超污小16萝自慰喷水网站,二三A级在线观看91

涵蓋2021年CISSP所有考點(diǎn)，是您的一站式學(xué)習(xí)手冊(cè)，助您更靈活、更快捷地準(zhǔn)備CISSP考試。本書(shū)編排得當(dāng)，內(nèi)容詳實(shí)，包含可供個(gè)人評(píng)估備考進(jìn)展的測(cè)試、目標(biāo)地圖、書(shū)面實(shí)驗(yàn)題、關(guān)鍵考點(diǎn)以及富有挑戰(zhàn)的章節(jié)練習(xí)題。開(kāi)始使用本手冊(cè)準(zhǔn)備CISSP考試吧。
涵蓋全部考試目標(biāo)
? 安全與風(fēng)險(xiǎn)管理
? 資產(chǎn)安全
? 安全架構(gòu)與工程
? 通信與網(wǎng)絡(luò)安全
? 身份和訪問(wèn)管理
? 安全評(píng)估與測(cè)試
? 安全運(yùn)營(yíng)
? 軟件開(kāi)發(fā)安全

《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》可為你參加CISSP(注冊(cè)信息系統(tǒng)安全師)認(rèn)證考試打下堅(jiān)實(shí)基礎(chǔ)。買下這本書(shū)，就表明你想學(xué)習(xí)并通過(guò)這一認(rèn)證提高自己的專業(yè)技能。這里將對(duì)《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》和CISSP考試做基本介紹。
《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》為那些希望通過(guò)CISSP認(rèn)證考試的勤奮讀者而設(shè)計(jì)。如果你的目標(biāo)是成為一名持證安全專業(yè)人員，則CISSP認(rèn)證和本學(xué)習(xí)手冊(cè)是你的最佳選擇�！禖ISSP官方學(xué)習(xí)手冊(cè)(第9版)》旨在幫助你做好CISSP應(yīng)試準(zhǔn)備。
在深入閱讀《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》前，你首先要完成幾項(xiàng)任務(wù)。你需要對(duì)IT和安全有一個(gè)大致了解。你應(yīng)該在CISSP考試涵蓋的8個(gè)知識(shí)域中的兩個(gè)或多個(gè)擁有5年全職全薪工作經(jīng)驗(yàn)(如果你有本科學(xué)歷，則有4年工作經(jīng)驗(yàn)即可)。如果根據(jù)(ISC)2規(guī)定的條件，你具備了參加CISSP考試的資格，則意味著你做好了充分準(zhǔn)備，可借助《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》備考CISSP。有關(guān)(ISC)2的詳細(xì)信息，稍后將介紹。
如果你擁有(ISC)2先決條件路徑認(rèn)可的其他認(rèn)證，(ISC)2也允許把5年的工作經(jīng)驗(yàn)要求減掉一年。這些認(rèn)證包括CAP、CISM、CISA、CCIE、CCNA Security、CompTIA CASP、CompTIA Security 、CompTIA CySA 等，以及多種GIAC認(rèn)證。有關(guān)資格認(rèn)證的完整列表，可訪問(wèn)(ISC)2網(wǎng)站。

注意：
需要指出的是，你只能用一種方法降低工作經(jīng)驗(yàn)的年限要求，要么是本科學(xué)歷，要么是認(rèn)證證書(shū)，不能兩者都用。

如果你剛剛開(kāi)始CISSP認(rèn)證之旅，還沒(méi)有工作經(jīng)驗(yàn)，那么《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》仍然可以成為你準(zhǔn)備考試的有效工具。但是，你會(huì)發(fā)現(xiàn)自己對(duì)一些主題知識(shí)不太熟悉，需要使用其他材料進(jìn)行一些額外的研究，然后返回《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》中繼續(xù)學(xué)習(xí)。
(ISC)2
CISSP考試由國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟(International Information Systems Security Certification Consortium)管理，該聯(lián)盟的英文簡(jiǎn)稱是(ISC)2。(ISC)2是一個(gè)全球性非營(yíng)利組織，致力于實(shí)現(xiàn)四大任務(wù)目標(biāo)：
● 為信息系統(tǒng)安全領(lǐng)域維護(hù)通用知識(shí)體系(CBK)。
● 為信息系統(tǒng)安全專業(yè)人員和從業(yè)者提供認(rèn)證。
● 開(kāi)展認(rèn)證培訓(xùn)并管理認(rèn)證考試。
● 通過(guò)繼續(xù)教育監(jiān)察合格認(rèn)證申請(qǐng)人的持續(xù)評(píng)審工作。
(ISC)2由董事會(huì)管理，董事會(huì)成員從持證從業(yè)人員中按級(jí)別選出。
(ISC)2支持和提供多項(xiàng)專業(yè)認(rèn)證，包括CISSP、CISSP-ISSAP、CISSP-ISSMP、 CISSP-ISSEP、SSCP、CAP、CSSLP、HCISPP和CCSP。這些認(rèn)證旨在驗(yàn)證所有行業(yè)IT安全專業(yè)人員的知識(shí)和技術(shù)水平。有關(guān)(ISC)2及其證書(shū)認(rèn)證的詳情，可訪問(wèn)(ISC)2網(wǎng)站。
CISSP證書(shū)專為在組織內(nèi)負(fù)責(zé)設(shè)計(jì)和維護(hù)安全基礎(chǔ)設(shè)施的安全專業(yè)人員而設(shè)。
知識(shí)域
CISSP認(rèn)證涵蓋8個(gè)知識(shí)域的內(nèi)容，分別是：
● 域1 安全與風(fēng)險(xiǎn)管理
● 域2 資產(chǎn)安全
● 域3 安全架構(gòu)與工程
● 域4 通信與網(wǎng)絡(luò)安全
● 域5 身份和訪問(wèn)管理(IAM)
● 域6 安全評(píng)估與測(cè)試
● 域7 安全運(yùn)營(yíng)
● 域8 軟件開(kāi)發(fā)安全
這8個(gè)知識(shí)域以獨(dú)立于廠商的視角展現(xiàn)了一個(gè)通用安全框架。這個(gè)框架是支持在全球所有類型的組織中討論安全實(shí)踐的基礎(chǔ)。
資格預(yù)審
(ISC)2規(guī)定了成為一名CISSP必須滿足的資格要求。首先，你必須是一名有5年以上全職全薪工作經(jīng)驗(yàn)或者有4年工作經(jīng)驗(yàn)并具有IT或IS本科學(xué)歷或經(jīng)批準(zhǔn)的安全認(rèn)證(有關(guān)詳細(xì)信息，請(qǐng)參閱(ISC)2官網(wǎng)的安全專業(yè)從業(yè)人員。專業(yè)工作經(jīng)驗(yàn)的定義是：在8個(gè)CBK域的兩個(gè)或多個(gè)域內(nèi)從事過(guò)有工資或傭金收入的安全工作。
其次，你必須同意遵守道德規(guī)范。CISSP道德規(guī)范是(ISC)2希望所有CISSP申請(qǐng)人都嚴(yán)格遵守的一套行為準(zhǔn)則，旨在使他們?cè)谛畔⑾到y(tǒng)安全領(lǐng)域保持專業(yè)素養(yǎng)。你可在(ISC)2網(wǎng)站的信息欄下查詢有關(guān)內(nèi)容。
