CISSP学习指南第8版CISSP认证考试全套培训资料CISSP认证考试教材书籍

第壹章  实现安全治理的原则和策略   1

1.1  理解和应用保密性、完整性及可用性的概念   1

1.1.1  保密性   2

1.1.2  完整性   3

1.1.3  可用性   4

1.1.4  其他安全概念   6

1.1.5  保护机制   8

1.1.6  分层   9

1.1.7  抽象   9

1.1.8  数据隐藏   9

1.1.9  加密   10

1.2  评估和应用安全治理原则   10

1.2.1  与业务战略、目标、使命和宗旨相一致的安全功能   10

1.2.2  组织的流程   12

1.2.3  组织的角色与责任   16

1.2.4  安全控制框架   17

1.2.5  应尽关心和尽职审查   18

1.3  开发、记录和实施安全策略、标准、程序和指南   18

1.3.1  安全策略   18

1.3.2  标准、基线和指南   19

1.3.3  程序   20

1.4  理解与应用威胁建模的概念和方法   21

1.4.1  识别威胁   22

1.4.2  确定和绘制潜在的攻击   25

1.4.3  执行简化分析   26

1.4.4  优先级排序和响应   26

1.5  将基于风险的管理理念应用到供应链   27

1.6  本章小结   28

1.7  考试要点   29

1.8  书面实验   31

1.9  复习题   31

第2章  人员安全和风险管理的概念   35

2.1  人员安全策略和程序   36

2.1.1  候选人筛选及招聘   38

2.1.2  雇佣协议及策略   38

2.1.3  入职和离职程序   39

2.1.4  供应商、顾问和承包商的协议和控制   41

2.1.5  合规策略要求   42

2.1.6  隐私策略要求   42

2.2  安全治理   43

2.3  理解并应用风险管理理念   44

2.3.1  风险术语   45

2.3.2  识别威胁和脆弱性   46

2.3.3  风险评估/分析   47

2.3.4  风险响应   53

2.3.5  选择与实施控制措施   54

2.3.6  适用的控制类型   56

2.3.7  安全控制评估   57

2.3.8  监视和测量   57

2.3.9  资产估值与报告   57

2.3.10  持续改进   58

2.3.11  风险框架   59

2.4  建立和维护安全意识、教育和培训计划   60

2.5  管理安全功能   61

2.6  本章小结   62

2.7  考试要点   62

2.8  书面实验   64

2.9  复习题   64

第3章  业务连续性计划   68

3.1  业务连续性计划简介   68

3.2  项目范围和计划   69

3.2.1  业务组织分析   69

3.2.2  选择BCP团队   70

3.2.3  资源需求   71

3.2.4  法律和法规要求   72

3.3  业务影响评估   73

3.3.1  确定优先级   74

3.3.2  风险识别   74

3.3.3  可能性评估   75

3.3.4  影响评估   76

3.3.5  资源优先级排序   77

3.4  连续性计划   77

3.4.1  策略开发   77

3.4.2  预备和处理   78

3.5  计划批准和实施   79

3.5.1  计划批准   79

3.5.2  计划实施   79

3.5.3  培训和教育   80

3.5.4  BCP文档化   80

3.6  本章小结   83

3.7  考试要点   83

3.8  书面实验   84

3.9  复习题   84

第4章  法律、法规和合规   88

4.1  法律的分类   88

4.1.1  刑法   89

4.1.2  民法   90

4.1.3  行政法   90

4.2  法律   90

4.2.1  计算机犯罪   91

4.2.2  知识产权   94

4.2.3  许可   97

4.2.4  进口/出口控制   98

4.2.5  隐私   98

4.3  合规   104

4.4  合同和采购   105

4.5  本章小结   105

4.6  考试要点   106

4.7  书面实验   106

4.8  复习题   107

第5章  保护资产安全   110

5.1  资产识别和分类   110

5.1.1  定义敏感数据   111

5.1.2  定义数据分类   112

5.1.3  定义资产分类   114

5.1.4  确定数据的安全控制   114

5.1.5  理解数据状态   115

5.1.6  管理信息和资产   116

5.1.7  数据保护方法   121

5.2  定义数据所有权   123

5.2.1  数据所有者   123

5.2.2  资产所有者   124

5.2.3  业务/任务所有者   124

5.2.4  数据使用者   125

5.2.5  管理员   127

5.2.6  托管员   127

5.2.7  用户   128

5.2.8  保护隐私   128

