CISSP官方學習指南

準備CISSP認證的完全指南全面更新至2015年CISSP CIB 《CISSP官方學習指南(第7版)》是完整涵蓋2015年CISSP認證知識體系的一站式資源，100%覆蓋了2015年CISSP CIB考點。可以通過本書更明智、更快捷地準備考試，包括檢查備考情況的評估測試、目標地圖、真實場景、實踐練習、關鍵主題考試要點和有挑戰的章末複習題。通過Sybex提供的獨特的線上學習環境和測試題庫(它們可以在多種設備上訪問)，進一步增強你的考試能力。開始使用本書準備CISSP考試吧！ 100%覆蓋所有考試目標。

◆ 安全和風險管理

◆ 資產安全

◆ 安全工程

◆ 通信和網路安全

◆ 身份與訪問管理

◆ 安全評估和測試

◆ 安全運營

◆ 軟體開發安全

James Michael Stewart，擁有CISSP、CEH、CHFI、Security+認證，致力於鑽研安全、認證和各種作業系統20餘年，他教授大量的就業技能和認證課程。

Mike Chapple，博士，擁有 CISSP認證，在Notre Dame大學任職，擔任IT服務部門資深總監，負責信息安全、數據治理、IT架構、項目管理、戰略規劃和產品管理功能。

Darril Gibson，擁有CISSP認證，是YCDA有限公司的CEO。他定期撰寫和諮詢各種技術和安全主題，已經撰寫或合著的圖書超過35本。

第1章 通過原則和策略的安全治理 1

1.1 理解和套用機密性、完整性

和可用性的概念 2

1.1.1 機密性 2

1.1.2 完整性 3

1.1.3 可用性 4

1.1.4 其他安全概念 5

1.1.5 保護機制 8

1.2 套用安全治理原則 9

1.2.1 安全功能戰略、目標、

任務和願景的一致 9

1.2.2 組織流程 11

1.2.3 安全形色和責任 15

1.2.4 控制架構 16

1.2.5 應盡關注和應盡職責 16

1.3 開發和文檔化安全策略、

標準、指導方針和程式 17

1.3.1 安全策略 17

1.3.2 安全標準、基準及指南 18

1.3.3 安全程式 18

1.4 理解和套用威脅建模 19

1.4.1 識別威脅 20

1.4.2 確定和用圖表示潛在攻擊 22

1.4.3 執行降低分析 23

1.4.4 優先權和回響 23

1.5 把安全風險考慮到收購

策略和實踐中 24

1.6 本章小結 25

1.7 考試要點 26

1.8 書面實驗室 28

1.9 複習題 28

第2章 人員安全和風險管理概念 31

2.1 促進人員安全策略 32

2.1.1 篩選候選人 34

2.1.2 僱傭協定和策略 34

2.1.3 解僱員工的流程 35

2.1.4 供應商、顧問和承包商控制 37

2.1.5 合規性 38

2.1.6 隱私 38

2.2 安全治理 39

2.3 理解和套用風險管理概念 39

2.3.1 風...

