如果你想成為一名經過(ISC)2 認證的CISSP,那么在《CISSP認證考試指南(第7版)》里能找到需要了解的所有內容。《CISSP認證考試指南(第7版)》講述企業如何制定和實現策略、措施、指導原則和標準及其原因;介紹網絡、應用程序和系統的脆弱性,脆弱性的被利用情況以及如何應對這些威脅;解釋物理安全、操作安全以及不同系統會采用不同安全機制的原因。此外,還回顧美國與國際上用于測試系統安全性的安全準則和評估體系,詮釋這些準則的含義及其使用原因。*后,《CISSP認證考試指南(第7版)》還將闡明與計算機系統及其數據相關的各種法律責任問題,例如計算機犯罪、法庭證物以及如何為出庭準備計算機證據。
盡管《CISSP認證考試指南(第7版)》主要是為CISSP 考試撰寫的學習指南,但在你通過認證后,它仍不失為一本不可替代的重要參考用書。
隨著世界不斷改變,人們對增強安全、改進技術的需求愈加迫切。每個組織、政府機構、企業和軍事單位都開始關注安全問題。幾乎所有公司和組織機構都在積極尋求才華橫溢、經驗豐富的安全專業人員,因為只有這些專家才能保護公司賴以生存和保持競爭力的寶貴資源。而CISSP 認證能證明你已經成為一名擁有一定知識和經驗的安全專業人員。當然,這些知識和經驗是認證體系預先規定的,并得到了整個安全行業的理解和認可。通過持續地持有證書,就表明你保持與安全行業同步發展。下面列出一些獲取CISSP 認證資格的理由:● 充實現有的關于安全概念和實際應用的知識。● 展示了你是一位擁有專業知識并且經驗豐富的安全專家。● 讓自己在這個競爭激烈的勞動力市場中占據優勢。● 增加收入,并能得到更多工作機會。● 為你現在的工作帶來更好的安全專業知識。● 表明對安全規則的貢獻。CISSP 認證能幫助公司確認某人是否具有相應的技術能力、知識和經驗,從而能從事具體的安全工作,執行風險分析,謀劃必要的對策,并可幫助整個組織機構保護其設施、網絡、系統和信息。CISSP 認證還能擔保通過認證的人員具備安全行業所需的熟練程度、專業技能和知識水平。安全對于成功企業的重要性在未來只可能不斷增加,從而導致對技術熟練的安全專業人員的更大需求。CISSP 認證表明,可由被公眾認可的第三方機構負責確定個人在技術和理論方面的安全專業知識,并將其與缺乏這種專業知識的普通人員區分開來。對于優秀的網絡管理員、編程人員或工程師來說,理解和實現安全應用是一項至關重要的內容。在大量并非針對安全專業人員的職位描述中,往往仍要求應聘人員正確理解安全概念及其實現方式。雖然許多組織機構由于職位和預算的限制而無法聘請單獨的網絡和安全人員,但都相信安全對于組織機構自身來說至關重要。因此,這些組織機構總是嘗試將安全知識和其他技術知識合并在一個角色內。在這個問題上,如果具有CISSP 資格,那么你就會比其他應聘人員更有優勢。
隨著世界不斷改變,人們對增強安全、改進技術的需求愈加迫切。每個組織、政府機構、企業和軍事單位都開始關注安全問題。幾乎所有公司和組織機構都在積極尋求才華橫溢、經驗豐富的安全專業人員,因為只有這些專家才能保護公司賴以生存和保持競爭力的寶貴資源。而CISSP認證能證明你已經成為一名擁有一定知識和經驗的安全專業人員。當然,這些知識和經驗是認證體系預先規定的,并得到了整個安全行業的理解和認可。通過持續地持有證書,就表明你保持與安全行業同步發展。
下面列出一些獲取CISSP認證資格的理由:
●
充實現有的關于安全概念和實際應用的知識。
●
展示了你是一位擁有專業知識并且經驗豐富的安全專家。
●
讓自己在這個競爭激烈的勞動力市場中占據優勢。
●
增加收入,并能得到更多工作機會。
●
為你現在的工作帶來更好的安全專業知識。
●
表明對安全規則的貢獻。
CISSP認證能幫助公司確認某人是否具有相應的技術能力、知識和經驗,從而能從事具體的安全工作,執行風險分析,謀劃必要的對策,并可幫助整個組織機構保護其設施、網絡、系統和信息。CISSP認證還能擔保通過認證的人員具備安全行業所需的熟練程度、專業技能和知識水平。安全對于成功企業的重要性在未來只可能不斷增加,從而導致對技術熟練的安全專業人員的更大需求。CISSP認證表明,可由被公眾認可的第三方機構負責確定個人在技術和理論方面的安全專業知識,并將其與缺乏這種專業知識的普通人員區分開來。
