jù)庫(kù)設(shè)置錯(cuò)誤，泄露了近400GB數(shù)據(jù)(超過3.18億條用戶記錄)。美國(guó)燃油管道運(yùn)營(yíng)商Colonial Pipeline于2021年5月7日遭受網(wǎng)絡(luò)犯罪團(tuán)伙DarkSide的勒索軟件攻擊，導(dǎo)致該公司被迫關(guān)停其主要輸油管道。而巴基斯坦國(guó)民銀行(NBP)于當(dāng)?shù)貢r(shí)間2021年10月30日發(fā)布的一份聲明稱，已檢測(cè)到敵對(duì)方對(duì)NBP的網(wǎng)絡(luò)攻擊。2021年10月4日，F(xiàn)acebook及其旗下Instagram和WhatsApp等應(yīng)用程序全網(wǎng)宕機(jī)，停機(jī)時(shí)間近7小時(shí)。宕機(jī)期間，F(xiàn)acebook在歐洲、美洲和大洋洲幾乎完全下線，在亞洲的日本、韓國(guó)和印度等國(guó)也無法訪問。由此可見，如果沒有數(shù)字安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全技術(shù)保駕護(hù)航，數(shù)字化發(fā)展的程度越高，其背后隱藏的風(fēng)險(xiǎn)就越大。
與此同時(shí)，我國(guó)日益關(guān)注網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息安全，2021年密集發(fā)布了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等一系列網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，進(jìn)一步完善了我國(guó)網(wǎng)絡(luò)安全相關(guān)規(guī)章制度。網(wǎng)絡(luò)安全已成為企業(yè)合規(guī)的必選項(xiàng)。今天，已有越來越多的組織機(jī)構(gòu)將數(shù)字安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全工作放在數(shù)字技術(shù)工作的首要位置。數(shù)字安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全不再是數(shù)字技術(shù)工作中一個(gè)可有可無的選項(xiàng)，而成為不可或缺的部分；能幫助企業(yè)和機(jī)構(gòu)提高數(shù)字安全防護(hù)水平的人才也日益緊俏，形成巨大的崗位需求。
本書第9版本得到全面更新，涵蓋CISSP認(rèn)證考試的所有八大知識(shí)域，即安全和風(fēng)險(xiǎn)管理、資產(chǎn)安全、安全架構(gòu)與工程、通信與網(wǎng)絡(luò)安全、身份和訪問管理、安全評(píng)估與測(cè)試、安全運(yùn)營(yíng)、軟件研發(fā)安全。本書由安全認(rèn)證和培訓(xùn)領(lǐng)域的頂級(jí)專家Fernando Maymí和Shon Harris撰寫，用通俗易懂的語言，介紹了安全知識(shí)體系的方方面面，并通過豐富的案例加深考生對(duì)重要知識(shí)點(diǎn)的理解、激發(fā)考生的閱讀興趣，幫助考生在較短時(shí)間內(nèi)吸取網(wǎng)絡(luò)安全知識(shí)體系的精髓。本書不僅是準(zhǔn)備CISSP認(rèn)證考試的首選學(xué)習(xí)指南，也是安全專家提高業(yè)務(wù)水平、拓寬職業(yè)視野及建立完整知識(shí)體系的經(jīng)典書籍。全球每一名安全專家的案頭都應(yīng)常備本書。
在本書的譯校過程中，諸位譯者力求忠于原著，盡可能傳達(dá)作者的原意。在此，感謝欒浩先生，正是在他的努力下，多位譯者才能聚集到一起，共同完成這項(xiàng)工作。欒浩先生投入了大量時(shí)間和精力，組織翻譯工作，把控進(jìn)度和質(zhì)量，沒有欒浩先生的辛勤付出，翻譯工作不可能如此順利地完成。