2.3.1風險術語40

2.3.2識別威脅和脆弱性42

2.3.3風險評估/分析43

2.3.4風險分配/接受48

2.3.5對策的選擇和評估49

2.3.6實施50

2.3.7控制的類型51

2.3.8監控和測量52

2.3.9資產評估52

2.3.10持續改進53

2.3.11風險框架54

2.4建立和管理信息安全教育、

培訓和意識55

2.5管理安全功能56

2.6本章小結57

2.7考試要點57

2.8書面實驗室59

2.9複習題59

第3章業務連續性計畫63

3.1業務連續性計畫63

3.2項目範圍與計畫64

3.2.1業務組織分析65

3.2.2BCP團隊的選擇65

3.2.3資源要求66

3.2.4法律和法規要求67

3.3業務影響評估68

3.3.1確定優先權69

3.3.2風險識別69

3.3.3可能性評估70

3.3.4影響評估71

3.3.5資源優先權劃分72

3.4連續性計畫72

3.4.1策略開發73

3.4.2預備和處理73

3.4.3計畫批准和實現74

3.4.4計畫實現75

3.4.5培訓和教育75

3.5BCP文檔化75

3.5.1連續性計畫的目標75

3.5.2重要性聲明76

3.5.3優先權聲明76

3.5.4組織職責的聲明76

3.5.5緊急程度和時限的聲明76

3.5.6風險評估76

3.5.7可接受的風險/風險緩解77

3.5.8重大記錄計畫77

3.5.9回響緊急事件的指導原則77

3.5.10維護78

3.5.11測試和演習78

3.6本章小結78

3.7考試要點79

3.8書面實驗室79

3.9複習題79

第4章法律、法規和合規性83

4.1法律的分類84

4.1.1刑法84

4.1.2民法85

4.1.3行政法85

4.2法律86

4.2.1計算機犯罪86

4.2.2智慧財產權89

4.2.3進口/出口94

4.2.4隱私95

4.3合規性99

4.4契約與採購100

4.5本章小結101

4.6考試要點101

4.7書面實驗室102

4.8複習題102

第5章保護資產的安全107

5.1對資產進行分類和標記107

5.1.1定義敏感數據108

5.1.2定義分類109

5.1.3定義數據安全要求111

5.1.4理解數據狀態112

5.1.5管理敏感數據112

5.1.6套用密碼學保護機密檔案117

5.2定義數據角色119

5.2.1數據所有者119

5.2.2系統所有者120

5.2.3業務/任務所有者120

5.2.4數據處理者121

5.2.5管理員121

5.2.6保管者121

5.2.7用戶122

5.3保護隱私122

5.3.1使用安全基線122

5.3.2審視和定製123

5.3.3選擇標準123

5.4本章小結124

5.5考試要點124

5.6書面實驗室125

5.7複習題125

第6章密碼學與對稱加密算法129

6.1密碼學歷史上的里程碑129

6.1.1凱撒密碼129

6.1.2美國內戰130

6.1.3Ultra與Enigma130

6.2密碼學基礎131

6.2.1密碼學的目標131

6.2.2密碼學概念132

6.2.3密碼學的數學原理133

6.2.4密碼138

6.3現代密碼學143

6.3.1密鑰143

6.3.2對稱密鑰算法144

6.3.3非對稱密鑰算法145

6.3.4散列算法147

6.4對稱密碼147

6.4.1數據加密標準148

6.4.2三重數據加密算法(3DES)149

6.4.3國際數據加密算法(IDEA)150

6.4.4Blowfish150

6.4.5Skipjack151

6.4.6高級加密標準(AES)151

6.4.7對稱密鑰管理152

6.4.8密碼生命周期154

6.5本章小結154

6.6考試要點154

6.7書面實驗室155

6.8複習題156

第7章PKI和密碼學套用159

7.1非對稱密碼學159

7.1.1公鑰與私鑰160

7.1.2RSA160

7.1.3ElGamal161

7.1.4橢圓曲線密碼系統(ECC)162

7.2散列函式162

7.2.1SHA163

7.2.2MD2164

7.2.3MD4164

7.2.4MD5165

7.3數字簽名165

7.3.1HMAC166

7.3.2數字簽名標準167

7.4公鑰基礎設施(PKI)167

7.4.1證書167

7.4.2證書授權機構168

7.4.3證書的生成與撤消169

