《CISSP信息系統(tǒng)安全專家認(rèn)證All-in-One(第9版)》針對(duì)**發(fā)布的CISSP考試做了全面細(xì)致的修訂和更新,涵蓋(ISC)2新開發(fā)的2021 CISSP考試大綱的所有目標(biāo)。這本綜合性**指南編排精當(dāng),每章開頭列出學(xué)習(xí)目標(biāo),正文中穿插考試提示,章末附有練習(xí)題和精辟解釋。本書由**的IT安全認(rèn)證和培訓(xùn)專家撰寫,將幫助你輕松通過考試;也可作為你工作中的一本重要參考書。
配備1400多道練習(xí)題
涵蓋CISSP的
8個(gè)專業(yè)領(lǐng)域:
安全和風(fēng)險(xiǎn)管理
資產(chǎn)安全
安全架構(gòu)與工程
通信與網(wǎng)絡(luò)安全
身份和訪問管理
安全評(píng)估與測(cè)試
安全運(yùn)營(yíng)
軟件研發(fā)安全
譯者序
(ISC)2的CISSP認(rèn)證是目前世界上全面的、權(quán)威的國(guó)際化信息系統(tǒng)安全方面的認(rèn)證,CISSP認(rèn)證證書可證明證書持有者具備符合國(guó)際標(biāo)準(zhǔn)要求的信息安全知識(shí)水平和能力,提升持證專家的專業(yè)可信度,目前,CISSP認(rèn)證證書已得到全球的廣泛認(rèn)可。在安全行業(yè)中,能否取得CISSP認(rèn)證證書,已成為表明專家是否具備完善的信息安全知識(shí)體系和豐富的行業(yè)經(jīng)驗(yàn)的佐證之一。對(duì)于立志扎根于網(wǎng)絡(luò)安全行業(yè)的網(wǎng)絡(luò)安全專家而言,CISSP認(rèn)證應(yīng)該是職業(yè)生涯中最有價(jià)值、最值得追求的職業(yè)認(rèn)證之一。
《CISSP信息系統(tǒng)安全專家認(rèn)證All-in-One(第9版)》是備考CISSP認(rèn)證證書的寶典,在所有CISSP認(rèn)證證書備考資料中享有極高聲譽(yù)。本書內(nèi)容全面、專業(yè)、通俗易懂,是一本享譽(yù)全球、暢銷超過15年的安全經(jīng)典教材,曾幫助包括譯者團(tuán)隊(duì)在內(nèi)的全球無數(shù)網(wǎng)絡(luò)安全專家通過CISSP認(rèn)證考試。
數(shù)字經(jīng)濟(jì)被譽(yù)為第四次工業(yè)革命的鑰匙,已成為全球經(jīng)濟(jì)復(fù)蘇的新引擎,成為國(guó)家發(fā)展新征程的助推器和國(guó)家級(jí)戰(zhàn)略。《十四五數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》指出:2025年數(shù)字經(jīng)濟(jì)將進(jìn)入全面擴(kuò)展期,2035年數(shù)字經(jīng)濟(jì)將進(jìn)入繁榮成熟期。數(shù)字化技術(shù)已滲透到社會(huì)生活的方方面面。新興技術(shù)的日趨普及,對(duì)企業(yè)運(yùn)營(yíng)模式產(chǎn)生了重大影響,而2019年開始的新冠疫情,對(duì)社會(huì)生產(chǎn)生活方式帶來了巨大影響。
近年來,隨著社會(huì)數(shù)字化程度的提升,數(shù)字化安全的風(fēng)險(xiǎn)也日益突出,國(guó)內(nèi)外都發(fā)生了多起網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件,導(dǎo)致數(shù)據(jù)泄露或服務(wù)終止。初創(chuàng)公司Socialarks由于ElasticSearch數(shù)據(jù)庫設(shè)置錯(cuò)誤,泄露了近400GB數(shù)據(jù)(超過3.18億條用戶記錄)。美國(guó)燃油管道運(yùn)營(yíng)商Colonial Pipeline于2021年5月7日遭受網(wǎng)絡(luò)犯罪團(tuán)伙DarkSide的勒索軟件攻擊,導(dǎo)致該公司被迫關(guān)停其主要輸油管道。而巴基斯坦國(guó)民銀行(NBP)于當(dāng)?shù)貢r(shí)間2021年10月30日發(fā)布的一份聲明稱,已檢測(cè)到敵對(duì)方對(duì)NBP的網(wǎng)絡(luò)攻擊。2021年10月4日,F(xiàn)acebook及其旗下Instagram和WhatsApp等應(yīng)用程序全網(wǎng)宕機(jī),停機(jī)時(shí)間近7小時(shí)。宕機(jī)期間,F(xiàn)acebook在歐洲、美洲和大洋洲幾乎完全下線,在亞洲的日本、韓國(guó)和印度等國(guó)也無法訪問。由此可見,如果沒有數(shù)字安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全技術(shù)保駕護(hù)航,數(shù)字化發(fā)展的程度越高,其背后隱藏的風(fēng)險(xiǎn)就越大。
與此同時(shí),我國(guó)日益關(guān)注網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息安全,2021年密集發(fā)布了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等一系列網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),進(jìn)一步完善了我國(guó)網(wǎng)絡(luò)安全相關(guān)規(guī)章制度。網(wǎng)絡(luò)安全已成為企業(yè)合規(guī)的必選項(xiàng)。今天,已有越來越多的組織機(jī)構(gòu)將數(shù)字安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全工作放在數(shù)字技術(shù)工作的首要位置。數(shù)字安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全不再是數(shù)字技術(shù)工作中一個(gè)可有可無的選項(xiàng),而成為不可或缺的部分;能幫助企業(yè)和機(jī)構(gòu)提高數(shù)字安全防護(hù)水平的人才也日益緊俏,形成巨大的崗位需求。
本書第9版本得到全面更新,涵蓋CISSP認(rèn)證考試的所有八大知識(shí)域,即安全和風(fēng)險(xiǎn)管理、資產(chǎn)安全、安全架構(gòu)與工程、通信與網(wǎng)絡(luò)安全、身份和訪問管理、安全評(píng)估與測(cè)試、安全運(yùn)營(yíng)、軟件研發(fā)安全。本書由安全認(rèn)證和培訓(xùn)領(lǐng)域的頂級(jí)專家Fernando Maymí和Shon Harris撰寫,用通俗易懂的語言,介紹了安全知識(shí)體系的方方面面,并通過豐富的案例加深考生對(duì)重要知識(shí)點(diǎn)的理解、激發(fā)考生的閱讀興趣,幫助考生在較短時(shí)間內(nèi)吸取網(wǎng)絡(luò)安全知識(shí)體系的精髓。本書不僅是準(zhǔn)備CISSP認(rèn)證考試的首選學(xué)習(xí)指南,也是安全專家提高業(yè)務(wù)水平、拓寬職業(yè)視野及建立完整知識(shí)體系的經(jīng)典書籍。全球每一名安全專家的案頭都應(yīng)常備本書。
在本書的譯校過程中,諸位譯者力求忠于原著,盡可能傳達(dá)作者的原意。在此,感謝欒浩先生,正是在他的努力下,多位譯者才能聚集到一起,共同完成這項(xiàng)工作。欒浩先生投入了大量時(shí)間和精力,組織翻譯工作,把控進(jìn)度和質(zhì)量,沒有欒浩先生的辛勤付出,翻譯工作不可能如此順利地完成。
同時(shí),要感謝本書的審校單位北京谷安天下科技有限公司(簡(jiǎn)稱谷安天下)。谷安天下是國(guó)內(nèi)中立的網(wǎng)絡(luò)安全與數(shù)字風(fēng)險(xiǎn)服務(wù)機(jī)構(gòu),以成就更高的社會(huì)價(jià)值為目標(biāo),專注于網(wǎng)絡(luò)安全與數(shù)字風(fēng)險(xiǎn)管理領(lǐng)域的研究與實(shí)踐,致力于全面提升中國(guó)企業(yè)的安全能力與風(fēng)險(xiǎn)管控能力,依靠嚴(yán)謹(jǐn)?shù)膶I(yè)團(tuán)隊(duì)、全方位的網(wǎng)絡(luò)安全保障體系、良好的溝通能力,為政府部門、大型國(guó)有企業(yè)、銀行保險(xiǎn)、大型民營(yíng)企業(yè)等客戶提供網(wǎng)絡(luò)安全規(guī)劃、信息系統(tǒng)審計(jì)、數(shù)據(jù)安全咨詢等以實(shí)現(xiàn)管理目標(biāo)和數(shù)字資產(chǎn)價(jià)值交付為核心的,全方位、定制化的專業(yè)服務(wù)。在本書的譯校過程中,谷安天下作為(ISC)2中國(guó)的OTP授權(quán)培訓(xùn)機(jī)構(gòu),投入了多位專家、講師和技術(shù)人員以及大量時(shí)間支持本書譯校工作,進(jìn)而保證了全書的質(zhì)量。
