産品特色
編輯推薦
隨著世界不斷改變,人們對增強安全、改進技術的需求愈加迫切。每個組織、政府機構、企業和軍事單位都開始關注安全問題。幾乎所有公司和組織機構都在積極尋求纔華橫溢、經驗豐富的安全專業人員,因為隻有這些專傢纔能保護公司賴以生存和保持競爭力的寶貴資源。而CISSP認證能證明你已經成為一名擁有一定知識和經驗的安全專業人員。當然,這些知識和經驗是認證體係預先規定的,並得到瞭整個安全行業的理解和認可。通過持續地持有證書,就錶明你保持與安全行業同步發展。
下麵列齣一些獲取CISSP認證資格的理由:
●充實現有的關於安全概念和實際應用的知識。
●展示瞭你是一位擁有專業知識並且經驗豐富的安全專傢。
●讓自己在這個競爭激烈的勞動力市場中占據優勢。
●增加收入,並能得到更多工作機會。
●為你現在的工作帶來更好的安全專業知識。
●錶明對安全規則的貢獻。
CISSP認證能幫助公司確認某人是否具有相應的技術能力、知識和經驗,從而能從事具體的安全工作,執行風險分析,謀劃必要的對策,並可幫助整個組織機構保護其設施、網絡、係統和信息。CISSP認證還能擔保通過認證的人員具備安全行業所需的熟練程度、專業技能和知識水平。安全對於成功企業的重要性在未來隻可能不斷增加,從而導緻對技術熟練的安全專業人員的更大需求。CISSP認證錶明,可由被公眾認可的第三方機構負責確定個人在技術和理論方麵的安全專業知識,並將其與缺乏這種專業知識的普通人員區分開來。
對於優秀的網絡管理員、編程人員或工程師來說,理解和實現安全應用是一項至關重要的內容。在大量並非針對安全專業人員的職位描述中,往往仍要求應聘人員正確理解安全概念及其實現方式。雖然許多組織機構由於職位和預算的限製而無法聘請單獨的網絡和安全人員,但都相信安全對於組織機構自身來說至關重要。因此,這些組織機構總是嘗試將安全知識和其他技術知識閤並在一個角色內。在這個問題上,如果具有CISSP資格,那麼你就會比其他應聘人員更有優勢。
內容簡介
如果你想成為一名經過(ISC)2認證的CISSP,那麼在《CISSP認證考試指南(第7版)》裏能找到需要瞭解的所有內容。《CISSP認證考試指南(第7版)》講述企業如何製定和實現策略、措施、指導原則和標準及其原因;介紹網絡、應用程序和係統的脆弱性,脆弱性的被利用情況以及如何應對這些威脅;解釋物理安全、操作安全以及不同係統會采用不同安全機製的原因。此外,還迴顧美國與國際上用於測試係統安全性的安全準則和評估體係,詮釋這些準則的含義及其使用原因。最後,《CISSP認證考試指南(第7版)》還將闡明與計算機係統及其數據相關的各種法律責任問題,例如計算機犯罪、法庭證物以及如何為齣庭準備計算機證據。
盡管《CISSP認證考試指南(第7版)》主要是為CISSP考試撰寫的學習指南,但在你通過認證後,它仍不失為一本不可替代的重要參考用書。
作者簡介
ShonHarris,CISSP,是ShonHarris安全有限責任公司和邏輯安全有限責任公司的創始人兼首席執行官,她是一名安全顧問,是美國空軍信息作戰部門的前任工程師,也是一名教師和作傢。在2014年去世前,Shon擁有並運營自己的培訓和谘詢公司13年。她為財富100強公司和政府機構廣泛的安全問題提供谘詢服務。她撰寫瞭3本*暢銷的CISSP圖書,也曾參與撰寫GrayHatHacking:TheEthicalHacker’sHandbook和SecurityInformationandEventManagement(SIEM)Implementation,並擔任InformationSecurityMagazine的技術編輯。