7.4.4非對稱密鑰的管理170

7.5密碼學的套用171

7.5.1攜帶型設備171

7.5.2電子郵件171

7.5.3Web套用172

7.5.4數字著作權管理(DRM)174

7.5.5網路連線176

7.6密碼學攻擊179

7.7本章小結181

7.8考試要點181

7.9書面實驗室182

7.10複習題183

第8章安全模型的原則、

設計和功能187

8.1使用安全設計原則實施和

管理工程過程187

8.1.1客體和主體188

8.1.2封閉式系統和開放式系統188

8.1.3用於確保機密性、完整性和

可用性的技術189

8.1.4控制190

8.1.5信任與保證190

8.2理解安全模型的基本概念191

8.2.1可信計算基192

8.2.2狀態機模型193

8.2.3信息流模型193

8.2.4無干擾模型194

8.2.5Take-Grant模型194

8.2.6訪問控制矩陣195

8.2.7Bell-LaPadula模型196

8.2.8Biba模型197

8.2.9Clark-Wilson模型199

8.2.10BrewerandNash模型

(也叫作ChineseWall)200

8.2.11Goguen-Meseguer模型200

8.2.12Sutherland模型200

8.2.13Graham-Denning模型200

8.3基於系統安全評估模型

選擇控制和對策201

8.3.1彩虹系列201

8.3.2TCSEC分類和所需功能202

8.3.3彩虹系列中的其他顏色203

8.3.4ITSEC類別與所需的

保證和功能性205

8.3.5通用準則206

8.3.6認證和鑑定208

8.4理解信息系統的安全功能210

8.4.1記憶體保護210

8.4.2虛擬化210

8.4.3可信平台模組211

8.4.4接口211

8.4.5容錯211

8.5本章小結212

8.6考試要點212

8.7書面實驗室213

8.8複習題213

第9章安全脆弱性、威脅和對施217

9.1評估和緩解安全脆弱性218

9.1.1硬體218

9.1.2存儲器226

9.1.3存儲設備230

9.1.4存儲介質的安全性231

9.1.5輸入和輸出設備231

9.1.6固件233

9.2基於客戶端234

9.2.1applet234

9.2.2本地快取235

9.3基於服務端237

9.4資料庫安全237

9.4.1聚合237

9.4.2推理238

9.4.3數據挖掘和數據倉庫238

9.4.4數據分析239

9.4.5大規模並行數據系統239

9.5分散式系統239

9.5.1雲計算241

9.5.2格線計算241

9.5.3點對點242

9.6工業控制系統242

9.7評估和緩解基於Web系統的

脆弱性243

9.8評估和緩解移動系統的

脆弱性243

9.8.1設備安全244

9.8.2套用安全247

9.8.3BYOD關注點248

9.9評估和緩解嵌入式設備和

物聯網系統的脆弱性251

9.9.1嵌入式系統和靜態

系統的示例251

9.9.2安全方法252

9.10基本安全保護機制253

9.10.1技術機制254

9.10.2安全策略與計算機

體系結構256

9.10.3策略機制256

9.11常見的缺陷和安全問題257

9.11.1隱蔽通道257

9.11.2基於設計或編碼缺陷的

攻擊和安全問題258

9.11.3編程260

9.11.4計時、狀態改變和

通信中斷260

9.11.5技術和過程完整性261

9.11.6電磁輻射261

9.12本章小結262

9.13考試要點262

9.14書面實驗室264

9.15複習題264

第10章物理安全需求269

10.1套用安全原則到選址和

設施設計270

10.1.1安全設施計畫270

10.1.2場所選擇270

10.1.3可視性271

10.1.4自然災害271

10.1.5設施的設計271

10.2設計和實施物理安全272

10.2.1設備故障273

10.2.2配線間273

10.2.3伺服器機房274

10.2.4介質存儲設施275

10.2.5證據存儲276

10.2.6受限的和工作區域安全

(例如，運營中心)276

10.2.7數據中心安全277

10.2.8基礎設施和HVAC

注意事項279

10.2.9水的問題(例如，漏水

和水災)281

10.2.10火災的預防、檢測和

抑制281

