CCSP云安全專家認(rèn)證All-in-One（第2版）

定　價：￥98.00

作　者：	[美] 丹尼爾·卡特（Daniel Carter）等著
出版社：	清華大學(xué)出版社
叢編項：	網(wǎng)絡(luò)空間安全叢書
標(biāo)　簽：	暫缺

購買這本書可以去

ISBN：	9787302603344	出版時間：	2022-04-01	包裝：	平裝
開本：	16開	頁數(shù)：		字?jǐn)?shù)：

內(nèi)容簡介

　　涵蓋所有六個知識域： ●云概念、架構(gòu)與設(shè)計 ●云數(shù)據(jù)安全 ●云平臺與基礎(chǔ)架構(gòu)安全 ●云應(yīng)用程序安全 ●云運(yùn)營安全 ●法律、風(fēng)險與合規(guī)

作者簡介

　　Daniel Carter，持有CISSP、CCSP、CISM和CISA等證書，是約翰斯·霍普金斯大學(xué)醫(yī)學(xué)院的高級系統(tǒng)工程師。作為一名IT安全和系統(tǒng)專家，Daniel在基于Web的應(yīng)用程序和基礎(chǔ)架構(gòu)，以及LDAP、PKI、SIEM、Linux/UNIX系統(tǒng)、SAML和聯(lián)合身份系統(tǒng)等領(lǐng)域擁有豐富的工作經(jīng)驗(yàn)。Daniel擁有美國馬里蘭大學(xué)的犯罪學(xué)和刑事司法學(xué)位，以及技術(shù)管理碩士學(xué)位，研究方向是國土安全管理。譯者簡介欒浩，獲得美國天普大學(xué)IT審計與網(wǎng)絡(luò)安全專業(yè)理學(xué)碩士學(xué)位，持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等認(rèn)證?，F(xiàn)任CTO職務(wù)，負(fù)責(zé)金融科技研發(fā)、數(shù)據(jù)安全、云計算安全和信息科技審計和風(fēng)控等工作。擔(dān)任（ISC）²上海分會理事。欒浩先生擔(dān)任本書的總技術(shù)負(fù)責(zé)人，并承擔(dān)第1章、第3~5章的翻譯工作，以及全書的校對和定稿工作。陳英杰，獲得北京交通大學(xué)海濱學(xué)院計算機(jī)科學(xué)與應(yīng)用專業(yè)工學(xué)學(xué)士學(xué)位，持有國家互聯(lián)網(wǎng)應(yīng)急中心“網(wǎng)絡(luò)安全能力認(rèn)證（CCSC）”培訓(xùn)講師、高級網(wǎng)絡(luò)安全等級測評師等認(rèn)證?，F(xiàn)任河北翎賀計算機(jī)信息技術(shù)有限公司總經(jīng)理，負(fù)責(zé)公司運(yùn)營和安全技術(shù)管理工作。陳英杰女士承擔(dān)全書的校對和定稿工作。姚凱，獲得中歐國際工商學(xué)院工商管理碩士學(xué)位，持有CISSP、CCSP、CISA和CEH等認(rèn)證?，F(xiàn)任CIO職務(wù)，負(fù)責(zé)IT戰(zhàn)略規(guī)劃、策略程序制定、IT架構(gòu)設(shè)計及應(yīng)用部署、系統(tǒng)取證和應(yīng)急響應(yīng)、數(shù)據(jù)安全、災(zāi)難恢復(fù)演練及復(fù)盤等工作。姚凱先生承擔(dān)本書前言、第7章的翻譯工作，以及全書校對工作。姚凱先生為本書撰寫了譯者序。