CISSP認(rèn)證考試指南

第一部分  試前準(zhǔn)備
第1章  訪問控制系統(tǒng)與方法論  3
1.1  介紹  6
1.2  可追溯性(Accountability)  7
1.3  訪問控制技術(shù)  8
1.3.1  自主訪問控制(DAC)  8
1.3.2  強(qiáng)制訪問控制(MAC)  8
1.3.3  基于柵格的訪問控制  9
1.3.4  基于規(guī)則的訪問控制  11
1.3.5  基于角色的訪問控制  12
1.3.6  訪問控制列表  13
1.4  訪問控制管理  13
1.5  訪問控制模型  14
1.5.1  Bell-LaPadula  15
1.5.2  Biba  16
1.5.3  對BLP模型和Biba模型的小結(jié)  16
1.5.4  Liptner的柵格  17
1.5.5  Non-Inference模型  17
1.6  身份識別和身份認(rèn)證技術(shù)  17
1.6.1  口令  18
1.6.2  一次性口令  18
1.6.3  挑戰(zhàn)和響應(yīng)  18
1.6.4  生物鑒別  19
1.6.5  票據(jù)  19
1.6.6  單次登錄  19
1.7  訪問控制方法  19
1.7.1  集中式/遠(yuǎn)程認(rèn)證訪問控制  20
1.7.2  分散式訪問控制  20
1.8  攻擊手段  22
1.8.1  暴力攻擊  22
1.8.2  拒絕服務(wù)  22
1.8.3  欺騙  23
1.8.4  嗅探  23
1.9  監(jiān)視  23
1.9.1  入侵檢測  24
1.9.2  入侵預(yù)防  25
1.9.3  入侵檢測的工作方式  25
1.10  滲透測試  26
1.10.1  滲透測試和安全評估  27
1.10.2  關(guān)于道德的話題  27
1.10.3  實施一次滲透測試  28
1.10.4  常用的工具  29
本章總結(jié)  30
知識運(yùn)用  31
第2章  電信與網(wǎng)絡(luò)安全  39
2.1  介紹  43
2.2  開放系統(tǒng)互連模型  43
2.2.1  OSI分層  44
2.2.2  OSI小結(jié)  49
2.3  網(wǎng)絡(luò)特性和拓?fù)?nbsp; 50
2.3.1  同軸電纜(Coax)  51
2.3.2  非屏蔽雙絞線  52
2.3.3  光纖  54
2.3.4  無線通信  56
2.4  網(wǎng)絡(luò)拓?fù)?nbsp; 56
2.4.1  線性總線拓?fù)?nbsp; 57
2.4.2  星型拓?fù)?nbsp; 58
2.4.3  環(huán)形拓?fù)?nbsp; 59
2.4.4  樹型拓?fù)?nbsp; 59
2.4.5  網(wǎng)狀拓?fù)?nbsp; 60
2.4.6  局域網(wǎng)(LAN)和廣域網(wǎng)(WAN)技術(shù)  60
2.4.7  以太網(wǎng)  60
2.4.8  令牌環(huán)和FDDI  62
2.4.9  ARCnet  63
2.5  局域網(wǎng)設(shè)備  63
2.5.1  集線器和中繼器  63
2.5.2  交換機(jī)和網(wǎng)橋  64
2.5.3  虛擬局域網(wǎng)(VLAN)  64
2.5.4  路由器  66
2.5.5  防火墻  66
2.5.6  網(wǎng)關(guān)和代理  70
2.6  廣域網(wǎng)技術(shù)  70
2.6.1  專線連接  71
2.6.2  電路交換連接  71
2.6.3  分組交換連接  72
2.6.4  信元交換連接  72
2.6.5  廣域網(wǎng)服務(wù)  72
2.6.6  廣域網(wǎng)設(shè)備  75
2.7  提供遠(yuǎn)程訪問能力  75
2.7.1  基于客戶端的撥入遠(yuǎn)程訪問  75
2.7.2  使用隧道技術(shù)作為安全方法  76
2.7.3  虛擬專用網(wǎng)(VPN)  77
2.7.4  遠(yuǎn)程訪問認(rèn)證  79
2.8  網(wǎng)絡(luò)協(xié)議  79
