CISSP認(rèn)證考試指南

定　價(jià)：￥78.00

作　者：	(美)Roberta Bragg著；張耀疆譯
出版社：	人民郵電出版社
叢編項(xiàng)：
標(biāo)　簽：	信息系統(tǒng) 安全技術(shù) 考核自學(xué)參考資料

購(gòu)買(mǎi)這本書(shū)可以去

ISBN：	9787115115683	出版時(shí)間：	2003-01-01	包裝：	簡(jiǎn)裝本
開(kāi)本：	26cm	頁(yè)數(shù)：	545	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

本書(shū)提供了豐富的案例，在每章的最后，都安排有場(chǎng)景案例的研究，一方面能夠加深讀者對(duì)考試內(nèi)容的理解，另一方面也可以將相關(guān)知識(shí)運(yùn)用到實(shí)際的工作當(dāng)中。本書(shū)每一章最后都有仿真的練習(xí)題和眾多資源鏈接，前者便于讀者即刻評(píng)估自己的學(xué)習(xí)效果，后者便于追本？菰從紗思氨說(shuō)乩┐籩墩莆盞姆段Ш蛻疃??？本書(shū)具有多個(gè)特點(diǎn)，例如各章結(jié)尾處標(biāo)為“推薦讀物”的內(nèi)容，這將指引你去了解更多有助于考試準(zhǔn)備和實(shí)際工作的信息。附錄也是很有價(jià)值的，包括一個(gè)術(shù)語(yǔ)表（附錄A）、一個(gè)認(rèn)證過(guò)程概述（附錄B）、一個(gè)CD光盤(pán)內(nèi)容介紹（附錄C）和一個(gè)有關(guān)PrepLogic預(yù)覽版軟件的論論（附錄D）。RobertaBragg，CISSP，MCES，SecurityEvangelist的始創(chuàng)者，有25年IT領(lǐng)域的經(jīng)驗(yàn)，包括程序開(kāi)發(fā)、系統(tǒng)管理和Windows網(wǎng)絡(luò)安全設(shè)計(jì)等。她是具有國(guó)際聲望的作家和Windows安全講師。本書(shū)為通過(guò)CISSP認(rèn)證考試提供了完整的解決方案。全書(shū)分為三部分，第一部分是對(duì)（ISC）2建立的通用知識(shí)體系（CBK）10個(gè)知識(shí)域相關(guān)內(nèi)容的詳細(xì)描述，適合長(zhǎng)時(shí)間深入而全面地學(xué)習(xí)；第二部分是對(duì)所有知識(shí)的概括和總結(jié)，適合復(fù)習(xí)和考前強(qiáng)化；第三部分包含了眾多附錄內(nèi)容，包括模擬考題、應(yīng)該技巧和光盤(pán)內(nèi)容介紹等。本書(shū)提供了豐富的案例，在每章的最后，都安排有場(chǎng)景案例的研究，一方面能夠加深讀者對(duì)考試內(nèi)容的理解，另一方面也可以將相關(guān)知識(shí)運(yùn)用到實(shí)際的工作當(dāng)中。本書(shū)每一章最后都有仿真的練習(xí)題和眾多資源鏈接，前者便于讀者即刻評(píng)估自己的學(xué)習(xí)效果，后者便于追本溯源由此及彼地?cái)U(kuò)大知識(shí)掌握的范圍和深度。本書(shū)是準(zhǔn)備CISSP認(rèn)證考試的指南，同時(shí)也是廣大信息安全專(zhuān)業(yè)人員不可多得的參考書(shū)。

作者簡(jiǎn)介

　　Roberta Bragg，CISSP，MCES，Security Evangelist的始創(chuàng)者，有25年IT領(lǐng)域的經(jīng)驗(yàn)，包括程序開(kāi)發(fā)、系統(tǒng)管理和Windows網(wǎng)絡(luò)安全設(shè)計(jì)等。她是具有國(guó)際聲望的作家和Windows安全講師。