同時(shí)，要感謝本書的審校單位北京谷安天下科技有限公司(簡(jiǎn)稱谷安天下)。谷安天下是國(guó)內(nèi)中立的網(wǎng)絡(luò)安全與數(shù)字風(fēng)險(xiǎn)服務(wù)機(jī)構(gòu)，以成就更高的社會(huì)價(jià)值為目標(biāo)，專注于網(wǎng)絡(luò)安全與數(shù)字風(fēng)險(xiǎn)管理領(lǐng)域的研究與實(shí)踐，致力于全面提升中國(guó)企業(yè)的安全能力與風(fēng)險(xiǎn)管控能力，依靠嚴(yán)謹(jǐn)?shù)膶�業(yè)團(tuán)隊(duì)、全方位的網(wǎng)絡(luò)安全保障體系、良好的溝通能力，為政府部門、大型國(guó)有企業(yè)、銀行保險(xiǎn)、大型民營(yíng)企業(yè)等客戶提供網(wǎng)絡(luò)安全規(guī)劃、信息系統(tǒng)審計(jì)、數(shù)據(jù)安全咨詢等以實(shí)現(xiàn)管理目標(biāo)和數(shù)字資產(chǎn)價(jià)值交付為核心的，全方位、定制化的專業(yè)服務(wù)。在本書的譯校過程中，谷安天下作為(ISC)2中國(guó)的OTP授權(quán)培訓(xùn)機(jī)構(gòu)，投入了多位專家、講師和技術(shù)人員以及大量時(shí)間支持本書譯校工作，進(jìn)而保證了全書的質(zhì)量。
此外，感謝本書的技術(shù)支持單位上海珪梵科技有限公司(簡(jiǎn)稱上海珪梵)。上海珪梵是一家集數(shù)字化軟件技術(shù)與數(shù)字安全于一體的專業(yè)服務(wù)機(jī)構(gòu)，專注于數(shù)字化軟件技術(shù)和數(shù)字安全領(lǐng)域的研究與實(shí)踐，并提供數(shù)字科技建設(shè)、數(shù)字安全規(guī)劃與建設(shè)、網(wǎng)絡(luò)安全技術(shù)支持、數(shù)據(jù)安全治理、軟件項(xiàng)目造價(jià)、數(shù)據(jù)安全審計(jì)和信息系統(tǒng)審計(jì)等服務(wù)。在本書譯校過程中，上海珪梵投入了多名人員以支持本書的譯校工作。
最后，再次感謝清華大學(xué)出版社，感謝王軍等編輯的嚴(yán)格把關(guān)，悉心指導(dǎo)。正是有了這些編輯的辛勤努力和付出，才有了本書中文譯稿的出版發(fā)行。
本書涉及內(nèi)容廣泛，立意精深。因譯者能力局限，在翻譯中難免有錯(cuò)誤或不妥之處，懇請(qǐng)廣大考生朋友指正。

業(yè)界推薦
Fernando對(duì)本書的最新更新延續(xù)了過去與Shon Harris的合作傳統(tǒng)，分解了關(guān)鍵概念和技能。再次證明了本書是重要的備考資料。即便通過考試后，本書也是工作中寶貴的參考資料。
Stefanie Keuser
CISSP，美國(guó)軍官協(xié)會(huì)首席信息官

本書是通過CISSP考試所需的唯一書籍。Fernando Maymí不僅是一名作家，還是網(wǎng)絡(luò)安全行業(yè)的領(lǐng)導(dǎo)者。Fernando的洞察力、知識(shí)和專長(zhǎng)體現(xiàn)在本書的內(nèi)容中。本書不僅為考生提供通過考試所需的知識(shí)，還可幫助考生在網(wǎng)絡(luò)安全領(lǐng)域取得進(jìn)一步的發(fā)展。
Marc Coady
CISSP，Costco Wholesale公司合規(guī)分析師

本書是網(wǎng)絡(luò)安全專家的必備參考資料，介紹了寶貴的實(shí)踐知識(shí)，列出當(dāng)今世界開展業(yè)務(wù)需要了解的日益復(fù)雜的安全概念、控制措施及最佳實(shí)踐。
Steve Zalewski
Levi Strauss公司前首席信息安全官

Shon Harris將這本經(jīng)典的CISSP書籍引入安全行業(yè)，F(xiàn)ernando Maymí用清晰、準(zhǔn)確和客觀的行文完美傳承了Shon Harris的精神，我相信Shon會(huì)對(duì)此深感欣慰和自豪。
David R. Miller
CISSP、CCSP、GIAC GISP GSEC GISF、PCI QSA、LPT、ECSA、CEH、CWNA、CCNA、SME、MCT、MCIT Pro EA、MCSE:Security、CNE、Security

一本經(jīng)典的參考資料，內(nèi)容清晰明了，對(duì)考生、教育工作者和安全專家而言，都堪稱無價(jià)之寶。
