诺森CISSP官方学习指南

?
章 ?实现安全治理的原则和策略 ? 1
1.1 ?理解和应用保密、完整及可的概念 ? 1
1.1.1 ?保密 ? 2
1.1.2 ?完整 ? 3
1.1.3 ?可用 ? 4
1.1.4 ?安全概念 ? 6
1.1.5 ?保护机制 ? 8
1.1.6 ?分层 ? 9
1.1.7 ?抽象 ? 9
1.1.8 ?数据隐藏 ? 9
1.1.9 ?加密 ? 10
1.2 ?评估和应用安全治理原则 ? 10
1.2.1 ?与业务战略、目标、使命和宗旨相一致的安全功能 ? 10
1.2.2 ?组织的流程 ? 12
1.. ?组织的角色与责任 ? 16
1.2.4 ?安全控制框架 ? 17
1.2.5 ?应尽关心和尽职审查 ? 18
1.3 ?开发、记录和实施安全策略、标准、程序和指南 ? 18
1.3.1 ?安全策略 ? 18
1.3.2 ?标准、基线和指南 ? 19
1.3.3 ?程序 ? 20
1.4 ?理解与应用威胁建模的概念和方法 ? 21
1.4.1 ?识别威胁 ? 22
1.4.2 ?确定和绘制潜在的攻击 ? 25
1.4.3 ?执行简化分析 ? 26
1.4.4 ?优先级排序和响应 ? 26
1.5 ?将基于风险的管理理念应用到供应链 ? 27
1.6 ?本章小结 ? 28
1.7 ?要点 ? 29
1.8 ?书面实验 ? 31
1.9 ?复习题 ? 31
第2章 ?人员安全和风险管理的概念 ? 35
2.1 ?人员安全策略和程序 ? 36
2.1.1 ?候选人筛选及招聘 ? 38
2.1.2 ?雇佣协议及策略 ? 38
2.1.3 ?入职和离职程序 ? 39
2.1.4 ?供应商、顾问和承包商的协议和控制 ? 41
2.1.5 ?合规策略要求 ? 42
2.1.6 ?隐私策略要求 ? 42
2.2 ?安全治理 ? 43
. ?理解并应用风险管理理念 ? 44
..1 ?风险术语 ? 45
..2 ?识别威胁和脆弱 ? 46
.. ?风险评估/分析 ? 47
..4 ?风险响应 ? 53
..5 ?选择与实施控制措施 ? 54
.. ?适用的控制类型 ? 56
.. ?安全控制评估 ? 57
.. ?监视和测量 ? 57
.. ?资产估值与报告 ? 57
..10 ?持续改进 ? 58
..11 ?风险框架 ? 59
2.4 ?建立和维护安全意识、教育和培训计划 ? 60
2.5 ?管理安全功能 ? 61
2.6 ?本章小结 ? 62
2.7 ?要点 ? 62
2.8 ?书面实验 ? 64
2.9 ?复习题 ? 64
第3章 ?业务连续计划 ? 68
3.1 ?业务连续计划简介 ? 68
3.2 ?项目范围和计划 ? 69
3.2.1 ?业务组织分析 ? 69
3.2.2 ?选择BCP团队 ? 70
3.. ?资源需求 ? 71
3.2.4 ?法律和法规要求 ? 72
3.3 ?业务影响评估 ? 73
3.3.1 ?确定优先级 ? 74
3.3.2 ?风险识别 ? 74
3.3.3 ?可能评估 ? 75
3.3.4 ?影响评估 ? 76
3.3.5 ?资源优先级排序 ? 77
3.4 ?连续计划 ? 77
3.4.1 ?策略开发 ? 77
3.4.2 ?预备和处理 ? 78
3.5 ?计划批准和实施 ? 79
3.5.1 ?计划批准 ? 79
3.5.2 ?计划实施 ? 79
3.5.3 ?培训和教育 ? 80
3.5.4 ?BCP文档化 ? 80
3.6 ?本章小结 ? 83
3.7 ?要点 ? 83
3.8 ?书面实验 ? 84
3.9 ?复习题 ? 84
第4章 ?法律、法规和合规 ? 88
4.1 ?法律的分类 ? 88
4.1.1 ?刑法 ? 89
4.1.2 ?民法 ? 90
4.1.3 ?行政法 ? 90
4.2 ?法律 ? 90
4.2.1 ?计算机犯罪 ? 91
4.2.2 ?知识产权 ? 94
4.. ?许可 ? 97
4.2.4 ?进口/出口控制 ? 98
4.2.5 ?隐私 ? 98
4.3 ?合规 ? 104
4.4 ?合同和采购 ? 105