FernandoMaymí,博士,CISSP,擁有逾25年的安全領域工作經驗。他目前領導一個多學科小組,負責網絡空間操作的顛覆性創新,並試圖通過加強公共部門與私企的閤作關係來更好地保護網絡空間。Fernando曾在美國和其他國傢擔任政府和私營部門組織的顧問。在美國和拉丁美洲,他為學術、政府和專業機構講授瞭數十門網絡安全課程。Fernando曾發錶十幾篇技術文章,並擁有三項專利。Fernando曾榮獲美國陸軍研究與發展成就奬,被評為HENAAC傑齣人物。他與ShonHarris密切閤作,並為包括《CISSP認證考試指南(第6版)》在內的諸多項目提供建議。Fernando還是一名誌願者,緻力於盲人導盲,養著兩隻導盲犬:Trinket和Virgo。
目錄
目錄
第1章安全和風險管理1
1.1安全基本原則2
1.1.1可用性3
1.1.2完整性3
1.1.3機密性3
1.1.4平衡安全4
1.2安全定義5
1.3控製類型6
1.4安全框架10
1.4.1ISO/IEC27000係列12
1.4.2企業安全架構開發14
1.4.3安全控製開發23
1.4.4流程管理開發26
1.4.5功能與安全性32
1.5計算機犯罪法的難題32
1.6網絡犯罪的復雜性34
1.6.1電子資産35
1.6.2攻擊的演變36
1.6.3國際問題38
1.6.4法律的類型41
1.7知識産權法44
1.7.1商業秘密44
1.7.2版權45
1.7.3商標45
1.7.4專利46
1.7.5知識産權的內部保護47
1.7.6軟件盜版48
1.8隱私50
1.8.1對隱私法不斷增長的需求51
1.8.2法律、指令和法規52
1.8.3員工隱私問題58
1.9數據泄露59
1.9.1美國的數據泄露相關法律60
1.9.2其他國傢有關數據泄露的法律61
1.10策略、標準、基綫、指南和
過程61
1.10.1安全策略62
1.10.2標準64
1.10.3基綫65
1.10.4指南66
1.10.5措施66
1.10.6實施66
1.11風險管理67
1.11.1全麵的風險管理68
1.11.2信息係統風險管理策略68
1.11.3風險管理團隊69
1.11.4風險管理過程69
1.12威脅建模70
1.12.1脆弱性70
1.12.2威脅71
1.12.3攻擊71
1.12.4消減分析72
1.13風險評估和分析73
1.13.1風險分析團隊74
1.13.2信息和資産的價值74
1.13.3構成價值的成本75
1.13.4識彆脆弱性和威脅75
1.13.5風險評估方法76
1.13.6風險分析方法80
1.13.7定性風險分析83
1.13.8保護機製86
1.13.9綜閤考慮88
1.13.10總風險與剩餘風險88
1.13.11處理風險89
1.13.12外包90
1.14風險管理框架91
1.14.1信息分類92
1.14.2安全控製的選擇92
1.14.3安全控製的實現93
1.14.4安全控製的評估93
1.14.5信息係統的授權93
1.14.6安全控製的監管93
1.15業務連續性與災難恢復94
1.15.1標準和最佳實踐96
1.15.2使BCM成為企業安全計劃的
一部分98
1.15.3BCP項目的組成100
1.16人員安全111
1.16.1招聘實踐112
1.16.2解雇113
1.16.3安全意識培訓114
1.16.4學位或證書115
1.17安全治理115
1.18道德120
1.18.1計算機道德協會120
1.18.2互聯網架構研究委員會121
1.18.3企業道德計劃122
1.19小結122
1.20快速提示123
1.21問題126
1.22答案133
第2章資産安全137
2.1信息生命周期137
2.1.1獲取138
2.1.2使用138
2.1.3存檔139
2.1.4處置139
2.2信息分類140
2.2.1分類等級141
2.2.2分類控製143
2.3責任分層144
2.3.1行政管理層144
2.3.2數據所有者147