Joe Adams博士
密歇根賽博系列創(chuàng)始人兼執(zhí)行董事

本書由安全領(lǐng)域的兩位大師Maymí和Shon撰寫，內(nèi)容通俗易懂，極具啟發(fā)性，將一幅網(wǎng)絡(luò)安全的全景圖在考生面前徐徐展開。
Greg Conti博士
Kopidion公司創(chuàng)始人

多么希望在職業(yè)生涯早期就能閱讀到本書！不可否認(rèn)，本書是助我通過CISSP考試的唯一工具。更重要的是，本書傳授了許多我以前完全不了解的安全知識(shí)。從本書中學(xué)到的知識(shí)將在今后多年對(duì)我的職業(yè)生涯起到幫助作用。非常棒的書籍！
Janet Robinson
首席安全官

譯者介紹

欒浩，獲得美國(guó)天普大學(xué)IT審計(jì)與網(wǎng)絡(luò)安全專業(yè)理學(xué)碩士學(xué)位，持有CISSP、CISA、CISP、CISP-A和TOGAF 9等認(rèn)證。負(fù)責(zé)金融科技研發(fā)、數(shù)據(jù)安全、云計(jì)算安全和信息科技審計(jì)及內(nèi)部風(fēng)險(xiǎn)控制等工作。擔(dān)任中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)數(shù)據(jù)安全產(chǎn)業(yè)專家委員會(huì)委員、(ISC)2上海分會(huì)理事。欒浩先生擔(dān)任本書翻譯的總技術(shù)負(fù)責(zé)人，并承擔(dān)全書的校對(duì)和定稿工作。
姚凱，獲得中歐國(guó)際工商學(xué)院工商管理專業(yè)管理學(xué)碩士學(xué)位，持有CISA、CISM、CGEIT、CRISC、CISSP、CCSP、CSSLP和CEH等認(rèn)證，現(xiàn)任CIO職務(wù)，負(fù)責(zé)IT戰(zhàn)略規(guī)劃、策略制定、數(shù)字化轉(zhuǎn)型、IT架構(gòu)設(shè)計(jì)和應(yīng)用部署、系統(tǒng)取證和應(yīng)急響應(yīng)、數(shù)據(jù)安全備份策略規(guī)劃制定、數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)演練和復(fù)盤等工作。姚凱先生承擔(dān)本書第24章和第25章的翻譯工作，并承擔(dān)全書的校對(duì)和定稿工作，同時(shí)為本書撰寫譯者序。
王向宇，獲得安徽科技學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP、CISP、CISP-A和軟件研發(fā)安全師等認(rèn)證。現(xiàn)任資深安全工程師職務(wù)，負(fù)責(zé)安全事件處置與應(yīng)急、數(shù)據(jù)安全治理、安全監(jiān)測(cè)平臺(tái)研發(fā)與運(yùn)營(yíng)、云平臺(tái)安全和軟件研發(fā)安全等工作。王向宇先生擔(dān)任本書項(xiàng)目經(jīng)理，負(fù)責(zé)本書第5章和第6章的翻譯工作，并承擔(dān)全書的校對(duì)和定稿工作。
曹洪澤，獲得哈爾濱工程大學(xué)通信與信息系統(tǒng)專業(yè)工學(xué)博士學(xué)位，正高級(jí)工程師職稱。現(xiàn)任審計(jì)署計(jì)算中心審計(jì)技術(shù)服務(wù)處處長(zhǎng)職務(wù)，負(fù)責(zé)中央部門、中央企業(yè)、金融機(jī)構(gòu)等多領(lǐng)域?qū)徲?jì)工作以及金審工程建設(shè)和運(yùn)營(yíng)。持有CISA、審計(jì)師等認(rèn)證。擔(dān)任中國(guó)審計(jì)學(xué)會(huì)計(jì)算機(jī)審計(jì)分會(huì)副秘書長(zhǎng)。曹洪澤女士作為本書信息系統(tǒng)審計(jì)領(lǐng)域特邀專家，承擔(dān)本書通讀工作。