(ISC)2還提供一個(gè)名為(ISC)2準(zhǔn)會(huì)員的入門方案。這個(gè)方案允許沒(méi)有任何從業(yè)經(jīng)驗(yàn)或經(jīng)驗(yàn)不足的申請(qǐng)人參加CISSP考試，通過(guò)考試后再獲得工作經(jīng)驗(yàn)。準(zhǔn)會(huì)員資格有6年有效期，申請(qǐng)人需要在這6年時(shí)間里獲得5年安全工作經(jīng)驗(yàn)。只有在提交5年工作經(jīng)驗(yàn)證明(通常是有正式簽名的文件和一份簡(jiǎn)歷)之后，準(zhǔn)會(huì)員才能得到CISSP證書(shū)。
CISSP考試簡(jiǎn)介
CISSP考試堪稱從萬(wàn)米高空俯瞰安全，涉及更多的是理論和概念，而非執(zhí)行方案和規(guī)程。它的涵蓋面很廣，但并不深入。若想通過(guò)這個(gè)考試，你需要熟知所有的域，但不必對(duì)每個(gè)域都那么精通。
CISSP英文考試將以自適應(yīng)形式呈現(xiàn)。(ISC)2給考試定名為CISSP-CAT(計(jì)算機(jī)化自適應(yīng)考試)。
CISSP-CAT考試最少含100道考題，最多含150道考題。呈現(xiàn)給你的所有考項(xiàng)不會(huì)全部計(jì)入你的分?jǐn)?shù)或考試通過(guò)狀態(tài)。(ISC)2把這些不計(jì)分考項(xiàng)稱為考前題(pretest question)，而把計(jì)分考項(xiàng)稱為操作項(xiàng)(operational item)。這些考題在考試中均不標(biāo)明計(jì)入考分(操作項(xiàng))還是不計(jì)入考分(考前題)。認(rèn)證申請(qǐng)人會(huì)在考試中遇到25個(gè)不計(jì)分考項(xiàng)無(wú)論他們只做100道考題就達(dá)到了通過(guò)等級(jí)，還是做了所有150道題。
CISSP-CAT考試時(shí)間最長(zhǎng)不超過(guò)3小時(shí)。如果你沒(méi)達(dá)到某個(gè)通過(guò)等級(jí)就用完了時(shí)間，將被自動(dòng)判定為失敗。
CISSP-CAT不允許返回至前面的考題修改答案。一旦你提交選擇的答案并離開(kāi)一道考題，你選擇的答案將是最終結(jié)果。
CISSP-CAT沒(méi)有公布或設(shè)置需要達(dá)到的分?jǐn)?shù)。相反，你必須在最后的75個(gè)操作項(xiàng)(即考題)之內(nèi)展示自己具有超過(guò)(ISC)2通過(guò)線(也叫通過(guò)標(biāo)準(zhǔn))的答題能力。
如果計(jì)算機(jī)判斷你達(dá)到通過(guò)標(biāo)準(zhǔn)的概率低于5%，而且你已答過(guò)75個(gè)操作項(xiàng)(此時(shí)已答100題)，你的考試將自動(dòng)以失敗告終。如果計(jì)算機(jī)判斷你達(dá)到通過(guò)標(biāo)準(zhǔn)的概率大于95%，而且你已答過(guò)75個(gè)操作項(xiàng)(此時(shí)已答100題)，你的考試將自動(dòng)以合格結(jié)束。如果這兩個(gè)極端都沒(méi)有滿足，那么你將看到下一個(gè)考題，計(jì)算機(jī)將在你答題后再次評(píng)估你的狀態(tài)。一旦計(jì)算機(jī)評(píng)分系統(tǒng)根據(jù)必要數(shù)量的考題以95%的信心得出結(jié)論，判斷你有能力達(dá)到或無(wú)法達(dá)到通過(guò)標(biāo)準(zhǔn)，將不保證有更多考題展示給你。如果你在提交150題的答案后未達(dá)到通過(guò)標(biāo)準(zhǔn)或者超時(shí)，那就意味著你失敗了。
如果你第一次未能順利通過(guò)CISSP考試，可在以下條件下再次參加CISSP考試：
● 每12個(gè)月內(nèi)你最多可以參加四次CISSP考試。
● 在第一次考試和第二次考試之間，你必須等待30天。
● 在第二次考試和第三次考試之間，你必須再等待60天。
● 在第三次考試和下次考試之間，你必須再等待90天。
重考政策于2020年10月更新；有關(guān)官方政策，請(qǐng)參閱(ISC)2官網(wǎng)。
每次考試都需要你支付全額考試費(fèi)。
從前的英文紙質(zhì)或CBT(基于計(jì)算機(jī)的考試)平面250題版考試已不可能重現(xiàn)。CISSP現(xiàn)在只通過(guò)(ISC)2-授權(quán)Pearson VUE測(cè)試中心使用英文CBT CISSP-CAT格式。

注意：
2021年初，(ISC)2通過(guò)Pearson VUE為CISSP試行了在線考試監(jiān)控方案。該試驗(yàn)的結(jié)果將在2021 Q3進(jìn)行評(píng)估，(ISC)2將根據(jù)結(jié)果作出決定。請(qǐng)關(guān)注(ISC)2博客，了解有關(guān)遠(yuǎn)程在線監(jiān)考CISSP考試產(chǎn)品的最新信息。

更新后的CISSP考試將以英文、法文、德文、巴西葡萄牙文、西班牙文(現(xiàn)代)、日文、簡(jiǎn)體中文和韓文等版本提供。CISSP非英文版考試仍然使用250個(gè)問(wèn)題的平滑線性、固定形式進(jìn)行。關(guān)于CISSP考試的詳情和最新信息，請(qǐng)?jiān)L問(wèn)(ISC)2官網(wǎng)并下載CISSP終極指南和CISSP考試大綱(目前位于2：注冊(cè)并準(zhǔn)備考試部分)。你還可以在(ISC)2博客上找到有用的信息。例如，該博客在2020年10月發(fā)布了一篇題為CISSP考試為什么會(huì)改變？的優(yōu)秀文章。
CISSP考試的考題類型
CISSP考試的大多數(shù)考題都有4個(gè)選項(xiàng)，這種題目只有一個(gè)正確答案。有些考題很簡(jiǎn)單，比如要求你選一個(gè)定義。有些考題則復(fù)雜一些，要求你選出合適的概念或最佳實(shí)踐規(guī)范。有些考題會(huì)向你呈現(xiàn)一個(gè)場(chǎng)景或一種情況，讓你選出最佳答案。
你必須選出一個(gè)正確或最佳答案并把它標(biāo)記出來(lái)。有時(shí)，正確答案一目了然。而在其他時(shí)候，幾個(gè)答案似乎全都正確。遇到這種情況時(shí)，你必須為所問(wèn)的問(wèn)題選出最佳答案。你應(yīng)該留意一般性、特定、通用、超集和子集答案選項(xiàng)。還有些時(shí)候，幾個(gè)答案看起來(lái)全都不對(duì)。遇到這種情況時(shí)，你需要把最正確的那個(gè)答案選出來(lái)。
某些多項(xiàng)選擇題可能要求你選擇多個(gè)答案，題目將說(shuō)明此題需要多選以提供完整答案。
除了標(biāo)準(zhǔn)多選題格式，考試還包括一種高級(jí)考題格式，被(ISC)2稱為高級(jí)創(chuàng)新題(advanced innovative question)。其中包括拖放題和熱點(diǎn)題。這些類型的考題要求你按操作順序、優(yōu)先級(jí)偏好或與所需解決方案的適當(dāng)位置的關(guān)聯(lián)來(lái)排列主題或概念。具體來(lái)說(shuō)，拖放題要求考生移動(dòng)標(biāo)簽或圖標(biāo)并在圖像上把考項(xiàng)標(biāo)記出來(lái)。熱點(diǎn)題要求考生用十字記號(hào)筆在圖像上標(biāo)出一個(gè)位置。這些考題涉及的概念很容易處理和理解，但你要注意放置或標(biāo)記操作的準(zhǔn)確性。
有關(guān)考試的建議
CISSP考試由兩個(gè)關(guān)鍵元素組成。首先，你需要熟知8個(gè)知識(shí)域涉及的內(nèi)容。其次，你必須掌握高超的考試技巧。你最多只有3小時(shí)的時(shí)間，期間可能要回答多達(dá)150道題。如此算來(lái)，每道題的答題時(shí)間平均只有1分多鐘。所以，快速答題至關(guān)重要，但也不必太過(guò)匆忙，只要不浪費(fèi)時(shí)間就好。