王向宇，獲得安徽科技學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISP、CISP-A等認(rèn)證。負(fù)責(zé)數(shù)據(jù)安全運(yùn)營、安全工具研發(fā)、信息系統(tǒng)審計和軟件研發(fā)安全等工作。王向宇先生承擔(dān)本書第6章和附錄的翻譯工作，以及全書校對工作。呂麗，獲得吉林大學(xué)文秘專業(yè)文學(xué)學(xué)士學(xué)位，持有CISSP、CISA、CISM和CISP-PTE等證書?，F(xiàn)任中銀金融商務(wù)有限公司信息安全經(jīng)理，負(fù)責(zé)信息科技風(fēng)險管理、網(wǎng)絡(luò)安全技術(shù)評估、信息安全體系制度管理、業(yè)務(wù)持續(xù)及災(zāi)難恢復(fù)體系管理、安全合規(guī)與審計等工作。呂麗女士承擔(dān)全書術(shù)語校對工作，并擔(dān)任本書項目經(jīng)理，統(tǒng)籌各項事務(wù)。張瑞恒，畢業(yè)于防災(zāi)科技學(xué)院計算機(jī)網(wǎng)絡(luò)技術(shù)與信息處理專業(yè)，持有CISSP、CISA和Prince2等認(rèn)證。負(fù)責(zé)IT內(nèi)控、云計算安全運(yùn)營企業(yè)SOC建設(shè)以及數(shù)據(jù)安全等工作。張瑞恒先生擔(dān)任本書的云計算運(yùn)營與技術(shù)顧問。徐坦，獲得河北科技大學(xué)理工學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISP等認(rèn)證?，F(xiàn)任安全滲透測試工程師職務(wù)，負(fù)責(zé)數(shù)據(jù)安全滲透測試、安全工具研發(fā)和企業(yè)安全攻防等工作。徐坦先生承擔(dān)本書部分章節(jié)的校對工作。李浩軒，獲得河北科技大學(xué)理工學(xué)院網(wǎng)絡(luò)工程專業(yè)工學(xué)學(xué)士學(xué)位，持有CISP等認(rèn)證?，F(xiàn)任安全滲透測試工程師職務(wù)，負(fù)責(zé)安全工具研發(fā)、應(yīng)用安全檢測、異常流量分析、攻擊事件研判和網(wǎng)絡(luò)攻擊溯源等工作。李浩軒先生承擔(dān)本書部分章節(jié)的校對工作。陳陽，獲得哈爾濱工程大學(xué)計算機(jī)軟件工程碩士學(xué)位，持有CISSP、CISA等認(rèn)證，現(xiàn)任高級技術(shù)經(jīng)理職務(wù)，負(fù)責(zé)信息安全管理、信息風(fēng)險管理、應(yīng)急與災(zāi)備管理、事件管理、信息科技監(jiān)管合規(guī)等工作。陳陽女士承擔(dān)本書第2章翻譯工作以及部分章節(jié)的校對工作。任寅，畢業(yè)于河北工業(yè)大學(xué)計算機(jī)科學(xué)與技術(shù)專業(yè)，持有注冊信息安全講師（CISI）、國家互聯(lián)網(wǎng)應(yīng)急中心“網(wǎng)絡(luò)安全能力認(rèn)證（CCSC）”講師等認(rèn)證?，F(xiàn)任河北翎賀計算機(jī)信息技術(shù)有限公司技術(shù)經(jīng)理職務(wù)，負(fù)責(zé)網(wǎng)絡(luò)安全等級測評、風(fēng)險評估、商用密碼應(yīng)用安全性評估、信息安全審計等工作。