李杺恬，獲得北京理工大學(xué)軟件工程專業(yè)工程碩士學(xué)位，持有CISSP、CISP和CISA等認(rèn)證�，F(xiàn)任中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)數(shù)據(jù)安全產(chǎn)業(yè)專家委員會(huì)委員，負(fù)責(zé)人才培養(yǎng)、能力評(píng)定和成果轉(zhuǎn)化等工作。李杺恬女士作為本書數(shù)據(jù)安全領(lǐng)域特邀專家，承擔(dān)本書通讀工作。
徐坦，獲得河北科技大學(xué)理工學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISP、CISP-A等認(rèn)證�，F(xiàn)任安全技術(shù)經(jīng)理職務(wù)，負(fù)責(zé)數(shù)據(jù)安全、滲透測(cè)試、安全工具研發(fā)、代碼審計(jì)、安全教育培訓(xùn)、IT審計(jì)和企業(yè)安全攻防等工作。徐坦先生承擔(dān)本書全書的校對(duì)、通讀工作。
李浩軒，獲得河北科技大學(xué)理工學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISP-A、CISP等認(rèn)證�，F(xiàn)任安全技術(shù)經(jīng)理職務(wù)，負(fù)責(zé)數(shù)據(jù)安全、IT審計(jì)、網(wǎng)絡(luò)安全、平臺(tái)研發(fā)和企業(yè)安全攻防等工作。李浩軒先生承擔(dān)本書全書的校對(duì)、通讀工作。
高峽，獲得西安科技大學(xué)計(jì)算機(jī)及應(yīng)用專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP、CISA和CISP等認(rèn)證�，F(xiàn)任網(wǎng)絡(luò)安全教學(xué)質(zhì)量總監(jiān)職務(wù)，負(fù)責(zé)網(wǎng)絡(luò)安全相關(guān)課程體系設(shè)計(jì)、網(wǎng)絡(luò)安全相關(guān)課程研發(fā)、課程講授和課程管理等工作。高峽女士負(fù)責(zé)本書第1章和第2章，附錄A、B、C的翻譯工作。
戴贇，獲得上海大學(xué)通信工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP和CCSP等認(rèn)證�，F(xiàn)任云安全專家職務(wù)，負(fù)責(zé)云計(jì)算安全架構(gòu)設(shè)計(jì)、項(xiàng)目實(shí)施、方案優(yōu)化和日常運(yùn)維管理等工作。戴贇先生負(fù)責(zé)本書第3章和第4章的翻譯工作。
伏偉任，獲得東華理工大學(xué)環(huán)境工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP和CCSP等認(rèn)證�，F(xiàn)任IT經(jīng)理和信息安全負(fù)責(zé)人職務(wù)，負(fù)責(zé)IT運(yùn)維、信息安全相關(guān)工作，伏偉任先生負(fù)責(zé)本書第7章和第8章的翻譯工作。
鄭偉，獲得華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP等認(rèn)證。現(xiàn)任諾基亞通信無線基站安全技術(shù)專家職務(wù)，負(fù)責(zé)產(chǎn)品安全需求分析、系統(tǒng)規(guī)范制定等工作。鄭偉先生負(fù)責(zé)本書第9章和第10章的翻譯工作。
梁龍亭，獲得北京理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP和ISO/IEC27001等認(rèn)證。現(xiàn)任信息安全&合規(guī)職務(wù)，負(fù)責(zé)安全技術(shù)架構(gòu)設(shè)計(jì)、安全攻防、安全技術(shù)實(shí)施、安全合規(guī)等工作。梁龍亭先生負(fù)責(zé)本書第11章的翻譯工作。
萬雪蓮，獲得武漢大學(xué)計(jì)算機(jī)技術(shù)專業(yè)工程碩士學(xué)位，持有CISSP、CISM和CISA等認(rèn)證。現(xiàn)任網(wǎng)絡(luò)安全與隱私保護(hù)高級(jí)安全咨詢顧問職務(wù)，負(fù)責(zé)數(shù)據(jù)安全、隱私保護(hù)、云安全、安全分析和安全管理等工作。萬雪蓮女士負(fù)責(zé)本書前言、第12章和第13章的翻譯工作。