CISSP考試不再允許考生跳題而且不允許返回，所以不管怎樣，你都必須在每個(gè)考題上給出你最好的答案。建議你在猜一道題的答案之前盡量減少選項(xiàng)的數(shù)量；然后你可以從一組減少的選項(xiàng)中做出有根據(jù)的猜測(cè)，以增加你正確答題的機(jī)會(huì)。
另外，請(qǐng)注意，(ISC)2并沒(méi)有說(shuō)明，面對(duì)由多個(gè)部分組成的考題時(shí)，如果你只答對(duì)了部分內(nèi)容，是否會(huì)得到部分考分。因此，你需要注意帶復(fù)選框的考題，并確保按需要的數(shù)量選擇考項(xiàng)，以對(duì)該考題做出最佳選擇。
在考場(chǎng)中，你將得到一塊白板和一支記號(hào)筆，以便你記下自己的思路和想法。但是寫在白板上的任何東西都不能改變你的考分。離開(kāi)考場(chǎng)之前，你必須把這塊白板還給考試管理員。
為幫助你在考試中取得最佳成績(jī)，這里提出幾條一般性指南：
● 先讀一遍考題，再把答案選項(xiàng)讀一遍，之后再讀一遍考題。
● 先排除錯(cuò)誤答案，再選擇正確答案。
● 注意雙重否定。
● 確保自己明白考題在問(wèn)什么。
掌控好自己的時(shí)間。盡管可在考試過(guò)程中歇一會(huì)兒，但這畢竟會(huì)浪費(fèi)部分考試時(shí)間。你可以考慮帶些飲品和零食，但食物和飲料不可帶進(jìn)考場(chǎng)，而且休息所用的時(shí)間是要計(jì)入考試時(shí)間的。確保自己只隨身攜帶藥物或其他必需物品，所有電子產(chǎn)品都要留在家里或汽車?yán)�。你�?yīng)該避免在手腕上戴任何東西，包括手表、計(jì)步器和首飾。你不可使用任何形式的防噪耳機(jī)或耳塞式耳機(jī)，不過(guò)可以使用泡沫耳塞。另外，建議你穿舒適的衣服，并帶上一件薄外套(一些考場(chǎng)有點(diǎn)兒涼)。
最后，(ISC)2考試政策可能會(huì)發(fā)生變化，在注冊(cè)和參加考試之前請(qǐng)務(wù)必登錄其官網(wǎng)查看當(dāng)前政策。
學(xué)習(xí)和備考技巧
建議你為CISSP考試制訂一個(gè)月左右的晚間強(qiáng)化學(xué)習(xí)計(jì)劃。這里提的幾點(diǎn)建議可以最大限度地增加你的學(xué)習(xí)時(shí)間；你可根據(jù)自己的學(xué)習(xí)習(xí)慣進(jìn)行必要的修改。
● 用一兩個(gè)晚上細(xì)讀《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》的每一章并把它的復(fù)習(xí)題做一遍。
● 回答所有復(fù)習(xí)題，并把《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》和在線考試引擎中的模擬考題做一遍。一定要研究錯(cuò)題，以掌握不了解的知識(shí)。
● 完成每章的書(shū)面實(shí)驗(yàn)。
● 閱讀并理解考試要點(diǎn)。
● 復(fù)習(xí)(ISC)2的考試大綱。
● 利用學(xué)習(xí)工具附帶的速記卡來(lái)強(qiáng)化自己對(duì)概念的理解。
提示：
建議你把一半的學(xué)習(xí)時(shí)間用來(lái)閱讀和復(fù)習(xí)概念，并把另一半時(shí)間用來(lái)做練習(xí)題。有學(xué)生報(bào)告說(shuō)，花在練習(xí)題上的時(shí)間越多，考試主題記得越清楚。除了本學(xué)習(xí)手冊(cè)的模擬考試，Sybex還出版了《(ISC)2：CISSP官方習(xí)題集(第3版)》。該書(shū)為每個(gè)域都設(shè)置了100多道練習(xí)題，還包含4個(gè)標(biāo)準(zhǔn)的模擬考試。與本學(xué)習(xí)手冊(cè)一樣，它還有在線版考題。
完成認(rèn)證流程
你被通知成功通過(guò)CISSP認(rèn)證考試后，離真正獲得CISSP證書(shū)還差最后一步。最后一步是背書(shū)(endorsement)。從根本上說(shuō)，這要求你讓一個(gè)本身是CISSP或(ISC)²其他證書(shū)持有者、有很高聲望并熟悉你的職業(yè)履歷的人為你提交一份舉薦表。通過(guò)CISSP考試后，你將收到一封包含說(shuō)明的電子郵件，也可在(ISC)2網(wǎng)站上查看背書(shū)申請(qǐng)流程。如果注冊(cè)了CISSP，那么你必須在考試后9個(gè)月內(nèi)完成背書(shū)。如果注冊(cè)了(ISC)²的準(zhǔn)會(huì)員，那么你有6年的時(shí)間完成背書(shū)。一旦(ISC)²接受背書(shū)，認(rèn)證過(guò)程將完成，你將收到歡迎包裹。
獲得CISSP認(rèn)證后，必須努力維護(hù)該認(rèn)證。需要在3年之內(nèi)獲得120個(gè)持續(xù)專業(yè)教育(CPE)學(xué)分。有關(guān)獲得和報(bào)告CPE的詳細(xì)信息，請(qǐng)參閱(ISC)2繼續(xù)專業(yè)教育(CPE)手冊(cè)和CPE Opportunities頁(yè)面。在獲得認(rèn)證后還需要每年支付年度維護(hù)費(fèi)(AMF)。有關(guān)AMF的詳細(xì)信息，請(qǐng)參閱(ISC)2 CPE手冊(cè)和官網(wǎng)信息。
本學(xué)習(xí)手冊(cè)的元素
每一章都包含幫助你集中學(xué)習(xí)和測(cè)試知識(shí)的常用元素。下面介紹其中的部分元素。
真實(shí)場(chǎng)景在學(xué)習(xí)各章內(nèi)容的過(guò)程中，你會(huì)發(fā)現(xiàn)《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》對(duì)典型且真實(shí)可信的工作場(chǎng)景的描述。在這些情景下，你從該章學(xué)到的安全戰(zhàn)略和方法可在解決問(wèn)題或化解潛在困難的過(guò)程中發(fā)揮作用。這讓你有機(jī)會(huì)了解如何把具體的安全策略、指南或?qū)嵺`規(guī)范應(yīng)用到實(shí)際工作中。
提示和注意對(duì)于每一章中的插入性語(yǔ)句，應(yīng)該額外注意，它們通常是章節(jié)中相關(guān)重要材料的重點(diǎn)細(xì)節(jié)。
本章小結(jié) 這是對(duì)該章的簡(jiǎn)要回顧，歸納了該章涵蓋的內(nèi)容。
考試要點(diǎn) 考試要點(diǎn)突出了可能以某種形式出現(xiàn)在考試中的主題。雖然我們顯然不可能確切知道某次考試將包括哪些內(nèi)容，但這一部分有助于你進(jìn)一步掌握本章概念和主題的關(guān)鍵�？荚囈c(diǎn)是一章中保留的最低限度的知識(shí)點(diǎn)。
書(shū)面實(shí)驗(yàn) 每章都設(shè)有書(shū)面實(shí)驗(yàn)，以綜述該章出現(xiàn)的各種概念和主題。書(shū)面實(shí)驗(yàn)提出的問(wèn)題旨在幫助你把散布于該章各處的重要內(nèi)容歸納到一起，形成一個(gè)整體，使你能夠提出或描述潛在安全戰(zhàn)略或解決方案。強(qiáng)烈建議你在查看附錄A中提供的解決方案之前，先寫出答案。
復(fù)習(xí)題每章都設(shè)有復(fù)習(xí)題，旨在衡量你對(duì)該章所述關(guān)鍵概念的掌握程度。你應(yīng)該在讀完每章內(nèi)容后把這些題做一遍；如果你答錯(cuò)了一些題，說(shuō)明你需要花更長(zhǎng)時(shí)間來(lái)鉆研相關(guān)主題。《CISSP官方學(xué)習(xí)手冊(cè)(第9版)》附錄B給出復(fù)習(xí)題的答案。