對于優秀的網絡管理員、編程人員或工程師來說,理解和實現安全應用是一項至關重要的內容。在大量并非針對安全專業人員的職位描述中,往往仍要求應聘人員正確理解安全概念及其實現方式。雖然許多組織機構由于職位和預算的限制而無法聘請單獨的網絡和安全人員,但都相信安全對于組織機構自身來說至關重要。因此,這些組織機構總是嘗試將安全知識和其他技術知識合并在一個角色內。在這個問題上,如果具有CISSP資格,那么你就會比其他應聘人員更有優勢。
CISSP考試
因為CISSP考試涵蓋了構成公共知識體系的8個領域,所以常被描述為寸之深、畝之闊。這意味著,考試中出現的問題實質上不一定非常詳細,并不要求你在所有主題上都是專家。但是,這些問題卻要求你熟悉許多不同的安全主題。
CISSP考試由250道選擇題構成,并要求在6小時內完成。創新型問題包括拖曳(例如:取一個選項或項目,并將其拖到框中的正確位置)或熱點(例如:點擊能正確回答問題的項目或選項)界面,但權重和得分與其他任何問題一樣。這些題目均來自一個龐大的試題庫,從而能盡量做到考題因人而異。此外,為更準確地反映最新的安全趨勢,試題庫會不斷變化和更新,考題則根據需要在庫中經常循環和替換。考試中計入成績的只有225道題,其余25道題僅供出題人員研究之用。但這25道題與計分的題目毫無區別,因此應試人員并不知道哪些題目是計入總分的。通過CISSP考試的最低分數是700分(總分是1000分),每道題都會根據難度設定權重,而且并非每道題的分值都是一樣的。此項考試不面向特定的產品或供應商,這意味著沒有任何問題會針對特定的產品或供應商(例如Windows、UNIX或Cisco),而是涉及測試這些系統所用的安全模型和方法。
|
|
考試提示:
猜測不倒扣分。如果不能在合理時間內找出正確答案,那么你可以猜一個并繼續下一個問題。
|
(ISC)2
(International Information Systems Security Certification Consortium,國際信息系統安全認證協會)還在CISSP考試中增加了基于場景的問題。每個問題都向應試者展示一個簡短的場景,而不是要求他們區分術語和/或概念。增加基于場景的問題,其目的是確保應試人員不僅知道和理解CBK中的概念,而且能將這些知識應用到現實生活場景中。這種做法更為實用,其原因在于現實生活中不可能有人詢問你:共謀(collusion)的定義是什么?此時,除了需要知道共謀的定義外,還需要知道如何檢測并阻止共謀的發生。
通過考試后,你會被要求提供由擔保人認可的證明文件,以證明你確實具有相關類型的工作經驗。擔保人必須簽署一份文件,從而為你提交的安全工作經驗提供擔保。因此,在注冊并支付考試費用之前,一定要與擔保人取得聯系。你肯定不愿意看到這樣的局面:在支付費用并通過考試后,卻發現無法找到擔保人幫助你完成獲得認證所需的最后步驟。
之所以要求提供擔保,是為了確保獲得認證的應試人員擁有為公司服務的實際工作經驗。雖然書本知識對于理解理論、概念、標準和規章極其重要,但絕對不能替代親身經歷。因此,請你一定要證明擁有支持認證實用性的實踐經驗。
(ISC)2將從通過考試的考生中隨機挑選少數應試人員進行審查。在審查過程中,(ISC)2工作人員將向考生選定的擔保人和聯系人核實應試人員相關工作經驗的真實性。
這項考試的挑戰性在于:雖然大多數認證考生都從事安全領域內的工作,但不一定通曉CBK包含的全部8個領域。雖然某人被視為脆弱性測試或應用程序安全方面的專家,但她可能不擅長于物理安全、密碼學或取證。因此,為這項考試而學習將極大地拓寬你在安全領域的知識。
考題涉及構成CBK的8個安全領域,如下表所示。
|
安全領域
|
描述
|
|
安全和風險管理
|
這個領域涵蓋了信息系統安全的基本概念。該領域的部分主題包括:
● 可用性、完整性和機密性的原則
● 安全治理和合規
● 法律和法規問題
● 職業道德
● 個人安全策略
● 風險管理
● 威脅模型
|
(續表)
|
安全領域
|
描述
|
|
資產安全
|
這個領域解釋了在整個信息資產生命周期中如何對信息資產進行保護。該領域的部分主題包括:
● 信息分類
● 保持的所有權
● 隱私
● 保留
● 數據安全控制
● 需求處理
|
|
安全工程
|
這個領域解釋了在面對無數威脅的情況下如何保護信息系統發展的安全。該領域的部分主題包括:
● 安全設計原則
● 選擇有效的措施
● 緩解脆弱性
● 密碼學
● 站點和設施的安全設計
● 物理安全
|
|
通信與網絡安全
|
這個領域解釋如何理解保護網絡架構、通信技術和網絡協議的安全目標。該領域的部分主題包括:安全的網絡架構
● 網絡組件
● 安全的通信信道
● 網絡層攻擊
|
|
身份與訪問管理
|
身份與訪問管理是信息安全中最重要的主題之一。這個領域涵蓋了用戶和系統之間、系統和其他系統之間的相互關系。該領域的部分主題包括:
● 控制物理和邏輯訪問
● 身份標識與認證
● 身份即服務
● 第三方身份服務
● 授權方法
● 訪問控制攻擊
|
|
安全評估與測試
|
這個領域解釋了驗證我們的信息系統安全的方法。該領域的部分主題包括:
● 評估和測試策略
● 測試安全控制
● 收集安全過程數據
● 分析和報告結果
● 開展和促進審計
|
(續表)
|
安全領域
|
描述
|
|
安全運營
|
這個領域涵蓋了在我們日常業務中許多維護網絡安全的活動。該領域的部分主題包括:
● 支持調查
● 日志和監控
● 安全資源配置
● 事故管理
● 預防措施
● 變更管理
● 業務連續性
● 物理安全管理
|
|
軟件開發安全
|
這個領域解釋了應用安全原則去獲取和開發軟件系統。該領域的部分主題包括:
● 軟件開發生命周期中的安全
● 開發活動中的安全控制
● 評估軟件安全
● 評估外部獲取軟件的安全性
|
為緊跟安全領域的新技術和新方法,(ISC)2每年都要在試題庫中加入大量新試題。這些試題都基于最新的技術、運用、方法和標準。例如,1998年的CISSP認證考試沒有出現關于無線安全、跨站點腳本攻擊或IPv6的問題。
本書概要
如果你想成為一名經過(ISC)2認證的CISSP,那么在本書里能找到需要了解的所有內容。本書講述企業如何制定和實現策略、措施、指導原則和標準及其原因;介紹網絡、應用程序和系統的脆弱性,脆弱性的被利用情況以及如何應對這些威脅;解釋物理安全、操作安全以及不同系統會采用不同安全機制的原因。此外,本書還回顧美國與國際上用于測試系統安全性的安全準則和評估體系,詮釋這些準則的含義及其使用原因。最后,本書還將闡明與計算機系統及其數據相關的各種法律責任問題,例如計算機犯罪、法庭證物以及如何為出庭準備計算機證據。
盡管本書主要是為CISSP考試撰寫的學習指南,但在你通過認證后,它仍不失為一本不可替代的重要參考用書。
CISSP應試小貼士
許多人考試時會感覺題目比較繞彎。所以一定要仔細閱讀問題和所有備選答案,而不是看了幾個單詞就斷定自己已知道問題的答案。某些答案選項的差別不明顯,這就需要你花一些時間耐心地將問題再閱讀領會幾遍。
有人抱怨CISSP考試略帶主觀色彩。例如,有這樣兩個問題。第一個是技術問題,考查的是防止中間人攻擊的TLS(Transport Layer Security,傳輸層安全)所采用的具體機制;第二個問題則詢問周長為8英尺的柵欄提供的是低級、中級還是高級的安全防護。你會發現,前一個問題比后一個問題更容易回答。許多問題要求應試人員選擇最佳方法,而一些人會認為很難說哪一個是最佳方法,因為這都帶有主觀色彩。此處給出這樣的示例并非是批評(ISC)2和出題人員,而是為了幫助你更好地準備這項考試。本書涵蓋了所有的考試范圍和需要掌握的內容,同時提供了大量問題和自測試卷。大部分問題的格式都采用了實際試題的形式,使你能更好地準備應對真實的考試。因此,你一定要閱讀本書的全部內容,同時特別注意問題及其格式。有時,即使對某個主題十分了解,你也可能答錯題。因此,我們需要學會如何應試。