張帆，獲得上海交通大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位，持有CISSP和CISA認(rèn)證。現(xiàn)任信息安全負(fù)責(zé)人職務(wù)，負(fù)責(zé)IT安全策略和制度制定、IT安全架構(gòu)及應(yīng)用安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)跨境傳輸安全評(píng)估、災(zāi)難恢復(fù)演練等工作。張帆先生負(fù)責(zé)本書第14章和第15章的翻譯工作。
周可政，獲得上海交通大學(xué)電子與通信工程專業(yè)工學(xué)碩士學(xué)位，持有CISSP、CISA等認(rèn)證�，F(xiàn)任資深安全工程師職務(wù)，負(fù)責(zé)數(shù)據(jù)安全、SIEM平臺(tái)規(guī)劃建設(shè)和企業(yè)安全防護(hù)體系建設(shè)等工作。周可政先生負(fù)責(zé)本書第16章和第17章的翻譯工作。
許琛超，獲得上海交通大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP、CCSP和CISA等認(rèn)證�，F(xiàn)任信息安全高級(jí)經(jīng)理職務(wù)，負(fù)責(zé)數(shù)據(jù)安全治理、個(gè)人信息保護(hù)、信息安全管理體系、信息安全評(píng)估等工作。許琛超先生承擔(dān)本書第18章和第19章的翻譯工作。
呂麗，獲得吉林大學(xué)文秘專業(yè)文學(xué)學(xué)士學(xué)位，持有CISSP、CISA和CISP-PTE等認(rèn)證�，F(xiàn)任中銀金融商務(wù)有限公司信息安全經(jīng)理職務(wù)，負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全技術(shù)架構(gòu)評(píng)估和規(guī)劃、數(shù)據(jù)安全治理、信息安全管理體系制度管理、信息科技外包風(fēng)險(xiǎn)管理、安全合規(guī)與審計(jì)等工作。呂麗女士承擔(dān)本書第20章和第21章翻譯工作。
湯國(guó)洪，獲得電子科技大學(xué)電子材料與元器件專業(yè)工學(xué)學(xué)士學(xué)位，持有CISSP、CISA和ISO/IEC27001等認(rèn)證�，F(xiàn)任IT經(jīng)理與信息安全負(fù)責(zé)人職務(wù)，負(fù)責(zé)IT運(yùn)維、基礎(chǔ)架構(gòu)安全、網(wǎng)絡(luò)安全和隱私合規(guī)等工作。湯國(guó)洪先生承擔(dān)第22章及第23章的翻譯工作。
牛承偉，獲得中南大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位，持有CISP等認(rèn)證�，F(xiàn)任廣州越秀企業(yè)集團(tuán)股份有限公司IT經(jīng)理職務(wù)，負(fù)責(zé)云安全、基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全和資產(chǎn)安全等工作。牛承偉先生承擔(dān)本書全書的通讀工作。
朱思奇，獲得上海交通大學(xué)通信與信息系統(tǒng)專業(yè)工學(xué)碩士學(xué)位，持有CISA和CISSP等認(rèn)證�，F(xiàn)任中國(guó)銀行江蘇省分行科技經(jīng)理職務(wù)，負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)、信息安全意識(shí)培訓(xùn)等工作。朱思奇先生承擔(dān)本書的校對(duì)、通讀工作。
陳偉，獲得中國(guó)石油大學(xué)工業(yè)管理工程專業(yè)管理學(xué)碩士學(xué)位，持有CISA等認(rèn)證�，F(xiàn)任谷安天下研究院院長(zhǎng)職務(wù)，負(fù)責(zé)IT治理、網(wǎng)絡(luò)安全、數(shù)字風(fēng)險(xiǎn)管理及IT審計(jì)、咨詢等工作。陳偉先生負(fù)責(zé)本書部分章節(jié)的校對(duì)工作。