此外,感謝本書的技術(shù)支持單位上海珪梵科技有限公司(簡(jiǎn)稱上海珪梵)。上海珪梵是一家集數(shù)字化軟件技術(shù)與數(shù)字安全于一體的專業(yè)服務(wù)機(jī)構(gòu),專注于數(shù)字化軟件技術(shù)和數(shù)字安全領(lǐng)域的研究與實(shí)踐,并提供數(shù)字科技建設(shè)、數(shù)字安全規(guī)劃與建設(shè)、網(wǎng)絡(luò)安全技術(shù)支持、數(shù)據(jù)安全治理、軟件項(xiàng)目造價(jià)、數(shù)據(jù)安全審計(jì)和信息系統(tǒng)審計(jì)等服務(wù)。在本書譯校過程中,上海珪梵投入了多名人員以支持本書的譯校工作。
最后,再次感謝清華大學(xué)出版社,感謝王軍等編輯的嚴(yán)格把關(guān),悉心指導(dǎo)。正是有了這些編輯的辛勤努力和付出,才有了本書中文譯稿的出版發(fā)行。
本書涉及內(nèi)容廣泛,立意精深。因譯者能力局限,在翻譯中難免有錯(cuò)誤或不妥之處,懇請(qǐng)廣大考生朋友指正。
業(yè)界推薦
Fernando對(duì)本書的最新更新延續(xù)了過去與Shon Harris的合作傳統(tǒng),分解了關(guān)鍵概念和技能。再次證明了本書是重要的備考資料。即便通過考試后,本書也是工作中寶貴的參考資料。
Stefanie Keuser
CISSP,美國(guó)軍官協(xié)會(huì)首席信息官
本書是通過CISSP考試所需的唯一書籍。Fernando Maymí不僅是一名作家,還是網(wǎng)絡(luò)安全行業(yè)的領(lǐng)導(dǎo)者。Fernando的洞察力、知識(shí)和專長(zhǎng)體現(xiàn)在本書的內(nèi)容中。本書不僅為考生提供通過考試所需的知識(shí),還可幫助考生在網(wǎng)絡(luò)安全領(lǐng)域取得進(jìn)一步的發(fā)展。
Marc Coady
CISSP,Costco Wholesale公司合規(guī)分析師
本書是網(wǎng)絡(luò)安全專家的必備參考資料,介紹了寶貴的實(shí)踐知識(shí),列出當(dāng)今世界開展業(yè)務(wù)需要了解的日益復(fù)雜的安全概念、控制措施及最佳實(shí)踐。
Steve Zalewski
Levi Strauss公司前首席信息安全官
Shon Harris將這本經(jīng)典的CISSP書籍引入安全行業(yè),F(xiàn)ernando Maymí用清晰、準(zhǔn)確和客觀的行文完美傳承了Shon Harris的精神,我相信Shon會(huì)對(duì)此深感欣慰和自豪。
David R. Miller
CISSP、CCSP、GIAC GISP GSEC GISF、PCI QSA、LPT、ECSA、CEH、CWNA、CCNA、SME、MCT、MCIT Pro EA、MCSE:Security、CNE、Security
一本經(jīng)典的參考資料,內(nèi)容清晰明了,對(duì)考生、教育工作者和安全專家而言,都堪稱無價(jià)之寶。
Joe Adams博士
密歇根賽博系列創(chuàng)始人兼執(zhí)行董事
本書由安全領(lǐng)域的兩位大師Maymí和Shon撰寫,內(nèi)容通俗易懂,極具啟發(fā)性,將一幅網(wǎng)絡(luò)安全的全景圖在考生面前徐徐展開。
Greg Conti博士
Kopidion公司創(chuàng)始人
多么希望在職業(yè)生涯早期就能閱讀到本書!不可否認(rèn),本書是助我通過CISSP考試的唯一工具。更重要的是,本書傳授了許多我以前完全不了解的安全知識(shí)。從本書中學(xué)到的知識(shí)將在今后多年對(duì)我的職業(yè)生涯起到幫助作用。非常棒的書籍!
Janet Robinson
首席安全官
譯者介紹
欒浩,獲得美國(guó)天普大學(xué)IT審計(jì)與網(wǎng)絡(luò)安全專業(yè)理學(xué)碩士學(xué)位,持有CISSP、CISA、CISP、CISP-A和TOGAF 9等認(rèn)證。負(fù)責(zé)金融科技研發(fā)、數(shù)據(jù)安全、云計(jì)算安全和信息科技審計(jì)及內(nèi)部風(fēng)險(xiǎn)控制等工作。擔(dān)任中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)數(shù)據(jù)安全產(chǎn)業(yè)專家委員會(huì)委員、(ISC)2上海分會(huì)理事。欒浩先生擔(dān)任本書翻譯的總技術(shù)負(fù)責(zé)人,并承擔(dān)全書的校對(duì)和定稿工作。
姚凱,獲得中歐國(guó)際工商學(xué)院工商管理專業(yè)管理學(xué)碩士學(xué)位,持有CISA、CISM、CGEIT、CRISC、CISSP、CCSP、CSSLP和CEH等認(rèn)證,現(xiàn)任CIO職務(wù),負(fù)責(zé)IT戰(zhàn)略規(guī)劃、策略制定、數(shù)字化轉(zhuǎn)型、IT架構(gòu)設(shè)計(jì)和應(yīng)用部署、系統(tǒng)取證和應(yīng)急響應(yīng)、數(shù)據(jù)安全備份策略規(guī)劃制定、數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)演練和復(fù)盤等工作。姚凱先生承擔(dān)本書第24章和第25章的翻譯工作,并承擔(dān)全書的校對(duì)和定稿工作,同時(shí)為本書撰寫譯者序。
王向宇,獲得安徽科技學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP、CISP、CISP-A和軟件研發(fā)安全師等認(rèn)證。現(xiàn)任資深安全工程師職務(wù),負(fù)責(zé)安全事件處置與應(yīng)急、數(shù)據(jù)安全治理、安全監(jiān)測(cè)平臺(tái)研發(fā)與運(yùn)營(yíng)、云平臺(tái)安全和軟件研發(fā)安全等工作。王向宇先生擔(dān)任本書項(xiàng)目經(jīng)理,負(fù)責(zé)本書第5章和第6章的翻譯工作,并承擔(dān)全書的校對(duì)和定稿工作。
曹洪澤,獲得哈爾濱工程大學(xué)通信與信息系統(tǒng)專業(yè)工學(xué)博士學(xué)位,正高級(jí)工程師職稱,F(xiàn)任審計(jì)署計(jì)算中心審計(jì)技術(shù)服務(wù)處處長(zhǎng)職務(wù),負(fù)責(zé)中央部門、中央企業(yè)、金融機(jī)構(gòu)等多領(lǐng)域?qū)徲?jì)工作以及金審工程建設(shè)和運(yùn)營(yíng)。持有CISA、審計(jì)師等認(rèn)證。擔(dān)任中國(guó)審計(jì)學(xué)會(huì)計(jì)算機(jī)審計(jì)分會(huì)副秘書長(zhǎng)。曹洪澤女士作為本書信息系統(tǒng)審計(jì)領(lǐng)域特邀專家,承擔(dān)本書通讀工作。
李杺恬,獲得北京理工大學(xué)軟件工程專業(yè)工程碩士學(xué)位,持有CISSP、CISP和CISA等認(rèn)證,F(xiàn)任中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)數(shù)據(jù)安全產(chǎn)業(yè)專家委員會(huì)委員,負(fù)責(zé)人才培養(yǎng)、能力評(píng)定和成果轉(zhuǎn)化等工作。李杺恬女士作為本書數(shù)據(jù)安全領(lǐng)域特邀專家,承擔(dān)本書通讀工作。
徐坦,獲得河北科技大學(xué)理工學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位,持有CISP、CISP-A等認(rèn)證,F(xiàn)任安全技術(shù)經(jīng)理職務(wù),負(fù)責(zé)數(shù)據(jù)安全、滲透測(cè)試、安全工具研發(fā)、代碼審計(jì)、安全教育培訓(xùn)、IT審計(jì)和企業(yè)安全攻防等工作。徐坦先生承擔(dān)本書全書的校對(duì)、通讀工作。
李浩軒,獲得河北科技大學(xué)理工學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位,持有CISP-A、CISP等認(rèn)證,F(xiàn)任安全技術(shù)經(jīng)理職務(wù),負(fù)責(zé)數(shù)據(jù)安全、IT審計(jì)、網(wǎng)絡(luò)安全、平臺(tái)研發(fā)和企業(yè)安全攻防等工作。李浩軒先生承擔(dān)本書全書的校對(duì)、通讀工作。