5.3  使用安全基线   128

5.3.1  范围界定和按需定制   129

5.3.2  选择标准   129

5.4  本章小结   130

5.5  考试要点   130

5.6  书面实验   131

5.7  复习题   131

第6章  密码学和对称密钥算法   135

6.1  密码学的历史里程碑   135

6.1.1  凯撒密码   136

6.1.2  美国南北战争   136

6.1.3  Ultra与Enigma   137

6.2  密码学基本知识   137

6.2.1  密码学的目标   137

6.2.2  密码学的概念   139

6.2.3  密码数学   140

6.2.4  密码   144

6.3  现代密码学   149

6.3.1  密码密钥   149

6.3.2  对称密钥算法   150

6.3.3  非对称密钥算法   151

6.3.4  散列算法   153

6.4  对称密码   154

6.4.1  数据加密标准   154

6.4.2  三重DES   155

6.4.3  guo际数据加密算法   156

6.4.4  Blowfish   157

6.4.5  Skipjack   157

6.4.6  高ji加密标准   157

6.4.7  对称密钥管理   158

6.5  密码生命周期   160

6.6  本章小结   160

6.7  考试要点   161

6.8  书面实验   162

6.9  复习题   162

第7章  PKI和密码应用   166

7.1  非对称密码   166

7.1.1  公钥和私钥   167

7.1.2  RSA   167

7.1.3  El Gamal   169

7.1.4  椭圆曲线   169

7.2  散列函数   170

7.2.1  SHA   171

7.2.2  MD2   171

7.2.3  MD4   171

7.2.4  MD5   172

7.3  数字签名   172

7.3.1  HMAC   173

7.3.2  数字签名标准   174

7.4  公钥基础设施   174

7.4.1  证书   174

7.4.2  发证机构   175

7.4.3  证书的生成和销毁   176

7.5  非对称密钥管理   177

7.6  应用密码学   178

7.6.1  便携设备   178

7.6.2  电子邮件   179

7.6.3  Web应用程序   180

7.6.4  数字版权管理   182

7.6.5  联网   185

7.7  密码攻击   187

7.8  本章小结   189

7.9  考试要点   190

7.10  书面实验   191

7.11  复习题   191

第8章  安全模型、设计和能力的原则   195

8.1  使用安全设计原则实施和管理工程过程   195

8.1.1  客体和主体   196

8.1.2  封闭系统和开放系统   196

8.1.3  用于确保保密性、完整性和可用性的技术   197

8.1.4  控制   198

8.1.5  信任与保证   198

8.2  理解安全模型的基本概念   199

8.2.1  可信计算基   200

8.2.2  状态机模型   201

8.2.3  信息流模型   201

8.2.4  非干扰模型   202

8.2.5  Take-Grant模型   202

8.2.6  访问控制矩阵   203

8.2.7  Bell-LaPadula模型   204

8.2.8  Biba模型   206

8.2.9  Clark-Wilson模型   207

8.2.10  Brewer and Nash模型   208

8.2.11  Goguen-Meseguer模型   208

8.2.12  Sutherland模型   209

8.2.13  Graham-Denning模型   209

8.3  基于系统安全需求选择控制措施   209

8.3.1  彩虹系列   210

8.3.2  TCSEC分类和所需功能   211

8.3.3  通用准则   214

8.3.4  行业和guo际安全实施指南   217

8.3.5  认证和鉴定   217

8.4  理解信息系统的安全功能   219

8.4.1  内存保护   219

8.4.2  虚拟化   220

8.4.3  可信平台模块   220

8.4.4  接口   220

8.4.5  容错   221

8.5  本章小结   221

8.6  考试要点   221

8.7  书面实验   222

8.8  复习题   222

第9章  安全漏洞、威胁和对策   226

9.1  评估和缓解安全漏洞   227

9.1.1  硬件   227

9.1.2  固件   241

9.2  基于客户端的系统   242

9.2.1  applet   242

9.2.2  本地缓存   244

9.3  基于服务端的系统   245

9.4  数据库系统安全   246

9.4.1  聚合   246

9.4.2  推理   246