方樂，獲得復(fù)旦大學(xué)計(jì)算機(jī)專業(yè)理學(xué)碩士學(xué)位，持有CISSP、CISA等認(rèn)證�，F(xiàn)任谷安天下咨詢顧問職務(wù)，負(fù)責(zé)IT管理、IT治理、信息安全管理、IT風(fēng)險(xiǎn)管理、信息系統(tǒng)審計(jì)、數(shù)據(jù)治理咨詢及培訓(xùn)等工作。方樂先生承擔(dān)本書部分章節(jié)的校對(duì)工作。

以下專家參加本書各章節(jié)的校對(duì)、通讀等工作，在此一并感謝：
劉競(jìng)雄先生，獲得長(zhǎng)春工業(yè)大學(xué)計(jì)算機(jī)技術(shù)專業(yè)工學(xué)碩士學(xué)位。
趙晨明先生，獲得西安交通大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位。
馬洪曉先生，獲得北京郵電大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)碩士學(xué)位。
王厚奎先生，獲得南寧師范大學(xué)教育技術(shù)學(xué)(網(wǎng)絡(luò)信息安全方向)專業(yè)工學(xué)碩士學(xué)位。
邢海韜先生，獲得北京工業(yè)大學(xué)軟件工程專業(yè)工學(xué)碩士學(xué)位。
羅進(jìn)先生，獲得澳大利亞南昆士蘭大學(xué)信息技術(shù)專業(yè)工學(xué)碩士學(xué)位。
劉海先生，獲得華東師范大學(xué)軟件工程專業(yè)工學(xué)碩士學(xué)位。
張鋒先生，獲得鄭州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位、北京工業(yè)大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位。
李海霞女士，獲得對(duì)外經(jīng)貿(mào)大學(xué)公共管理專業(yè)管理學(xué)碩士學(xué)位。
陳欣煒先生，獲得同濟(jì)大學(xué)工程管理專業(yè)本科學(xué)歷。
王伏彧女士，獲得吉林大學(xué)電子信息科學(xué)與技術(shù)專業(yè)理學(xué)學(xué)士學(xué)位、法學(xué)學(xué)士學(xué)位。
朱建濱先生，獲得香港大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位。
劉北水先生，獲得西安電子科技大學(xué)工學(xué)碩士學(xué)位。
王濤女士，獲得新疆財(cái)經(jīng)大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位、電子科技大學(xué)軟件工程專業(yè)工程碩士學(xué)位。
張亭亭先生，獲得哈爾濱商業(yè)大學(xué)工學(xué)學(xué)士學(xué)位。
張士瑩先生，獲得中北大學(xué)網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位。
張曉飛先生，獲得內(nèi)蒙古大學(xué)理工學(xué)院應(yīng)用物理學(xué)專業(yè)理學(xué)學(xué)士學(xué)位。
陳岳林女士，獲得香港浸會(huì)大學(xué)資訊科技管理專業(yè)理學(xué)碩士學(xué)位。
陳峻先生，獲得同濟(jì)大學(xué)軟件工程專業(yè)工學(xué)碩士學(xué)位。
馬春燕女士，獲得挪威商學(xué)院工商管理專業(yè)管理學(xué)碩士學(xué)位。

貢獻(xiàn)者/技術(shù)編輯簡(jiǎn)介
Bobby E. Rogers是一名信息安全工程師，在美國(guó)國(guó)防部工作，職責(zé)包括信息系統(tǒng)安全工程、風(fēng)險(xiǎn)管理以及認(rèn)證和認(rèn)可工作。Bobby在美國(guó)空軍服役21年后退休，擔(dān)任網(wǎng)絡(luò)安全工程師和指導(dǎo)者，保護(hù)全球各地的網(wǎng)絡(luò)。Bobby擁有信息保障(InformationAssurance，IA)碩士學(xué)位，目前，正在美國(guó)馬里蘭州國(guó)會(huì)科技大學(xué)攻讀網(wǎng)絡(luò)安全博士學(xué)位。Bobby獲得的認(rèn)證包括CISSP-ISSEP、CEH和MCSE: Security，以及CompTIA A 、Network 、Security 和Mobility 。