高峽,獲得西安科技大學(xué)計(jì)算機(jī)及應(yīng)用專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP、CISA和CISP等認(rèn)證,F(xiàn)任網(wǎng)絡(luò)安全教學(xué)質(zhì)量總監(jiān)職務(wù),負(fù)責(zé)網(wǎng)絡(luò)安全相關(guān)課程體系設(shè)計(jì)、網(wǎng)絡(luò)安全相關(guān)課程研發(fā)、課程講授和課程管理等工作。高峽女士負(fù)責(zé)本書第1章和第2章,附錄A、B、C的翻譯工作。
戴贇,獲得上海大學(xué)通信工程專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP和CCSP等認(rèn)證,F(xiàn)任云安全專家職務(wù),負(fù)責(zé)云計(jì)算安全架構(gòu)設(shè)計(jì)、項(xiàng)目實(shí)施、方案優(yōu)化和日常運(yùn)維管理等工作。戴贇先生負(fù)責(zé)本書第3章和第4章的翻譯工作。
伏偉任,獲得東華理工大學(xué)環(huán)境工程專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP和CCSP等認(rèn)證,F(xiàn)任IT經(jīng)理和信息安全負(fù)責(zé)人職務(wù),負(fù)責(zé)IT運(yùn)維、信息安全相關(guān)工作,伏偉任先生負(fù)責(zé)本書第7章和第8章的翻譯工作。
鄭偉,獲得華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP等認(rèn)證,F(xiàn)任諾基亞通信無線基站安全技術(shù)專家職務(wù),負(fù)責(zé)產(chǎn)品安全需求分析、系統(tǒng)規(guī)范制定等工作。鄭偉先生負(fù)責(zé)本書第9章和第10章的翻譯工作。
梁龍亭,獲得北京理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP和ISO/IEC27001等認(rèn)證,F(xiàn)任信息安全&合規(guī)職務(wù),負(fù)責(zé)安全技術(shù)架構(gòu)設(shè)計(jì)、安全攻防、安全技術(shù)實(shí)施、安全合規(guī)等工作。梁龍亭先生負(fù)責(zé)本書第11章的翻譯工作。
萬雪蓮,獲得武漢大學(xué)計(jì)算機(jī)技術(shù)專業(yè)工程碩士學(xué)位,持有CISSP、CISM和CISA等認(rèn)證。現(xiàn)任網(wǎng)絡(luò)安全與隱私保護(hù)高級(jí)安全咨詢顧問職務(wù),負(fù)責(zé)數(shù)據(jù)安全、隱私保護(hù)、云安全、安全分析和安全管理等工作。萬雪蓮女士負(fù)責(zé)本書前言、第12章和第13章的翻譯工作。
張帆,獲得上海交通大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位,持有CISSP和CISA認(rèn)證,F(xiàn)任信息安全負(fù)責(zé)人職務(wù),負(fù)責(zé)IT安全策略和制度制定、IT安全架構(gòu)及應(yīng)用安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)跨境傳輸安全評(píng)估、災(zāi)難恢復(fù)演練等工作。張帆先生負(fù)責(zé)本書第14章和第15章的翻譯工作。
周可政,獲得上海交通大學(xué)電子與通信工程專業(yè)工學(xué)碩士學(xué)位,持有CISSP、CISA等認(rèn)證。現(xiàn)任資深安全工程師職務(wù),負(fù)責(zé)數(shù)據(jù)安全、SIEM平臺(tái)規(guī)劃建設(shè)和企業(yè)安全防護(hù)體系建設(shè)等工作。周可政先生負(fù)責(zé)本書第16章和第17章的翻譯工作。
許琛超,獲得上海交通大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP、CCSP和CISA等認(rèn)證,F(xiàn)任信息安全高級(jí)經(jīng)理職務(wù),負(fù)責(zé)數(shù)據(jù)安全治理、個(gè)人信息保護(hù)、信息安全管理體系、信息安全評(píng)估等工作。許琛超先生承擔(dān)本書第18章和第19章的翻譯工作。
呂麗,獲得吉林大學(xué)文秘專業(yè)文學(xué)學(xué)士學(xué)位,持有CISSP、CISA和CISP-PTE等認(rèn)證,F(xiàn)任中銀金融商務(wù)有限公司信息安全經(jīng)理職務(wù),負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全技術(shù)架構(gòu)評(píng)估和規(guī)劃、數(shù)據(jù)安全治理、信息安全管理體系制度管理、信息科技外包風(fēng)險(xiǎn)管理、安全合規(guī)與審計(jì)等工作。呂麗女士承擔(dān)本書第20章和第21章翻譯工作。
湯國(guó)洪,獲得電子科技大學(xué)電子材料與元器件專業(yè)工學(xué)學(xué)士學(xué)位,持有CISSP、CISA和ISO/IEC27001等認(rèn)證。現(xiàn)任IT經(jīng)理與信息安全負(fù)責(zé)人職務(wù),負(fù)責(zé)IT運(yùn)維、基礎(chǔ)架構(gòu)安全、網(wǎng)絡(luò)安全和隱私合規(guī)等工作。湯國(guó)洪先生承擔(dān)第22章及第23章的翻譯工作。
牛承偉,獲得中南大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位,持有CISP等認(rèn)證,F(xiàn)任廣州越秀企業(yè)集團(tuán)股份有限公司IT經(jīng)理職務(wù),負(fù)責(zé)云安全、基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全和資產(chǎn)安全等工作。牛承偉先生承擔(dān)本書全書的通讀工作。
朱思奇,獲得上海交通大學(xué)通信與信息系統(tǒng)專業(yè)工學(xué)碩士學(xué)位,持有CISA和CISSP等認(rèn)證,F(xiàn)任中國(guó)銀行江蘇省分行科技經(jīng)理職務(wù),負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)、信息安全意識(shí)培訓(xùn)等工作。朱思奇先生承擔(dān)本書的校對(duì)、通讀工作。
陳偉,獲得中國(guó)石油大學(xué)工業(yè)管理工程專業(yè)管理學(xué)碩士學(xué)位,持有CISA等認(rèn)證,F(xiàn)任谷安天下研究院院長(zhǎng)職務(wù),負(fù)責(zé)IT治理、網(wǎng)絡(luò)安全、數(shù)字風(fēng)險(xiǎn)管理及IT審計(jì)、咨詢等工作。陳偉先生負(fù)責(zé)本書部分章節(jié)的校對(duì)工作。
方樂,獲得復(fù)旦大學(xué)計(jì)算機(jī)專業(yè)理學(xué)碩士學(xué)位,持有CISSP、CISA等認(rèn)證,F(xiàn)任谷安天下咨詢顧問職務(wù),負(fù)責(zé)IT管理、IT治理、信息安全管理、IT風(fēng)險(xiǎn)管理、信息系統(tǒng)審計(jì)、數(shù)據(jù)治理咨詢及培訓(xùn)等工作。方樂先生承擔(dān)本書部分章節(jié)的校對(duì)工作。
以下專家參加本書各章節(jié)的校對(duì)、通讀等工作,在此一并感謝:
劉競(jìng)雄先生,獲得長(zhǎng)春工業(yè)大學(xué)計(jì)算機(jī)技術(shù)專業(yè)工學(xué)碩士學(xué)位。
趙晨明先生,獲得西安交通大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位。
馬洪曉先生,獲得北京郵電大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)碩士學(xué)位。
王厚奎先生,獲得南寧師范大學(xué)教育技術(shù)學(xué)(網(wǎng)絡(luò)信息安全方向)專業(yè)工學(xué)碩士學(xué)位。
邢海韜先生,獲得北京工業(yè)大學(xué)軟件工程專業(yè)工學(xué)碩士學(xué)位。
羅進(jìn)先生,獲得澳大利亞南昆士蘭大學(xué)信息技術(shù)專業(yè)工學(xué)碩士學(xué)位。
劉海先生,獲得華東師范大學(xué)軟件工程專業(yè)工學(xué)碩士學(xué)位。
張鋒先生,獲得鄭州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)工學(xué)學(xué)士學(xué)位、北京工業(yè)大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位。
李海霞女士,獲得對(duì)外經(jīng)貿(mào)大學(xué)公共管理專業(yè)管理學(xué)碩士學(xué)位。