在回答某些問題時,要記住,一些事物比其他東西更有價值。例如,保護人身安全和福利幾乎總是高于所有其他方面。與此類似,如果所有其他因素都比較便宜,第二個會贏得大部分時間。專家意見(例如:從律師那里獲得的)比那些擁有較少認證的人的意見更有價值。如果一個問題的可選項之一是尋求或獲得專家意見,請密切關注這個問題。正確的答案可能是尋求那位專家的意見。
盡量讓自己熟悉行業標準,并了解自己工作之外的技術知識和方法。再次強調一下,即使你在某個領域是專家,仍然可能不熟悉考試所涉及的全部領域。
當你在Pearson VUE考試中心參加CISSP考試時,其他認證考試可能會在同一個房間同時進行。如果你看到別人很早離開房間,不要感到匆忙;他們可能是因為參加一個較短的考試。
如何使用本書
本書的作者盡了很大努力才將所有重要信息匯編成書;現在,輪到你盡力從本書中汲取知識了。要從本書受益最大,可采用以下學習方法:
●
認真學習每個章節,真正理解其中介紹的每個概念。許多概念都必須完全理解,如果對一些概念似懂非懂,那么對你來說將是非常不利的。CISSP CBK包含數以千計的不同主題,因此需要花時間掌握這些內容。
●
確認學習和解答所有問題。如果不能正確解答其中的問題,那么需要再次閱讀相關的章節。需要記住,真實考試中的某些問題含糊其辭,看上去比較難回答,不要誤以為這些問題表述不清楚而忽視了這些含糊其辭的問題。相反,它們的存在具有明確的目的性,對此要特別注意。
●
如果你對某些具體的主題(如防火墻、法律、物理安全或協議功能)不熟悉,那么需要通過其他信息源(書籍和文章等)以達到對這些主題更深入的理解程度,而不是局限于自認為通過CISSP考試所需的范圍。
●
閱讀本書后,你需要學習所有問題和答案,并進行自測。接著,查看(ISC)2的學習指南,確信對列出的每條內容都十分了解。如果對某些內容還感到困惑,那么請重新復習相關的章節。
●
如果參加過其他資格認證考試(如Cisco、Novell和Microsoft的認證考試),那么你可能習慣于記憶一些細節和配置參數。但請記住,CISSP考試強調寸之深、畝之闊,因此在記憶具體細節之前一定要先掌握每個主題中的各種概念。
●
記住該考試是需要找出最佳答案,所以,對于有些問題應試人員可能會對全部或部分答案持不同意見。記住要在所給的4個答案中找出最合理的那一個。
配套練習題
本書配套網站提供1400道練習題,其中既有熱點問題,也有拖放問題。讀者可訪問http://www.tupwk.com.cn/downpage/,輸入本書中文書名或ISBN下載,也可直接掃描本書封底的二維碼下載。
Shon Harris,CISSP,是Shon Harris安全有限責任公司和邏輯安全有限責任公司的創始人兼首席執行官,她是一名安全顧問,是美國空軍信息作戰部門的前任工程師,也是一名教師和作家。在2014年去世前,Shon擁有并運營自己的培訓和咨詢公司13年。她為財富100 強公司和政府機構廣泛的安全問題提供咨詢服務。她撰寫了3 本最暢銷的CISSP 圖書,也曾參與撰寫Gray Hat Hacking: The Ethical Hackers Handbook和Security Information and Event Management(SIEM) Implementation,并擔任Information Security Magazine的技術編輯。Fernando Maymí, 博士,CISSP,擁有逾25年的安全領域工作經驗。他目前領導一個多學科小組,負責網絡空間操作的顛覆性創新,并試圖通過加強公共部門與私企的合作關系來更好地保護網絡空間。Fernando曾在美國和其他國家擔任政府和私營部門組織的顧問。在美國和拉丁美洲,他為學術、政府和專業機構講授了數十門網絡安全課程。Fernando曾發表十幾篇技術文章,并擁有三項專利。Fernando曾榮獲美國陸軍研究與發展成就獎,被評為HENAAC杰出人物。他與Shon Harris密切合作,并為包括《CISSP認證考試指南(第6版)》在內的諸多項目提供建議。Fernando還是一名志愿者,致力于盲人導盲,養著兩只導盲犬:Trinket和Virgo。