自序

感謝諸位考生在《CISSP信息系統(tǒng)安全專家認(rèn)證All-in-One(第9版)》中投入學(xué)習(xí)精力，我相信你會(huì)發(fā)現(xiàn)本書不僅對(duì)準(zhǔn)備CISSP考試很有幫助，而且對(duì)未來職業(yè)生涯也很有幫助。這是Shon Harris撰寫前六版時(shí)的首要目標(biāo)之一，也是我在最近三版CISSP中努力追求的目標(biāo)。這個(gè)目標(biāo)并不那么容易，但我希望考生會(huì)對(duì)我們?nèi)绾纹胶膺@兩個(gè)需求感到滿意。
(ISC)2在實(shí)際應(yīng)用中為CISSP通用知識(shí)體系(Common Body of Knowledge，CBK)打下了良好基礎(chǔ)，但仍有很多討論和分歧。與幾乎任何其他領(lǐng)域一樣，在網(wǎng)絡(luò)安全領(lǐng)域，很少有主題可達(dá)成普遍共識(shí)。本書內(nèi)容為了平衡備考和現(xiàn)實(shí)應(yīng)用的模糊性，從我們的經(jīng)驗(yàn)中總結(jié)了大量的評(píng)論和示例。
特意說我們的經(jīng)驗(yàn)，因?yàn)榧词筍hon去世多年，她的見解在這一版本中仍然充滿活力、信息豐富和富有娛樂性。本書盡可能多地保留了她的見解，同時(shí)確保相關(guān)內(nèi)容是最新的，也盡量保持Shon作品特有的行文風(fēng)格。其結(jié)果是我希望本書讀起來更像是一篇文章，甚至是一個(gè)故事，而不是一本教科書，但本書是以優(yōu)良的教學(xué)作為基礎(chǔ)。本書應(yīng)易于閱讀，同時(shí)幫助考生準(zhǔn)備考試。
說到考試，2021年(ISC)2對(duì) CBK 所做的變化并不顯著，但意義重大。每個(gè)知識(shí)域都以某種方式做出了調(diào)整，八個(gè)知識(shí)域中有七個(gè)添加了多個(gè)主題(知識(shí)域1除外)。這些變化以及本書第8版中的大量主題，促使我對(duì)這一版內(nèi)容進(jìn)行了徹底重組。我將每個(gè)知識(shí)域和主題分解為原子粒度，然后重新設(shè)計(jì)整本書，以整合下表中列出的CBK 2021新目標(biāo)(注意，方括號(hào)中的內(nèi)容供參考，并非新增目標(biāo))。
知識(shí)域2：資產(chǎn)安全2.4管理數(shù)據(jù)生命周期2.4.1數(shù)據(jù)角色(例如，所有方、控制方、托管方、處理方和用戶/數(shù)據(jù)主體)2.4.3數(shù)據(jù)物理位置2.4.4數(shù)據(jù)維護(hù)2.5確保適當(dāng)?shù)馁Y產(chǎn)留存，如生命周期終止(End-of-Life，EOL)、支持終止(End-of-Support，EOS)
知識(shí)域3：安全架構(gòu)與工程[3.7理解密碼攻擊方法]3.7.1暴力破解3.7.4頻率分析3.7.6實(shí)施攻擊3.7.8故障注入3.7.9時(shí)序3.7.10中間人攻擊(Man-in-the-Middle，MITM)3.7.11傳遞哈希3.7.12 Kerberos 攻擊3.7.13勒索軟件[3.9設(shè)計(jì)現(xiàn)場(chǎng)和設(shè)施安全控制措施]3.9.9電源(如冗余、備用)
知識(shí)域4：通信與網(wǎng)絡(luò)安全[4.1評(píng)估并實(shí)施網(wǎng)絡(luò)架構(gòu)中的安全設(shè)計(jì)原則]4.1.3安全協(xié)議4.1.6微分段，如軟件定義網(wǎng)絡(luò)(Software Defined Networks，SDN)、虛擬可擴(kuò)展局域網(wǎng)(Virtual eXtensible Local Area Network ，VXLAN)、封裝和軟件定義廣域網(wǎng)(Software-Defined Wide Area Network，SD-WAN)4.1.8 蜂窩網(wǎng)絡(luò)(如 4G、5G)[4.3根據(jù)設(shè)計(jì)實(shí)施安全通信通道]4.3.6第三方連接