第1章實(shí)現(xiàn)安全治理的原則和策略 1
1.1 安全101 2
1.2 理解和應(yīng)用安全概念 2
1.2.1 保密性 3
1.2.2 完整性 4
1.2.3 可用性 4
1.2.4 DAD、過(guò)度保護(hù)、真實(shí)性、不可否認(rèn)性和AAA服務(wù) 5
1.2.5 保護(hù)機(jī)制 8
1.3 安全邊界 9
1.4 評(píng)估和應(yīng)用安全治理原則 10
1.4.1 第三方治理 11
1.4.2 文件審查 11
1.5 管理安全功能 12
1.5.1 與業(yè)務(wù)戰(zhàn)略、目標(biāo)、使命和宗旨相一致的安全功能 12
1.5.2 組織的流程 14
1.5.3 組織的角色與責(zé)任 15
1.5.4 安全控制框架 16
1.5.5 應(yīng)盡關(guān)心和盡職審查 17
1.6 安全策略、標(biāo)準(zhǔn)、程序和指南 17
1.6.1 安全策略 17
1.6.2 安全標(biāo)準(zhǔn)、基線和指南 18
1.6.3 安全程序 18
1.7 威脅建模 19
1.7.1 識(shí)別威脅 19
1.7.2 確定和繪制潛在的攻擊 21
1.7.3 執(zhí)行簡(jiǎn)化分析 22
1.7.4 優(yōu)先級(jí)排序和響應(yīng) 22
1.8 將基于風(fēng)險(xiǎn)的管理理念應(yīng)用到供應(yīng)鏈 23
1.9 本章小結(jié) 24
1.10 考試要點(diǎn) 25
1.11 書(shū)面實(shí)驗(yàn) 27
1.12 復(fù)習(xí)題 27
第2章人員安全和風(fēng)險(xiǎn)管理的概念 32
2.1 人員安全策略和程序 33
2.1.1 崗位描述與職責(zé) 33
2.1.2 候選人篩選及招聘 33
2.1.3 入職：雇傭協(xié)議及策略 34
2.1.4 員工監(jiān)管 35
2.1.5 離職、調(diào)動(dòng)和解雇流程 36
2.1.6 供應(yīng)商、顧問(wèn)和承包商的協(xié)議和控制 38
2.1.7 合規(guī)策略要求 39
2.1.8 隱私策略要求 39
2.2 理解并應(yīng)用風(fēng)險(xiǎn)管理概念 40
2.2.1 風(fēng)險(xiǎn)術(shù)語(yǔ)和概念 41
2.2.2 資產(chǎn)估值 43
2.2.3 識(shí)別威脅和脆弱性 44
2.2.4 風(fēng)險(xiǎn)評(píng)估/分析 45
2.2.5 風(fēng)險(xiǎn)響應(yīng) 50
2.2.6 安全控制的成本與收益 52
2.2.7 選擇與實(shí)施安全對(duì)策 54
2.2.8 適用的控制類型 56
2.2.9 安全控制評(píng)估 58
2.2.10 監(jiān)視和測(cè)量 58
2.2.11 風(fēng)險(xiǎn)報(bào)告和文檔 58
2.2.12 持續(xù)改進(jìn) 59
2.2.13 風(fēng)險(xiǎn)框架 60
2.3 社會(huì)工程 62
2.3.1 社會(huì)工程原理 63
2.3.2 獲取信息 65
2.3.3 前置詞 65
2.3.4 網(wǎng)絡(luò)釣魚(yú) 65
2.3.5 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú) 66
2.3.6 網(wǎng)絡(luò)釣鯨 67
2.3.7 短信釣魚(yú) 67
2.3.8 語(yǔ)音網(wǎng)絡(luò)釣魚(yú) 68
2.3.9 垃圾郵件 68
2.3.10 肩窺 69
2.3.11 發(fā)票詐騙 69
2.3.12 惡作劇 69
2.3.13 假冒和偽裝 70
2.3.14 尾隨和捎帶 70
2.3.15 垃圾箱搜尋 71
2.3.16 身份欺詐 71
2.3.17 誤植域名 72
2.3.18 影響力運(yùn)動(dòng) 73
2.4 建立和維護(hù)安全意識(shí)、教育和培訓(xùn)計(jì)劃 74
2.4.1 安全意識(shí) 74
2.4.2 培訓(xùn) 75
2.4.3 教育 75
2.4.4 改進(jìn) 75
2.4.5 有效性評(píng)估 76
2.5 本章小結(jié) 77
2.6 考試要點(diǎn) 78
2.7 書(shū)面實(shí)驗(yàn) 81
2.8 復(fù)習(xí)題 81

第3章業(yè)務(wù)連續(xù)性計(jì)劃 86
3.1 業(yè)務(wù)連續(xù)性計(jì)劃概述 86
3.2 項(xiàng)目范圍和計(jì)劃 87
3.2.1 組織分析 88
3.2.2 選擇BCP團(tuán)隊(duì) 88
3.2.3 資源需求 90
3.2.4 法律和法規(guī)要求 91
3.3 業(yè)務(wù)影響分析 92
3.3.1 確定優(yōu)先級(jí) 92
3.3.2 風(fēng)險(xiǎn)識(shí)別 93
3.3.3 可能性評(píng)估 95
3.3.4 影響分析 95
3.3.5 資源優(yōu)先級(jí)排序 96
3.4 連續(xù)性計(jì)劃 97
3.4.1 策略開(kāi)發(fā) 97
3.4.2 預(yù)備和處理 97
3.5 計(jì)劃批準(zhǔn)和實(shí)施 99
3.5.1 計(jì)劃批準(zhǔn) 99
3.5.2 計(jì)劃實(shí)施 99
3.5.3 培訓(xùn)和教育 99
3.5.4 BCP文檔化 100
3.6 本章小結(jié) 103
3.7 考試要點(diǎn) 103
3.8 書(shū)面實(shí)驗(yàn) 104
3.9 復(fù)習(xí)題 104
第4章法律、法規(guī)和合規(guī) 108
4.1 法律的分類 108
4.1.1 刑法 109
4.1.2 民法 110
4.1.3 行政法 110
4.2 法律 111
4.2.1 計(jì)算機(jī)犯罪 111
4.2.2 知識(shí)產(chǎn)權(quán) 114
4.2.3 許可 118
4.2.4 進(jìn)口/出口控制 119
4.2.5 隱私 120
4.3 合規(guī) 127
4.4 合同和采購(gòu) 128
4.5 本章小結(jié) 129
4.6 考試要點(diǎn) 129
4.7 書(shū)面實(shí)驗(yàn) 130
4.8 復(fù)習(xí)題 130
第5章保護(hù)資產(chǎn)安全 135
5.1 對(duì)信息和資產(chǎn)進(jìn)行識(shí)別和分類 136
5.1.1 定義敏感數(shù)據(jù) 136
5.1.2 定義數(shù)據(jù)分類 137
5.1.3 定義資產(chǎn)分類 139
5.1.4 理解數(shù)據(jù)狀態(tài) 139
5.1.5 確定合規(guī)要求 140
5.1.6 確定數(shù)據(jù)安全控制 141
5.2 建立信息和資產(chǎn)的處理要求 142
5.2.1 數(shù)據(jù)維護(hù) 143
5.2.2 數(shù)據(jù)丟失預(yù)防 143
5.2.3 標(biāo)記敏感數(shù)據(jù)和資產(chǎn) 144
5.2.4 處理敏感信息和資產(chǎn) 145
5.2.5 數(shù)據(jù)收集限制 145
5.2.6 數(shù)據(jù)位置 146
5.2.7 存儲(chǔ)敏感數(shù)據(jù) 146
5.2.8 數(shù)據(jù)銷毀 147
5.2.9 確保適當(dāng)?shù)臄?shù)據(jù)和資產(chǎn)保留期 149
5.3 數(shù)據(jù)保護(hù)方法 150
5.3.1 數(shù)字版權(quán)管理 151
5.3.2 云訪問(wèn)安全代理 152
5.3.3 假名化 152
5.3.4 令牌化 153
5.3.5 匿名化 154