4.5 ?本章小结 ? 105
4.6 ?要点 ? 106
4.7 ?书面实验 ? 106
4.8 ?复习题 ? 107
第5章 ?保护资产安全 ? 110
5.1 ?资产识别和分类 ? 110
5.1.1 ?定义数据 ? 111
5.1.2 ?定义数据分类 ? 112
5.1.3 ?定义资产分类 ? 114
5.1.4 ?确定数据的安全控制 ? 114
5.1.5 ?理解数据状态 ? 115
5.1.6 ?管理信息和资产 ? 116
5.1.7 ?数据保护方法 ? 121
5.2 ?定义数据所有权 ? 1
5.2.1 ?数据所有者 ? 1
5.2.2 ?资产所有者 ? 124
5.. ?业务/任务所有者 ? 124
5.2.4 ?数据使用者 ? 125
5.2.5 ?管理员 ? 127
5.2.6 ?托管员 ? 127
5.2.7 ?用户 ? 128
5.2.8 ?保护隐私 ? 128
5.3 ?使用安全基线 ? 128
5.3.1 ?范围界定和按需定制 ? 129
5.3.2 ?选择标准 ? 129
5.4 ?本章小结 ? 130
5.5 ?要点 ? 130
5.6 ?书面实验 ? 131
5.7 ?复习题 ? 131
第6章 ?密码学和对称密钥算法 ? 135
6.1 ?密码的史里程碑 ? 135
6.1.1 ?凯撒密码 ? 136
6.1.2 ?美国南北战争 ? 136
6.1.3 ?Ultra与Enigma ? 137
6.2 ?密码学基本知识 ? 137
6.2.1 ?密码学的目标 ? 137
6.2.2 ?密码学的概念 ? 139
6.. ?密码数学 ? 140
6.2.4 ?密码 ? 144
6.3 ?现代密码学 ? 149
6.3.1 ?密码密钥 ? 149
6.3.2 ?对称密钥算法 ? 150
6.3.3 ?非对称密钥算法 ? 151
6.3.4 ?散列算法 ? 153
6.4 ?对称密码 ? 154
6.4.1 ?数据加密标准 ? 154
6.4.2 ?三重DES ? 155
6.4.3 ?国际数据加密算法 ? 156
6.4.4 ?Blowfish ? 157
6.4.5 ?Skipjack ? 157
6.4.6 ?加密标准 ? 157
6.4.7 ?对称密钥管理 ? 158
6.5 ?密码生命周期 ? 160
6.6 ?本章小结 ? 160
6.7 ?要点 ? 161
6.8 ?书面实验 ? 162
6.9 ?复习题 ? 162
第7章 ?PKI和密码应用 ? 166
7.1 ?非对称密码 ? 166
7.1.1 ?公钥和私钥 ? 167
7.1.2 ?RSA ? 167
7.1.3 ?El Gamal ? 169
7.1.4 ?椭圆曲线 ? 169
7.2 ?散列函数 ? 170
7.2.1 ?SHA ? 171
7.2.2 ?MD2 ? 171
7.. ?MD4 ? 171
7.2.4 ?MD5 ? 172
7.3 ?数字签名 ? 172
7.3.1 ?HMAC ? 173
7.3.2 ?数字签名标准 ? 174
7.4 ?公钥基础设施 ? 174
7.4.1 ? ? 174
7.4.2 ?发机构 ? 175
7.4.3 ?的生成和销毁 ? 176
7.5 ?非对称密钥管理 ? 177
7.6 ?应用密码学 ? 178
7.6.1 ?便携设备 ? 178
7.6.2 ?邮件 ? 179
7.6.3 ?Web应用程序 ? 180
7.6.4 ?数字版权管理 ? 182
7.6.5 ?联网 ? 185
7.7 ?密码攻击 ? 187
7.8 ?本章小结 ? 189
7.9 ?要点 ? 190
7.10 ?书面实验 ? 191
7.11 ?复习题 ? 191
第8章 ?安全模型、设计和能力的原则 ? 195
8.1 ?使用安全设计原则实施和管理工程过程 ? 195
8.1.1 ?客体和主体 ? 196
8.1.2 ?封闭系统和开放系统 ? 196
8.1.3 ?用于确保保密、完整和可的技术 ? 197
8.1.4 ?控制 ? 198
8.1.5 ?信任与保 ? 198