知識(shí)域5：身份和訪問管理(IAM)[5.1控制對(duì)資產(chǎn)的物理和邏輯訪問]5.1.5應(yīng)用程序[5.2管理人員、設(shè)備和服務(wù)的標(biāo)識(shí)和身份認(rèn)證]5.2.8單點(diǎn)登錄(SSO)5.2.9 準(zhǔn)時(shí)制(Just-In-Time，JIT)[5.4實(shí)施和管理授權(quán)機(jī)制]5.4.6基于風(fēng)險(xiǎn)的訪問控制[5.5管理身份和訪問資源調(diào)配生命周期]5.5.3角色定義(如分配了新角色的人員)5.5.4權(quán)限提升(如托管服務(wù)賬戶、使用sudo和盡量減少使用)5.6實(shí)施身份驗(yàn)證系統(tǒng)5.6.1 OpenID Connect(OIDC)/Open Authorization(OAuth)5.6.2安全聲明標(biāo)記語言(SAML)5.6.3 Kerberos5.6.4遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)(RADIUS)/終端訪問控制器訪問控制系統(tǒng)升級(jí)版(TACACS )
知識(shí)域6：安全評(píng)估與測(cè)試[6.2實(shí)施安全控制測(cè)試]6.2.9漏洞攻擊模擬6.2.10合規(guī)檢查[6.3收集安全流程數(shù)據(jù)(如技術(shù)和行政)]6.3.6災(zāi)難恢復(fù)(DR)和業(yè)務(wù)持續(xù)(BC)[6.4分析測(cè)試輸出并生成報(bào)告]6.4.1補(bǔ)救措施6.4.2異常處理6.4.3道德披露
知識(shí)域7：安全運(yùn)營(yíng)[7.1理解并遵守調(diào)查]7.1.5制品(如計(jì)算機(jī)、網(wǎng)絡(luò)和移動(dòng)設(shè)備)[7.2實(shí)施記錄和持續(xù)監(jiān)測(cè)活動(dòng)]7.2.5日志管理7.2.6 威脅情報(bào)(如威脅源、威脅狩獵)7.2.7用戶和實(shí)體行為分析(UEBA)[7.7操作和維護(hù)檢測(cè)和預(yù)防措施]7.7.8基于機(jī)器學(xué)習(xí)和人工智能(AI)的工具[7.11實(shí)施災(zāi)難恢復(fù)(DR)流程]7.11.7經(jīng)驗(yàn)教訓(xùn)
知識(shí)域8：軟件研發(fā)安全[8.2在軟件研發(fā)生態(tài)系統(tǒng)中識(shí)別并實(shí)施安全控制措施]8.2.1編程語言8.2.2庫(kù)8.2.3工具集8.2.5運(yùn)行時(shí)間8.2.6持續(xù)集成和持續(xù)交付(CI/CD)8.2.7安全編排、自動(dòng)化和響應(yīng)(SOAR)8.2.10應(yīng)用程序安全測(cè)試，如靜態(tài)應(yīng)用程序安全測(cè)試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)[8.4評(píng)估收購(gòu)軟件的安全影響]8.4.1商用現(xiàn)貨(COTS)8.4.2開源8.4.3第三方8.4.4托管服務(wù)，如軟件即服務(wù)(SaaS)、基礎(chǔ)架構(gòu)即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS)[8.5定義并實(shí)施安全編碼指南和標(biāo)準(zhǔn)]8.5.4軟件定義安全

注意，這些目標(biāo)中的部分內(nèi)容在之前(2018年)版本的CBK中是隱性的，在第8版中已有所涉及。事實(shí)上，這些目標(biāo)現(xiàn)在是明確的，這表明在考試和實(shí)踐中都變得越來越重要(在準(zhǔn)備考試時(shí)，請(qǐng)?zhí)貏e注意這些)�？傊�，與上一版相比，第9版有顯著不同且有所改進(jìn)，相信考生會(huì)表示認(rèn)同。再次感謝考生對(duì)CISSP第9版書籍的關(guān)注。