CISSP認(rèn)證考試權(quán)威指南

前言

本書為讀者提供了信息系統(tǒng)安全專家認(rèn)證(Certified lnformation Systems SecurityProfessional，CISSP)考試的完備基礎(chǔ)知識(shí)。購(gòu)買本書表示你愿意學(xué)習(xí)和進(jìn)一步了解CISSP考試要求掌握的技能。本部分概述了本書與CISSP考試的內(nèi)容。 本書是專門為參加CISSP認(rèn)證考試的讀者和學(xué)生編寫的。如果你有志成為一名通過(guò)認(rèn)證的安全專家，那么CISSP認(rèn)證和這本學(xué)習(xí)指南就非常適合你。本書的目的就是要幫助你為通過(guò)CISSP認(rèn)證考試做好充分的準(zhǔn)備。 在開始閱讀本書之前，你需要先獨(dú)自完成一些工作。你應(yīng)當(dāng)對(duì)IT及安全性有大致的了解，應(yīng)當(dāng)在CISSP考試所覆蓋十個(gè)領(lǐng)域中的某個(gè)領(lǐng)域具有5年的工作經(jīng)歷(或4年的工作；經(jīng)歷加上大學(xué)學(xué)位)。根據(jù)(ISC)2，如果你具有參加CISSP考試的資格，那么可以使用本書充分地準(zhǔn)備CISSP考試。接下來(lái)將介紹有關(guān)(ISC)2的更多信息。 (ISC)2 CISSP考試由國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)(International Information Systems SecurityCertification Consortium，(ISC)2)管理。(ISC)2是一個(gè)全球性的非贏利性組織，該組織具有四個(gè)主要的目標(biāo)： 為信息系統(tǒng)安全領(lǐng)域維護(hù)公共知識(shí)體系(CommonBodyofKnowledge，CBK)。 為信息系統(tǒng)安全專業(yè)人士和從業(yè)人員提供認(rèn)證。 指導(dǎo)認(rèn)證培訓(xùn)和管理認(rèn)證考試。 通過(guò)連續(xù)的教育培訓(xùn)，對(duì)有資格的認(rèn)證候選人的鑒定工作進(jìn)行管理。 (ISC)2由董事會(huì)運(yùn)作，董事會(huì)成員從通過(guò)認(rèn)證的從業(yè)人員中按級(jí)別選舉產(chǎn)生。

內(nèi)容概要

　　獲得CISSP認(rèn)證將顯示您的職業(yè)資歷，增強(qiáng)您在IT安全領(lǐng)域的可信度和職場(chǎng)競(jìng)爭(zhēng)力。本書由三位安全認(rèn)證專家聯(lián)袂撰寫，通過(guò)列舉多個(gè)真實(shí)場(chǎng)景、提供書面練習(xí)并全面介紹CISSP考試的公共知識(shí)體系，使您不僅擁有了應(yīng)試?yán)?，還可以掌握得心應(yīng)手地履行本職工作所需的技能。這本最新的必備指南涵蓋訪問(wèn)控制、業(yè)務(wù)連續(xù)性、密碼術(shù)、生物測(cè)定學(xué)和軟件安全測(cè)試等重要主題，還列出了如何順利通過(guò)考試的實(shí)用建議。本書內(nèi)容如下：　　全面系統(tǒng)地覆蓋所有考試目標(biāo)，是您必備的優(yōu)秀考試指南?！　?shí)用的“動(dòng)手練習(xí)”幫您鞏固關(guān)鍵技能?！　　罢鎸?shí)場(chǎng)景”將您所學(xué)的理論知識(shí)運(yùn)用于實(shí)際工作中。　　每章的“復(fù)習(xí)題”極富挑戰(zhàn)性，可用于為考試熱身?！　∶空碌摹皯?yīng)試要點(diǎn)”列出參試前必須熟練掌握的要點(diǎn)，這是本書的一個(gè)鮮明特色?！　”緯┪驳囊姿嚎键c(diǎn)卡詳細(xì)列出所有官方考試目標(biāo)，指出每個(gè)目標(biāo)對(duì)應(yīng)的章號(hào)，以便您對(duì)照每個(gè)目標(biāo)跟蹤備考情況。