5.4 理解數(shù)據(jù)角色 155
5.4.1 數(shù)據(jù)所有者 155
5.4.2 資產(chǎn)所有者 156
5.4.3 業(yè)務(wù)/任務(wù)所有者 156
5.4.4 數(shù)據(jù)處理者和數(shù)據(jù)控制者 157
5.4.5 數(shù)據(jù)托管員 157
5.4.6 管理員 157
5.4.7 用戶和主體 158
5.5 使用安全基線 158
5.5.1 對(duì)比定制和范圍界定 159
5.5.2 選擇標(biāo)準(zhǔn) 160
5.6 本章小結(jié) 160
5.7 考試要點(diǎn) 161
5.8 書(shū)面實(shí)驗(yàn) 162
5.9 復(fù)習(xí)題 162
第6章密碼學(xué)和對(duì)稱密鑰算法 167
6.1 密碼學(xué)基本知識(shí) 167
6.1.1 密碼學(xué)的目標(biāo) 168
6.1.2 密碼學(xué)的概念 169
6.1.3 密碼數(shù)學(xué) 170
6.1.4 密碼 175
6.2 現(xiàn)代密碼學(xué) 181
6.2.1 密碼密鑰 182
6.2.2 對(duì)稱密鑰算法 183
6.2.3 非對(duì)稱密鑰算法 184
6.2.4 哈希算法 186
6.3 對(duì)稱密碼 187
6.3.1 密碼運(yùn)行模式 187
6.3.2 數(shù)據(jù)加密標(biāo)準(zhǔn) 189
6.3.3 三重DES 189
6.3.4 國(guó)際數(shù)據(jù)加密算法 190
6.3.5 Blowfish 190
6.3.6 Skipjack 191
6.3.7 Rivest Ciphers 191
6.3.8 高級(jí)加密標(biāo)準(zhǔn) 192
6.3.9 CAST 192
6.3.10 比較各種對(duì)稱加密算法 192
6.3.11 對(duì)稱密鑰管理 193
6.4 密碼生命周期 195
6.5 本章小結(jié) 195
6.6 考試要點(diǎn) 196
6.7 書(shū)面實(shí)驗(yàn) 197
6.8 復(fù)習(xí)題 197
第7章 PKI和密碼應(yīng)用 201
7.1 非對(duì)稱密碼 202
7.1.1 公鑰和私鑰 202
7.1.2 RSA 203
7.1.3 ElGamal 204
7.1.4 橢圓曲線 205
7.1.5 Diffie-Hellman密鑰交換 205
7.1.6 量子密碼 206
7.2 哈希函數(shù) 207
7.2.1 SHA 208
7.2.2 MD5 209
7.2.3 RIPEMD 209
7.2.4 各種哈希算法的哈希值長(zhǎng)度比較 209
7.3 數(shù)字簽名 210
7.3.1 HMAC 211
7.3.2 數(shù)字簽名標(biāo)準(zhǔn) 212
7.4 公鑰基礎(chǔ)設(shè)施 212
7.4.1 證書(shū) 212
7.4.2 發(fā)證機(jī)構(gòu) 213
7.4.3 證書(shū)的生命周期 214
7.4.4 證書(shū)的格式 217
7.5 非對(duì)稱密鑰管理 217
7.6 混合加密法 218
7.7 應(yīng)用密碼學(xué) 219
7.7.1 便攜設(shè)備 219
7.7.2 電子郵件 220
7.7.3 Web應(yīng)用 222
7.7.4 隱寫術(shù)和水印 224
7.7.5 聯(lián)網(wǎng) 225
7.7.6 新興的應(yīng)用 227
7.8 密碼攻擊 228
7.9 本章小結(jié) 231
7.10 考試要點(diǎn) 232
7.11 書(shū)面實(shí)驗(yàn) 233
7.12 復(fù)習(xí)題 233
第8章安全模型、設(shè)計(jì)和能力的原則 237
8.1 安全設(shè)計(jì)原則 238
8.1.1 客體和主體 238
8.1.2 封閉系統(tǒng)和開(kāi)放系統(tǒng) 239
8.1.3 默認(rèn)安全配置 240
8.1.4 失效安全 241
8.1.5 保持簡(jiǎn)單 243
8.1.6 零信任 243
8.1.7 通過(guò)設(shè)計(jì)保護(hù)隱私 244
8.1.8 信任但要驗(yàn)證 245
8.2 用于確保保密性、完整性和可用性的技術(shù) 245
8.2.1 限定 246
8.2.2 界限 246
8.2.3 隔離 246
8.2.4 訪問(wèn)控制 247
8.2.5 信任與保證 247
8.3 理解安全模型的基本概念 247
8.3.1 可信計(jì)算基 248
8.3.2 狀態(tài)機(jī)模型 249
8.3.3 信息流模型 250
8.3.4 無(wú)干擾模型 250
8.3.5 獲取-授予模型 251
8.3.6 訪問(wèn)控制矩陣 252
8.3.7 Bell-LaPadula模型 252
8.3.8 Biba模型 254
8.3.9 Clark-Wilson模型 256
8.3.10 Brewer and Nash模型 257
8.3.11 Goguen-Meseguer模型 258
8.3.12 Sutherland模型 258
8.3.13 Graham-Denning模型 258
8.3.14 Harrison-Ruzzo-Ullman模型 259
8.4 根據(jù)系統(tǒng)安全要求挑選控制 259
8.4.1 通用準(zhǔn)則 260
8.4.2 操作授權(quán) 262
8.5 理解信息系統(tǒng)的安全能力 263
8.5.1 內(nèi)存保護(hù) 263
8.5.2 虛擬化 264
8.5.3 可信平臺(tái)模塊 264
8.5.4 接口 264
8.5.5 容錯(cuò) 264
8.5.6 加密/解密 264
8.6 本章小結(jié) 265
8.7 考試要點(diǎn) 265
8.8 書(shū)面實(shí)驗(yàn) 267
8.9 復(fù)習(xí)題 267
第9章安全漏洞、威脅和對(duì)策 272
9.1 共擔(dān)責(zé)任 273
9.2 評(píng)價(jià)和彌補(bǔ)安全架構(gòu)、設(shè)計(jì)和解決方案元素的漏洞 274
9.2.1 硬件 274
9.2.2 固件 286
9.3 基于客戶端的系統(tǒng) 287
9.3.1 移動(dòng)代碼 287
9.3.2 本地緩存 289
9.4 基于服務(wù)器端的系統(tǒng) 290
9.4.1 大規(guī)模并行數(shù)據(jù)系統(tǒng) 290
9.4.2 網(wǎng)格計(jì)算 291
9.4.3 對(duì)等網(wǎng)絡(luò) 292
9.5 工業(yè)控制系統(tǒng) 292
9.6 分布式系統(tǒng) 293
9.7 高性能計(jì)算系統(tǒng) 295
9.8 物聯(lián)網(wǎng) 296
9.9 邊緣和霧計(jì)算 298
9.10 嵌入式設(shè)備和信息物理融合系統(tǒng) 299
9.10.1 靜態(tài)系統(tǒng) 300
9.10.2 可聯(lián)網(wǎng)設(shè)備 300
9.10.3 信息物理融合系統(tǒng) 301
9.10.4 與嵌入式和靜態(tài)系統(tǒng)相關(guān)的元素 301
9.10.5 嵌入式和靜態(tài)系統(tǒng)的安全問(wèn)題 302
9.11 專用設(shè)備 304
9.12 微服務(wù) 305
9.13 基礎(chǔ)設(shè)施即代碼 306
9.14 虛擬化系統(tǒng) 307
9.14.1 虛擬軟件 310
9.14.2 虛擬化網(wǎng)絡(luò) 310
9.14.3 軟件定義一切 310
9.14.4 虛擬化的安全管理 312
9.15 容器化 314