8.2 ?理解安全模型的基本概念 ? 199
8.2.1 ?可信计算基 ? 200
8.2.2 ?状态机模型 ? 201
8.. ?信息流模型 ? 201
8.2.4 ?非干扰模型 ? 202
8.2.5 ?Take-Grant模型 ? 202
8.2.6 ?访问控制矩阵 ? 203
8.2.7 ?Bell-LaPadula模型 ? 204
8.2.8 ?Biba模型 ? 206
8.2.9 ?Clark-Wilson模型 ? 207
8.2.10 ?Brewer and Nash模型 ? 208
8.2.11 ?Goguen-Meseguer模型 ? 208
8.2.12 ?Sutherland模型 ? 209
8.2.13 ?Graham-Denning模型 ? 209
8.3 ?基于系统安全需求选择控制措施 ? 209
8.3.1 ?系列 ? 210
8.3.2 ?TCSEC分类和所需功能 ? 211
8.3.3 ?通用准则 ? 214
8.3.4 ?行业和国际安全实施指南 ? 217
8.3.5 ?认和鉴定 ? 217
8.4 ?理解信息系统的安全功能 ? 219
8.4.1 ?内存保护 ? 219
8.4.2 ?虚拟化 ? 220
8.4.3 ?可信平台模块 ? 220
8.4.4 ?接口 ? 220
8.4.5 ?容错 ? 221
8.5 ?本章小结 ? 221
8.6 ?要点 ? 221
8.7 ?书面实验 ? 222
8.8 ?复习题 ? 222
第9章 ?安全漏洞、威胁和对策 ? 226
9.1 ?评估和缓解安全漏洞 ? 227
9.1.1 ?硬件 ? 227
9.1.2 ?固件 ? 241
9.2 ?基于客户端的系统 ? 242
9.2.1 ?applet ? 242
9.2.2 ?本地缓存 ? 244
9.3 ?基于服务端的系统 ? 245
9.4 ?数据库系统安全 ? 246
9.4.1 ?聚合 ? 246
9.4.2 ?推理 ? 246
9.4.3 ?数据挖掘和数据仓库 ? 247
9.4.4 ?数据分析 ? 247
9.4.5 ?大规模并行数据系统 ? 248
9.5 ?分布式系统和端点安全 ? 248
9.5.1 ?基于云的系统和云计算 ? 250
9.5.2 ?网格计算 ? 253
9.5.3 ?对等网络 ? 253
9.6 ?物联网 ? 254
9.7 ?工业控制系统 ? 255
9.8 ?评估和缓解基于Web系统的漏洞 ? 255
9.9 ?评估和缓解移动系统的漏洞 ? 259
9.9.1 ?设备安全 ? 260
9.9.2 ?应用安全 ? 263
9.9.3 ?BYOD关注点 ? 264
9.10 ?评估和缓解嵌入式设备和信息物理系统的漏洞 ? 267
9.10.1 ?嵌入式系统和静态系统的示例 ? 267
9.10.2 ?保护嵌入式和静态系统的方法 ? 268
9.11 ?基本安全保护机制 ? 270
9.11.1 ?技术机制 ? 270
9.11.2 ?安全策略和计算机架构 ? 272
9.11.3 ?策略机制 ? 273
9.12 ?常见的架构缺陷和安全问题 ? 273
9.12.1 ?隐蔽通道 ? 274
9.12.2 ?基于设计或编码缺陷的攻击和安全问题 ? 274
9.1. ?编程 ? 276
9.12.4 ?计时、状态改变和通信中断 ? 277
9.12.5 ?技术和过程集成 ? 277
9.12.6 ?电磁辐 ? 277
9.13 ?本章小结 ? 278
9.14 ?要点 ? 278
9.15 ?书面实验 ? 280
9.16 ?复习题 ? 281
0章 ?物理安全要求 ? 284
10.1 ?站点与设施设计的安全原则 ? 285
10.1.1 ?安全设施计划 ? 285
10.1.2 ?站点选择 ? 285
10.1.3 ?可见度 ? 286
10.1.4 ?自然灾害 ? 286
10.1.5 ?设施设计 ? 286
10.2 ?实现站点与设施安全控制 ? 287
10.2.1 ?设备故障 ? 288
10.2.2 ?配线间 ? 288
10.. ?服务器间与数据中心 ? 290