圖書(shū)目錄

第一部分  試前準(zhǔn)備
第1章  訪(fǎng)問(wèn)控制系統(tǒng)與方法論  3
1.1  介紹  6
1.2  可追溯性(Accountability)  7
1.3  訪(fǎng)問(wèn)控制技術(shù)  8
1.3.1  自主訪(fǎng)問(wèn)控制(DAC)  8
1.3.2  強(qiáng)制訪(fǎng)問(wèn)控制(MAC)  8
1.3.3  基于柵格的訪(fǎng)問(wèn)控制  9
1.3.4  基于規(guī)則的訪(fǎng)問(wèn)控制  11
1.3.5  基于角色的訪(fǎng)問(wèn)控制  12
1.3.6  訪(fǎng)問(wèn)控制列表  13
1.4  訪(fǎng)問(wèn)控制管理  13
1.5  訪(fǎng)問(wèn)控制模型  14
1.5.1  Bell-LaPadula  15
1.5.2  Biba  16
1.5.3  對(duì)BLP模型和Biba模型的小結(jié)  16
1.5.4  Liptner的柵格  17
1.5.5  Non-Inference模型  17
1.6  身份識(shí)別和身份認(rèn)證技術(shù)  17
1.6.1  口令  18
1.6.2  一次性口令  18
1.6.3  挑戰(zhàn)和響應(yīng)  18
1.6.4  生物鑒別  19
1.6.5  票據(jù)  19
1.6.6  單次登錄  19
1.7  訪(fǎng)問(wèn)控制方法  19
1.7.1  集中式/遠(yuǎn)程認(rèn)證訪(fǎng)問(wèn)控制  20
1.7.2  分散式訪(fǎng)問(wèn)控制  20
1.8  攻擊手段  22
1.8.1  暴力攻擊  22
1.8.2  拒絕服務(wù)  22
1.8.3  欺騙  23
1.8.4  嗅探  23
1.9  監(jiān)視  23
1.9.1  入侵檢測(cè)  24
1.9.2  入侵預(yù)防  25
1.9.3  入侵檢測(cè)的工作方式  25
1.10  滲透測(cè)試  26
1.10.1  滲透測(cè)試和安全評(píng)估  27
1.10.2  關(guān)于道德的話(huà)題  27
1.10.3  實(shí)施一次滲透測(cè)試  28
1.10.4  常用的工具  29
本章總結(jié)  30
知識(shí)運(yùn)用  31
第2章  電信與網(wǎng)絡(luò)安全  39
2.1  介紹  43
2.2  開(kāi)放系統(tǒng)互連模型  43
2.2.1  OSI分層  44
2.2.2  OSI小結(jié)  49
2.3  網(wǎng)絡(luò)特性和拓?fù)?nbsp; 50
2.3.1  同軸電纜(Coax)  51
2.3.2  非屏蔽雙絞線(xiàn)  52
2.3.3  光纖  54
2.3.4  無(wú)線(xiàn)通信  56
2.4  網(wǎng)絡(luò)拓?fù)?nbsp; 56
2.4.1  線(xiàn)性總線(xiàn)拓?fù)?nbsp; 57
2.4.2  星型拓?fù)?nbsp; 58
2.4.3  環(huán)形拓?fù)?nbsp; 59
2.4.4  樹(shù)型拓?fù)?nbsp; 59
2.4.5  網(wǎng)狀拓?fù)?nbsp; 60
2.4.6  局域網(wǎng)(LAN)和廣域網(wǎng)(WAN)技術(shù)  60
2.4.7  以太網(wǎng)  60
2.4.8  令牌環(huán)和FDDI  62
2.4.9  ARCnet  63
2.5  局域網(wǎng)設(shè)備  63
2.5.1  集線(xiàn)器和中繼器  63
2.5.2  交換機(jī)和網(wǎng)橋  64
2.5.3  虛擬局域網(wǎng)(VLAN)  64
2.5.4  路由器  66
2.5.5  防火墻  66
2.5.6  網(wǎng)關(guān)和代理  70
2.6  廣域網(wǎng)技術(shù)  70
2.6.1  專(zhuān)線(xiàn)連接  71
2.6.2  電路交換連接  71
2.6.3  分組交換連接  72
2.6.4  信元交換連接  72
2.6.5  廣域網(wǎng)服務(wù)  72
2.6.6  廣域網(wǎng)設(shè)備  75
2.7  提供遠(yuǎn)程訪(fǎng)問(wèn)能力  75
2.7.1  基于客戶(hù)端的撥入遠(yuǎn)程訪(fǎng)問(wèn)  75
2.7.2  使用隧道技術(shù)作為安全方法  76
2.7.3  虛擬專(zhuān)用網(wǎng)(VPN)  77
2.7.4  遠(yuǎn)程訪(fǎng)問(wèn)認(rèn)證  79
