CISSP認(rèn)證考試指南

內(nèi)容概要

　　《CISSP認(rèn)證考試指南(第5版)》提供最新最全的資源，涵蓋通過CISSP(Certified Information
Systems Security
Professional，信息系統(tǒng)安全專家認(rèn)證)考試所需的全部信息，內(nèi)容涉及(ISC)2(International
Information Systems Security Certification
Consortium，國際信息系統(tǒng)安全認(rèn)證協(xié)會)規(guī)定的10個(gè)考試領(lǐng)域。本書在每一章開頭都明確學(xué)習(xí)目標(biāo)，隨后提供考試提示、練習(xí)題和深入的解釋。本書不僅能夠幫助您通過CISSP考試，也是您工作中不可缺少的參考資料。
　　

作者簡介

Shon Harris是CISSP、Logical
Security總裁、安全顧問、美國空軍信息戰(zhàn)部門的前任工程師、技術(shù)總監(jiān)和作者。她是兩本CISSP暢銷書的作者，并且與其他人合著了Hacker’s
Challenge: Test Your Incident Response Skills Using 20
Scenarios和Gray Hat Hacking: The Ethical Hacker’s
Handbook(均由McGraw-Hill出版社出版)。Shon曾為眾多客戶提供計(jì)算機(jī)和信息安全服務(wù)，包括RSA、美國國防部、美國能源部、美國國家安全局(NSA)、美國銀行、美國國防信息系統(tǒng)局(DISA)、BMC、西點(diǎn)軍校等。

書籍目錄

第1章 成為一名cissp
 1.1 成為cissp的理由
 1.2 cissp考試
 1.3 cissp認(rèn)證的發(fā)展簡史
 1.4 如何成為一名cissp
 1.5 本書概要
 1.6 cissp應(yīng)試小貼士
 1.7 本書使用指南
第2章 計(jì)算機(jī)安全的發(fā)展趨勢
 2.1 安全已成為一個(gè)難題
 2.2 安全所涉及的領(lǐng)域
 2.3 信息戰(zhàn)
 2.4 政治和法律
 2.5 黑客與攻擊
 2.6 管理
 2.7 分層模式
 2.8 教育
 2.9 小結(jié)
第3章 信息安全與風(fēng)險(xiǎn)管理
 3.1 安全管理
 3.2 安全管理與支持控制
 3.3 組織化安全模型
 3.4 信息風(fēng)險(xiǎn)管理
 3.5 風(fēng)險(xiǎn)分析
 3.6 策略、措施、標(biāo)準(zhǔn)、基準(zhǔn)和指導(dǎo)原則
 3.7 信息分類
 3.8 責(zé)任分層
 3.9 安全意識培訓(xùn)
 3.10 小結(jié)
 3.11 快速提示
第4章 訪問控制
 4.1 訪問控制概述
 4.2 安全原則
 4.3 身份標(biāo)識、身份驗(yàn)證、授權(quán)與可問責(zé)性
 4.4 訪問控制模型
 4.5 訪問控制方法和技術(shù)
 4.6 訪問控制管理
 4.7 訪問控制方法
 4.8 訪問控制類型
 4.9 可問責(zé)性
 4.10 訪問控制實(shí)踐
 4.11 訪問控制監(jiān)控
 4.12 對訪問控制的幾種威脅
 4.13 小結(jié)
 4.14 快速提示
第5章 安全體系結(jié)構(gòu)和設(shè)計(jì)
 5.1 計(jì)算機(jī)體系結(jié)構(gòu)
 5.2 中央處理單元
 5.3 系統(tǒng)體系結(jié)構(gòu)
 5.4 安全模型
 5.5 運(yùn)行安全模式
 5.6 系統(tǒng)評估方法
 5.7 橘皮書與彩虹系列
 5.8 信息技術(shù)安全評估準(zhǔn)則
 5.9 通用準(zhǔn)則
 5.10 認(rèn)證與鑒定
 5.11 開放系統(tǒng)與封閉系統(tǒng)
 5.12 企業(yè)體系結(jié)構(gòu)
 5.13 一些對安全模型和體系結(jié)構(gòu)的威脅
 5.14 小結(jié)
 5.15 快速提示
第6章 物理和環(huán)境安全
第7章 通信與網(wǎng)絡(luò)安全
第8章 密碼術(shù)
第9章 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)
第10章 法律、法規(guī)、遵從和調(diào)查
第11章 應(yīng)用程序安全
第12章 操作安全
附錄a 安全內(nèi)容自動化協(xié)議綜述
附錄b 配套光盤使用指南
術(shù)語表