9.16 無(wú)服務(wù)器架構(gòu) 315
9.17 移動(dòng)設(shè)備 315
9.17.1 移動(dòng)設(shè)備的安全性能 317
9.17.2 移動(dòng)設(shè)備的部署策略 327
9.18 基本安全保護(hù)機(jī)制 332
9.18.1 進(jìn)程隔離 333
9.18.2 硬件分隔 333
9.18.3 系統(tǒng)安全策略 333
9.19 常見(jiàn)的安全架構(gòu)缺陷和問(wèn)題 334
9.19.1 隱蔽通道 334
9.19.2 基于設(shè)計(jì)或編碼缺陷的攻擊 335
9.19.3 rootkit 336
9.19.4 增量攻擊 337
9.20 本章小結(jié) 337
9.21 考試要點(diǎn) 338
9.22 書(shū)面實(shí)驗(yàn) 343
9.23 復(fù)習(xí)題 343

第10章物理安全要求 348
10.1 站點(diǎn)與設(shè)施設(shè)計(jì)的安全原則 349
10.1.1 安全設(shè)施計(jì)劃 349
10.1.2 站點(diǎn)選擇 349
10.1.3 設(shè)施設(shè)計(jì) 350
10.2 實(shí)現(xiàn)站點(diǎn)與設(shè)施安全控制 351
10.2.1 設(shè)備故障 352
10.2.2 配線間 353
10.2.3 服務(wù)器間與數(shù)據(jù)中心 354
10.2.4 入侵檢測(cè)系統(tǒng) 356
10.2.5 攝像頭 358
10.2.6 訪問(wèn)濫用 359
10.2.7 介質(zhì)存儲(chǔ)設(shè)施 359
10.2.8 證據(jù)存儲(chǔ) 360
10.2.9 受限區(qū)與工作區(qū)安全 360
10.2.10 基礎(chǔ)設(shè)施關(guān)注點(diǎn) 361
10.2.11 火災(zāi)預(yù)防、探測(cè)與消防 365
10.3 物理安全的實(shí)現(xiàn)與管理 370
10.3.1 邊界安全控制 370
10.3.2 內(nèi)部安全控制 373
10.3.3 物理安全的關(guān)鍵性能指標(biāo) 375
10.4 本章小結(jié) 376
10.5 考試要點(diǎn) 376
10.6 書(shū)面實(shí)驗(yàn) 379
10.7 復(fù)習(xí)題 379
第11章安全網(wǎng)絡(luò)架構(gòu)和組件 384
11.1 OSI模型 385
11.1.1 OSI模型的歷史 385
11.1.2 OSI功能 385
11.1.3 封裝/解封 386
11.1.4 OSI模型層次 387
11.2 TCP/IP模型 390
11.3 網(wǎng)絡(luò)流量分析 391
11.4 通用應(yīng)用層協(xié)議 391
11.5 傳輸層協(xié)議 392
11.6 域名系統(tǒng) 393
11.6.1 DNS中毒 395
11.6.2 域名劫持 398
11.7 互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò) 399
11.7.1 IPv4與IPv6 399
11.7.2 IP分類 400
11.7.3 ICMP 401
11.7.4 IGMP 401
11.8 ARP關(guān)注點(diǎn) 402
11.9 安全通信協(xié)議 403
11.10 多層協(xié)議的含義 403
11.10.1 融合協(xié)議 404
11.10.2 網(wǎng)絡(luò)電話 405
11.10.3 軟件定義網(wǎng)絡(luò) 406
11.11 微分網(wǎng)段 407
11.12 無(wú)線網(wǎng)絡(luò) 408
11.12.1 保護(hù)SSID 409
11.12.2 無(wú)線信道 409
11.12.3 進(jìn)行現(xiàn)場(chǎng)調(diào)查 410
11.12.4 無(wú)線安全 410
11.12.5 Wi-Fi保護(hù)設(shè)置 413
11.12.6 無(wú)線 MAC過(guò)濾器 413
11.12.7 無(wú)線天線管理 413
11.12.8 使用強(qiáng)制門戶 414
11.12.9 一般Wi-Fi安全程序 414
11.12.10 無(wú)線通信 415
11.12.11 無(wú)線攻擊 417
11.13 其他通信協(xié)議 420
11.14 蜂窩網(wǎng)絡(luò) 421
11.15 內(nèi)容分發(fā)網(wǎng)絡(luò) 421
11.16 安全網(wǎng)絡(luò)組件 422
11.16.1 硬件的安全操作 422
11.16.2 常用網(wǎng)絡(luò)設(shè)備 423
11.16.3 網(wǎng)絡(luò)訪問(wèn)控制 425
11.16.4 防火墻 425
11.16.5 端點(diǎn)安全 430
11.16.6 布線、拓?fù)浜蛡鬏斀橘|(zhì)技術(shù) 432
11.16.7 傳輸介質(zhì) 433
11.16.8 網(wǎng)絡(luò)拓?fù)? 435
11.16.9 以太網(wǎng) 437
11.16.10 子技術(shù) 438
11.17 本章小結(jié) 440
11.18 考試要點(diǎn) 441
11.19 書(shū)面實(shí)驗(yàn) 444
11.20 復(fù)習(xí)題 444
第12章安全通信與網(wǎng)絡(luò)攻擊 449
12.1 協(xié)議安全機(jī)制 449
12.1.1 身份認(rèn)證協(xié)議 450
12.1.2 端口安全 451
12.1.3 服務(wù)質(zhì)量 452
12.2 語(yǔ)音通信的安全 452
12.2.1 公共交換電話網(wǎng) 452
12.2.2 VoIP 453
12.2.3 語(yǔ)音釣魚(yú)和電話飛客 454
12.2.4 PBX欺騙與濫用 455
12.3 遠(yuǎn)程訪問(wèn)安全管理 456
12.3.1 遠(yuǎn)程訪問(wèn)與遠(yuǎn)程辦公技術(shù) 456
12.3.2 遠(yuǎn)程連接安全 457
12.3.3 規(guī)劃遠(yuǎn)程訪問(wèn)安全策略 457
12.4 多媒體協(xié)作 458
12.4.1 遠(yuǎn)程會(huì)議 458
12.4.2 即時(shí)通信和聊天 459
12.5 負(fù)載均衡 459
12.5.1 虛擬IP和負(fù)載持久性 460
12.5.2 主動(dòng)-主動(dòng)與主動(dòng)-被動(dòng) 460
12.6 管理電子郵件安全 461
12.6.1 電子郵件安全目標(biāo) 461
12.6.2 理解電子郵件安全問(wèn)題 462
12.6.3 電子郵件安全解決方案 463
12.7 虛擬專用網(wǎng) 465
12.7.1 隧道技術(shù) 466
12.7.2 VPN的工作機(jī)理 467
12.7.3 始終在線VPN 469
12.7.4 分割隧道與全隧道 469
12.7.5 常用的VPN協(xié)議 469
12.8 交換與虛擬局域網(wǎng) 471
12.9 網(wǎng)絡(luò)地址轉(zhuǎn)換 475
12.9.1 私有IP地址 476
12.9.2 狀態(tài)NAT 477
12.9.3 自動(dòng)私有IP分配 477
12.10 第三方連接 478
12.11 交換技術(shù) 479
12.11.1 電路交換 479
12.11.2 分組交換 480
12.11.3 虛電路 480
12.12 WAN技術(shù) 481
12.13 光纖鏈路 482
12.14 安全控制特征 483
12.14.1 透明性 483
12.14.2 傳輸管理機(jī)制 483