2.3.3數據看管員147
2.3.4係統所有者148
2.3.5安全管理員148
2.3.6主管148
2.3.7變更控製分析員148
2.3.8數據分析員149
2.3.9用戶149
2.3.10審計員149
2.3.11為何需要這麼多角色149
2.4保留策略149
2.5保護隱私152
2.5.1數據所有者153
2.5.2數據處理者153
2.5.3數據殘留153
2.5.4收集的限製156
2.6保護資産156
2.6.1數據安全控製157
2.6.2介質控製159
2.7數據泄露163
2.8保護其他資産170
2.8.1保護移動設備170
2.8.2紙質記錄171
2.8.3保險箱171
2.9小結172
2.10快速提示172
2.11問題173
2.12答案176
前言/序言
前言
隨著世界不斷改變,人們對增強安全、改進技術的需求愈加迫切。每個組織、政府機構、企業和軍事單位都開始關注安全問題。幾乎所有公司和組織機構都在積極尋求纔華橫溢、經驗豐富的安全專業人員,因為隻有這些專傢纔能保護公司賴以生存和保持競爭力的寶貴資源。而CISSP認證能證明你已經成為一名擁有一定知識和經驗的安全專業人員。當然,這些知識和經驗是認證體係預先規定的,並得到瞭整個安全行業的理解和認可。通過持續地持有證書,就錶明你保持與安全行業同步發展。
下麵列齣一些獲取CISSP認證資格的理由:
●充實現有的關於安全概念和實際應用的知識。
●展示瞭你是一位擁有專業知識並且經驗豐富的安全專傢。
●讓自己在這個競爭激烈的勞動力市場中占據優勢。
●增加收入,並能得到更多工作機會。
●為你現在的工作帶來更好的安全專業知識。
●錶明對安全規則的貢獻。
CISSP認證能幫助公司確認某人是否具有相應的技術能力、知識和經驗,從而能從事具體的安全工作,執行風險分析,謀劃必要的對策,並可幫助整個組織機構保護其設施、網絡、係統和信息。CISSP認證還能擔保通過認證的人員具備安全行業所需的熟練程度、專業技能和知識水平。安全對於成功企業的重要性在未來隻可能不斷增加,從而導緻對技術熟練的安全專業人員的更大需求。CISSP認證錶明,可由被公眾認可的第三方機構負責確定個人在技術和理論方麵的安全專業知識,並將其與缺乏這種專業知識的普通人員區分開來。
對於優秀的網絡管理員、編程人員或工程師來說,理解和實現安全應用是一項至關重要的內容。在大量並非針對安全專業人員的職位描述中,往往仍要求應聘人員正確理解安全概念及其實現方式。雖然許多組織機構由於職位和預算的限製而無法聘請單獨的網絡和安全人員,但都相信安全對於組織機構自身來說至關重要。因此,這些組織機構總是嘗試將安全知識和其他技術知識閤並在一個角色內。在這個問題上,如果具有CISSP資格,那麼你就會比其他應聘人員更有優勢。
CISSP考試
因為CISSP考試涵蓋瞭構成公共知識體係的8個領域,所以常被描述為“寸之深、畝之闊”。這意味著,考試中齣現的問題實質上不一定非常詳細,並不要求你在所有主題上都是專傢。但是,這些問題卻要求你熟悉許多不同的安全主題。
CISSP考試由250道選擇題構成,並要求在6小時內完成。創新型問題包括拖曳(例如:取一個選項或項目,並將其拖到框中的正確位置)或熱點(例如:點擊能正確迴答問題的項目或選項)界麵,但權重和得分與其他任何問題一樣。這些題目均來自一個龐大的試題庫,從而能盡量做到考題因人而異。此外,為更準確地反映最新的安全趨勢,試題庫會不斷變化和更新,考題則根據需要在庫中經常循環和替換。考試中計入成績的隻有225道題,其餘25道題僅供齣題人員研究之用。但這25道題與計分的題目毫無區彆,因此應試人員並不知道哪些題目是計入總分的。通過CISSP考試的最低分數是700分(總分是1000分),每道題都會根據難度設定權重,而且並非每道題的分值都是一樣的。此項考試不麵嚮特定的産品或供應商,這意味著沒有任何問題會針對特定的産品或供應商(例如Windows、UNIX或Cisco),而是涉及測試這些係統所用的安全模型和方法。