2.8.1  TCP/IP協(xié)議  79
2.8.2  復(fù)習(xí)TCP和UDP  82
2.9  保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性和保密性  83
2.9.1  CIA三元組  83
2.9.2  安全邊界和安全策略到控制的轉(zhuǎn)換  83
2.9.3  可信網(wǎng)絡(luò)釋疑  84
2.9.4  網(wǎng)絡(luò)層安全協(xié)議  85
2.9.5  傳輸層安全協(xié)議  86
2.9.6  應(yīng)用層安全協(xié)議  86
2.9.7  網(wǎng)絡(luò)監(jiān)視和包嗅探  87
2.9.8  入侵檢測  88
2.9.9  入侵響應(yīng)  89
2.9.10  網(wǎng)絡(luò)地址轉(zhuǎn)換  89
2.9.11  透明性  90
2.9.12  散列值  91
2.9.13  電子郵件安全  91
2.9.14  傳真和打印安全  92
2.9.15  常見的攻擊手段與對策  92
2.10  容錯和數(shù)據(jù)恢復(fù)  96
2.10.1  管理網(wǎng)絡(luò)單點(diǎn)故障  98
2.10.2  拓?fù)涔收?nbsp; 98
本章總結(jié)  102
知識運(yùn)用  103
第3章  安全管理與慣例  115
3.1  介紹  118
3.2  定義安全原則  118
3.2.1  CIA：信息安全基本原則  118
3.2.2  私密性  120
3.2.3  身份識別與認(rèn)證  121
3.2.4  抗抵賴性  123
3.2.5  可追溯性與審計  123
3.2.6  文檔  125
3.3  安全管理計劃  125
3.4  風(fēng)險管理與分析  126
3.4.1  風(fēng)險分析  127
3.4.2  識別威脅和脆弱性  128
3.4.3  資產(chǎn)評估  129
3.4.4  定性的風(fēng)險分析  132
3.4.5  對策選擇和評估  133
3.4.6  綜合運(yùn)用  134
3.5  策略、標(biāo)準(zhǔn)、指南和程序  134
3.5.1  信息安全策略  135
3.5.2  設(shè)置標(biāo)準(zhǔn)  137
3.5.3  創(chuàng)建基線  137
3.5.4  指南  138
3.5.5  設(shè)置并實施程序  138
3.6  審查角色和責(zé)任  139
3.7  管理層責(zé)任  139
3.7.1  用戶信息安全責(zé)任  139
3.7.2  IT角色和責(zé)任  140
3.7.3  其他角色和責(zé)任  140
3.8  理解保護(hù)機(jī)制  141
3.8.1  分層  141
3.8.2  抽象  142
3.8.3  數(shù)據(jù)隱藏  142
3.8.4  加密  142
3.9  數(shù)據(jù)分類  143
3.9.1  企業(yè)分類  143
3.9.2  政府分類  143
3.9.3  標(biāo)準(zhǔn)  144
3.9.4  創(chuàng)建數(shù)據(jù)分類程序  144
3.10  雇用策略與慣例  145
3.10.1  背景檢查和安全調(diào)查  145
3.10.2  雇用協(xié)議、雇用和中斷  145
3.11  管理變更控制  147
3.11.1  硬件變更控制  147
3.11.2  軟件變更控制  148
3.12  安全意識培訓(xùn)  148
本章總結(jié)  149
知識運(yùn)用  151
第4章  應(yīng)用與系統(tǒng)開發(fā)安全  157
4.1  介紹  160
4.2  軟件應(yīng)用和相關(guān)話題  160
4.2.1  分布式和非分布式環(huán)境的挑戰(zhàn)  161
4.2.2  數(shù)據(jù)庫和數(shù)據(jù)倉庫問題  166
4.2.3  存儲和存儲系統(tǒng)  171
4.2.4  基于知識的系統(tǒng)  175
4.2.5  Web服務(wù)和其他邊緣計算的例子  176