12.15 防止或減輕網(wǎng)絡(luò)攻擊 483
12.15.1 竊聽(tīng) 484
12.15.2 篡改攻擊 484
12.16 本章小結(jié) 484
12.17 考試要點(diǎn) 485
12.18 書(shū)面實(shí)驗(yàn) 487
12.19 復(fù)習(xí)題 487
第13章管理身份和認(rèn)證 492
13.1 控制對(duì)資產(chǎn)的訪問(wèn) 493
13.1.1 控制物理和邏輯訪問(wèn) 493
13.1.2 CIA三性和訪問(wèn)控制 494
13.2 管理身份標(biāo)識(shí)和認(rèn)證 494
13.2.1 比較主體和客體 495
13.2.2 身份注冊(cè)、證明和創(chuàng)建 496
13.2.3 授權(quán)和問(wèn)責(zé) 497
13.2.4 身份認(rèn)證因素概述 498
13.2.5 你知道什么 499
13.2.6 你擁有什么 501
13.2.7 你是什么 502
13.2.8 多因素身份認(rèn)證 505
13.2.9 使用身份認(rèn)證應(yīng)用程序進(jìn)行雙因素身份認(rèn)證 505
13.2.10 無(wú)口令身份認(rèn)證 506
13.2.11 設(shè)備身份認(rèn)證 507
13.2.12 服務(wù)身份認(rèn)證 508
13.2.13 雙向身份認(rèn)證 508
13.3 實(shí)施身份管理 508
13.3.1 單點(diǎn)登錄 509
13.3.2 SSO與聯(lián)合身份標(biāo)識(shí) 510
13.3.3 憑證管理系統(tǒng) 511
13.3.4 憑證管理器應(yīng)用程序 512
13.3.5 腳本訪問(wèn) 512
13.3.6 會(huì)話管理 512
13.4 管理身份和訪問(wèn)配置生命周期 513
13.4.1 配置和入職 513
13.4.2 取消配置和離職 514
13.4.3 定義新角色 515
13.4.4 賬戶維護(hù) 515
13.4.5 賬戶訪問(wèn)審查 516
13.5 本章小結(jié) 516
13.6 考試要點(diǎn) 517
13.7 書(shū)面實(shí)驗(yàn) 518
13.8 復(fù)習(xí)題 518
第14章控制和監(jiān)控訪問(wèn) 522
14.1 比較訪問(wèn)控制模型 523
14.1.1 比較權(quán)限、權(quán)利和特權(quán) 523
14.1.2 理解授權(quán)機(jī)制 523
14.1.3 使用安全策略定義需求 525
14.1.4 介紹訪問(wèn)控制模型 525
14.1.5 自主訪問(wèn)控制 526
14.1.6 非自主訪問(wèn)控制 526
14.2 實(shí)現(xiàn)認(rèn)證系統(tǒng) 532
14.2.1 互聯(lián)網(wǎng)上實(shí)現(xiàn)SSO 532
14.2.2 在內(nèi)部網(wǎng)絡(luò)上實(shí)現(xiàn)SSO 536
14.3 了解訪問(wèn)控制攻擊 540
14.3.1 常見(jiàn)訪問(wèn)控制攻擊 540
14.3.2 特權(quán)提升 541
14.3.3 核心保護(hù)方法 552
14.4 本章小結(jié) 553
14.5 考試要點(diǎn) 553
14.6 書(shū)面實(shí)驗(yàn) 555
14.7 復(fù)習(xí)題 555
第15章安全評(píng)估與測(cè)試 559
15.1 構(gòu)建安全評(píng)估和測(cè)試方案 560
15.1.1 安全測(cè)試 560
15.1.2 安全評(píng)估 561
15.1.3 安全審計(jì) 562
15.2 開(kāi)展漏洞評(píng)估 565
15.2.1 漏洞描述 565
15.2.2 漏洞掃描 565
15.2.3 滲透測(cè)試 574
15.2.4 合規(guī)性檢查 576
15.3 測(cè)試軟件 576
15.3.1 代碼審查與測(cè)試 577
15.3.2 接口測(cè)試 580
15.3.3 誤用案例測(cè)試 581
15.3.4 測(cè)試覆蓋率分析 581
15.3.5 網(wǎng)站監(jiān)測(cè) 581
15.4 實(shí)施安全管理流程 582
15.4.1 日志審查 582
15.4.2 賬戶管理 583
15.4.3 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性 583
15.4.4 培訓(xùn)和意識(shí) 584
15.4.5 關(guān)鍵績(jī)效和風(fēng)險(xiǎn)指標(biāo) 584
15.5 本章小結(jié) 584
15.6 考試要點(diǎn) 585
15.7 書(shū)面實(shí)驗(yàn) 586
15.8 復(fù)習(xí)題 586
第16章安全運(yùn)營(yíng)管理 590
16.1 應(yīng)用基本的安全運(yùn)營(yíng)概念 591
16.1.1 因需可知和最小特權(quán) 591
16.1.2 職責(zé)分離和責(zé)任 592
16.1.3 雙人控制 593
16.1.4 崗位輪換 593
16.1.5 強(qiáng)制休假 594
16.1.6 特權(quán)賬戶管理 594
16.1.7 服務(wù)水平協(xié)議 595
16.2 解決人員安全和安保問(wèn)題 596
16.2.1 脅迫 596
16.2.2 出差 596
16.2.3 應(yīng)急管理 597
16.2.4 安全培訓(xùn)和意識(shí) 597
16.3 安全配置資源 597
16.3.1 信息和資產(chǎn)所有權(quán) 598
16.3.2 資產(chǎn)管理 598
16.4 實(shí)施資源保護(hù) 599
16.4.1 媒介管理 599
16.4.2 媒介保護(hù)技術(shù) 600
16.5 云托管服務(wù) 602
16.5.1 使用云服務(wù)模型分擔(dān)責(zé)任 602
16.5.2 可擴(kuò)展性和彈性 604
16.6 開(kāi)展配置管理 604
16.6.1 配置 604
16.6.2 基線 605
16.6.3 使用鏡像技術(shù)創(chuàng)建基線 605
16.6.4 自動(dòng)化 606
16.7 管理變更 606
16.7.1 變更管理 608
16.7.2 版本控制 609
16.7.3 配置文檔 609
16.8 管理補(bǔ)丁和減少漏洞 609
16.8.1 系統(tǒng)管理 609
16.8.2 補(bǔ)丁管理 610
16.8.3 漏洞管理 611
16.8.4 漏洞掃描 611
16.8.5 常見(jiàn)漏洞和披露 612
16.9 本章小結(jié) 612
16.10 考試要點(diǎn) 613
16.11 書(shū)面實(shí)驗(yàn) 614
16.12 復(fù)習(xí)題 615
第17章事件的預(yù)防和響應(yīng) 619
17.1 實(shí)施事件管理 620
17.1.1 事件的定義 620
17.1.2 事件管理步驟 621
17.2 實(shí)施檢測(cè)和預(yù)防措施 625
17.2.1 基本預(yù)防措施 626
17.2.2 了解攻擊 627
17.2.3 入侵檢測(cè)和預(yù)防系統(tǒng) 634
17.2.4 具體預(yù)防措施 641
17.3 日志記錄和監(jiān)測(cè) 646
17.3.1 日志記錄技術(shù) 646
17.3.2 監(jiān)測(cè)的作用 648
17.3.3 監(jiān)測(cè)技術(shù) 651
17.3.4 日志管理 654