10.3實施和管理物理安全285

10.3.1周邊(例如，訪問控制

和監控)285

10.3.2內部安全(例如，陪同要求/

訪問者控制、鑰匙和鎖)287

10.4本章小結291

10.5考試要點292

10.6書面實驗室293

10.7複習題294

第11章網路安全架構與保護

網路組件297

11.1OSI模型298

11.1.1OSI模型的歷史298

11.1.2OSI功能298

11.1.3封裝/解封裝299

11.1.4OSI分層300

11.2TCP/IP模型305

11.2.1TCP/IP協定族概述306

11.2.2分層協定的套用313

11.2.3TCP/IP的脆弱性314

11.2.4域名解析315

11.3匯聚協定315

11.4內容分發網路317

11.5無線網路317

11.5.1保護無線接入點317

11.5.2保護SSID319

11.5.3執行現場勘測319

11.5.4使用加密協定320

11.5.5天線位置的確定322

11.5.6天線類型322

11.5.7調整功率水平控制323

11.5.8使用強制門戶323

11.5.9一般的Wi-Fi安全措施323

11.6保護網路組件324

11.6.1網路接入控制325

11.6.2防火牆325

11.6.3終端安全328

11.6.4其他網路設備328

11.7布線、無線、拓撲和

通信技術330

11.7.1網路布線331

11.7.2網路拓撲334

11.7.3無線通信與安全性335

11.7.4LAN技術339

11.8本章小結342

11.9考試要點343

11.10書面實驗室344

11.11複習題345

第12章安全通信和網路攻擊349

12.1網路與協定安全機制350

12.1.1安全通信協定350

12.1.2身份認證協定351

12.2安全的語音通信351

12.2.1網際網路語音協定(VoIP)352

12.2.2社會工程學352

12.2.3偽造與濫用353

12.3多媒體協作354

12.3.1遠程會議355

12.3.2即時訊息355

12.4管理電子郵件的安全性355

12.4.1電子郵件安全性的目標356

12.4.2理解電子郵件的安全性

問題356

12.4.3電子郵件安全性

解決方案357

12.5遠程接入安全管理359

12.5.1計畫遠程接入安全360

12.5.2撥號協定361

12.5.3集中化的遠程身份

認證服務361

12.6虛擬專用網路362

12.6.1隧道技術362

12.6.2VPN的工作原理363

12.6.3常用VPN協定363

12.6.4虛擬區域網路365

12.7虛擬化365

12.7.1虛擬化軟體366

12.7.2虛擬化網路366

12.8網路地址轉換367

12.8.1專用IP位址368

12.8.2狀態NAT369

12.8.3靜態NAT與動態NAT369

12.8.4自動私有IP位址定址370

12.9交換技術371

12.9.1電路交換371

12.9.2分組交換371

12.9.3虛電路372

12.10WAN技術372

12.10.1WAN連線技術374

12.10.2X.25WAN連線374

12.10.3幀中繼連線374

12.10.4ATM375

12.10.5SMDS375

12.10.6專門的協定375

12.10.7撥號封裝協定375

12.11各種安全控制特性376

12.11.1透明性376

12.11.2驗證完整性376

12.11.3傳輸機制377

12.12安全邊界377

12.13網路攻擊與對策378

12.13.1DoS和DDoS378

12.13.2偷聽379

12.13.3假冒/偽裝379

12.13.4重放攻擊380

12.13.5修改攻擊380

12.13.6地址解析協定欺騙380

12.13.7DNS投毒、欺騙和

劫持381

12.13.8超連結欺騙381

12.14本章小結382

12.15考試要點383

12.16書面實驗室384

12.17複習題385

第13章管理身份與認證389

13.1控制對資產的訪問389

13.1.1主體與客體的對比390

13.1.2訪問控制的類型391

13.1.3CIA三要素392

13.2比較身份標識與認證393

13.2.1身份的註冊和證明393

13.2.2授權與可問責性393

13.2.3認證因素394

13.2.4密碼395

13.2.5智慧卡和令牌397

