CISSP认证考试指南 (美)肖恩·哈里斯(Shon Harris),(美)？费尔南多·梅密【正版】 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线

如果你想成为一名经过(ISC)2认证的CISSP，那么在《CISSP认证考试指南(第7版)》里能找到需要了解的所有内容。《CISSP认证考试指南(第7版)》讲述企业如何制定和实现策略、措施、指导原则和标准及其原因；介绍网络、应用程序和系统的脆弱性，脆弱性的被利用情况以及如何应对这些威胁；解释物理安全、操作安全以及不同系统会采用不同安全机制的原因。此外，还回顾美国与靠前上用于测试系统安全性的安全准则和评估体系，诠释这些准则的含义及其使用原因。很后，《CISSP认证考试指南(第7版)》还将阐明与计算机系统及其数据相关的各种法律责任问题，例如计算机犯罪、法庭证物以及如何为出庭准备计算机证据。尽管《CISSP认证考试指南(第7版)》主要是为CISSP考试撰写的学习指南，但在你通过认证后，它仍不失为一本不可替代的重要参考用书。

章安全和风险管理1

1.1安全基本原则2

1.1.1可用性3

1.1.2完整性3

1.1.3机密性3

1.1.4平衡安全4

1.2安全定义5

1.3控制类型6

1.4安全框架10

1.4.1 ISO/IEC 27000系列12

1.4.2企业安全架构开发14

1.4.3安全控制开发23

1.4.4流程管理开发26

1.4.5功能与安全性32

1.5计算机犯罪法的难题32

1.6网络犯罪的复杂性34

1.6.1电子资产35

1.6.2攻击的演变36

1.6.3国际问题38

1.6.4法律的类型41

1.7知识产权法44

1.7.1商业秘密44

1.7.2版权45

1.7.3商标45

1.7.4专利46

1.7.5知识产权的内部保护47

1.7.6软件盗版48

1.8隐私50

1.8.1对隐私法不断增长的需求51

1.8.2法律、指令和法规52

1.8.3员工隐私问题58

1.9数据泄露59

1.9.1美国的数据泄露相关法律60

1.9.2其他国家有关数据泄露的法律61

1.10策略、标准、基线、指南和

过程61

1.10.1 安全策略62

1.10.2标准64

1.10.3 基线65

1.10.4 指南66

1.10.5 措施66

1.10.6 实施66

1.11风险管理67

1.11.1 全面的风险管理68

1.11.2 信息系统风险管理策略68

1.11.3 风险管理团队69

1.11.4 风险管理过程69

1.12威胁建模70

1.12.1 脆弱性70

1.12.2 威胁71

1.12.3 攻击71

1.12.4 消减分析72

1.13风险评估和分析73

1.13.1 风险分析团队74

1.13.2 信息和资产的价值74

1.13.3 构成价值的成本75

1.13.4 识别脆弱性和威胁75

1.13.5 风险评估方法76

1.13.6 风险分析方法80

1.13.7 定性风险分析83

1.13.8 保护机制86

1.13.9 综合考虑88

1.13.10 总风险与剩余风险88

1.13.11 处理风险89

1.13.12 外包90

1.14风险管理框架91

1.14.1 信息分类92

1.14.2 安全控制的选择92

1.14.3 安全控制的实现93

1.14.4 安全控制的评估93

1.14.5 信息系统的授权93

1.14.6 安全控制的监管93

1.15业务连续性与灾难恢复94

1.15.1 标准和实践96

1.15.2 使BCM成为企业安全计划的

一部分98

1.15.3 BCP项目的组成100

1.16人员安全111

1.16.1 招聘实践112

1.16.2 解雇113

1.16.3 安全意识培训114

1.16.4 学位或证书115

1.17安全治理115

1.18道德120

1.18.1 计算机道德协会120

1.18.2 互联网架构研究委员会121

1.18.3 企业道德计划122

1.19小结122

1.20快速提示123

1.21问题126

1.22答案133

第2章资产安全137

2.1信息生命周期137

2.1.1获取138

2.1.2使用138

2.1.3存档139

2.1.4处置139

2.2信息分类140

2.2.1分类等级141

2.2.2分类控制143

2.3责任分层144

2.3.1行政管理层144

2.3.2数据所有者147

2.3.3数据看管员147

2.3.4系统所有者148