作者簡(jiǎn)介

James Michael Stewart，信息系統(tǒng)安全認(rèn)證專家，從事寫作與培訓(xùn)工作已有14年之久，其作品始終與最新的安全熱點(diǎn)相結(jié)合。他教授許多CISSP培訓(xùn)課程，此外，還參加眾多與Windows安全性和Certified Ethical Hacker認(rèn)證相關(guān)的會(huì)議。Michael的一些著作和教材主要涉及安全認(rèn)證、Microsoft專題以及網(wǎng)絡(luò)管理。讀者可以在其Web站點(diǎn)www．impactonline．com上了解到Michael的更多信息。Ed TiEel，從事自由職業(yè)的作家、培訓(xùn)師和顧問(wèn)，精通信息安全、標(biāo)記語(yǔ)言與網(wǎng)絡(luò)連接技術(shù)的相關(guān)知識(shí)。他是許多Tech Target站點(diǎn)的定期撰稿人，與HP. Sony和Motorola等許多公司合作，講授聯(lián)機(jī)安全和技術(shù)課程，并且定期為Tom's Hardware站點(diǎn)提供稿件。讀者可以在其Web站點(diǎn)www.edtittel.com上了解到Ed的更多信息。Mike Chapple，信息系統(tǒng)安全認(rèn)證專家，Notre Dame大學(xué)的IT安全專家。曾任Brand Institute的首席信息主管以及美國(guó)國(guó)家安全局和美國(guó)空軍的信息安全研究員。Mike的主要專業(yè)領(lǐng)域包括網(wǎng)絡(luò)入侵檢測(cè)和訪問(wèn)控制，他是Tech Target Search Security站點(diǎn)的長(zhǎng)期撰稿人，Information Security雜志的技術(shù)編輯。Mike編著了一些與信息安全相關(guān)的著作，包括Wiley出版社發(fā)行的The GSEC Prep Guide以及Jonesand Bartlett Publishers出版社發(fā)行的Information Security Illuminated。

書籍目錄

第1章 可問(wèn)責(zé)性與訪問(wèn)控制第2章 攻擊與監(jiān)控第3章 ISO模型、協(xié)議、網(wǎng)絡(luò)安全與網(wǎng)絡(luò)基礎(chǔ)架構(gòu)第4章 通信安全性與對(duì)策第5章 安全管理的概念與原則第6章 資產(chǎn)價(jià)值、策略與角色第7章 數(shù)據(jù)與應(yīng)用程序的安全問(wèn)題第8章 惡意代碼與應(yīng)用程序攻擊第9章 密碼術(shù)與私鑰算法第10章 PKI與密碼術(shù)的應(yīng)用第11章 計(jì)算機(jī)設(shè)計(jì)原則第12章 安全模型的原則第13章 行政性管理第14章 審計(jì)和監(jiān)控第15章 業(yè)務(wù)連續(xù)性計(jì)劃第16章 災(zāi)難恢復(fù)計(jì)劃第17章 法律與調(diào)查第18章 事故和道德規(guī)范第19章 物理安全要求附錄A 關(guān)于配書術(shù)語(yǔ)表