10.2.4 ?介质存储设施 ? 293
10.2.5 ?据存储 ? 293
10.2.6 ?受限区与工作区安全 ? 294
10.2.7 ?基础设施与HVAC ? 295
10.2.8 ?火灾、探测与消防 ? 297
10.3 ?物理安全的实现与管理 ? 300
10.3.1 ?边界安全控制 ? 300
10.3.2 ?内部安全控制 ? 303
10.4 ?本章小结 ? 306
10.5 ?要点 ? 307
10.6 ?书面实验 ? 309
10.7 ?复习题 ? 309
1章 ?安络架构和保护网络组件 ? 312
11.1 ?OSI模型 ? 312
11.1.1 ?OSI模型的历史 ? 313
11.1.2 ?OSI功能 ? 313
11.1.3 ?封装/解封 ? 314
11.1.4 ?OSI模型层次 ? 315
11.2 ?TCP/IP模型 ? 321
11.3 ?融合协议 ? 334
11.4 ?无线网络 ? 336
11.4.1 ?保护无线接入点 ? 336
11.4.2 ?保护SS ? 338
11.4.3 ?进行现场调查 ? 338
11.4.4 ?使用安全加密协议 ? 339
11.4.5 ?天线放置 ? 341
11.4.6 ?天线类型 ? 342
11.4.7 ?调整功率电平控制 ? 342
11.4.8 ?WPS ? 342
11.4.9 ?使用强制门户 ? 343
11.4.10 ?一般Wi-Fi安全程序 ? 343
11.4.11 ?无线攻击 ? 344
11.5 ?安络组件 ? 346
11.5.1 ?网络访问控制 ? 347
11.5.2 ?防火墙 ? 347
11.5.3 ?端点安全 ? 350
11.5.4 ?硬件的安全操作 ? 351
11.6 ?布线、无线、拓扑、通信和
传输介质技术 ? 353
11.6.1 ?传输介质 ? 354
11.6.2 ?网络拓扑 ? 357
11.6.3 ?无线通信与安全 ? 359
11.6.4 ?局域网技术 ? 363
11.7 ?本章小结 ? 366
11.8 ?要点 ? 367
11.9 ?书面实验 ? 369
11.10 ?复习题 ? 369
2章 ?安全通信与网络攻击 ? 373
12.1 ?网络与协议安全机制 ? 373
12.1.1 ?安全通信协议 ? 374
12.1.2 ?身份验协议 ? 374
12.2 ?语音通信的安全 ? 375
12.2.1 ?VoIP ? 375
12.2.2 ?社会工程 ? 376
12.. ?欺骗与滥用 ? 377
1. ?多媒体合作 ? 378
1..1 ?远程会议 ? 379
1..2 ?即时通信 ? 379
12.4 ?管理邮件安全 ? 379
12.4.1 ?邮件安全目标 ? 380
12.4.2 ?理解邮件安全问题 ? 381
12.4.3 ?邮件安全解决方案 ? 381
12.5 ?远程访问安全管理 ? 383
12.5.1 ?远程访问安全计划 ? 385
12.5.2 ?拨号上网协议 ? 386
12.5.3 ?中心化远程身份验服务 ? 386
12.6 ?虚拟专用网 ? 387
12.6.1 ?隧道技术 ? 387
12.6.2 ?VPN的工作机理 ? 388
12.6.3 ?常用的VPN协议 ? 388
12.6.4 ?虚拟局域网 ? 390
12.7 ?虚拟化 ? 391
12.7.1 ?虚拟软件 ? 391
12.7.2 ?虚拟化网络 ? 392
12.8 ?网络地址转换 ? 392
12.8.1 ?私有IP地址 ? 393
12.8.2 ?有状态NAT ? 394
12.8.3 ?静态与动态NAT ? 395
12.8.4 ?自动私有IP分配 ? 395
12.9 ?交换技术 ? 396
12.9.1 ?电路交换 ? 396
12.9.2 ?分组交换 ? 397
12.9.3 ?虚电路 ? 397
12.10 ?WAN技术 ? 398
12.10.1 ?WAN连接技术 ? 399
12.10.2 ?拨号封装协议 ? 401
12.11 ?多种安全控制特征 ? 401