任寅女士承擔(dān)本書部分章節(jié)的校對工作。沈鵬，畢業(yè)于西北工業(yè)大學(xué)網(wǎng)絡(luò)工程專業(yè)，持有CISP-PTE、國家互聯(lián)網(wǎng)應(yīng)急中心CCSC講師等認(rèn)證?，F(xiàn)任河北翎賀計算機(jī)信息技術(shù)有限公司攻防實(shí)驗(yàn)室負(fù)責(zé)人職務(wù)，負(fù)責(zé)網(wǎng)絡(luò)安全攻防對抗、溯源取證、商用密碼應(yīng)用安全性評估等工作。沈鵬先生承擔(dān)本書部分章節(jié)的校對工作。任佩，獲得北京工業(yè)大學(xué)軟件工程專業(yè)碩士學(xué)位，持有CISP、信息安全等級測評師證書（高級）、信息系統(tǒng)項目管理師（高級）等認(rèn)證。現(xiàn)任職于中國電科集團(tuán)第十五研究所中電科認(rèn)證測評中心網(wǎng)絡(luò)安全測評部主管，負(fù)責(zé)網(wǎng)絡(luò)安全等級測評、風(fēng)險評估、商用密碼應(yīng)用安全性評估、信息安全審計等工作。任佩女士承擔(dān)本書部分章節(jié)校對工作。李雅欣，獲得中南財經(jīng)政法大學(xué)信息安全專業(yè)工學(xué)學(xué)士學(xué)位。現(xiàn)任解決方案工程師職務(wù)，負(fù)責(zé)數(shù)據(jù)安全產(chǎn)品方案及內(nèi)容輸出、安全工具產(chǎn)品說明和企業(yè)數(shù)據(jù)安全業(yè)務(wù)模型設(shè)計等工作。李雅欣女士承擔(dān)本書部分章節(jié)的校對工作。劉波，畢業(yè)于西北工業(yè)大學(xué)計算機(jī)科學(xué)與技術(shù)專業(yè)，持有CISP、網(wǎng)絡(luò)安全等級測評師中級證書、信息安全保障人員認(rèn)證安全運(yùn)維（專業(yè)級）等認(rèn)證。現(xiàn)任職于河北翎賀計算機(jī)信息技術(shù)有限公司技術(shù)部，負(fù)責(zé)網(wǎng)絡(luò)安全等級測評、風(fēng)險評估、商用密碼應(yīng)用安全性評估、信息安全審計等工作。劉波先生承擔(dān)本書部分章節(jié)的校對工作。何迎杰，獲得河北工業(yè)大學(xué)通信工程專業(yè)工學(xué)學(xué)士學(xué)位，持有國家互聯(lián)網(wǎng)應(yīng)急中心CCSC講師認(rèn)證等認(rèn)證，中國計算機(jī)學(xué)會CCF會員，現(xiàn)任職于河北翎賀計算機(jī)信息技術(shù)有限公司技術(shù)部，負(fù)責(zé)網(wǎng)絡(luò)安全等級測評、風(fēng)險評估、商用密碼應(yīng)用安全性評估、信息安全審計等工作。何迎杰女士承擔(dān)本書部分章節(jié)的校對工作。本書原文涉獵廣泛，內(nèi)容涉及云計算安全的各方面的認(rèn)證考試相關(guān)難點(diǎn)，特別是細(xì)分領(lǐng)域的安全術(shù)語和概念，中文譯本極易混淆，往往令應(yīng)試者考場失利。在本次翻譯工作中，針對此類情況，舉行了專項學(xué)術(shù)討論，（ISC）²上海分會的諸位安全專家給予高效專業(yè)的解答，這里衷心感謝（ISC）²上海分會理事會和（ISC）²上海分會會員的參與、支持和幫助。