第1章 安全和風險管理 1
1.1 安全基本原則 2
1.1.1 可用性 3
1.1.2 完整性 3
1.1.3 機密性 3
1.1.4 平衡安全 4
1.2 安全定義 5
1.3 控制類型 6
1.4 安全框架 10
1.4.1
ISO/IEC 27000系列 12
1.4.2 企業安全架構開發 14
1.4.3 安全控制開發 23
1.4.4 流程管理開發 26
1.4.5 功能與安全性 32
1.5 計算機犯罪法的難題 32
1.6 網絡犯罪的復雜性 34
1.6.1 電子資產 35
1.6.2 攻擊的演變 36
1.6.3 國際問題 38
1.6.4 法律的類型 41
1.7 知識產權法 44
1.7.1 商業秘密 44
1.7.2 版權 45
1.7.3 商標 45
1.7.4 專利 46
1.7.5 知識產權的內部保護 47
1.7.6 軟件盜版 48
1.8 隱私 50
1.8.1 對隱私法不斷增長的需求 51
1.8.2 法律、指令和法規 52
1.8.3 員工隱私問題 58
1.9 數據泄露 59
1.9.1 美國的數據泄露相關法律 60
1.9.2 其他國家有關數據泄露的法律 61
1.10 策略、標準、基線、指南和
過程 61
1.10.1
安全策略 62
1.10.2 標準 64
1.10.3
基線 65
1.10.4
指南 66
1.10.5
措施 66
1.10.6
實施 66
1.11 風險管理 67
1.11.1
全面的風險管理 68
1.11.2
信息系統風險管理策略 68
1.11.3
風險管理團隊 69
1.11.4
風險管理過程 69
1.12 威脅建模 70
1.12.1
脆弱性 70
1.12.2
威脅 71
1.12.3
攻擊 71
1.12.4
消減分析 72
1.13 風險評估和分析 73
1.13.1
風險分析團隊 74
1.13.2
信息和資產的價值 74
1.13.3
構成價值的成本 75
1.13.4
識別脆弱性和威脅 75
1.13.5
風險評估方法 76
1.13.6
風險分析方法 80
1.13.7
定性風險分析 83
1.13.8
保護機制 86
1.13.9
綜合考慮 88
1.13.10
總風險與剩余風險 88
1.13.11
處理風險 89
1.13.12
外包 90
1.14 風險管理框架 91
1.14.1
信息分類 92
1.14.2
安全控制的選擇 92
1.14.3
安全控制的實現 93
1.14.4
安全控制的評估 93
1.14.5
信息系統的授權 93
1.14.6
安全控制的監管 93
1.15 業務連續性與災難恢復 94
1.15.1
標準和最佳實踐 96
1.15.2
使BCM成為企業安全計劃的
一部分 98
1.15.3
BCP項目的組成 100
1.16 人員安全 111
1.16.1
招聘實踐 112
1.16.2
解雇 113
1.16.3
安全意識培訓 114
1.16.4
學位或證書 115
1.17 安全治理 115
1.18 道德 120
1.18.1
計算機道德協會 120
1.18.2
互聯網架構研究委員會 121
1.18.3
企業道德計劃 122
1.19 小結 122
1.20 快速提示 123
1.21 問題 126
1.22 答案 133
第2章 資產安全 137
2.1 信息生命周期 137
2.1.1 獲取 138
2.1.2 使用 138
2.1.3 存檔 139
2.1.4 處置 139
2.2 信息分類 140
2.2.1 分類等級 141
2.2.2 分類控制 143
2.3 責任分層 144
2.3.1 行政管理層 144
2.3.2 數據所有者 147