2.3.5安全管理员148

2.3.6主管148

2.3.7变更控制分析员148

2.3.8数据分析员149

2.3.9用户149

2.3.10 审计员149

2.3.11 为何需要这么多角色149

2.4保留策略149

2.5保护隐私152

2.5.1数据所有者153

2.5.2数据处理者153

2.5.3数据残留153

2.5.4收集的限制156

2.6保护资产156

2.6.1数据安全控制157

2.6.2介质控制159

2.7数据泄露163

2.8保护其他资产170

2.8.1保护移动设备170

2.8.2纸质记录171

2.8.3保险箱171

2.9小结172

2.10快速提示172

2.11问题173

2.12答案176

第3章安全工程179

3.1系统架构180

3.2计算机架构183

3.2.1中央处理单元183

3.2.2多重处理186

3.2.3存储器类型187

3.3操作系97

3.3.1进程管理197

3.3.2存储器管理204

3.3.3输入/输出设备管理207

3.3.4 CPU架构集成209

3.3.5操作系统架构212

3.3.6虚拟机217

3.4系统安全架构219

3.4.1安全策略219

3.4.2安全架构要求220

3.5安全模型224

3.5.1 Bell-LaPadula模型224

3.5.2 Biba模型225

3.5.3 Clark-Wilson模型225

3.5.4无干扰模型226

3.5.5 Brewer and Nash模型227

3.5.6 Graham-Denning模型227

3.5.7 Harrison-Ruzzo-Ullman模型227

3.6系统评估方法228

3.6.1通用准则229

3.6.2对产品进行评估的原因232

3.7认证与认可232

3.7.1认证232

3.7.2认可233

3.8开放系统与封闭系统234

3.8.1开放系统234

3.8.2封闭系统234

3.9分布式系统安全234

3.9.1云计算235

3.9.2并行计算235

3.9.3数据库236

3.9.4 Web应用238

3.9.5移动设备239

3.9.6网络物理系统240

3.10一些对安全模型和架构的威胁242

3.10.1 维护陷阱243

3.10.2 检验时间/使用时间攻击243

3.11密码学背景244

3.12密码学定义与概念249

3.12.1 Kerckhoffs原则251

3.12.2 密码系统的强度251

3.12.3 密码系统的服务252

3.12.4 一次性密码本252

3.12.5 滚动密码与隐藏密码254

3.12.6 隐写术255

3.13密码的类型257

3.13.1 替代密码257

3.13.2 换位密码257

3.14加密的方法259

3.14.1 对称算法与非对称算法259

3.14.2 分组密码与流密码263

3.14.3 混合加密方法267

3.15对称系统的类型272

3.15.1 数据加密标准272

3.15.2 三重DES278

3.15.3 高级加密标准278

3.15.4 国际数据加密算法279

3.15.5 Blowfish279

3.15.6 RC4279

3.15.7 RC5279

3.15.8 RC6280

3.16非对称系统的类型280

3.16.1 Diffie-Hellman 算法280

3.16.2 RSA282

3.16.3 El Gamal284

3.16.4 椭圆曲线密码系统284

3.16.5 背包算法285

3.16.6 零知识证明285

3.17消息完整性286

3.17.1 单向散列286

3.17.2各种散列算法290

3.17.3 MD4291

3.17.4 MD5291

3.17.5 SHA291

3.17.6 针对单向散列函数的攻击291

3.17.7 数字292

3.17.8 数字标准294

3.18公钥基础设施294

3.18.1 认证授权机构295

3.18.2 证书297

3.18.3 注册授权机构297

3.18.4 PKI 步骤297

3.19密钥管理299

3.19.1 密钥管理原则300

3.19.2 密钥和密钥管理的规则301

3.20可信平台模块301

3.21针对密码学的攻击303

3.21.1 唯密文攻击303

3.21.2 已知明文攻击303

3.21.3 选定明文攻击303

3.21.4 选定密文攻击304

3.21.5 差分密码分析304

3.21.6 线性密码分析304