陳欣煒先生,獲得同濟(jì)大學(xué)工程管理專業(yè)本科學(xué)歷。
王伏彧女士,獲得吉林大學(xué)電子信息科學(xué)與技術(shù)專業(yè)理學(xué)學(xué)士學(xué)位、法學(xué)學(xué)士學(xué)位。
朱建濱先生,獲得香港大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位。
劉北水先生,獲得西安電子科技大學(xué)工學(xué)碩士學(xué)位。
王濤女士,獲得新疆財(cái)經(jīng)大學(xué)工商管理專業(yè)管理學(xué)碩士學(xué)位、電子科技大學(xué)軟件工程專業(yè)工程碩士學(xué)位。
張亭亭先生,獲得哈爾濱商業(yè)大學(xué)工學(xué)學(xué)士學(xué)位。
張士瑩先生,獲得中北大學(xué)網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位。
張曉飛先生,獲得內(nèi)蒙古大學(xué)理工學(xué)院應(yīng)用物理學(xué)專業(yè)理學(xué)學(xué)士學(xué)位。
陳岳林女士,獲得香港浸會(huì)大學(xué)資訊科技管理專業(yè)理學(xué)碩士學(xué)位。
陳峻先生,獲得同濟(jì)大學(xué)軟件工程專業(yè)工學(xué)碩士學(xué)位。
馬春燕女士,獲得挪威商學(xué)院工商管理專業(yè)管理學(xué)碩士學(xué)位。
貢獻(xiàn)者/技術(shù)編輯簡(jiǎn)介
Bobby E. Rogers是一名信息安全工程師,在美國(guó)國(guó)防部工作,職責(zé)包括信息系統(tǒng)安全工程、風(fēng)險(xiǎn)管理以及認(rèn)證和認(rèn)可工作。Bobby在美國(guó)空軍服役21年后退休,擔(dān)任網(wǎng)絡(luò)安全工程師和指導(dǎo)者,保護(hù)全球各地的網(wǎng)絡(luò)。Bobby擁有信息保障(InformationAssurance,IA)碩士學(xué)位,目前,正在美國(guó)馬里蘭州國(guó)會(huì)科技大學(xué)攻讀網(wǎng)絡(luò)安全博士學(xué)位。Bobby獲得的認(rèn)證包括CISSP-ISSEP、CEH和MCSE: Security,以及CompTIA A 、Network 、Security 和Mobility 。
自序
感謝諸位考生在《CISSP信息系統(tǒng)安全專家認(rèn)證All-in-One(第9版)》中投入學(xué)習(xí)精力,我相信你會(huì)發(fā)現(xiàn)本書不僅對(duì)準(zhǔn)備CISSP考試很有幫助,而且對(duì)未來職業(yè)生涯也很有幫助。這是Shon Harris撰寫前六版時(shí)的首要目標(biāo)之一,也是我在最近三版CISSP中努力追求的目標(biāo)。這個(gè)目標(biāo)并不那么容易,但我希望考生會(huì)對(duì)我們?nèi)绾纹胶膺@兩個(gè)需求感到滿意。
(ISC)2在實(shí)際應(yīng)用中為CISSP通用知識(shí)體系(Common Body of Knowledge,CBK)打下了良好基礎(chǔ),但仍有很多討論和分歧。與幾乎任何其他領(lǐng)域一樣,在網(wǎng)絡(luò)安全領(lǐng)域,很少有主題可達(dá)成普遍共識(shí)。本書內(nèi)容為了平衡備考和現(xiàn)實(shí)應(yīng)用的模糊性,從我們的經(jīng)驗(yàn)中總結(jié)了大量的評(píng)論和示例。
特意說我們的經(jīng)驗(yàn),因?yàn)榧词筍hon去世多年,她的見解在這一版本中仍然充滿活力、信息豐富和富有娛樂性。本書盡可能多地保留了她的見解,同時(shí)確保相關(guān)內(nèi)容是最新的,也盡量保持Shon作品特有的行文風(fēng)格。其結(jié)果是我希望本書讀起來更像是一篇文章,甚至是一個(gè)故事,而不是一本教科書,但本書是以優(yōu)良的教學(xué)作為基礎(chǔ)。本書應(yīng)易于閱讀,同時(shí)幫助考生準(zhǔn)備考試。
說到考試,2021年(ISC)2對(duì) CBK 所做的變化并不顯著,但意義重大。每個(gè)知識(shí)域都以某種方式做出了調(diào)整,八個(gè)知識(shí)域中有七個(gè)添加了多個(gè)主題(知識(shí)域1除外)。這些變化以及本書第8版中的大量主題,促使我對(duì)這一版內(nèi)容進(jìn)行了徹底重組。我將每個(gè)知識(shí)域和主題分解為原子粒度,然后重新設(shè)計(jì)整本書,以整合下表中列出的CBK 2021新目標(biāo)(注意,方括號(hào)中的內(nèi)容供參考,并非新增目標(biāo))。
知識(shí)域2:資產(chǎn)安全2.4管理數(shù)據(jù)生命周期2.4.1數(shù)據(jù)角色(例如,所有方、控制方、托管方、處理方和用戶/數(shù)據(jù)主體)2.4.3數(shù)據(jù)物理位置2.4.4數(shù)據(jù)維護(hù)2.5確保適當(dāng)?shù)馁Y產(chǎn)留存,如生命周期終止(End-of-Life,EOL)、支持終止(End-of-Support,EOS)
知識(shí)域3:安全架構(gòu)與工程[3.7理解密碼攻擊方法]3.7.1暴力破解3.7.4頻率分析3.7.6實(shí)施攻擊3.7.8故障注入3.7.9時(shí)序3.7.10中間人攻擊(Man-in-the-Middle,MITM)3.7.11傳遞哈希3.7.12 Kerberos 攻擊3.7.13勒索軟件[3.9設(shè)計(jì)現(xiàn)場(chǎng)和設(shè)施安全控制措施]3.9.9電源(如冗余、備用)
知識(shí)域4:通信與網(wǎng)絡(luò)安全[4.1評(píng)估并實(shí)施網(wǎng)絡(luò)架構(gòu)中的安全設(shè)計(jì)原則]4.1.3安全協(xié)議4.1.6微分段,如軟件定義網(wǎng)絡(luò)(Software Defined Networks,SDN)、虛擬可擴(kuò)展局域網(wǎng)(Virtual eXtensible Local Area Network ,VXLAN)、封裝和軟件定義廣域網(wǎng)(Software-Defined Wide Area Network,SD-WAN)4.1.8 蜂窩網(wǎng)絡(luò)(如 4G、5G)[4.3根據(jù)設(shè)計(jì)實(shí)施安全通信通道]4.3.6第三方連接
知識(shí)域5:身份和訪問管理(IAM)[5.1控制對(duì)資產(chǎn)的物理和邏輯訪問]5.1.5應(yīng)用程序[5.2管理人員、設(shè)備和服務(wù)的標(biāo)識(shí)和身份認(rèn)證]5.2.8單點(diǎn)登錄(SSO)5.2.9 準(zhǔn)時(shí)制(Just-In-Time,JIT)[5.4實(shí)施和管理授權(quán)機(jī)制]5.4.6基于風(fēng)險(xiǎn)的訪問控制[5.5管理身份和訪問資源調(diào)配生命周期]5.5.3角色定義(如分配了新角色的人員)5.5.4權(quán)限提升(如托管服務(wù)賬戶、使用sudo和盡量減少使用)5.6實(shí)施身份驗(yàn)證系統(tǒng)5.6.1 OpenID Connect(OIDC)/Open Authorization(OAuth)5.6.2安全聲明標(biāo)記語言(SAML)5.6.3 Kerberos5.6.4遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)(RADIUS)/終端訪問控制器訪問控制系統(tǒng)升級(jí)版(TACACS )
知識(shí)域6:安全評(píng)估與測(cè)試[6.2實(shí)施安全控制測(cè)試]6.2.9漏洞攻擊模擬6.2.10合規(guī)檢查[6.3收集安全流程數(shù)據(jù)(如技術(shù)和行政)]6.3.6災(zāi)難恢復(fù)(DR)和業(yè)務(wù)持續(xù)(BC)[6.4分析測(cè)試輸出并生成報(bào)告]6.4.1補(bǔ)救措施6.4.2異常處理6.4.3道德披露
知識(shí)域7:安全運(yùn)營(yíng)[7.1理解并遵守調(diào)查]7.1.5制品(如計(jì)算機(jī)、網(wǎng)絡(luò)和移動(dòng)設(shè)備)[7.2實(shí)施記錄和持續(xù)監(jiān)測(cè)活動(dòng)]7.2.5日志管理7.2.6 威脅情報(bào)(如威脅源、威脅狩獵)7.2.7用戶和實(shí)體行為分析(UEBA)[7.7操作和維護(hù)檢測(cè)和預(yù)防措施]7.7.8基于機(jī)器學(xué)習(xí)和人工智能(AI)的工具[7.11實(shí)施災(zāi)難恢復(fù)(DR)流程]7.11.7經(jīng)驗(yàn)教訓(xùn)