2.3.3 數據看管員 147
2.3.4 系統所有者 148
2.3.5 安全管理員 148
2.3.6 主管 148
2.3.7 變更控制分析員 148
2.3.8 數據分析員 149
2.3.9 用戶 149
2.3.10
審計員 149
2.3.11
為何需要這么多角色 149
2.4 保留策略 149
2.5 保護隱私 152
2.5.1 數據所有者 153
2.5.2 數據處理者 153
2.5.3 數據殘留 153
2.5.4 收集的限制 156
2.6 保護資產 156
2.6.1 數據安全控制 157
2.6.2 介質控制 159
2.7 數據泄露 163
2.8 保護其他資產 170
2.8.1 保護移動設備 170
2.8.2 紙質記錄 171
2.8.3 保險箱 171
2.9 小結 172
2.10 快速提示 172
2.11 問題 173
2.12 答案 176
第3章 安全工程 179
3.1 系統架構 180
3.2 計算機架構 183
3.2.1 中央處理單元 183
3.2.2 多重處理 186
3.2.3 存儲器類型 187
3.3 操作系統 197
3.3.1 進程管理 197
3.3.2 存儲器管理 204
3.3.3 輸入/輸出設備管理 207
3.3.4
CPU架構集成 209
3.3.5 操作系統架構 212
3.3.6 虛擬機 217
3.4 系統安全架構 219
3.4.1 安全策略 219
3.4.2 安全架構要求 220
3.5 安全模型 224
3.5.1
Bell-LaPadula模型 224
3.5.2
Biba模型 225
3.5.3
Clark-Wilson模型 225
3.5.4 無干擾模型 226
3.5.5
Brewer and Nash模型 227
3.5.6
Graham-Denning模型 227
3.5.7
Harrison-Ruzzo-Ullman模型 227
3.6 系統評估方法 228
3.6.1 通用準則 229
3.6.2 對產品進行評估的原因 232
3.7 認證與認可 232
3.7.1 認證 232
3.7.2 認可 233
3.8 開放系統與封閉系統 234
3.8.1 開放系統 234
3.8.2 封閉系統 234
3.9 分布式系統安全 234
3.9.1 云計算 235
3.9.2 并行計算 235
3.9.3 數據庫 236
3.9.4
Web應用 238
3.9.5 移動設備 239
3.9.6 網絡物理系統 240
3.10 一些對安全模型和架構的威脅 242
3.10.1
維護陷阱 243
3.10.2
檢驗時間/使用時間攻擊 243
3.11 密碼學背景 244
3.12 密碼學定義與概念 249
3.12.1
Kerckhoffs原則 251
3.12.2
密碼系統的強度 251
3.12.3
密碼系統的服務 252
3.12.4
一次性密碼本 252
3.12.5
滾動密碼與隱藏密碼 254
3.12.6
隱寫術 255
3.13 密碼的類型 257
3.13.1
替代密碼 257
3.13.2
換位密碼 257
3.14 加密的方法 259
3.14.1
對稱算法與非對稱算法 259
3.14.2
分組密碼與流密碼 263
3.14.3
混合加密方法 267
3.15 對稱系統的類型 272
3.15.1
數據加密標準 272
3.15.2
三重DES 278
3.15.3
高級加密標準 278
3.15.4
國際數據加密算法 279
3.15.5
Blowfish 279
3.15.6
RC4 279
3.15.7
RC5 279
3.15.8
RC6 280
3.16 非對稱系統的類型 280
3.16.1
Diffie-Hellman 算法 280
3.16.2
RSA 282
3.16.3
El Gamal 284
3.16.4
橢圓曲線密碼系統 284
3.16.5
背包算法 285
3.16.6
零知識證明 285