章節(jié)摘錄

版權(quán)頁：插圖：如今，設(shè)定公司內(nèi)部的信息安全級別以及選擇何種類型的安全系統(tǒng)都應(yīng)當(dāng)是管理部門考慮的問題。管理部門應(yīng)該規(guī)定哪些是需要保護(hù)的重要數(shù)據(jù)，由何人來進(jìn)行何種級別的數(shù)據(jù)保護(hù)，并且應(yīng)該制訂公司內(nèi)部員工對不同數(shù)據(jù)的使用權(quán)限以及針對違規(guī)操作的懲罰條款。然而，在編寫本書期間，并沒有多少公司對信息安全有如上所述的認(rèn)識，他們還是將這些事情丟給公司內(nèi)的IT人員。管理部門這樣做并不是為了逃避責(zé)任，真正的原因是他們對信息和企業(yè)安全性的認(rèn)識不夠全面和深入。許多組織機(jī)構(gòu)都誤以為信息安全是一個(gè)技術(shù)問題，其實(shí)不然。信息安全是一個(gè)需要技術(shù)解決方案的管理問題，這就是信息安全專家的重要性所在。信息安全專家不僅必須理解組織機(jī)構(gòu)的目標(biāo)和任務(wù)，而且必須了解用于保護(hù)重要財(cái)產(chǎn)的技術(shù)問題。一個(gè)優(yōu)秀的信息安全解決方案絕不僅僅是建立一個(gè)防火墻，然后安裝一些殺毒軟件。完美的解決方案應(yīng)該是針對實(shí)際情況進(jìn)行分析、設(shè)計(jì)、實(shí)施和維護(hù)，而且這樣的系統(tǒng)也會隨著新f青況的出現(xiàn)不斷發(fā)展。要制訂一個(gè)適合公司實(shí)際的安全解決方案，必須根據(jù)公司的商業(yè)目標(biāo)和營銷策略來制訂具體細(xì)節(jié)。公司的管理部門必須對信息安全問題及其對公司和客戶的影響有足夠的認(rèn)識，從而他們才能為整個(gè)解決方案的制訂提供合適的資源、資金以及充足的時(shí)間。換句話說，信息安全的實(shí)施應(yīng)當(dāng)是由上至下的。然而，實(shí)際情況并非如此。在很多公司內(nèi)，安全事務(wù)往往全部由IT部門負(fù)責(zé)，而IT人員卻經(jīng)常忙于處理日常出現(xiàn)的各種情況，根本沒有充足的精力制訂一個(gè)合理的安全方案。在上述案例中，安全以一種反應(yīng)式的、自底向上的方式實(shí)現(xiàn)，這將顯著降低其效力。此外，每當(dāng)IT部門申請建立安全系統(tǒng)的資金時(shí)，公司高層往往置若罔聞。將整個(gè)公司的信息安全建設(shè)交給一個(gè)小小的IT部門，對他們來說負(fù)擔(dān)太大。公司的信息安全需要全體員工的理解和支持，也需要管理部門的資金支持。管理部門不需要了解安全的機(jī)制、安全協(xié)議的選擇以及安全組件的配置，但是他們應(yīng)該從信息安全的角度為公司制訂一個(gè)合理的工作流程。也就是說，管理部門應(yīng)當(dāng)制訂信息安全解決方案的框架，并指派專人負(fù)責(zé)完善整個(gè)系統(tǒng)。2004.年2月，Wells Fargo銀行的筆記本電腦第二次被盜，其中包含該公司客戶數(shù)據(jù)庫中的保密信息。第一臺筆記本電腦于2003年11月被盜，其中包含一個(gè)保存有200 000條客戶記錄的數(shù)據(jù)庫。在2004年2月的事故中，兩名Wells Fargo員工將他們租用的汽車停在密蘇里州圣路易市的一家加油站，便利店門外，然后進(jìn)入店內(nèi)。當(dāng)他們返回時(shí)，汽車上的所有物品（包括行李箱中的筆記本電腦）全都不見了。直到一個(gè)月后，Wells Fargo銀行才通知了受影響的客戶。

編輯推薦

《CISSP認(rèn)證考試指南(第5版)》全面涵蓋CISSP認(rèn)證考試的10個(gè)知識領(lǐng)域：信息安全和風(fēng)險(xiǎn)管理，訪問控制，安全體系結(jié)構(gòu)和設(shè)計(jì)，物理和環(huán)境安全，通信和網(wǎng)絡(luò)安全，密碼術(shù)，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)，法律、法規(guī)、合規(guī)性和調(diào)查應(yīng)用程序安全，操作安全。全面覆蓋CISSP認(rèn)證考試的10個(gè)知識領(lǐng)域，既是理想的考試學(xué)習(xí)用書，也可以作為IT安全從業(yè)人員的技術(shù)參考，提供數(shù)百道練習(xí)題，并給出答案和詳盡的解釋。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    CISSP認(rèn)證考試指南 PDF格式下載

---