3.21.7 旁路攻击305

3.21.8 重放攻击305

3.21.9 代数攻击305

3.21.10 分析式攻击306

3.21.11 统计式攻击306

3.21.12 社会工程攻击306

3.21.13 中间相遇攻击306

3.22站点和设施安全306

3.23站点规划过程307

3.23.1 通过环境设计来预防犯罪310

3.23.2 制订物理安全计划314

3.24保护资产324

3.24.1保护移动设备324

3.24.2 使用保险柜325

3.25内部支持系统325

3.25.1 电力325

3.25.2 环境问题329

3.25.3 火灾的预防、检测和扑灭331

3.26小结335

3.27快速提示336

3.28问题340

3.29答案346

第4章通信与网络安全351

4.1通信352

4.2开放系统互连参考模型353

4.2.1协议354

4.2.2应用层356

4.2.3表示层356

4.2.4会话层357

4.2.5传输层359

4.2.6网络层360

4.2.7数据链路层360

4.2.8物理层362

4.2.9 OSI模型中的功能和协议362

4.2.10 综合这些层364

4.2.11 多层协议365

4.3 TCP/IP模型366

4.3.1 TCP367

4.3.2 IP寻址371

4.3.3 IPv6373

4.3.4第2层安全标准376

4.3.5汇聚协议377

4.4传输类型378

4.4.1模拟和数字378

4.4.2异步和同步379

4.4.3宽带和基带381

4.5线缆382

4.5.1同轴电缆382

4.5.2双绞线382

4.5.3光缆383

4.5.4布线问题384

4.6网络互联基础386

4.6.1网络拓扑386

4.6.2介质访问技术388

4.6.3传输方法397

4.6.4网络协议和服务398

4.6.5域名服务405

4.6.6电子邮件服务410

4.6.7网络地址转换414

4.6.8路由协议416

4.7网络互联设备419

4.7.1中继器420

4.7.2网桥420

4.7.3路由器422

4.7.4交换机423

4.7.5网关427

4.7.6 PBX428

4.7.7防火墙431

4.7.8代理服务器448

4.7.9蜜罐450

4.7.10 统一威胁管理450

4.7.11 内容分发网络451

4.7.12 软件定义网络452

4.8内联网与外联网454

4.9城域网455

4.10广域网457

4.10.1 通信的发展458

4.10.2 专用链路459

4.10.3 WAN技术462

4.11远程连接478

4.11.1 拨号连接478

4.11.2 ISDN479

4.11.3 DSL480

4.11.4 线缆调制解调器481

4.11.5 VPN482

4.11.6 身份验证协议488

4.12无线网络489

4.12.1无线通信技术490

4.12.2 WLAN组件492

4.12.3 WLAN安全的演化494

4.12.4 无线标准498

4.12.5 保护WLAN的实践502

4.12.6 卫星503

4.12.7 移动无线通信504

4.13网络加密508

4.13.1 链路加密与端对端加密508

4.13.2 电子邮件加密标准510

4.13.3 互联网安全512

4.14网络攻击516

4.14.1 拒绝服务516

4.14.2 嗅探518

4.14.3 DNS劫持519

4.14.4 偷渡下载519

4.15小结520

4.16快速提示520

4.17问题523

4.18答案530

第5章身份与访问管理535

5.1访问控制概述535

5.2安全原则536

5.2.1可用性536

5.2.2完整性537

5.2.3 机密性537

5.3身份标识、身份验证、授权与

可问责性538

5.3.1身份标识与身份验证539

5.3.2身份验证548

5.3.3授权564

5.3.4联合574

5.3.5身份即服务581

5.3.6集成身份识别服务581

5.4访问控制模型582

5.4.1自主访问控制582

5.4.2强制访问控制583

5.4.3角色访问控制585

5.4.4规则型访问控制587

5.5访问控制方法和技术588

5.5.1限制性用户接口588

5.5.2访问控制矩阵589

5.5.3内容相关访问控制590

5.5.4上下文相关访问控制591

5.6访问控制管理591

5.6.1集中式访问控制管理592