知識(shí)域8:軟件研發(fā)安全[8.2在軟件研發(fā)生態(tài)系統(tǒng)中識(shí)別并實(shí)施安全控制措施]8.2.1編程語言8.2.2庫8.2.3工具集8.2.5運(yùn)行時(shí)間8.2.6持續(xù)集成和持續(xù)交付(CI/CD)8.2.7安全編排、自動(dòng)化和響應(yīng)(SOAR)8.2.10應(yīng)用程序安全測(cè)試,如靜態(tài)應(yīng)用程序安全測(cè)試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)[8.4評(píng)估收購軟件的安全影響]8.4.1商用現(xiàn)貨(COTS)8.4.2開源8.4.3第三方8.4.4托管服務(wù),如軟件即服務(wù)(SaaS)、基礎(chǔ)架構(gòu)即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS)[8.5定義并實(shí)施安全編碼指南和標(biāo)準(zhǔn)]8.5.4軟件定義安全
注意,這些目標(biāo)中的部分內(nèi)容在之前(2018年)版本的CBK中是隱性的,在第8版中已有所涉及。事實(shí)上,這些目標(biāo)現(xiàn)在是明確的,這表明在考試和實(shí)踐中都變得越來越重要(在準(zhǔn)備考試時(shí),請(qǐng)?zhí)貏e注意這些)?傊,與上一版相比,第9版有顯著不同且有所改進(jìn),相信考生會(huì)表示認(rèn)同。再次感謝考生對(duì)CISSP第9版書籍的關(guān)注。
Fernando Maymí,博士,CISSP持證專家,目前是IronNet Cybersecurity公司的培訓(xùn)副總裁、安全顧問,曾任西點(diǎn)軍校陸軍網(wǎng)絡(luò)研究所副所長(zhǎng)。Fernando 28年來一直致力于滿足五大洲學(xué)術(shù)、政府和企業(yè)研究等客戶的安全需求。
Shon Harris,CISSP持證專家,Logical Security公司的創(chuàng)始人兼CEO、信息安全顧問、美國(guó)空軍信息作戰(zhàn)部門的前工程師、講師和作家。Shon撰寫了多本暢銷全球的信息安全書籍,銷量已超過一百萬冊(cè),被翻譯成六種文字。
第I部分
安全和風(fēng)險(xiǎn)管理
第1章 網(wǎng)絡(luò)安全治理 2
1.1 網(wǎng)絡(luò)安全的基本概念和術(shù)語 3
1.1.1 機(jī)密性 3
1.1.2 完整性 4
1.1.3 可用性 4
1.1.4 真實(shí)性 5
1.1.5 不可否認(rèn)性 5
1.1.6 平衡安全性 6
1.1.7 其他安全術(shù)語 7
1.2 安全治理原則 8
1.2.1 幫助安全性和業(yè)務(wù)戰(zhàn)略
保持一致 11
1.2.2 組織流程 14
1.2.3 組織角色和責(zé)任 15
1.3 安全策略、標(biāo)準(zhǔn)、工作程序和
準(zhǔn)則 21
1.3.1 安全策略 22
1.3.2 標(biāo)準(zhǔn) 24
1.3.3 基線 25
1.3.4 準(zhǔn)則 26
1.3.5 工作程序 26
1.3.6 實(shí)施 27
1.4 人員安全 27
1.4.1 候選人篩選和招聘 29
1.4.2 雇傭協(xié)議和策略 30
1.4.3 入職、調(diào)動(dòng)和解聘流程 30
1.4.4 供應(yīng)商、顧問和承包商 31
1.4.5 合規(guī)政策 32
1.4.6 隱私策略 32
1.4.7 安全意識(shí)宣貫、教育和
培訓(xùn)計(jì)劃 32
1.4.8 學(xué)歷或證書? 33
1.4.9 意識(shí)建立和培訓(xùn)的方法與
技巧 33
1.4.10 定期審查安全意識(shí)宣貫
內(nèi)容 35
1.4.11 計(jì)劃有效性評(píng)價(jià) 35
1.5 職業(yè)道德 35
1.5.1 (ISC)2職業(yè)道德準(zhǔn)則 36
1.5.2 組織道德準(zhǔn)則 36
1.5.3 計(jì)算機(jī)道德協(xié)會(huì) 37
1.6 本章回顧 37
1.7 快速提示 37
1.8 問題 38
1.9 答案 40
第2章 風(fēng)險(xiǎn)管理 42
2.1 風(fēng)險(xiǎn)管理概念 42
2.1.1 全面風(fēng)險(xiǎn)管理 43
2.1.2 信息系統(tǒng)風(fēng)險(xiǎn)管理策略 44
2.1.3 風(fēng)險(xiǎn)管理團(tuán)隊(duì) 45
2.1.4 風(fēng)險(xiǎn)管理流程 45
2.1.5 漏洞和威脅概述 46
2.1.6 識(shí)別威脅和漏洞 50
2.2 評(píng)估風(fēng)險(xiǎn) 51
2.2.1 資產(chǎn)評(píng)估 52
2.2.2 風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì) 53
2.2.3 風(fēng)險(xiǎn)評(píng)估方法論 54
2.2.4 風(fēng)險(xiǎn)分析方法 58
2.2.5 定性風(fēng)險(xiǎn)分析 61
2.3 應(yīng)對(duì)風(fēng)險(xiǎn) 64
2.3.1 總體風(fēng)險(xiǎn)與殘余風(fēng)險(xiǎn)的
對(duì)比 65
2.3.2 安全對(duì)策選擇及實(shí)施 66
2.3.3 控制措施類型 68
2.3.4 控制措施評(píng)估 73
2.4 監(jiān)測(cè)風(fēng)險(xiǎn) 74
2.4.1 有效性監(jiān)測(cè) 75
2.4.2 變更監(jiān)測(cè) 75
2.4.3 合規(guī)性監(jiān)測(cè) 76
2.4.4 風(fēng)險(xiǎn)報(bào)告 77
2.5 供應(yīng)鏈風(fēng)險(xiǎn)管理 79
2.5.1 上下游供應(yīng)商 80
2.5.2 硬件、軟件、服務(wù)的風(fēng)險(xiǎn)
評(píng)估 80
2.5.3 其他第三方風(fēng)險(xiǎn) 81
2.5.4 最低安全需求 82
2.5.5 服務(wù)水平協(xié)議 82
2.6 業(yè)務(wù)持續(xù) 83
2.6.1 標(biāo)準(zhǔn)和最佳實(shí)踐 85
2.6.2 將業(yè)務(wù)持續(xù)管理融入企業(yè)
安全計(jì)劃 87
2.6.3 業(yè)務(wù)影響分析 89
2.7 本章回顧 95
2.8 快速提示 95
2.9 問題 97
2.10 答案 99
第3章 合規(guī) 101
3.1 法律與法規(guī) 101
3.1.1 法律體系的類型 102
3.1.2 回顧普通法體系 104
3.2 網(wǎng)絡(luò)犯罪與數(shù)據(jù)泄露 105
3.2.1 網(wǎng)絡(luò)犯罪的復(fù)雜性 107
3.2.2 攻擊的演變 108
3.2.3 國(guó)際化問題 112
3.2.4 數(shù)據(jù)泄露 112
3.2.5 跨境數(shù)據(jù)流 117
3.2.6 隱私 118
3.3 授權(quán)許可與知識(shí)產(chǎn)權(quán)要求 119
3.3.1 商業(yè)秘密 119
3.3.2 版權(quán) 120
3.3.3 商標(biāo) 121
3.3.4 專利 121
3.3.5 內(nèi)部知識(shí)產(chǎn)權(quán)保護(hù) 123
3.3.6 軟件盜版 123
3.4 法律法規(guī)監(jiān)管合規(guī)要求 125
3.4.1 合同、法律、行業(yè)標(biāo)準(zhǔn)和
監(jiān)管要求 125
3.4.2 隱私要求 127
3.4.3 責(zé)任和后果 127
3.5 調(diào)查要求 130
3.5.1 行政調(diào)查 130
3.5.2 刑事調(diào)查 130
3.5.3 民事調(diào)查 130
3.5.4 監(jiān)管調(diào)查 131
3.6 本章回顧 131
3.7 快速提示 131
3.8 問題 133
3.9 答案 135
第4章 框架 137
4.1 框架總覽 137
4.2 風(fēng)險(xiǎn)框架 139
4.2.1 NIST風(fēng)險(xiǎn)管理框架 139
4.2.2 ISO/IEC 27005信息安全
風(fēng)險(xiǎn)管理指南 143
4.2.3 OCTAVE 144
4.2.4 信息風(fēng)險(xiǎn)要素分析 145
4.3 信息安全框架 145
4.3.1 安全計(jì)劃框架 145
4.3.2 安全控制措施框架 148
4.4 企業(yè)架構(gòu)框架 154
4.4.1 為何需要企業(yè)架構(gòu)框架? 156
4.4.2 Zachman框架 157
4.4.3 TOGAF 158
4.4.4 面向軍事的架構(gòu)框架 159
4.5 其他框架 159
4.5.1 ITIL 159
4.5.2 六西格瑪 160
4.5.3 能力成熟度模型 160
4.6 各類框架的集成 162
4.7 本章回顧 165