2.8  網(wǎng)絡(luò)協(xié)議  79
2.8.1  TCP/IP協(xié)議  79
2.8.2  復(fù)習(xí)TCP和UDP  82
2.9  保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性和保密性  83
2.9.1  CIA三元組  83
2.9.2  安全邊界和安全策略到控制的轉(zhuǎn)換  83
2.9.3  可信網(wǎng)絡(luò)釋疑  84
2.9.4  網(wǎng)絡(luò)層安全協(xié)議  85
2.9.5  傳輸層安全協(xié)議  86
2.9.6  應(yīng)用層安全協(xié)議  86
2.9.7  網(wǎng)絡(luò)監(jiān)視和包嗅探  87
2.9.8  入侵檢測(cè)  88
2.9.9  入侵響應(yīng)  89
2.9.10  網(wǎng)絡(luò)地址轉(zhuǎn)換  89
2.9.11  透明性  90
2.9.12  散列值  91
2.9.13  電子郵件安全  91
2.9.14  傳真和打印安全  92
2.9.15  常見(jiàn)的攻擊手段與對(duì)策  92
2.10  容錯(cuò)和數(shù)據(jù)恢復(fù)  96
2.10.1  管理網(wǎng)絡(luò)單點(diǎn)故障  98
2.10.2  拓?fù)涔收?nbsp; 98
本章總結(jié)  102
知識(shí)運(yùn)用  103
第3章  安全管理與慣例  115
3.1  介紹  118
3.2  定義安全原則  118
3.2.1  CIA：信息安全基本原則  118
3.2.2  私密性  120
3.2.3  身份識(shí)別與認(rèn)證  121
3.2.4  抗抵賴(lài)性  123
3.2.5  可追溯性與審計(jì)  123
3.2.6  文檔  125
3.3  安全管理計(jì)劃  125
3.4  風(fēng)險(xiǎn)管理與分析  126
3.4.1  風(fēng)險(xiǎn)分析  127
3.4.2  識(shí)別威脅和脆弱性  128
3.4.3  資產(chǎn)評(píng)估  129
3.4.4  定性的風(fēng)險(xiǎn)分析  132
3.4.5  對(duì)策選擇和評(píng)估  133
3.4.6  綜合運(yùn)用  134
3.5  策略、標(biāo)準(zhǔn)、指南和程序  134
3.5.1  信息安全策略  135
3.5.2  設(shè)置標(biāo)準(zhǔn)  137
3.5.3  創(chuàng)建基線(xiàn)  137
3.5.4  指南  138
3.5.5  設(shè)置并實(shí)施程序  138
3.6  審查角色和責(zé)任  139
3.7  管理層責(zé)任  139
3.7.1  用戶(hù)信息安全責(zé)任  139
3.7.2  IT角色和責(zé)任  140
3.7.3  其他角色和責(zé)任  140
3.8  理解保護(hù)機(jī)制  141
3.8.1  分層  141
3.8.2  抽象  142
3.8.3  數(shù)據(jù)隱藏  142
3.8.4  加密  142
3.9  數(shù)據(jù)分類(lèi)  143
3.9.1  企業(yè)分類(lèi)  143
3.9.2  政府分類(lèi)  143
3.9.3  標(biāo)準(zhǔn)  144
3.9.4  創(chuàng)建數(shù)據(jù)分類(lèi)程序  144
3.10  雇用策略與慣例  145
3.10.1  背景檢查和安全調(diào)查  145
3.10.2  雇用協(xié)議、雇用和中斷  145
3.11  管理變更控制  147
3.11.1  硬件變更控制  147
3.11.2  軟件變更控制  148
3.12  安全意識(shí)培訓(xùn)  148
本章總結(jié)  149
知識(shí)運(yùn)用  151
第4章  應(yīng)用與系統(tǒng)開(kāi)發(fā)安全  157
4.1  介紹  160
4.2  軟件應(yīng)用和相關(guān)話(huà)題  160
4.2.1  分布式和非分布式環(huán)境的挑戰(zhàn)  161
4.2.2  數(shù)據(jù)庫(kù)和數(shù)據(jù)倉(cāng)庫(kù)問(wèn)題  166
4.2.3  存儲(chǔ)和存儲(chǔ)系統(tǒng)  171
4.2.4  基于知識(shí)的系統(tǒng)  175
4.2.5  Web服務(wù)和其他邊緣計(jì)算的例子  176
4.3  攻擊軟件  179