9.4.3  数据挖掘和数据仓库   247

9.4.4  数据分析   247

9.4.5  大规模并行数据系统   248

9.5  分布式系统和端点安全   248

9.5.1  基于云的系统和云计算   250

9.5.2  网格计算   253

9.5.3  对等网络   253

9.6  物联网   254

9.7  工业控制系统   255

9.8  评估和缓解基于Web系统的漏洞   255

9.9  评估和缓解移动系统的漏洞   259

9.9.1  设备安全   260

9.9.2  应用安全   263

9.9.3  BYOD关注点   264

9.10  评估和缓解嵌入式设备和信息物理系统的漏洞   267

9.10.1  嵌入式系统和静态系统的示例   267

9.10.2  保护嵌入式和静态系统的方法   268

9.11  基本安全保护机制   270

9.11.1  技术机制   270

9.11.2  安全策略和计算机架构   272

9.11.3  策略机制   273

9.12  常见的架构缺陷和安全问题   273

9.12.1  隐蔽通道   274

9.12.2  基于设计或编码缺陷的攻击和安全问题   274

9.12.3  编程   276

9.12.4  计时、状态改变和通信中断   277

9.12.5  技术和过程集成   277

9.12.6  电磁辐射   277

9.13  本章小结   278

9.14  考试要点   278

9.15  书面实验   280

9.16  复习题   281

第壹0章  物理安全要求   284

10.1  站点与设施设计的安全原则   285

10.1.1  安全设施计划   285

10.1.2  站点选择   285

10.1.3  可见度   286

10.1.4  自然灾害   286

10.1.5  设施设计   286

10.2  实现站点与设施安全控制   287

10.2.1  设备故障   288

10.2.2  配线间   288

10.2.3  服务器间与数据中心   290

10.2.4  介质存储设施   293

10.2.5  证据存储   293

10.2.6  受限区与工作区安全   294

10.2.7  基础设施与HVAC   295

10.2.8  火灾预防、探测与消防   297

10.3  物理安全的实现与管理   300

10.3.1  边界安全控制   300

10.3.2  内部安全控制   303

10.4  本章小结   306

10.5  考试要点   307

10.6  书面实验   309

10.7  复习题   309

第壹1章  安络架构和保护网络组件   312

11.1  OSI模型   312

11.1.1  OSI模型的历史   313

11.1.2  OSI功能   313

11.1.3  封装/解封   314

11.1.4  OSI模型层次   315

11.2  TCP/IP模型   321

11.3  融合协议   334

11.4  无线网络   336

11.4.1  保护无线接入点   336

11.4.2  保护SSID   338

11.4.3  进行现场调查   338

11.4.4  使用安全加密协议   339

11.4.5  天线放置   341

11.4.6  天线类型   342

11.4.7  调整功率电平控制   342

11.4.8  WPS   342

11.4.9  使用强制门户   343

11.4.10  一般Wi-Fi安全程序   343

11.4.11  无线攻击   344

11.5  安络组件   346

11.5.1  网络访问控制   347

11.5.2  防火墙   347

11.5.3  端点安全   350

11.5.4  硬件的安全操作   351

11.6  布线、无线、拓扑、通信和

传输介质技术   353

11.6.1  传输介质   354

11.6.2  网络拓扑   357

11.6.3  无线通信与安全   359

11.6.4  局域网技术   363

11.7  本章小结   366

11.8  考试要点   367

11.9  书面实验   369

11.10  复习题   369

第壹2章  安全通信与网络攻击   373

12.1  网络与协议安全机制   373

12.1.1  安全通信协议   374

12.1.2  身份验证协议   374

12.2  语音通信的安全   375

12.2.1  VoIP   375

12.2.2  社会工程   376

12.2.3  欺骗与滥用   377

12.3  多媒体合作   378

12.3.1  远程会议   379

12.3.2  即时通信   379

12.4  管理邮件安全   379

12.4.1  邮件安全目标   380

12.4.2  理解邮件安全问题   381

12.4.3  邮件安全解决方案   381

12.5  远程访问安全管理   383

12.5.1  远程访问安全计划   385

12.5.2  拨号上网协议   386