4.8 快速提示 166
4.9 問題 167
4.10 答案 169
第II部分
資 產(chǎn) 安 全
第5章 資產(chǎn) 172
5.1 信息和資產(chǎn) 173
5.1.1 識(shí)別 173
5.1.2 分類分級(jí) 174
5.2 物理安全注意事項(xiàng) 178
5.2.1 移動(dòng)設(shè)備安全保護(hù) 178
5.2.2 紙質(zhì)記錄 179
5.2.3 保險(xiǎn)柜 179
5.3 管理資產(chǎn)的生命周期 180
5.3.1 所有權(quán) 181
5.3.2 庫存 181
5.3.3 安全資源調(diào)配 184
5.3.4 資產(chǎn)留存 185
5.4 數(shù)據(jù)生命周期 186
5.4.1 數(shù)據(jù)采集 187
5.4.2 數(shù)據(jù)存儲(chǔ) 188
5.4.3 數(shù)據(jù)使用 192
5.4.4 數(shù)據(jù)共享 193
5.4.5 數(shù)據(jù)歸檔 194
5.4.6 數(shù)據(jù)銷毀 194
5.4.7 數(shù)據(jù)角色 198
5.5 本章回顧 199
5.6 快速提示 199
5.7 問題 200
5.8 答案 202
第6章 數(shù)據(jù)安全 204
6.1 數(shù)據(jù)安全控制措施 204
6.1.1 數(shù)據(jù)狀態(tài) 205
6.1.2 安全標(biāo)準(zhǔn) 208
6.2 數(shù)據(jù)保護(hù)措施 209
6.2.1 數(shù)字資產(chǎn)管理 210
6.2.2 數(shù)字版權(quán)管理 212
6.2.3 數(shù)據(jù)防泄露 214
6.2.4 云訪問安全代理 222
6.3 本章回顧 223
6.4 快速提示 223
6.5 問題 224
6.6 答案 225
第III部分
安全架構(gòu)與工程
第7章 系統(tǒng)架構(gòu) 228
7.1 通用系統(tǒng)架構(gòu) 228
7.1.1 客戶端系統(tǒng) 229
7.1.2 服務(wù)端系統(tǒng) 229
7.1.3 數(shù)據(jù)庫系統(tǒng) 230
7.1.4 高性能計(jì)算系統(tǒng) 233
7.2 工業(yè)控制體系 234
7.2.1 設(shè)備 235
7.2.2 可編程邏輯控制器 235
7.2.3 人機(jī)界面 236
7.2.4 歷史數(shù)據(jù)系統(tǒng) 237
7.2.5 分布式控制體系 237
7.2.6 SCADA 237
7.2.7 ICS安全 238
7.3 虛擬化系統(tǒng) 239
7.3.1 虛擬機(jī) 240
7.3.2 容器化 241
7.3.3 微服務(wù) 242
7.3.4 無服務(wù)器架構(gòu) 242
7.4 云計(jì)算系統(tǒng) 244
7.4.1 軟件即服務(wù) 245
7.4.2 平臺(tái)即服務(wù) 245
7.4.3 基礎(chǔ)架構(gòu)即服務(wù) 246
7.4.4 一切皆服務(wù) 246
7.4.5 云部署模型 247
7.5 普適系統(tǒng) 247
7.5.1 嵌入式系統(tǒng) 247
7.5.2 物聯(lián)網(wǎng) 248
7.6 分布式系統(tǒng) 249
7.7 本章回顧 251
7.8 快速提示 251
7.9 問題 252
7.10 答案 254
第8章 密碼學(xué) 256
8.1 密碼術(shù)的歷史 257
8.2 密碼術(shù)的定義與概念 260
8.2.1 密碼體系 262
8.2.2 Kerckhoffs原則 263
8.2.3 密碼體系的強(qiáng)度 263
8.2.4 一次性密碼本 264
8.2.5 密碼生命周期 266
8.2.6 加密方法 266
8.3 對(duì)稱密鑰密碼術(shù) 267
8.3.1 分組密碼 268
8.3.2 流密碼 270
8.3.3 初始化向量 271
8.4 非對(duì)稱密鑰密碼術(shù) 272
8.4.1 Diffie-Hellman算法 274
8.4.2 RSA 276
8.4.3 橢圓曲線密碼體系 278
8.4.4 量子加密 279
8.4.5 混合加密方法 281
8.5 完整性 285
8.5.1 哈希函數(shù) 285
8.5.2 消息完整性確認(rèn) 288
8.6 公鑰基礎(chǔ)架構(gòu) 292
8.6.1 數(shù)字證書 293
8.6.2 證書頒發(fā)機(jī)構(gòu) 293
8.6.3 注冊(cè)機(jī)構(gòu) 295
8.6.4 PKI步驟 295
8.6.5 密鑰管理 297
8.7 密碼攻擊技術(shù) 299
8.7.1 密鑰和算法攻擊 300
8.7.2 實(shí)施攻擊 302
8.7.3 其他攻擊 304
8.8 本章回顧 307
8.9 快速提示 307
8.10 問題 309
8.11 答案 311
第9章 安全架構(gòu) 313
9.1 威脅建模 313
9.1.1 攻擊樹 314
9.1.2 MITRE ATT&CK框架 316
9.1.3 為什么使用威脅建模 316
9.2 安全設(shè)計(jì)原則 317
9.2.1 深度防御 318
9.2.2 零信任 319
9.2.3 信任但要驗(yàn)證 319
9.2.4 責(zé)任共擔(dān) 319
9.2.5 職責(zé)分離 320
9.2.6 最小特權(quán) 321
9.2.7 最簡(jiǎn)法則 321
9.2.8 默認(rèn)安全 322
9.2.9 失效關(guān)閉 322
9.2.10 隱私設(shè)計(jì) 323
9.3 安全模型 323
9.3.1 Bell-LaPadula模型 323
9.3.2 Biba模型 324
9.3.3 Clark-Wilson 模型 325
9.3.4 非干擾模型 326
9.3.5 Brewer-Nash模型 327
9.3.6 Graham-Denning模型 327
9.3.7 Harrison-Ruzzo-Ullman
模型 327
9.4 安全需求 328
9.5 信息系統(tǒng)的安全能力 329
9.5.1 可信平臺(tái)模塊 329
9.5.2 硬件安全模塊 330
9.5.3 自加密驅(qū)動(dòng)器 331
9.5.4 總線加密 331
9.5.5 安全處理 332
9.6 本章回顧 335
9.7 快速提示 335
9.8 問題 336
9.9 答案 338
第10章 場(chǎng)所和基礎(chǔ)設(shè)施安全 339
10.1 場(chǎng)所和基礎(chǔ)設(shè)施安全 339
10.1.1 安全原則 340
10.1.2 場(chǎng)所規(guī)劃流程 344
10.1.3 通過環(huán)境設(shè)計(jì)預(yù)防犯罪 347
10.1.4 設(shè)計(jì)一個(gè)物理安全計(jì)劃 352
10.2 場(chǎng)所和基礎(chǔ)設(shè)施控制措施 358
10.2.1 工作區(qū)安全 358
10.2.2 數(shù)據(jù)處理設(shè)施 360
10.2.3 配線器 362
10.2.4 存儲(chǔ)基礎(chǔ)設(shè)施 363
10.2.5 公共設(shè)施 363
10.2.6 消防安全 368
10.2.7 環(huán)境問題 373
10.3 本章回顧 373
10.4 快速提示 374
10.5 問題 375
10.6 答案 376
第IV部分
通信與網(wǎng)絡(luò)安全
第11章 網(wǎng)絡(luò)基礎(chǔ) 380
11.1 數(shù)據(jù)通信基礎(chǔ) 380
11.1.1 網(wǎng)絡(luò)參考模型 381
11.1.2 協(xié)議 382
11.1.3 應(yīng)用層 384
11.1.4 表示層 385
11.1.5 會(huì)話層 386
11.1.6 傳輸層 388
11.1.7 網(wǎng)絡(luò)層 389
11.1.8 數(shù)據(jù)鏈路層 389
11.1.9 物理層 391
11.1.10 OSI 模型中的功能和
協(xié)議 392
11.1.11 OSI各層綜述 393
11.2 局域網(wǎng) 395
11.2.1 網(wǎng)絡(luò)拓?fù)?395
11.2.2 介質(zhì)訪問控制機(jī)制 397
11.2.3 第 2 層協(xié)議 401
11.2.4 傳輸方式 405
11.2.5 第2層安全標(biāo)準(zhǔn) 406
11.3 Internet協(xié)議網(wǎng)絡(luò) 408
11.3.1 TCP 409
11.3.2 IP尋址 414
11.3.3 IPv6 416
11.3.4 地址解析協(xié)議 419
11.3.5 動(dòng)態(tài)主機(jī)配置協(xié)議 420
11.3.6 Internet控制報(bào)文協(xié)議 422