4.3.1  攻擊口令數(shù)據(jù)庫(kù)  179
4.3.2  拒絕服務(wù)和分布式拒絕服務(wù)攻擊  180
4.3.3  欺騙攻擊  182
4.3.4  混合式攻擊  182
4.3.5  非法使用合法軟件  184
4.3.6  網(wǎng)絡(luò)軟件  184
4.4  理解惡意代碼  185
4.4.1  誰(shuí)是黑客？什么是惡意代碼  185
4.4.2  防病毒軟件可以提供什么保護(hù)  186
4.5  實(shí)施系統(tǒng)開(kāi)發(fā)控制  187
4.5.1  系統(tǒng)開(kāi)發(fā)生命周期  187
4.5.2  安全控制體系結(jié)構(gòu)  191
4.5.3  最佳慣例(best practice)  192
4.6  可減少系統(tǒng)漏洞的編碼慣例  192
4.6.1  軟件開(kāi)發(fā)方法  193
4.6.2  通過(guò)好的軟件設(shè)計(jì)和編碼慣例來(lái)實(shí)現(xiàn)安全  197
本章總結(jié)  201
知識(shí)運(yùn)用  203
第5章  密碼學(xué)  211
5.1  介紹  213
5.2  密碼學(xué)應(yīng)用  213
5.2.1  保密性  213
5.2.2  完整性  213
5.2.3  身份認(rèn)證  214
5.2.4  抗抵賴(lài)性  214
5.3  密碼學(xué)概念、方法和實(shí)踐  214
5.3.1  對(duì)稱(chēng)算法  215
5.3.2  非對(duì)稱(chēng)算法  216
5.3.3  消息鑒別  216
5.3.4  哈希函數(shù)  217
5.3.5  數(shù)字簽名  217
5.3.6  密鑰長(zhǎng)度  217
5.3.7  一次性密碼  218
5.4  PKI和密鑰管理  218
5.5  攻擊方法  218
5.5.1  一般性攻擊  219
5.5.2  特殊攻擊  220
本章總結(jié)  223
知識(shí)運(yùn)用  225
第6章  安全結(jié)構(gòu)與模型  231
6.1  介紹  234
6.2  對(duì)安全體系結(jié)構(gòu)與模型的需求  235
6.3  安全模型  236
6.3.1  Bell-LaPadula模型  237
6.3.2  Biba模型  238
6.3.3  Clark-Wilson模型  239
6.3.4  訪(fǎng)問(wèn)控制列表  239
6.3.5  安全模型回顧  240
6.4  安全系統(tǒng)結(jié)構(gòu)  240
6.4.1  參考監(jiān)視器  240
6.4.2  開(kāi)放系統(tǒng)與封閉系統(tǒng)  241
6.4.3  安全原則  242
6.4.4  安全模式  243
6.4.5  標(biāo)簽與訪(fǎng)問(wèn)控制列表  243
6.4.6  隱蔽通道  244
6.5  信息系統(tǒng)安全標(biāo)準(zhǔn)  244
6.5.1  TCSEC——桔皮書(shū)和彩虹系列  246
6.5.2  信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)  248
6.6  通用標(biāo)準(zhǔn)  250
6.6.1  什么是通用標(biāo)準(zhǔn)  250
6.6.2  桔皮書(shū)、ITSEC和通用標(biāo)準(zhǔn)的比較  254
6.7  IPSec  255
6.7.1  IPSec應(yīng)用  255
6.7.2  IPSec結(jié)構(gòu)組件  256
本章總結(jié)  257
知識(shí)運(yùn)用  259
第7章  操作安全  265
7.1  介紹  268
7.2  調(diào)查操作安全的關(guān)鍵角色  269
7.2.1  識(shí)別要保護(hù)的資源  269
7.2.2  識(shí)別要限制的特權(quán)  269
7.2.3  識(shí)別可用的控制及其類(lèi)型  270
7.2.4  控制類(lèi)型  272
7.2.5  描述OPSEC過(guò)程  272
7.3  審計(jì)和監(jiān)視的角色  274
7.3.1  利用日志來(lái)審計(jì)活動(dòng)并檢測(cè)入侵  275
7.3.2  檢測(cè)入侵  276
7.3.3  滲透測(cè)試技術(shù)  280
7.4  針對(duì)威脅開(kāi)發(fā)對(duì)策  284
7.4.1  風(fēng)險(xiǎn)分析  284