4.3  攻擊軟件  179
4.3.1  攻擊口令數(shù)據(jù)庫  179
4.3.2  拒絕服務(wù)和分布式拒絕服務(wù)攻擊  180
4.3.3  欺騙攻擊  182
4.3.4  混合式攻擊  182
4.3.5  非法使用合法軟件  184
4.3.6  網(wǎng)絡(luò)軟件  184
4.4  理解惡意代碼  185
4.4.1  誰是黑客？什么是惡意代碼  185
4.4.2  防病毒軟件可以提供什么保護(hù)  186
4.5  實施系統(tǒng)開發(fā)控制  187
4.5.1  系統(tǒng)開發(fā)生命周期  187
4.5.2  安全控制體系結(jié)構(gòu)  191
4.5.3  最佳慣例(best practice)  192
4.6  可減少系統(tǒng)漏洞的編碼慣例  192
4.6.1  軟件開發(fā)方法  193
4.6.2  通過好的軟件設(shè)計和編碼慣例來實現(xiàn)安全  197
本章總結(jié)  201
知識運(yùn)用  203
第5章  密碼學(xué)  211
5.1  介紹  213
5.2  密碼學(xué)應(yīng)用  213
5.2.1  保密性  213
5.2.2  完整性  213
5.2.3  身份認(rèn)證  214
5.2.4  抗抵賴性  214
5.3  密碼學(xué)概念、方法和實踐  214
5.3.1  對稱算法  215
5.3.2  非對稱算法  216
5.3.3  消息鑒別  216
5.3.4  哈希函數(shù)  217
5.3.5  數(shù)字簽名  217
5.3.6  密鑰長度  217
5.3.7  一次性密碼  218
5.4  PKI和密鑰管理  218
5.5  攻擊方法  218
5.5.1  一般性攻擊  219
5.5.2  特殊攻擊  220
本章總結(jié)  223
知識運(yùn)用  225
第6章  安全結(jié)構(gòu)與模型  231
6.1  介紹  234
6.2  對安全體系結(jié)構(gòu)與模型的需求  235
6.3  安全模型  236
6.3.1  Bell-LaPadula模型  237
6.3.2  Biba模型  238
6.3.3  Clark-Wilson模型  239
6.3.4  訪問控制列表  239
6.3.5  安全模型回顧  240
6.4  安全系統(tǒng)結(jié)構(gòu)  240
6.4.1  參考監(jiān)視器  240
6.4.2  開放系統(tǒng)與封閉系統(tǒng)  241
6.4.3  安全原則  242
6.4.4  安全模式  243
6.4.5  標(biāo)簽與訪問控制列表  243
6.4.6  隱蔽通道  244
6.5  信息系統(tǒng)安全標(biāo)準(zhǔn)  244
6.5.1  TCSEC——桔皮書和彩虹系列  246
6.5.2  信息技術(shù)安全評估標(biāo)準(zhǔn)  248
6.6  通用標(biāo)準(zhǔn)  250
6.6.1  什么是通用標(biāo)準(zhǔn)  250
6.6.2  桔皮書、ITSEC和通用標(biāo)準(zhǔn)的比較  254
6.7  IPSec  255
6.7.1  IPSec應(yīng)用  255
6.7.2  IPSec結(jié)構(gòu)組件  256
本章總結(jié)  257
知識運(yùn)用  259
第7章  操作安全  265
7.1  介紹  268
7.2  調(diào)查操作安全的關(guān)鍵角色  269
7.2.1  識別要保護(hù)的資源  269
7.2.2  識別要限制的特權(quán)  269
7.2.3  識別可用的控制及其類型  270
7.2.4  控制類型  272
7.2.5  描述OPSEC過程  272
7.3  審計和監(jiān)視的角色  274
7.3.1  利用日志來審計活動并檢測入侵  275
7.3.2  檢測入侵  276
7.3.3  滲透測試技術(shù)  280
7.4  針對威脅開發(fā)對策  284
7.4.1  風(fēng)險分析  284