3.17 消息完整性 286
3.17.1
單向散列 286
3.17.2 各種散列算法 290
3.17.3
MD4 291
3.17.4
MD5 291
3.17.5
SHA 291
3.17.6
針對單向散列函數的攻擊 291
3.17.7
數字簽名 292
3.17.8
數字簽名標準 294
3.18 公鑰基礎設施 294
3.18.1
認證授權機構 295
3.18.2
證書 297
3.18.3
注冊授權機構 297
3.18.4
PKI 步驟 297
3.19 密鑰管理 299
3.19.1
密鑰管理原則 300
3.19.2
密鑰和密鑰管理的規則 301
3.20 可信平臺模塊 301
3.21 針對密碼學的攻擊 303
3.21.1
唯密文攻擊 303
3.21.2
已知明文攻擊 303
3.21.3
選定明文攻擊 303
3.21.4
選定密文攻擊 304
3.21.5
差分密碼分析 304
3.21.6
線性密碼分析 304
3.21.7
旁路攻擊 305
3.21.8
重放攻擊 305
3.21.9
代數攻擊 305
3.21.10
分析式攻擊 306
3.21.11
統計式攻擊 306
3.21.12
社會工程攻擊 306
3.21.13
中間相遇攻擊 306
3.22 站點和設施安全 306
3.23 站點規劃過程 307
3.23.1
通過環境設計來預防犯罪 310
3.23.2
制訂物理安全計劃 314
3.24 保護資產 324
3.24.1 保護移動設備 324
3.24.2
使用保險柜 325
3.25 內部支持系統 325
3.25.1
電力 325
3.25.2
環境問題 329
3.25.3
火災的預防、檢測和撲滅 331
3.26 小結 335
3.27 快速提示 336
3.28 問題 340
3.29 答案 346
第4章 通信與網絡安全 351
4.1 通信 352
4.2 開放系統互連參考模型 353
4.2.1 協議 354
4.2.2 應用層 356
4.2.3 表示層 356
4.2.4 會話層 357
4.2.5 傳輸層 359
4.2.6 網絡層 360
4.2.7 數據鏈路層 360
4.2.8 物理層 362
4.2.9
OSI模型中的功能和協議 362
4.2.10
綜合這些層 364
4.2.11
多層協議 365
4.3
TCP/IP模型 366
4.3.1
TCP 367
4.3.2
IP尋址 371
4.3.3
IPv6 373
4.3.4 第2層安全標準 376
4.3.5 匯聚協議 377
4.4 傳輸類型 378
4.4.1 模擬和數字 378
4.4.2 異步和同步 379
4.4.3 寬帶和基帶 381
4.5 線纜 382
4.5.1 同軸電纜 382
4.5.2 雙絞線 382
4.5.3 光纜 383
4.5.4 布線問題 384
4.6 網絡互聯基礎 386
4.6.1 網絡拓撲 386
4.6.2 介質訪問技術 388
4.6.3 傳輸方法 397
4.6.4 網絡協議和服務 398
4.6.5 域名服務 405
4.6.6 電子郵件服務 410
4.6.7 網絡地址轉換 414
4.6.8 路由協議 416
4.7 網絡互聯設備 419
4.7.1 中繼器 420
4.7.2 網橋 420
4.7.3 路由器 422
4.7.4 交換機 423
4.7.5 網關 427
4.7.6
PBX 428
4.7.7 防火墻 431
4.7.8 代理服務器 448
4.7.9 蜜罐 450
4.7.10
統一威脅管理 450
4.7.11
內容分發網絡 451
4.7.12
軟件定義網絡 452
4.8 內聯網與外聯網 454
4.9 城域網 455
4.10 廣域網 457
4.10.1
通信的發展 458
4.10.2
專用鏈路 459
4.10.3
WAN技術 462
4.11 遠程連接 478
4.11.1
撥號連接 478
4.11.2