7.4.2  威脅  285
7.4.3  對(duì)策  287
7.4.4  針對(duì)與雇員相關(guān)的威脅建立對(duì)策  287
7.4.5  在招聘和解職實(shí)踐中包含對(duì)策  288
7.4.6  防止抱怨的程序  289
7.4.7  針對(duì)基于Internet的常見(jiàn)威脅的對(duì)策  290
7.4.8  物理威脅對(duì)策  291
7.5  行政管理角色  291
7.6  概念和最佳慣例  292
7.6.1  特權(quán)操作功能  293
7.6.2  理解防病毒控制  294
7.6.3  保護(hù)敏感性信息和介質(zhì)  295
7.6.4  變更管理控制  296
本章總結(jié)  298
知識(shí)運(yùn)用  300
第8章  業(yè)務(wù)持續(xù)性計(jì)劃與災(zāi)難恢復(fù)計(jì)劃  307
8.1  介紹  310
8.2  什么是中斷業(yè)務(wù)操作的災(zāi)難  311
8.3  量化DRP和BCP之間的差別  313
8.4  考察業(yè)務(wù)持續(xù)性計(jì)劃的過(guò)程  315
8.4.1  確定計(jì)劃范圍  315
8.4.2  業(yè)務(wù)影響評(píng)估  316
8.4.3  BIA過(guò)程回顧  319
8.4.4  開(kāi)發(fā)操作計(jì)劃  319
8.4.5  實(shí)施計(jì)劃  323
8.4.6  測(cè)試計(jì)劃  323
8.4.7  維護(hù)計(jì)劃  324
8.5  定義災(zāi)難恢復(fù)計(jì)劃  324
8.5.1  恢復(fù)數(shù)據(jù)處理  325
8.5.2  重建數(shù)據(jù)處理  328
8.6  開(kāi)發(fā)備份策略  328
8.6.1  備份程序和策略  330
8.6.2  重要記錄程序  332
8.6.3  硬件備份  332
8.6.4  可替換站點(diǎn)  332
本章總結(jié)  336
知識(shí)運(yùn)用  338
第9章  法律、調(diào)查與道德  345
9.1  介紹  348
9.2  美國(guó)基本法律原則  348
9.2.1  知識(shí)產(chǎn)權(quán)法  349
9.2.2  銷(xiāo)售和許可證  350
9.2.3  隱私法  350
9.2.4  政府法規(guī)  351
9.3  刑法與計(jì)算機(jī)犯罪  352
9.4  計(jì)算機(jī)安全事件  354
9.4.1  事先計(jì)劃  354
9.4.2  計(jì)算機(jī)犯罪調(diào)查  355
9.5  法律證據(jù)  357
9.5.1  證據(jù)的可信度或份量  357
9.5.2  事實(shí)證明  358
9.5.3  傳聞  358
9.5.4  最佳證據(jù)規(guī)則  358
9.5.5  證據(jù)鏈  358
9.5.6  第四修正案  359
9.6  計(jì)算機(jī)辨析學(xué)  359
9.7  計(jì)算機(jī)道德  363
本章總結(jié)  365
知識(shí)運(yùn)用  367
第10章  物理安全  373
10.1  介紹  376
10.2  資產(chǎn)分類(lèi)以便簡(jiǎn)化物理安全問(wèn)題  377
10.3  脆弱性  378
10.4  選擇、設(shè)計(jì)、建設(shè)并維護(hù)安全的站點(diǎn)  379
10.4.1  站點(diǎn)選址和構(gòu)建  380
10.4.2  物理訪(fǎng)問(wèn)控制  381
10.4.3  電源  383
10.4.4  環(huán)境控制：空調(diào)、濕度和溫度  385
10.4.5  水泄漏的問(wèn)題  385
10.4.6  火災(zāi)預(yù)防和保護(hù)  386
10.5  磁帶和介質(zhì)庫(kù)保持策略  388
10.6  文檔(硬拷貝)庫(kù)  389
10.7  廢品處理  390
10.8  物理入侵檢測(cè)  392
本章總結(jié)  394
知識(shí)運(yùn)用  396
第二部分  總復(fù)習(xí)
要點(diǎn)快速回顧  407
考試學(xué)習(xí)準(zhǔn)備技巧  455
實(shí)踐考試  459
第三部分  附錄
附錄A——術(shù)語(yǔ)表  513
附錄B——認(rèn)證過(guò)程概述  537
附錄C——光盤(pán)內(nèi)容  539
附錄D——PrepLogic Practice Tests預(yù)覽版  541