17.3.5 出口監(jiān)測(cè) 654
17.4 自動(dòng)事件響應(yīng) 655
17.4.1 了解SOAR 655
17.4.2 機(jī)器學(xué)習(xí)和AI工具 656
17.4.3 威脅情報(bào) 657
17.4.4 SOAR、機(jī)器學(xué)習(xí)、人工智能和威脅饋送的交叉融匯 660
17.5 本章小結(jié) 660
17.6 考試要點(diǎn) 661
17.7 書(shū)面實(shí)驗(yàn) 663
17.8 復(fù)習(xí)題 663
第18章災(zāi)難恢復(fù)計(jì)劃 667
18.1 災(zāi)難的本質(zhì) 668
18.1.1 自然災(zāi)難 668
18.1.2 人為災(zāi)難 672
18.2 理解系統(tǒng)韌性、高可用性和容錯(cuò)能力 676
18.2.1 保護(hù)硬盤驅(qū)動(dòng)器 677
18.2.2 保護(hù)服務(wù)器 678
18.2.3 保護(hù)電源 679
18.2.4 可信恢復(fù) 680
18.2.5 服務(wù)質(zhì)量 680
18.3 恢復(fù)策略 681
18.3.1 業(yè)務(wù)單元和功能優(yōu)先級(jí) 681
18.3.2 危機(jī)管理 682
18.3.3 應(yīng)急溝通 683
18.3.4 工作組恢復(fù) 683
18.3.5 備用處理站點(diǎn) 683
18.3.6 數(shù)據(jù)庫(kù)恢復(fù) 687
18.4 恢復(fù)計(jì)劃開(kāi)發(fā) 688
18.4.1 應(yīng)急響應(yīng) 689
18.4.2 職員和通信 689
18.4.3 評(píng)估 690
18.4.4 備份和離站存儲(chǔ) 690
18.4.5 軟件托管協(xié)議 693
18.4.6 公用設(shè)施 694
18.4.7 物流和供應(yīng) 694
18.4.8 恢復(fù)與還原的比較 694
18.5 培訓(xùn)、意識(shí)與文檔記錄 695
18.6 測(cè)試與維護(hù) 695
18.6.1 通讀測(cè)試 696
18.6.2 結(jié)構(gòu)化演練 696
18.6.3 模擬測(cè)試 696
18.6.4 并行測(cè)試 696
18.6.5 完全中斷測(cè)試 696
18.6.6 經(jīng)驗(yàn)教訓(xùn) 697
18.6.7 維護(hù) 697
18.7 本章小結(jié) 698
18.8 考試要點(diǎn) 698
18.9 書(shū)面實(shí)驗(yàn) 699
18.10 復(fù)習(xí)題 699
第19章調(diào)查和道德 703
19.1 調(diào)查 703
19.1.1 調(diào)查的類型 704
19.1.2 證據(jù) 705
19.1.3 調(diào)查過(guò)程 710
19.2 計(jì)算機(jī)犯罪的主要類別 713
19.2.1 軍事和情報(bào)攻擊 714
19.2.2 商業(yè)攻擊 714
19.2.3 財(cái)務(wù)攻擊 715
19.2.4 恐怖攻擊 715
19.2.5 惡意攻擊 716
19.2.6 興奮攻擊 717
19.2.7 黑客行動(dòng)主義者 717
19.3 道德規(guī)范 717
19.3.1 組織道德規(guī)范 718
19.3.2 (ISC)2的道德規(guī)范 718
19.3.3 道德規(guī)范和互聯(lián)網(wǎng) 719
19.4 本章小結(jié) 721
19.5 考試要點(diǎn) 721
19.6 書(shū)面實(shí)驗(yàn) 722
19.7 復(fù)習(xí)題 722
第20章軟件開(kāi)發(fā)安全 726
20.1 系統(tǒng)開(kāi)發(fā)控制概述 727
20.1.1 軟件開(kāi)發(fā) 727
20.1.2 系統(tǒng)開(kāi)發(fā)生命周期 733
20.1.3 生命周期模型 736
20.1.4 甘特圖與PERT 742
20.1.5 變更和配置管理 743
20.1.6 DevOps方法 744
20.1.7 應(yīng)用編程接口 745
20.1.8 軟件測(cè)試 746
20.1.9 代碼倉(cāng)庫(kù) 747
20.1.10 服務(wù)水平協(xié)議 748
20.1.11 第三方軟件采購(gòu) 749
20.2 創(chuàng)建數(shù)據(jù)庫(kù)和數(shù)據(jù)倉(cāng)儲(chǔ) 749
20.2.1 數(shù)據(jù)庫(kù)管理系統(tǒng)的體系結(jié)構(gòu) 750
20.2.2 數(shù)據(jù)庫(kù)事務(wù) 752
20.2.3 多級(jí)數(shù)據(jù)庫(kù)的安全性 753
20.2.4 開(kāi)放數(shù)據(jù)庫(kù)互連 756
20.2.5 NoSQL 757
20.3 存儲(chǔ)器威脅 757
20.4 理解基于知識(shí)的系統(tǒng) 758
20.4.1 專家系統(tǒng) 758
20.4.2 機(jī)器學(xué)習(xí) 759
20.4.3 神經(jīng)網(wǎng)絡(luò) 759
20.5 本章小結(jié) 760
20.6 考試要點(diǎn) 760
20.7 書(shū)面實(shí)驗(yàn) 761
20.8 復(fù)習(xí)題 761
第21章惡意代碼和應(yīng)用攻擊 765
21.1 惡意軟件 766
21.1.1 惡意代碼的來(lái)源 766
21.1.2 病毒 767
21.1.3 邏輯炸彈 770
21.1.4 特洛伊木馬 770
21.1.5 蠕蟲(chóng) 771
21.1.6 間諜軟件與廣告軟件 773
21.1.7 勒索軟件 773
21.1.8 惡意腳本 774
21.1.9 零日攻擊 774
21.2 惡意軟件預(yù)防 775
21.2.1 易受惡意軟件攻擊的平臺(tái) 775
21.2.2 反惡意軟件 775
21.2.3 完整性監(jiān)控 776
21.2.4 高級(jí)威脅保護(hù) 776
21.3 應(yīng)用程序攻擊 777
21.3.1 緩沖區(qū)溢出 777
21.3.2 檢查時(shí)間到使用時(shí)間 778
21.3.3 后門 778
21.3.4 特權(quán)提升和rootkit 779
21.4 注入漏洞 779
21.4.1 SQL注入攻擊 779
21.4.2 代碼注入攻擊 782
21.4.3 命令注入攻擊 783
21.5 利用授權(quán)漏洞 783
21.5.1 不安全的直接對(duì)象引用 784
21.5.2 目錄遍歷 784
21.5.3 文件包含 785
21.6 利用Web應(yīng)用程序漏洞 786
21.6.1 跨站腳本 786
21.6.2 請(qǐng)求偽造 789
21.6.3 會(huì)話劫持 789
21.7 應(yīng)用程序安全控制 790
21.7.1 輸入驗(yàn)證 790
21.7.2 Web應(yīng)用程序防火墻 791
21.7.3 數(shù)據(jù)庫(kù)安全 792
21.7.4 代碼安全 793
21.8 安全編碼實(shí)踐 795
21.8.1 源代碼注釋 795
21.8.2 錯(cuò)誤處理 795
21.8.3 硬編碼憑證 797
21.8.4 內(nèi)存管理 797
21.9 本章小結(jié) 798
21.10 考試要點(diǎn) 798
21.11 書(shū)面實(shí)驗(yàn) 799
21.12 復(fù)習(xí)題 799
附錄A 書(shū)面實(shí)驗(yàn)答案 803
附錄B 復(fù)習(xí)題答案 815

你還可能感興趣

我要評(píng)論