5.6.2分散式访问控制管理597

5.7访问控制方法597

5.7.1访问控制层598

5.7.2行政管理性控制598

5.7.3物理性控制599

5.7.4技术性控制600

5.8可问责性603

5.8.1审计信息的检查604

5.8.2保护审计数据和日志信息605

5.8.3击键监控605

5.9访问控制实践606

5.10 访问控制监控608

5.10.1 入侵检测608

5.10.2 入侵防御系统616

5.11对访问控制的几种威胁618

5.11.1 字典攻击618

5.11.2 蛮力攻击619

5.11.3 登录欺骗619

5.11.4 网络钓鱼619

5.12小结622

5.13快速提示622

5.14问题625

5.15答案632

第6章安全评估与测试635

6.1审计策略636

6.1.1内部审计637

6.1.2第三方审计638

6.2审计技术控制640

6.2.1脆弱性测试640

6.2.2渗透测试642

6.2.3战争拨号攻击646

6.2.4其他脆弱性类型646

6.2.5事后检查648

6.2.6日志审查649

6.2.7综合事务651

6.2.8误用案例测试652

6.2.9代码审查653

6.2.10 接口测试655

6.3审计管理控制655

6.3.1账户管理655

6.3.2备份验证657

6.3.3灾难恢复和业务连续性659

6.3.4安全培训和安全意识培训664

6.3.5关键绩效和风险指标667

6.4报告669

6.4.1技术报告669

6.4.2执行摘要669

6.5管理评审670

6.5.1管理评审前671

6.5.2审查输入671

6.5.3管理层的行动672

6.6小结672

6.7快速提示673

6.8问题674

6.9答案678

……

第7章安全运营

第8章软件开发安全

附录A完整的复习题

术语表

Shon Harris，CISSP，是Shon Harris安全有限责任公司和逻辑安全有限责任公司的创始人兼首席执行官，她是一名安全顾问，是美国空军信息作战部门的前任工程师，也是一名教师和作家。在2014年去世前，Shon拥有并运营自己的培训和咨询公司13年。她为财富100 强公司和政府机构广泛的安全问题提供咨询服务。她撰写了3 本最畅销的CISSP 图书，也曾参与撰写Gray Hat Hacking: The Ethical Hacker’s Handbook和Security Information and Event Management(SIEM) Implementation，并担任Information Security Magazine的技术编辑。

Fernando Maymí, 博士，CISSP，拥有逾25年的安全领域工作经验。他目前领导一个多学科小组，负责网络空间操作的颠覆性创新，并试图通过加强公共部门与私企的合作关系来更好地保护网络空间。Fernando曾在美国和其他国家担任政府和私营部门组织的顾问。在美国和拉丁美洲，他为学术、政府和专业机构讲授了数十门网络安全课程。Fernando曾发表十几篇技术文章，并拥有三项专利。Fernando曾荣获美国陆军研究与发展成就奖，被评为HENAAC杰出人物。他与Shon Harris密切合作，并为包括《CISSP认证考试指南(第6版)》在内的诸多项目提供建议。Fernando还是一名志愿者，致力于盲人导盲，养着两只导盲犬：Trinket和Virgo。

暂无出版社相关信息，正在全力查找中！

暂无相关书籍摘录，正在全力查找中！

在线阅读地址：CISSP认证考试指南 (美)肖恩·哈里斯(Shon Harris),(美)？费尔南多·梅密【正版】在线阅读

在线听书地址：CISSP认证考试指南 (美)肖恩·哈里斯(Shon Harris),(美)？费尔南多·梅密【正版】在线收听

在线购买地址：CISSP认证考试指南 (美)肖恩·哈里斯(Shon Harris),(美)？费尔南多·梅密【正版】在线购买

运营安全涉及配置、性能、容错、安全性以及问责和验证管理，其目的在于确保适当的操作标准与合规性要求得到满足。

书籍介绍

《CISSP认证考试指南(第7版)》讲述企业如何制定和实现策略、措施、指导原则和标准及原因；介绍网络、应用程序和系统的脆弱性，脆弱性的被利用情况及如何应对这些威胁；解释物理安全、操作安全及不同系统会采用不同安全机制的原因。回顾美国与国际上用于测试系统安全性的安全准则和评估体系，诠释这些准则的含义及使用原因。阐明与计算机系统及其数据相关的各种法律责任问题，如计算机犯罪、法庭证物以及如何为出庭准备计算机证据。