7.4.2  威脅  285
7.4.3  對策  287
7.4.4  針對與雇員相關(guān)的威脅建立對策  287
7.4.5  在招聘和解職實踐中包含對策  288
7.4.6  防止抱怨的程序  289
7.4.7  針對基于Internet的常見威脅的對策  290
7.4.8  物理威脅對策  291
7.5  行政管理角色  291
7.6  概念和最佳慣例  292
7.6.1  特權(quán)操作功能  293
7.6.2  理解防病毒控制  294
7.6.3  保護(hù)敏感性信息和介質(zhì)  295
7.6.4  變更管理控制  296
本章總結(jié)  298
知識運(yùn)用  300
第8章  業(yè)務(wù)持續(xù)性計劃與災(zāi)難恢復(fù)計劃  307
8.1  介紹  310
8.2  什么是中斷業(yè)務(wù)操作的災(zāi)難  311
8.3  量化DRP和BCP之間的差別  313
8.4  考察業(yè)務(wù)持續(xù)性計劃的過程  315
8.4.1  確定計劃范圍  315
8.4.2  業(yè)務(wù)影響評估  316
8.4.3  BIA過程回顧  319
8.4.4  開發(fā)操作計劃  319
8.4.5  實施計劃  323
8.4.6  測試計劃  323
8.4.7  維護(hù)計劃  324
8.5  定義災(zāi)難恢復(fù)計劃  324
8.5.1  恢復(fù)數(shù)據(jù)處理  325
8.5.2  重建數(shù)據(jù)處理  328
8.6  開發(fā)備份策略  328
8.6.1  備份程序和策略  330
8.6.2  重要記錄程序  332
8.6.3  硬件備份  332
8.6.4  可替換站點(diǎn)  332
本章總結(jié)  336
知識運(yùn)用  338
第9章  法律、調(diào)查與道德  345
9.1  介紹  348
9.2  美國基本法律原則  348
9.2.1  知識產(chǎn)權(quán)法  349
9.2.2  銷售和許可證  350
9.2.3  隱私法  350
9.2.4  政府法規(guī)  351
9.3  刑法與計算機(jī)犯罪  352
9.4  計算機(jī)安全事件  354
9.4.1  事先計劃  354
9.4.2  計算機(jī)犯罪調(diào)查  355
9.5  法律證據(jù)  357
9.5.1  證據(jù)的可信度或份量  357
9.5.2  事實證明  358
9.5.3  傳聞  358
9.5.4  最佳證據(jù)規(guī)則  358
9.5.5  證據(jù)鏈  358
9.5.6  第四修正案  359
9.6  計算機(jī)辨析學(xué)  359
9.7  計算機(jī)道德  363
本章總結(jié)  365
知識運(yùn)用  367
第10章  物理安全  373
10.1  介紹  376
10.2  資產(chǎn)分類以便簡化物理安全問題  377
10.3  脆弱性  378
10.4  選擇、設(shè)計、建設(shè)并維護(hù)安全的站點(diǎn)  379
10.4.1  站點(diǎn)選址和構(gòu)建  380
10.4.2  物理訪問控制  381
10.4.3  電源  383
10.4.4  環(huán)境控制：空調(diào)、濕度和溫度  385
10.4.5  水泄漏的問題  385
10.4.6  火災(zāi)預(yù)防和保護(hù)  386
10.5  磁帶和介質(zhì)庫保持策略  388
10.6  文檔(硬拷貝)庫  389
10.7  廢品處理  390
10.8  物理入侵檢測  392
本章總結(jié)  394
知識運(yùn)用  396
第二部分  總復(fù)習(xí)
要點(diǎn)快速回顧  407
考試學(xué)習(xí)準(zhǔn)備技巧  455
實踐考試  459
第三部分  附錄
附錄A——術(shù)語表  513
附錄B——認(rèn)證過程概述  537
附錄C——光盤內(nèi)容  539
附錄D——PrepLogic Practice Tests預(yù)覽版  541