12.11.1 ?透明 ? 402
12.11.2 ?验完整 ? 402
12.11.3 ?传输机制 ? 402
12.12 ?安全边界 ? 403
12.13 ?防止或减轻网络攻击 ? 403
12.13.1 ?DoS与DDoS ? 404
12.13.2 ? ? 404
12.13.3 ?冒/伪装 ? 405
12.13.4 ?重放攻击 ? 405
12.13.5 ?修改攻击 ? 406
12.13.6 ?地址解析协议欺骗 ? 406
12.13.7 ?DNS毒化、欺骗及劫持 ? 406
12.13.8 ?超链接欺骗 ? 407
12.14 ?本章小结 ? 407
12.15 ?要点 ? 409
12.16 ?书面实验 ? 410
12.17 ?复习题 ? 410
3章 ?管理身份和身份验 ? 414
13.1 ?控制对资产的访问 ? 414
13.1.1 ?比较主体和客体 ? 415
13.1.2 ?CIA 三和访问控制 ? 416
13.1.3 ?访问控制的类型 ? 416
13.2 ?比较身份识别和身份验 ? 418
13.2.1 ?身份注册和明 ? 418
13.2.2 ?授权和问责 ? 419
13.. ?身份验因素 ? 420
13.2.4 ?密码 ? 421
13.2.5 ?智能卡和令牌 ? 4
13.2.6 ?生物识别技术 ? 425
13.2.7 ?多因素身份验 ? 428
13.2.8 ?设备验 ? 429
13.2.9 ?服务身份验 ? 429
13.3 ?实施身份管理 ? 430
13.3.1 ?单点登录 ? 430
13.3.2 ?凭据管理系统 ? 434
13.3.3 ?集成身份服务 ? 434
13.3.4 ?管理会话 ? 435
13.3.5 ?AAA协议 ? 435
13.4 ?管理身份和访问配置生命周期 ? 437
13.4.1 ?访问配置 ? 437
13.4.2 ?账户审核 ? 438
13.4.3 ?账户撤消 ? 439
13.5 ?本章小结 ? 439
13.6 ?要点 ? 440
13.7 ?书面实验 ? 441
13.8 ?复习题 ? 441
4章 ?控制和监控访问 ? 445
14.1 ?比较访问控制模型 ? 445
14.1.1 ?比较权限、权利和特权 ? 445
14.1.2 ?理解授权机制 ? 446
14.1.3 ?使用安全策略定义需求 ? 447
14.1.4 ?实施纵深防御 ? 447
14.1.5 ?总结访问控制模型 ? 448
14.1.6 ?自主访问控制 ? 449
14.1.7 ?非自主访问控制 ? 449
14.2 ?了解访问控制攻击 ? 454
14.2.1 ?风险要素 ? 454
14.2.2 ?识别资产 ? 455
14.. ?识别威胁 ? 456
14.2.4 ?识别漏洞 ? 457
14.2.5 ?常见的访问控制攻击 ? 457
14.2.6 ?保护方法综述 ? 465
14.3 ?本章小结 ? 467
14.4 ?要点 ? 467
14.5 ?书面实验 ? 468
14.6 ?复习题 ? 468
5章 ?安全评估与测试 ? 472
15.1 ?构建安全评估和测试方案 ? 473
15.1.1 ?安全测试 ? 473
15.1.2 ?安全评估 ? 474
15.1.3 ?安全审计 ? 474
15.2 ? ? 开展漏洞评估 ? 476
15.2.1 ?漏洞描述 ? 477
15.2.2 ?漏洞扫描 ? 477
15.. ?渗透测试 ? 484
15.3 ?测试软件 ? ? ?486
15.3.1 ?代码审查与测试 ? 486
15.3.2 ?接口测试 ? 489
15.3.3 ?误用例测试 ? 489
15.3.4 ?测试覆盖率分析 ? 490
15.3.5 ?监测 ? 490
15.4 ?实施安全管理流程 ? 491
15.4.1 ?日志审查 ? 491
15.4.2 ?账户管理 ? 491
15.4.3 ?备份验 ? 492
15.4.4 ?关键绩效和风险指标 ? 492
15.5 ?本章小结 ? 492