圖書目錄

第1章獲得CCSP認(rèn)證的途徑及
安全概念簡介 1
1.1 為什么CCSP認(rèn)證的價值
如此之高 1
1.2 如何獲取CCSP認(rèn)證 2
1.3 CCSP六大知識域簡介 3
1.3.1 知識域1：云概念、架構(gòu)與
設(shè)計 3
1.3.2 知識域2：云數(shù)據(jù)安全 5
1.3.3 知識域3：云平臺與基礎(chǔ)架構(gòu)
安全 6
1.3.4 知識域4：云應(yīng)用程序安全 7
1.3.5 知識域5：云安全運(yùn)營 8
1.3.6 知識域6：法律、風(fēng)險與
合規(guī) 9
1.4 IT安全簡介 10
1.4.1 基礎(chǔ)安全概念 10
1.4.2 風(fēng)險管理 14
1.4.3 業(yè)務(wù)持續(xù)性和災(zāi)難
恢復(fù)(BCDR) 14
1.5 本章小結(jié) 15
第2章云概念、架構(gòu)與設(shè)計 17
2.1 云計算概念 18
2.1.1 云計算定義 18
2.1.2　云計算角色 19
2.1.3 云計算的關(guān)鍵特性 20
2.1.4 構(gòu)建塊技術(shù) 22
2.2 云參考架構(gòu) 22
2.2.1 云計算活動 23
2.2.2 云服務(wù)能力 24
2.2.3 云服務(wù)類別 24
2.2.4 云部署模型 28
2.2.5 云共享注意事項 31
2.2.6 相關(guān)技術(shù)的影響 34
2.3 與云計算相關(guān)的安全概念 38
2.3.1 密碼術(shù) 38
2.3.2 訪問控制 40
2.3.3 數(shù)據(jù)和介質(zhì)脫敏 42
2.3.4 網(wǎng)絡(luò)安全 44
2.3.5 虛擬化技術(shù)安全 44
2.3.6 常見威脅 45
2.3.7 不同云類別的安全考慮 49
2.4 云計算的安全設(shè)計原則 53
2.4.1 云安全數(shù)據(jù)生命周期 53
2.4.2 基于云環(huán)境的業(yè)務(wù)持續(xù)性和
災(zāi)難恢復(fù)規(guī)劃 54
2.4.3 成本效益分析 55
2.5 識別可信云服務(wù) 56
2.5.1 認(rèn)證與準(zhǔn)則 56
2.5.2 系統(tǒng)/子系統(tǒng)產(chǎn)品認(rèn)證 56
2.6 云架構(gòu)模型 60
2.6.1 舍伍德業(yè)務(wù)應(yīng)用安全架構(gòu)
(SABSA) 61
2.6.2 IT基礎(chǔ)架構(gòu)庫(ITIL) 61
2.6.3 The Open Group架構(gòu)框架
(TOGAF) 61
2.6.4 NIST云技術(shù)路線圖 62
2.7 練習(xí) 62
2.8 本章小結(jié) 62
2.9 問題 63
2.10 答案 65
第3章云數(shù)據(jù)安全 69
3.1 描述云數(shù)據(jù)概念 69
3.1.1 云數(shù)據(jù)生命周期的各階段 69
3.1.2 數(shù)據(jù)分散 72
3.2 設(shè)計和實(shí)施云數(shù)據(jù)存儲架構(gòu) 72
3.2.1 存儲類型 72
3.2.2 云存儲的威脅 74
3.3 設(shè)計并實(shí)施數(shù)據(jù)安全戰(zhàn)略 74
3.3.1 加密技術(shù) 75
3.3.2 哈希技術(shù) 76
3.3.3 密鑰管理 77
3.3.4 標(biāo)記化技術(shù) 78
3.3.5 數(shù)據(jù)防泄露 78
3.3.6 數(shù)據(jù)去標(biāo)識化技術(shù) 79
3.3.7 匹配應(yīng)用程序與數(shù)據(jù)
安全技術(shù) 80
3.3.8 新興技術(shù) 81
3.4 實(shí)施數(shù)據(jù)探查 82
3.4.1 結(jié)構(gòu)化數(shù)據(jù) 83
3.4.2 非結(jié)構(gòu)化數(shù)據(jù) 83
3.5 數(shù)據(jù)分類的實(shí)施 83
3.5.1 映射 84
3.5.2 標(biāo)簽 84
3.5.3 敏感數(shù)據(jù) 85
3.6 個人身份信息的相關(guān)數(shù)據(jù)
保護(hù)司法管轄權(quán) 85
3.6.1 數(shù)據(jù)隱私法案 86
3.6.2 隱私角色和責(zé)任 87
3.6.3 實(shí)施數(shù)據(jù)探查 87
3.6.4 對探查出的敏感數(shù)據(jù)執(zhí)行
分類 87
3.6.5 控制措施的映射和定義 88
3.6.6 使用已定義的控制措施 88
3.7 數(shù)據(jù)版權(quán)管理 89
3.7.1 數(shù)據(jù)版權(quán)目標(biāo) 89
3.7.2 常見工具 89
3.8 數(shù)據(jù)留存、刪除和歸檔策略 90
3.8.1 數(shù)據(jù)留存 90
3.8.2 數(shù)據(jù)刪除 91
3.8.3 數(shù)據(jù)歸檔 92
3.8.4 法定保留 93
3.9 數(shù)據(jù)事件的可審計性、
可追溯性和可問責(zé)性 93
3.9.1 事件源定義 94
3.9.2 身份屬性要求 95
3.9.3 數(shù)據(jù)事件日志 97
3.9.4 數(shù)據(jù)事件的存儲和分析 98
3.9.5 持續(xù)優(yōu)化 100
3.9.6 證據(jù)保管鏈和抗抵賴性 101
3.10 練習(xí) 101
3.11 本章小結(jié) 101
3.12 問題 102
3.13 答案 104
第4章云平臺與基礎(chǔ)架構(gòu)安全 107