ISDN 479
4.11.3
DSL 480
4.11.4
線纜調制解調器 481
4.11.5
VPN 482
4.11.6
身份驗證協議 488
4.12 無線網絡 489
4.12.1 無線通信技術 490
4.12.2
WLAN組件 492
4.12.3
WLAN安全的演化 494
4.12.4
無線標準 498
4.12.5
保護WLAN的最佳實踐 502
4.12.6
衛星 503
4.12.7
移動無線通信 504
4.13 網絡加密 508
4.13.1
鏈路加密與端對端加密 508
4.13.2
電子郵件加密標準 510
4.13.3
互聯網安全 512
4.14 網絡攻擊 516
4.14.1
拒絕服務 516
4.14.2
嗅探 518
4.14.3
DNS劫持 519
4.14.4
偷渡下載 519
4.15 小結 520
4.16 快速提示 520
4.17 問題 523
4.18 答案 530
第5章 身份與訪問管理 535
5.1 訪問控制概述 535
5.2 安全原則 536
5.2.1 可用性 536
5.2.2 完整性 537
5.2.3 機密性 537
5.3 身份標識、身份驗證、授權與
可問責性 538
5.3.1 身份標識與身份驗證 539
5.3.2 身份驗證 548
5.3.3 授權 564
5.3.4 聯合 574
5.3.5 身份即服務 581
5.3.6 集成身份識別服務 581
5.4 訪問控制模型 582
5.4.1 自主訪問控制 582
5.4.2 強制訪問控制 583
5.4.3 角色訪問控制 585
5.4.4 規則型訪問控制 587
5.5 訪問控制方法和技術 588
5.5.1 限制性用戶接口 588
5.5.2 訪問控制矩陣 589
5.5.3 內容相關訪問控制 590
5.5.4 上下文相關訪問控制 591
5.6 訪問控制管理 591
5.6.1 集中式訪問控制管理 592
5.6.2 分散式訪問控制管理 597
5.7 訪問控制方法 597
5.7.1 訪問控制層 598
5.7.2 行政管理性控制 598
5.7.3 物理性控制 599
5.7.4 技術性控制 600
5.8 可問責性 603
5.8.1 審計信息的檢查 604
5.8.2 保護審計數據和日志信息 605
5.8.3 擊鍵監控 605
5.9 訪問控制實踐 606
5.10 訪問控制監控 608
5.10.1
入侵檢測 608
5.10.2
入侵防御系統 616
5.11 對訪問控制的幾種威脅 618
5.11.1
字典攻擊 618
5.11.2
蠻力攻擊 619
5.11.3
登錄欺騙 619
5.11.4
網絡釣魚 619
5.12 小結 622
5.13 快速提示 622
5.14 問題 625
5.15 答案 632
第6章 安全評估與測試 635
6.1 審計策略 636
6.1.1 內部審計 637
6.1.2 第三方審計 638
6.2 審計技術控制 640
6.2.1 脆弱性測試 640
6.2.2 滲透測試 642
6.2.3 戰爭撥號攻擊 646
6.2.4 其他脆弱性類型 646
6.2.5 事后檢查 648
6.2.6 日志審查 649
6.2.7 綜合事務 651
6.2.8 誤用案例測試 652
6.2.9 代碼審查 653
6.2.10
接口測試 655
6.3 審計管理控制 655
6.3.1 賬戶管理 655
6.3.2 備份驗證 657
6.3.3 災難恢復和業務連續性 659
6.3.4 安全培訓和安全意識培訓 664
6.3.5 關鍵績效和風險指標 667
6.4 報告 669
6.4.1 技術報告 669
6.4.2 執行摘要 669
6.5 管理評審 670
6.5.1 管理評審前 671
6.5.2 審查輸入 671
6.5.3 管理層的行動 672
6.6 小結 672
6.7 快速提示 673
6.8 問題 674
6.9 答案 678
新書資訊