15.6 ?要点 ? 493
15.7 ?书面实验 ? 494
15.8 ?复习题 ? 494
6章 ?安全运营管理 ? 498
16.1 ?应用安全运营概念 ? 498
16.1.1 ?知其所需和特权 ? 499
16.1.2 ?职责分离 ? 500
16.1.3 ?岗位轮换 ? 502
16.1.4 ?强制休 ? 503
16.1.5 ?特权账户管理 ? 503
16.1.6 ?管理信息生命周期 ? 504
16.1.7 ?服务水平协议 ? 505
16.1.8 ?关注人员安全 ? 506
16.2 ?安全配置资源 ? 507
16.2.1 ?管理硬件和软件资产 ? 507
16.2.2 ?保护物理资产 ? 508
16.. ?管理虚拟资产 ? 509
16.2.4 ?管理云资产 ? 509
16.2.5 ?介质管理 ? 510
16.3 ?配置管理 ? 513
16.3.1 ?基线 ? 513
16.3.2 ?使用镜像技术创建基线 ? 513
16.4 ?变更管理 ? 514
16.4.1 ?安全影响分析 ? 516
16.4.2 ?版本控制 ? 516
16.4.3 ?配置文档 ? 517
16.5 ?补丁管理和漏洞减少 ? 517
16.5.1 ?系统管理 ? 517
16.5.2 ?补丁管理 ? 518
16.5.3 ?漏洞管理 ? 519
16.5.4 ?常见的漏洞和风险 ? 520
16.6 ?本章小结 ? 521
16.7 ?要点 ? 521
16.8 ?书面实验 ? 522
16.9 ?复习题 ? 5
7章 ?事件的和响应 ? 526
17.1 ?事件响应管理 ? 527
17.1.1 ?事件的定义 ? 527
17.1.2 ?事件响应步骤 ? 527
17.2 ?落实检测和措施 ? 532
17.2.1 ?基本措施 ? 532
17.2.2 ?了解攻击 ? 533
17.. ?入侵检测和系统 ? 540
17.2.4 ?具体措施 ? 545
17.3 ?日志记录、监测和审计 ? 553
17.3.1 ?日志记录和监测 ? 553
17.3.2 ?出口监测 ? 559
17.3.3 ?效果评价审计 ? 561
17.3.4 ?安全审计和审查 ? 564
17.3.5 ?报告审计结果 ? 564
17.4 ?本章小结 ? 566
17.5 ?要点 ? 567
17.6 ?书面实验 ? 569
17.7 ?复习题 ? 570
8章 ?灾难恢复计划 ? 573
18.1 ?灾难的本质 ? 574
18.1.1 ?自然灾难 ? 574
18.1.2 ?人为灾难 ? 577
18.2 ?理解系统恢复和容错能力 ? 580
18.2.1 ?保护硬盘驱动器 ? 581
18.2.2 ?保护服务器 ? 582
18.. ?保护电源 ? 583
18.2.4 ?受信恢复 ? 583
18.2.5 ?服务质量 ? 584
18.3 ?恢复策略 ? 585
18.3.1 ?确定业务单元的优先顺序 ? 585
18.3.2 ?危机管理 ? 586
18.3.3 ?应急通信 ? 586
18.3.4 ?工作组恢复 ? 586
18.3.5 ?可替代的工作站点 ? 587
18.3.6 ?相互援协议 ? 590
18.3.7 ?数据库恢复 ? 590
18.4 ?恢复计划开发 ? 592
18.4.1 ?紧急事件响应 ? 592
18.4.2 ?人员通知 ? 593
18.4.3 ?评估 ? 593
18.4.4 ?备份和离站存储 ? 593
18.4.5 ?软件托管协议 ? 596
18.4.6 ?外部通信 ? 597
18.4.7 ?公用设施 ? 597
18.4.8 ?物流和供应 ? 597
18.4.9 ?恢复与还原的比较 ? 597
18.5 ?培训、意识与文档记录 ? 598
18.6 ?测试与维护 ? 599
18.6.1 ?通读测试 ? 599
18.6.2 ?结构化演练 ? 599
18.6.3 ?模拟测试 ? 599
18.6.4 ?并行测试 ? 599
18.6.5 ?中断测试 ? 599
18.6.6 ?维护 ? 600