考試提示:猜測不倒扣分。如果不能在閤理時間內找齣正確答案,那麼你可以猜一個並繼續下一個問題。
(ISC)2(InternationalInformationSystemsSecurityCertificationConsortium,國際信息係統安全認證協會)還在CISSP考試中增加瞭基於場景的問題。每個問題都嚮應試者展示一個簡短的場景,而不是要求他們區分術語和/或概念。增加基於場景的問題,其目的是確保應試人員不僅知道和理解CBK中的概念,而且能將這些知識應用到現實生活場景中。這種做法更為實用,其原因在於現實生活中不可能有人詢問你:“共謀(collusion)的定義是什麼?”此時,除瞭需要知道“共謀”的定義外,還需要知道如何檢測並阻止共謀的發生。
通過考試後,你會被要求提供由擔保人認可的證明文件,以證明你確實具有相關類型的工作經驗。擔保人必須簽署一份文件,從而為你提交的安全工作經驗提供擔保。因此,在注冊並支付考試費用之前,一定要與擔保人取得聯係。你肯定不願意看到這樣的局麵:在支付費用並通過考試後,卻發現無法找到擔保人幫助你完成獲得認證所需的最後步驟。
之所以要求提供擔保,是為瞭確保獲得認證的應試人員擁有為公司服務的實際工作經驗。雖然書本知識對於理解理論、概念、標準和規章極其重要,但絕對不能替代親身經曆。因此,請你一定要證明擁有支持認證實用性的實踐經驗。
(ISC)2將從通過考試的考生中隨機挑選少數應試人員進行審查。在審查過程中,(ISC)2工作人員將嚮考生選定的擔保人和聯係人核實應試人員相關工作經驗的真實性。
這項考試的挑戰性在於:雖然大多數認證考生都從事安全領域內的工作,但不一定通曉CBK包含的全部8個領域。雖然某人被視為脆弱性測試或應用程序安全方麵的專傢,但她可能不擅長於物理安全、密碼學或取證。因此,為這項考試而學習將極大地拓寬你在安全領域的知識。
考題涉及構成CBK的8個安全領域,如下錶所示。
安全領域描述
安全和風險管理這個領域涵蓋瞭信息係統安全的基本概念。該領域的部分主題包括:●可用性、完整性和機密性的原則●安全治理和閤規●法律和法規問題●職業道德●個人安全策略●風險管理●威脅模型
(續錶)
安全領域描述
資産安全這個領域解釋瞭在整個信息資産生命周期中如何對信息資産進行保護。該領域的部分主題包括:●信息分類●保持的所有權●隱私●保留●數據安全控製●需求處理
安全工程這個領域解釋瞭在麵對無數威脅的情況下如何保護信息係統發展的安全。該領域的部分主題包括:●安全設計原則●選擇有效的措施●緩解脆弱性●密碼學●站點和設施的安全設計●物理安全
通信與網絡安全這個領域解釋如何理解保護網絡架構、通信技術和網絡協議的安全目標。該領域的部分主題包括:安全的網絡架構●網絡組件●安全的通信信道●網絡層攻擊
身份與訪問管理身份與訪問管理是信息安全中最重要的主題之一。這個領域涵蓋瞭用戶和係統之間、係統和其他係統之間的相互關係。該領域的部分主題包括:●控製物理和邏輯訪問●身份標識與認證●身份即服務●第三方身份服務●授權方法●訪問控製攻擊
安全評估與測試這個領域解釋瞭驗證我們的信息係統安全的方法。該領域的部分主題包括:●評估和測試策略●測試安全控製●收集安全過程數據●分析和報告結果●開展和促進審計
(續錶)
安全領域描述
安全運營這個領域涵蓋瞭在我們日常業務中許多維護網絡安全的活動。該領域的部分主題包括:●支持調查●日誌和監控●安全資源配置●事故管理●預防措施●變更管理●業務連續性●物理安全管理
軟件開發安全這個領域解釋瞭應用安全原則去獲取和開發軟件係統。該領域的部分主題包括:●軟件開發生命周期中的安全●開發活動中的安全控製●評估軟件安全●評估外部獲取軟件的安全性