11.3.7 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 424
11.3.8 域名服務(wù) 426
11.3.9 網(wǎng)絡(luò)地址轉(zhuǎn)換 432
11.3.10 路由協(xié)議 434
11.4 內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng) 437
11.5 城域網(wǎng) 438
11.6 廣域網(wǎng) 440
11.6.1 專用鏈路 440
11.6.2 廣域網(wǎng)技術(shù) 443
11.7 本章回顧 450
11.8 快速提示 451
11.9 問題 452
11.10 答案 454
第12章 無線網(wǎng)絡(luò) 456
12.1 無線通信技術(shù) 456
12.1.1 擴(kuò)頻 457
12.1.2 正交頻分復(fù)用 460
12.2 無線網(wǎng)絡(luò)基礎(chǔ) 460
12.2.1 WLAN組件 460
12.2.2 WLAN標(biāo)準(zhǔn) 462
12.2.3 其他無線網(wǎng)絡(luò)標(biāo)準(zhǔn) 464
12.2.4 其他重要標(biāo)準(zhǔn) 468
12.3 無線網(wǎng)絡(luò)安全的演化 469
12.3.1 802.11 470
12.3.2 802.11i 471
12.3.3 802.11w 472
12.3.4 WPA3 473
12.3.5 802.1X 473
12.4 無線網(wǎng)絡(luò)安全最佳實(shí)踐 475
12.5 移動(dòng)無線通信 476
12.5.1 多址技術(shù) 477
12.5.2 歷代移動(dòng)技術(shù) 478
12.6 衛(wèi)星 481
12.7 本章回顧 482
12.8 快速提示 482
12.9 問題 484
12.10 答案 485
第13章 網(wǎng)絡(luò)安全 487
13.1 安全設(shè)計(jì)原則運(yùn)用于網(wǎng)絡(luò)
架構(gòu) 487
13.2 安全網(wǎng)絡(luò) 489
13.2.1 鏈路加密與端到端加密 489
13.2.2 傳輸層安全 491
13.2.3 虛擬私有網(wǎng)絡(luò) 493
13.3 安全協(xié)議 498
13.3.1 Web 服務(wù) 498
13.3.2 域名系統(tǒng) 502
13.3.3 電子郵件 507
13.4 多層協(xié)議 511
13.4.1 分布式網(wǎng)絡(luò)協(xié)議3 511
13.4.2 CAN總線 511
13.4.3 Modbus 512
13.5 聚合協(xié)議 512
13.5.1 封裝 512
13.5.2 以太網(wǎng)光纖通道 513
13.5.3 Internet小型計(jì)算機(jī)系統(tǒng)
接口 513
13.6 網(wǎng)絡(luò)分段 513
13.6.1 虛擬局域網(wǎng) 514
13.6.2 虛擬可擴(kuò)展局域網(wǎng) 516
13.6.3 軟件定義網(wǎng)絡(luò) 516
13.6.4 軟件定義廣域網(wǎng) 518
13.7 本章回顧 518
13.8 快速提示 519
13.9 問題 521
13.10 答案 522
第14章 網(wǎng)絡(luò)組件 524
14.1 傳輸介質(zhì) 524
14.1.1 傳輸類型 525
14.1.2 帶寬和吞吐量 533
14.2 網(wǎng)絡(luò)設(shè)備 534
14.2.1 中繼器 534
14.2.2 交換機(jī) 536
14.2.3 網(wǎng)絡(luò)訪問控制設(shè)備 544
14.3 終端安全 549
14.4 內(nèi)容分發(fā)網(wǎng)絡(luò) 550
14.5 本章回顧 550
14.6 快速提示 551
14.7 問題 552
14.8 答案 553
第15章 安全通信信道 555
15.1 語音通信 555
15.1.1 公共交換電話網(wǎng) 556
15.1.2 DSL 557
15.1.3 ISDN 558
15.1.4 有線調(diào)制解調(diào)器 560
15.1.5 IP電話 560
15.2 多媒體協(xié)同 566
15.2.1 會(huì)議程序 566
15.2.2 統(tǒng)一通信 567
15.3 遠(yuǎn)程訪問 568
15.3.1 VPN 569
15.3.2 VPN驗(yàn)證協(xié)議 569
15.3.3 桌面虛擬化 571
15.3.4 安全外殼 573
15.4 數(shù)據(jù)通信 574
15.4.1 網(wǎng)絡(luò)套接字 574
15.4.2 遠(yuǎn)程過程調(diào)用 575
15.5 虛擬網(wǎng)絡(luò) 575
15.6 第三方接入 576
15.7 本章回顧 578
15.8 快速提示 578
15.9 問題 579
15.10 答案 581
第V部分
身份和訪問管理
第16章 身份和訪問基礎(chǔ) 584
16.1 身份標(biāo)識(shí)、身份驗(yàn)證、
授權(quán)與可問責(zé)性 584
16.1.1 身份標(biāo)識(shí)和身份驗(yàn)證 586
16.1.2 基于知識(shí)的身份驗(yàn)證 588
16.1.3 生物識(shí)別身份驗(yàn)證技術(shù) 591
16.1.4 基于所有權(quán)的身份驗(yàn)證 596
16.2 憑證管理 602
16.2.1 口令管理器 602
16.2.2 口令同步 603
16.2.3 自助式口令重置 603
16.2.4 輔助式口令重置 604
16.2.5 即時(shí)訪問 604
16.2.6 注冊(cè)與身份證明 604
16.2.7 用戶配置文件更新 605
16.2.8 會(huì)話管理 606
16.2.9 可問責(zé)性 607
16.2.10 審查審計(jì)信息 608
16.3 身份管理 610
16.3.1 目錄服務(wù) 612
16.3.2 目錄在身份管理中的
角色 613
16.3.3 單點(diǎn)登錄 614
16.3.4 聯(lián)合身份管理 616
16.4 使用第三方服務(wù)的聯(lián)合
身份 618
16.5 本章回顧 620
16.6 快速提示 620
16.7 問題 622
16.8 答案 625
第17章 管理身份和訪問 626
17.1 授權(quán)機(jī)制 626
17.1.1 自主訪問控制 627
17.1.2 強(qiáng)制訪問控制 629
17.1.3 基于角色的訪問控制 631
17.1.4 基于規(guī)則的訪問控制 633
17.1.5 基于屬性的訪問控制 634
17.1.6 基于風(fēng)險(xiǎn)的訪問控制 634
17.2 身份驗(yàn)證和授權(quán)系統(tǒng)實(shí)施 635
17.2.1 訪問控制和標(biāo)記語言 635
17.2.2 OAuth 640
17.2.3 OpenID連接 641
17.2.4 Kerberos 642
17.2.5 遠(yuǎn)程訪問控制技術(shù) 646
17.3 管理身份和訪問配置生命
周期 652
17.3.1 配置 652
17.3.2 訪問控制 653
17.3.3 合規(guī) 653
17.3.4 配置管理 655
17.3.5 撤銷 656
17.4 控制物理與邏輯訪問 657
17.4.1 信息訪問控制 657
17.4.2 系統(tǒng)和應(yīng)用程序訪問
控制 658
17.4.3 對(duì)設(shè)備的訪問控制 658
17.4.4 基礎(chǔ)設(shè)施訪問控制 658
17.5 本章回顧 659
17.6 快速提示 659
17.7 問題 661
17.8 答案 663
第VI部分
安全評(píng)估與測(cè)試
第18章 安全評(píng)估 666
18.1 測(cè)試、評(píng)估和審計(jì)戰(zhàn)略 666
18.1.1 評(píng)估設(shè)計(jì) 667
18.1.2 評(píng)估驗(yàn)證 668
18.2 測(cè)試技術(shù)性控制分類 669
18.2.1 漏洞測(cè)試 670
18.2.2 其他漏洞類型 673
18.2.3 滲透測(cè)試 674
18.2.4 紅隊(duì)測(cè)試 678
18.2.5 模擬入侵攻擊 679
18.2.6 日志審查 679
18.2.7 合成交易 682
18.2.8 代碼審查 683
18.2.9 代碼測(cè)試 684
18.2.10 誤用案例測(cè)試 685
18.2.11 測(cè)試覆蓋率 686
18.2.12 接口測(cè)試 687
18.2.13 合規(guī)檢查 687
18.3 實(shí)施安全審計(jì) 688
18.3.1 內(nèi)部審計(jì) 689
18.3.2 外部審計(jì) 691
18.3.3 第三方審計(jì) 691
18.4 本章回顧 693
18.5 快速提示 693
18.6 問題 694