12.5.3  中心化远程身份验证服务   386

12.6  虚拟专用网   387

12.6.1  隧道技术   387

12.6.2  VPN的工作机理   388

12.6.3  常用的VPN协议   388

12.6.4  虚拟局域网   390

12.7  虚拟化   391

12.7.1  虚拟软件   391

12.7.2  虚拟化网络   392

12.8  网络地址转换   392

12.8.1  私有IP地址   393

12.8.2  有状态NAT   394

12.8.3  静态与动态NAT   395

12.8.4  自动私有IP分配   395

12.9  交换技术   396

12.9.1  电路交换   396

12.9.2  分组交换   397

12.9.3  虚电路   397

12.10  WAN技术   398

12.10.1  WAN连接技术   399

12.10.2  拨号封装协议   401

12.11  多种安全控制特征   401

12.11.1  透明性   402

12.11.2  验证完整性   402

12.11.3  传输机制   402

12.12  安全边界   403

12.13  防止或减轻网络攻击   403

12.13.1  DoS与DDoS   404

12.13.2  窃听   404

12.13.3  假冒/伪装   405

12.13.4  重放攻击   405

12.13.5  修改攻击   406

12.13.6  地址解析协议欺骗   406

12.13.7  DNS毒化、欺骗及劫持   406

12.13.8 链接欺骗   407

12.14  本章小结   407

12.15  考试要点   409

12.16  书面实验   410

12.17  复习题   410

第壹3章  管理身份和身份验证   414

13.1  控制对资产的访问   414

13.1.1  比较主体和客体   415

13.1.2  CIA 三性和访问控制   416

13.1.3  访问控制的类型   416

13.2  比较身份识别和身份验证   418

13.2.1  身份注册和证明   418

13.2.2  授权和问责   419

13.2.3  身份验证因素   420

13.2.4  密码   421

13.2.5  智能卡和令牌   423

13.2.6  生物识别技术   425

13.2.7  多因素身份验证   428

13.2.8  设备验证   429

13.2.9  服务身份验证   429

13.3  实施身份管理   430

13.3.1  单点登录   430

13.3.2  凭据管理系统   434

13.3.3  集成身份服务   434

13.3.4  管理会话   435

13.3.5  AAA协议   435

13.4  管理身份和访问配置生命周期   437

13.4.1  访问配置   437

13.4.2  账户审核   438

13.4.3  账户撤消   439

13.5  本章小结   439

13.6  考试要点   440

13.7  书面实验   441

13.8  复习题   441

第壹4章  控制和监控访问   445

14.1  比较访问控制模型   445

14.1.1  比较权限、权利和特权   445

14.1.2  理解授权机制   446

14.1.3  使用安全策略定义需求   447

14.1.4  实施纵深防御   447

14.1.5  总结访问控制模型   448

14.1.6  自主访问控制   449

14.1.7  非自主访问控制   449

14.2  了解访问控制攻击   454

14.2.1  风险要素   454

14.2.2  识别资产   455

14.2.3  识别威胁   456

14.2.4  识别漏洞   457

14.2.5  常见的访问控制攻击   457

14.2.6  保护方法综述   465

14.3  本章小结   467

14.4  考试要点   467

14.5  书面实验   468

14.6  复习题   468

第壹5章  安全评估与测试   472

15.1  构建安全评估和测试方案   473

15.1.1  安全测试   473

15.1.2  安全评估   474

15.1.3  安全审计   474

15.2     开展漏洞评估   476

15.2.1  漏洞描述   477

15.2.2  漏洞扫描   477

15.2.3  渗透测试   484

15.3  测试软件      486

15.3.1  代码审查与测试   486

15.3.2  接口测试   489

15.3.3  误用例测试   489

15.3.4  测试覆盖率分析   490

15.3.5  网站监测   490

15.4  实施安全管理流程   491

15.4.1  日志审查   491

15.4.2  账户管理   491

15.4.3  备份验证   492

15.4.4  关键绩效和风险指标   492

15.5  本章小结   492

15.6  考试要点   493