13.2.6生物識別398

13.2.7多因素身份認證401

13.2.8設備認證401

13.3實施身份管理402

13.3.1單點登錄402

13.3.2LDAP和集中式訪問

控制402

13.3.3LDAP和PKI402

13.3.4Kerberos403

13.3.5聯合身份管理和SSO404

13.3.6其他單點登錄的例子405

13.3.7證書管理系統406

13.3.8整合身份服務406

13.3.9管理會話406

13.3.10AAA協定407

13.4管理標識和訪問開通

生命周期408

13.4.1開通408

13.4.2賬號審核409

13.4.3賬號撤消410

13.5本章小結410

13.6考試要點411

13.7書面實驗室412

13.8複習題412

第14章控制和監控訪問417

14.1對比訪問控制模型417

14.1.1對比許可、許可權和特權418

14.1.2理解授權機制418

14.1.3用安全策略定義需求419

14.1.4部署深度防禦419

14.1.5自主訪問控制420

14.1.6非自主訪問控制421

14.2理解訪問控制攻擊方式425

14.2.1風險元素425

14.2.2常見的訪問控制攻擊428

14.3本章小結436

14.4考試要點437

14.5書面實驗室438

14.6複習題438

第15章安全評估和測試441

15.1創建安全評估和測試程式442

15.1.1安全測試442

15.1.2安全評估443

15.1.3安全審計443

15.2執行漏洞評估444

15.2.1漏洞掃描444

15.2.2滲透測試451

15.3測試你的軟體452

15.3.1代碼審查和測試452

15.3.2接口測試455

15.3.3誤用案例測試455

15.3.4測試覆蓋率分析456

15.4實現安全管理過程456

15.4.1日誌審核456

15.4.2賬戶管理456

15.4.3備份驗證457

15.4.4關鍵性能指標和

風險指標457

15.5本章小結457

15.6考試要點458

15.7書面實驗室458

15.8複習題459

第16章管理安全運營463

16.1套用安全運營的概念464

16.1.1知其所需和最小特權464

16.1.2職責和責任分離465

16.1.3崗位輪換467

16.1.4強制休假468

16.1.5監控特殊的特權468

16.1.6管理信息生命周期469

16.1.7服務級別協定470

16.1.8關注人員安全470

16.2提供和管理資源471

16.2.1管理硬體和軟體資產471

16.2.2保護物理資產472

16.2.3管理虛擬資產472

16.2.4管理基於雲的資產472

16.2.5介質管理473

16.2.6管理介質的生命周期475

16.3配置管理476

16.3.1基線476

16.3.2用鏡像創建基線476

16.4變更管理478

16.4.1安全影響分析479

16.4.2版本控制479

16.4.3配置文檔480

16.5補丁管理和減少漏洞480

16.5.1補丁管理480

16.5.2漏洞管理481

16.5.3漏洞掃描481

16.5.4漏洞評估482

16.5.5常見漏洞和披露483

16.6本章小結483

16.7考試要點484

16.8書面實驗室485

16.9複習題485

第17章事件預防和回響489

17.1管理事件回響490

17.1.1事件界定490

17.1.2事件回響步驟491

17.1.3檢測491

17.1.4回響492

17.1.5緩解492

17.1.6報告492

17.1.7恢復493

17.1.8修復493

17.1.9經驗教訓494

17.2部署預防措施494

17.2.1基本的預防措施495

17.2.2理解攻擊495

17.2.3入侵檢測和防禦系統502

17.2.4特殊的防禦措施507

17.3日誌、監控和審計513

17.3.1日誌和監控513

17.3.2出口監控520

17.3.4審計和評估有效性521

17.4本章小結525

17.5考試要點527

17.6書面實驗室529

17.7複習題529

第18章災難恢復計畫533

18.1災難的本質534

18.1.1自然災難534

18.1.2人為災難538

18.1.3其他公共設施和基礎

設施故障539

18.2理解系統恢復和容錯能力541

18.2.1保護硬碟驅動器542