18.7 ?本章小结 ? 600
18.8 ?要点 ? 600
18.9 ?书面实验 ? 601
18.10 ?复习题 ? 601
9章 ?调查和道德 ? 605
19.1 ?调查 ? 605
19.1.1 ?调查的类型 ? 606
19.1.2 ?据 ? 607
19.1.3 ?调查过程 ? 610
19.2 ?计算机犯罪的主要类别 ? 613
19.2.1 ?军事和情报攻击 ? 613
19.2.2 ?商业攻击 ? 614
19.. ?财务攻击 ? 614
19.2.4 ?恐怖攻击 ? 614
19.2.5 ?恶意攻击 ? 615
19.2.6 ?兴奋攻击 ? 616
19.3 ?道德规范 ? 616
19.3.1 ?(ISC)2的道德规范 ? 616
19.3.2 ?道德规范和互联网 ? 617
19.4 ?本章小结 ? 618
19.5 ?要点 ? 618
19.6 ?书面实验 ? 619
19.7 ?复习题 ? 619
第20章 ?软件开发安全 ? 6
20.1 ?系统开发控制概述 ? 6
20.1.1 ?软件开发 ? 624
20.1.2 ?系统开发生命周期 ? 628
20.1.3 ?生命周期模型 ? 630
20.1.4 ?甘特图与PERT ? 635
20.1.5 ?变更和配置管理 ? 635
20.1.6 ?DevOps方法 ? 636
20.1.7 ?应用编程接口 ? 637
20.1.8 ?软件测试 ? 638
20.1.9 ?代码仓库 ? 639
20.1.10 ?服务水平协议 ? 639
20.1.11 ?软件采购 ? 640
20.2 ?创建数据库和数据仓储 ? 640
20.2.1 ?数据库管理系统的体系结构 ? 641
20.2.2 ?数据库事务 ? 643
20.. ?多级数据库的安全 ? 644
20.2.4 ?ODBC ? 646
20.2.5 ?NoSL ? 646
20.3 ?存储数据和信息 ? 647
20.3.1 ?存储器的类型 ? 647
20.3.2 ?存储器威胁 ? 647
20.4 ?理解基于知识的系统 ? 648
20.4.1 ?专家系统 ? 648
20.4.2 ?机器学习 ? 649
20.4.3 ?神经网络 ? 649
20.4.4 ?安全应 ? 649
20.5 ?本章小结 ? 650
20.6 ?要点 ? 650
20.7 ?书面实验 ? 651
20.8 ?复习题 ? 651
2章 ?恶意代码和应用攻击 ? 654
21.1 ?恶意代码 ? 654
21.1.1 ?恶意代码的来源 ? 654
21.1.2 ?病毒 ? 655
21.1.3 ?逻辑 ? 659
21.1.4 ?特洛伊木马 ? 660
21.1.5 ?蠕虫 ? 661
21.1.6 ?与广告软件 ? 662
21.1.7 ?零日(Zero-Day)攻击 ? 663
21.2 ?密码攻击 ? 663
21.2.1 ?密码猜测攻击 ? 663
21.2.2 ?字典攻击 ? 664
21.. ?社会工程学 ? 665
21.2.4 ?对策 ? 666
21.3 ?应用程序攻击 ? 666
21.3.1 ?缓冲区溢出 ? 666
21.3.2 ?检验时间到使用时间 ? 667
21.3.3 ?后门 ? 667
21.3.4 ?权限提升和rootkit ? 667
21.4 ?Web应用的安全 ? 668
21.4.1 ?跨站脚本 ? 668
21.4.2 ?跨站请求伪造 ? 669
21.4.3 ?SL注入攻击 ? 669
21.5 ?侦察攻击 ? 671
21.5.1 ?IP探测 ? 672
21.5.2 ?端口扫描 ? 672
21.5.3 ?漏洞扫描 ? 672
21.6 ?伪装攻击 ? 673
21.6.1 ?IP欺骗 ? 673
21.6.2 ?会话劫持 ? 673
21.7 ?本章小结 ? 673
21.8 ?要点 ? 674
21.9 ?书面实验 ? 674
21.10 ?复习题 ? 675
附录A ?书面实验 ? 678
附录B ?复习题 ? 687
?