第5章云應(yīng)用程序安全 135

第6章云運(yùn)營安全 163

第7章法律、風(fēng)險與合規(guī) 205
7.1 云計算相關(guān)的監(jiān)管合規(guī)要求和特有風(fēng)險 205
7.1.1 相互沖突的國際法律 206
7.1.2 云計算特有法律風(fēng)險評價 206
7.1.3 法律框架和指導(dǎo)原則 206
7.1.4 電子取證 207
7.1.5 取證要求 210
7.2 理解隱私問題 211
7.2.1 合同PII以及受監(jiān)管PII的差異 211
7.2.2 PII和數(shù)據(jù)隱私相關(guān)的國家特定法律 212

7.2.3 機(jī)密性、完整性、可用性和隱私性之間的差異 213
7.2.4 隱私要求標(biāo)準(zhǔn) 215
7.3 理解審計流程、方法論和云環(huán)境所需的調(diào)整 217
7.3.1 內(nèi)外部審計控制體系 217
7.3.2 審計要求的影響 218
7.3.3 虛擬化和云環(huán)境的保障挑戰(zhàn) 218
7.3.4 審計報告類型 219
7.3.5 審計范圍限制 221
7.3.6 差距分析 222
7.3.7 審計規(guī)劃 223
7.3.8 內(nèi)部信息安全管理體系 226
7.3.9 內(nèi)部信息安全控制系統(tǒng) 227
7.3.10 策略 228
7.3.11 利益相關(guān)方的識別和參與 228
7.3.12 高度監(jiān)管行業(yè)的特殊合規(guī)要求 229
7.3.13 分布式IT模型的影響 229
7.4 理解云對企業(yè)風(fēng)險管理的影響 230
7.4.1 評估云服務(wù)提供商的風(fēng)險管理態(tài)勢 230
7.4.2 數(shù)據(jù)所有方/控制方與數(shù)據(jù)托管方/處理方之間的差異 231
7.4.3 風(fēng)險處理 231
7.4.4 不同的風(fēng)險框架 234
7.4.5 風(fēng)險管理指標(biāo) 235
7.4.6 風(fēng)險環(huán)境評估 236
7.5 了解外包和云合同設(shè)計 236
7.5.1 業(yè)務(wù)需求 236
7.5.2 供應(yīng)商管理 237
7.5.3 合同管理 238
7.6 履行供應(yīng)商管理 240
7.7 練習(xí) 240
7.8 本章小結(jié) 240
7.9 問題 241
7.10 答案 243
附錄A 備考習(xí)題(可從配套網(wǎng)站下載)
附錄B 關(guān)于在線內(nèi)容(可從配套網(wǎng)站下載)