18.2.2保護伺服器542

18.2.3保護電源543

18.2.4受信恢復544

18.2.5服務質量545

18.3恢復策略545

18.3.1確定業務單元的

優先順序546

18.3.2危機管理546

18.3.3應急通信547

18.3.4工作組恢復547

18.3.5可替代的工作站點547

18.3.6相互援助協定550

18.3.7資料庫恢復551

18.4恢復計畫開發552

18.4.1緊急事件回響552

18.4.2人員通知553

18.4.3評估553

18.4.4備份和離站存儲553

18.4.5軟體託管協定556

18.4.6外部通信556

18.4.7公用設施557

18.4.8物流和供應557

18.4.9恢復與還原的比較557

18.5培訓、意識與文檔記錄558

18.6測試與維護558

18.6.1通讀測試558

18.6.2結構化演練559

18.6.3模擬測試559

18.6.4並行測試559

18.6.5完全中斷測試559

18.6.6維護559

18.7總結560

18.8考試要點560

18.9書面實驗561

18.10複習題561

第19章事件與道德規範565

19.1調查565

19.1.1調查的類型566

19.1.2證據567

19.1.3調查過程570

19.2計算機犯罪的主要類別571

19.2.1軍事和情報攻擊571

19.2.2商業攻擊572

19.2.3財務攻擊572

19.2.4恐怖攻擊573

19.2.5惡意攻擊573

19.2.6興奮攻擊574

19.3事故處理575

19.3.1常見的事故類型575

19.3.2回響團隊576

19.3.3事故回響過程578

19.3.4約談個人580

19.3.5事故數據的完整性和

保存580

19.3.6事故報告580

19.4道德規範581

19.4.1(ISC)2的道德規範582

19.4.2道德規範和網際網路582

19.5本章小結583

19.6考試要點584

19.7書面實驗室585

19.8複習題585

第20章軟體開發安全589

20.1系統開發控制概述589

20.1.1軟體開發590

20.1.2系統開發生命周期593

20.1.3生命周期模型595

20.1.4甘特圖與PERT600

20.1.5變更和配置管理600

20.1.6DevOps方法601

20.1.7套用編程接口602

20.1.8軟體測試603

20.1.9代碼倉庫604

20.1.10服務等級協定604

20.1.11軟體採購605

20.2創建資料庫和數據倉儲605

20.2.1資料庫管理系統的

體系結構605

20.2.2資料庫事務608

20.2.3多級資料庫的安全性609

20.2.4ODBC610

20.3存儲數據和信息611

20.3.1存儲器的類型611

20.3.2存儲器威脅612

20.4理解基於知識的系統612

20.4.1專家系統612

20.4.2神經網路613

20.4.3決策支持系統613

20.4.4安全性套用614

20.5本章小結614

20.6考試要點614

20.7書面實驗室615

20.8複習題615

第21章惡意代碼與套用攻擊619

21.1惡意代碼619

21.1.1惡意代碼的來源620

21.1.2病毒620

21.1.3邏輯炸彈624

21.1.4特洛伊木馬624

21.1.5蠕蟲625

21.1.6間諜軟體與廣告軟體627

21.1.7對策628

21.2密碼攻擊629

21.2.1密碼猜測攻擊629

21.2.2字典攻擊630

21.2.3社會工程學攻擊630

21.2.4對策631

21.3應用程式攻擊631

21.3.1緩衝區溢出632

21.3.2檢驗時間到使用時間632

21.3.3後門632

21.3.4許可權提升和rootkit633

21.4Web套用的安全性633

21.4.1跨站腳本(XSS)攻擊633

21.4.2SQL注入攻擊634

21.5偵察攻擊636

21.5.1IP探測636

21.5.2連線埠掃描637

21.5.3漏洞掃描637

21.5.4垃圾搜尋637

21.6偽裝攻擊638

21.6.1IP欺騙638

21.6.2會話劫持638

21.7本章小結639

21.8考試要點639

21.9書面實驗室640

21.10複習題640

附錄A複習題答案643

附錄B書面實驗室答案667

術語表677