?

迈克·查普尔（Mike Chapple），CISSP、博士、Security+、CISA、CySA+，大学IT、分析学和运营学副教授。曾任品牌研究所首席信息官、美全和美国空军信息安全研究员。他主攻网络入侵检测和访问控制专业。Mike经常为TechTarget所属的SearchSecurity撰稿，著书逾25本，其中包括《（ISC）：CISSP官方习题集》《CompTIA CSA+学习指南》以及《网络战：互连世界中的信息战》。

直击要害，字字珠玑。
—— M. K?nig
　　本书章节编排合理，讲解酣畅淋漓，详略得当，涵盖的知识极其丰富，堪称一座知识宝库。
　　本书是的参考书，是你进入安全行业的指路明灯。每章末的“本章小结”你巩固所学的知识，“要点”指明参试前必须驾轻就熟地掌握的要点，“复习题”极富挑战，可于为热身。
　　本书我地吸取CISSP知识精髓，是我的良师益友。?
?
?如果你想通过CISSP认，本书是！
—— Adrian Galindo
　　本书的内容源自(ISC)2CISSP通用知识体系，可为学员参加CISSP认打下坚实基础。如果你想成为一名CISSP，本书是*选择。
　　衷心希望你能在本书的指导下自信地走进考场，旗开得胜，马到成功！
?一本书籍！
—— Brandon Marburger
　　你可通过这本综合指南更明智、更快捷地准备。本书在上一版的基础上做出全面细致的更新，这些更新之处对于通过当前的CISSP至关重要。本书的习题也比上一版更精炼，更有价值。
　　本书是十分的认工具，详细，几乎涵盖了你将在中遇到的每个问题。
?的备考资源，出类拔萃的学习指南！
—— Barry M.
　　本书囊括CISSP认涉及的所有知识，讲解透彻。我认真研读了本书，付出了时间和精力，并*终一次通过CISSP。我相信，你也可以做到！
　　本书条理清晰，是安全类书籍中的翘楚之作，是你案边的参考书；你很容易就能从中找到重要细节，如快速找到公式ALE = SLE * ARO，或确定哪部法律涉及个人信息保护方面的内容。
?
?一本书籍，涵盖*材料。
—— Andy
　　获得CISSP认资格将体现你的敬业精神，也会提高你在IT安全领域的信誉并让你在职场中更加受宠；本书便是你的CISSP应试利器！CISSP括一些怪题，如几个看似全对，但题目要求你选出“*”；又有时，几个看似全错，但题目要求你选出“*不正确”的；本书将抽丝剥茧般地剖析这些难点，让你悟透道理，从容解题，并取得骄人。
?将所有CISSP考点一一道来，讲个通通透透，你一次通过！
—— Mina
　　Mike Chapple的作品十分出色！是的学习指南，将你一次通过。
　　备考期间，你需要有严谨认真的学习态度，需要付出汗水，辛勤耕耘，但你终会收到回报。
?

涵盖全部目标：

安全与风险管理

资产安全

安全架构和工程

通信与网络安全

身份和访问管理

安全评估与测试

安全运营

软件开发安全

      《CISSP官方学习指南(第8版)》是涵盖2018年CISSP所有目标的一站式备考资源，将你更明智、更快捷地准备CISSP。这本精品书籍编排精当，每章开头列出目标地图，正文穿插“真实场景”，详细讲解各个知识点，章末附有要点、书面实验题和极富挑战的复习题；前言中的“评估测验”针对极强，可供自我评估备考进展状况。借Sybex提供的可在各种设备问的在线学习环境和测试题库，你可进一步巩固所学的知识。开始使用本书准备CISSP吧。