18.7 答案 696
第19章 安全度量 697
19.1 量化安全 697
19.1.1 安全度量 699
19.1.2 關(guān)鍵績(jī)效和風(fēng)險(xiǎn)指標(biāo) 701
19.2 安全流程數(shù)據(jù) 703
19.2.1 賬戶管理 703
19.2.2 備份確認(rèn) 705
19.2.3 安全培訓(xùn)和安全意識(shí)
宣貫培訓(xùn) 708
19.2.4 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù) 711
19.3 報(bào)告 713
19.3.1 分析結(jié)果 713
19.3.2 技術(shù)報(bào)告編寫 715
19.3.3 執(zhí)行摘要 716
19.4 管理評(píng)審和批準(zhǔn) 717
19.4.1 管理評(píng)審之前 718
19.4.2 評(píng)審的輸入 719
19.4.3 管理層批準(zhǔn) 719
19.5 本章回顧 720
19.6 快速提示 720
19.7 問題 721
19.8 答案 722
第VII部分
安全運(yùn)營(yíng)
第20章 安全運(yùn)營(yíng)管理 726
20.1 安全運(yùn)營(yíng)基礎(chǔ)概念 726
20.1.1 可問責(zé)性 728
20.1.2 最小特權(quán)/知必所需 728
20.1.3 職責(zé)分離和責(zé)任 729
20.1.4 特權(quán)賬戶管理 729
20.1.5 職責(zé)輪換 730
20.1.6 服務(wù)水平協(xié)議 730
20.2 變更管理 731
20.2.1 變更管理實(shí)踐 731
20.2.2 變更管理文檔 732
20.3 配置管理 733
20.3.1 基線 733
20.3.2 資源調(diào)配 734
20.3.3 自動(dòng)化 734
20.4 資源保護(hù) 735
20.4.1 系統(tǒng)鏡像 735
20.4.2 源文件 735
20.4.3 備份 736
20.5 漏洞和補(bǔ)丁管理 738
20.5.1 漏洞管理 739
20.5.2 補(bǔ)丁管理 741
20.6 物理安全 744
20.6.1 外部邊界安全控制措施 744
20.6.2 基礎(chǔ)設(shè)施訪問控制 752
20.6.3 內(nèi)部安全控制措施 759
20.6.4 人員訪問控制措施 759
20.6.5 入侵檢測(cè)系統(tǒng) 760
20.6.6 物理訪問的審計(jì) 763
20.7 人員安全與保護(hù)措施 763
20.7.1 差旅 764
20.7.2 安全培訓(xùn)和意識(shí)宣貫 764
20.7.3 應(yīng)急管理 764
20.7.4 脅迫 765
20.8 本章回顧 765
20.9 快速提示 766
20.10 問題 767
20.11 答案 769
第21章 安全運(yùn)營(yíng)活動(dòng) 771
21.1 安全運(yùn)營(yíng)中心 771
21.1.1 成熟SOC的要素 772
21.1.2 威脅情報(bào) 773
21.2 預(yù)防與檢測(cè)措施 775
21.2.1 防火墻 776
21.2.2 入侵檢測(cè)和防御系統(tǒng) 794
21.2.3 反惡意軟件 795
21.2.4 沙箱 799
21.2.5 外包安全服務(wù) 799
21.2.6 蜜罐和蜜網(wǎng) 800
21.2.7 人工智能工具 802
21.3 持續(xù)記錄日志和持續(xù)監(jiān)測(cè) 803
21.3.1 日志管理 804
21.3.2 安全信息和事件管理 805
21.3.3 出口流量持續(xù)監(jiān)測(cè) 806
21.3.4 用戶和實(shí)體行為分析 806
21.3.5 不間斷監(jiān)測(cè) 806
21.4 本章回顧 807
21.5 快速提示 807
21.6 問題 809
21.7 答案 810
第22章 安全事故 812
22.1 事故管理概述 812
22.1.1 檢測(cè) 816
22.1.2 響應(yīng) 817
22.1.3 緩解 818
22.1.4 報(bào)告 818
22.1.5 恢復(fù) 819
22.1.6 修復(fù) 819
22.1.7 總結(jié)經(jīng)驗(yàn)教訓(xùn) 820
22.2 事故響應(yīng)規(guī)劃 820
22.2.1 角色和職責(zé) 821
22.2.2 事故分級(jí) 822
22.2.3 通知 823
22.2.4 運(yùn)營(yíng)任務(wù) 824
22.2.5 操作手冊(cè) 825
22.3 調(diào)查 826
22.3.1 動(dòng)機(jī)、機(jī)會(huì)與手段 827
22.3.2 計(jì)算機(jī)犯罪行為 827
22.3.3 證據(jù)收集和處理 828
22.3.4 什么是法庭上可
受理的? 831
22.3.5 數(shù)字取證工具、策略和
程序 833
22.3.6 取證調(diào)查技術(shù) 834
22.3.7 其他調(diào)查技術(shù) 835
22.3.8 司法證物 837
22.3.9 報(bào)告和記錄 838
22.4 本章回顧 838
22.5 快速提示 839
22.6 問題 840
22.7 答案 842
第23章 災(zāi)難 843
23.1 恢復(fù)戰(zhàn)略 843
23.1.1 業(yè)務(wù)流程恢復(fù) 847
23.1.2 數(shù)據(jù)備份 847
23.1.3 文檔記錄 853
24.1.4 人力資源 854
23.1.5 恢復(fù)場(chǎng)所戰(zhàn)略 854
23.1.6 可用性 859
23.2 災(zāi)難恢復(fù)流程 862
23.2.1 響應(yīng) 863
23.2.2 人員 864
23.2.3 通信 865
23.2.4 評(píng)估 866
23.2.5 還原 866
23.2.6 培訓(xùn)和意識(shí) 868
23.2.7 經(jīng)驗(yàn)教訓(xùn) 868
23.2.8 測(cè)試災(zāi)難恢復(fù)方案 869
23.3 業(yè)務(wù)持續(xù) 871
23.3.1 BCP生命周期 872
23.3.2 信息系統(tǒng)可用性 873
23.3.3 最終用戶環(huán)境 876
23.4 本章回顧 877
23.5 快速提示 877
23.6 問題 878
23.7 答案 880
第VIII部分
軟件研發(fā)安全
第24章 軟件研發(fā) 882
24.1 軟件研發(fā)生命周期 882
24.2 項(xiàng)目管理 883
24.2.1 需求收集階段 884
24.2.2 設(shè)計(jì)階段 886
24.2.3 研發(fā)階段 889
24.2.4 測(cè)試階段 891
24.2.5 運(yùn)營(yíng)維護(hù)階段 893
24.2.6 變更管理 893
24.2.7 變更控制 893
24.3 軟件研發(fā)方法論 895
24.3.1 瀑布模式 895
24.3.2 原型模式 896
24.3.3 增量模式 897
24.3.4 螺旋模式 898
24.3.5 快速應(yīng)用程序研發(fā) 899
24.3.6 敏捷模式 900
24.4 成熟度模型 904
24.4.1 能力成熟度集成模型 905
24.4.2 軟件保障成熟度模型 907
24.5 本章回顧 907
24.6 快速提示 908
24.7 問題 909
24.8 答案 910
第25章 安全的軟件 913
25.1 編程語言與概念 913
25.1.1 匯編器、編譯器和
解釋器 915
25.1.2 運(yùn)行時(shí)環(huán)境 917
25.1.3 面向?qū)ο蟮母拍?919
25.1.4 內(nèi)聚和耦合 924
25.1.5 應(yīng)用程序編程接口 924
25.1.6 軟件庫 925
25.2 安全的軟件研發(fā) 925
25.2.1 源代碼漏洞 926
25.2.2 安全編碼實(shí)踐 926
25.2.3 軟件研發(fā)安全控制措施 928
25.2.4 應(yīng)用程序安全測(cè)試 930
25.2.5 持續(xù)集成和交付 931
25.2.6 安全編排、自動(dòng)化和
響應(yīng) 932
25.2.7 軟件配置管理 932
25.2.8 代碼存儲(chǔ)庫 933
25.3 軟件安全評(píng)估 934
25.3.1 風(fēng)險(xiǎn)分析和緩解 934
25.3.2 變更管理 934
25.3.3 評(píng)估獲取軟件的安全性 935
25.4 本章回顧 937
25.5 快速提示 937
25.6 問題 939
25.7 答案 940
以下內(nèi)容可掃封底二維碼下載
附錄A 完整的復(fù)習(xí)題 943
附錄B 知識(shí)點(diǎn)目標(biāo)映射 983
附錄C 關(guān)于在線內(nèi)容 998