章節(jié)摘錄

插圖：（1）“操作者的動(dòng)作”和“操作者的位置”除了上述三種常見的身份驗(yàn)證因素之外，至少還有其他兩個(gè)因素值得注意。第一個(gè)因素是“操作者的動(dòng)作（something you do）”，例如，書寫簽名、鍵入密碼短語(yǔ)（擊鍵力度）或者講出短語(yǔ)?！安僮髡叩膭?dòng)作”常常包含在“操作者的身份”或類型3中。另外一個(gè)值得注意的因素是“操作者的位置（somewhere you are）”，例如，操作者登入的計(jì)算機(jī)終端、操作者進(jìn)行連接操作的電話號(hào)碼（通過(guò)呼叫者的ID標(biāo)識(shí)）或國(guó)家（通過(guò)IP地址標(biāo)識(shí)）。通過(guò)物理位置控制訪問(wèn)時(shí)，主體必須存在而非遠(yuǎn)程連接。“操作者的位置”常常包含在“操作者所具有的物品”或類型2中。（2）邏輯位置邏輯位置能夠?qū)ⅰ安僮髡叩奈恢谩?、“操作者所擁有的物品”和“操作者知道的?nèi)容”這幾種概念結(jié)合在一起。邏輯位置（logical location）訪問(wèn)控制在某些邏輯身份標(biāo)識(shí)（如IP地址、MAC地址、客戶類型或所用協(xié)議1的基礎(chǔ)上約束訪問(wèn)。不過(guò)請(qǐng)注意，因?yàn)槭褂煤诳凸ぞ吣軌騻卧烊魏晤愋偷牡刂沸畔?，所以邏輯位置訪問(wèn)控制應(yīng)當(dāng)不是唯一的身份驗(yàn)證因素。我們還可以在日期和時(shí)間的基礎(chǔ)上約束訪問(wèn)，也可以按照事務(wù)類型約束訪問(wèn)。前者阻止指定時(shí)間周期之外的訪問(wèn)；后者則是一種與內(nèi)容或上下文相關(guān)的訪問(wèn)控制，此時(shí)訪問(wèn)基于主體嘗試的事務(wù)而動(dòng)態(tài)變化。（3）多因素身份驗(yàn)證當(dāng)需要使用兩個(gè)不同的因素都來(lái)提供身份驗(yàn)證時(shí)，就會(huì)出現(xiàn)雙因素身份驗(yàn)證（two factor authentication）。例如，你在雜貨店用支票付賬時(shí)，通常需要提供你的駕照（“操作者所擁有的物品”）和你的電話號(hào)碼（“操作者知道的內(nèi)容”）。強(qiáng)身份驗(yàn)證只不過(guò)是需要兩個(gè)或多個(gè)因素的任何身份驗(yàn)證，而且這些因素不必屬于不同的類型。不過(guò)一般說(shuō)來(lái)，如果組合不同類型的因素，那么合成的身份驗(yàn)證就更安全。雙因素身份驗(yàn)證背后的概念是：如果組合使用兩個(gè)相同的因素，那么系統(tǒng)的強(qiáng)度并不會(huì)超過(guò)只單獨(dú)使用其中一個(gè)因素的系統(tǒng)的強(qiáng)度。更確切地說(shuō)，只要攻擊能夠竊取或獲得特定因素的一個(gè)實(shí)例，那么相同的攻擊就能夠竊取或獲得特定因素的所有實(shí)例。例如，同時(shí)使用兩個(gè)密碼并不比只使用一個(gè)密碼更安全，這是由于如果密碼破解攻擊能夠成功破解一個(gè)密碼，那么這種攻擊就能夠破解兩個(gè)密碼。不過(guò)，使用兩個(gè)或多個(gè)不同的因素時(shí)，兩個(gè)或多個(gè)不同的攻擊類型或攻擊方法要想成功，就必須收集所有相關(guān)的身份驗(yàn)證元素。例如，如果一個(gè)令牌、一個(gè)密碼和一個(gè)生物測(cè)定學(xué)因素共同被用于身份驗(yàn)證，那么只有在偷竊物品、破解密碼與生物測(cè)定學(xué)復(fù)制攻擊同時(shí)成功的情況下才能進(jìn)入指定系統(tǒng)。一旦提供的身份標(biāo)識(shí)和身份驗(yàn)證因素的登錄憑證被提交給系統(tǒng)，那么系統(tǒng)就會(huì)將它們與系統(tǒng)中的身份標(biāo)識(shí)數(shù)據(jù)庫(kù)進(jìn)行核對(duì)。如果定位到身份標(biāo)識(shí)并且提供的身份驗(yàn)證因素也正確，那么主體就通過(guò)了身份驗(yàn)證。

編輯推薦

《CISSP認(rèn)證考試權(quán)威指南(第4版)》提供包括多個(gè)真實(shí)場(chǎng)景，提供豐富的習(xí)題，還配備了光盤。光盤中的前沿備考軟件包含：自定義測(cè)驗(yàn)引擎PDF格式的英文版電子書兩套包含250道題的標(biāo)準(zhǔn)模擬試題可以運(yùn)行在PC、掌上電腦或Palm掌上設(shè)備上的用于輔助記憶的電子抽認(rèn)卡

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    CISSP認(rèn)證考試權(quán)威指南 PDF格式下載

---