為緊跟安全領域的新技術和新方法,(ISC)2每年都要在試題庫中加入大量新試題。這些試題都基於最新的技術、運用、方法和標準。例如,1998年的CISSP認證考試沒有齣現關於無綫安全、跨站點腳本攻擊或IPv6的問題。
本書概要
如果你想成為一名經過(ISC)2認證的CISSP,那麼在本書裏能找到需要瞭解的所有內容。本書講述企業如何製定和實現策略、措施、指導原則和標準及其原因;介紹網絡、應用程序和係統的脆弱性,脆弱性的被利用情況以及如何應對這些威脅;解釋物理安全、操作安全以及不同係統會采用不同安全機製的原因。此外,本書還迴顧美國與國際上用於測試係統安全性的安全準則和評估體係,詮釋這些準則的含義及其使用原因。最後,本書還將闡明與計算機係統及其數據相關的各種法律責任問題,例如計算機犯罪、法庭證物以及如何為齣庭準備計算機證據。
盡管本書主要是為CISSP考試撰寫的學習指南,但在你通過認證後,它仍不失為一本不可替代的重要參考用書。
CISSP應試小貼士
許多人考試時會感覺題目比較繞彎。所以一定要仔細閱讀問題和所有備選答案,而不是看瞭幾個單詞就斷定自己已知道問題的答案。某些答案選項的差彆不明顯,這就需要你花一些時間耐心地將問題再閱讀領會幾遍。
有人抱怨CISSP考試略帶主觀色彩。例如,有這樣兩個問題。第一個是技術問題,考查的是防止中間人攻擊的TLS(TransportLayerSecurity,傳輸層安全)所采用的具體機製;第二個問題則詢問周長為8英尺的柵欄提供的是低級、中級還是高級的安全防護。你會發現,前一個問題比後一個問題更容易迴答。許多問題要求應試人員選擇最佳方法,而一些人會認為很難說哪一個是最佳方法,因為這都帶有主觀色彩。此處給齣這樣的示例並非是批評(ISC)2和齣題人員,而是為瞭幫助你更好地準備這項考試。本書涵蓋瞭所有的考試範圍和需要掌握的內容,同時提供瞭大量問題和自測試捲。大部分問題的格式都采用瞭實際試題的形式,使你能更好地準備應對真實的考試。因此,你一定要閱讀本書的全部內容,同時特彆注意問題及其格式。有時,即使對某個主題十分瞭解,你也可能答錯題。因此,我們需要學會如何應試。
在迴答某些問題時,要記住,一些事物比其他東西更有價值。例如,保護人身安全和福利幾乎總是高於所有其他方麵。與此類似,如果所有其他因素都比較便宜,第二個會贏得大部分時間。專傢意見(例如:從律師那裏獲得的)比那些擁有較少認證的人的意見更有價值。如果一個問題的可選項之一是尋求或獲得專傢意見,請密切關注這個問題。正確的答案可能是尋求那位專傢的意見。
盡量讓自己熟悉行業標準,並瞭解自己工作之外的技術知識和方法。再次強調一下,即使你在某個領域是專傢,仍然可能不熟悉考試所涉及的全部領域。
當你在PearsonVUE考試中心參加CISSP考試時,其他認證考試可能會在同一個房間同時進行。如果你看到彆人很早離開房間,不要感到匆忙;他們可能是因為參加一個較短的考試。
如何使用本書
本書的作者盡瞭很大努力纔將所有重要信息匯編成書;現在,輪到你盡力從本書中汲取知識瞭。要從本書受益最大,可采用以下學習方法:
●認真學習每個章節,真正理解其中介紹的每個概念。許多概念都必須完全理解,如果對一些概念似懂非懂,那麼對你來說將是非常不利的。CISSPCBK包含數以韆計的不同主題,因此需要花時間掌握這些內容。
●確認學習和解答所有問題。如果不能正確解答其中的問題,那麼需要再次閱讀相關的章節。需要記住,真實考試中的某些問題含糊其辭,看上去比較難迴答,不要誤以為這些問題錶述不清楚而忽視瞭這些含糊其辭的
CISSP認證考試指南(第7版)(安全技術經典譯叢) epub pdf mobi txt 電子書 下載 2024
CISSP認證考試指南(第7版)(安全技術經典譯叢) 下載 epub mobi pdf txt 電子書