出版時間:2011-10 出版社:清華大學出版社 作者:[美]Shon Harris 頁數(shù):841 譯者:梁志敏,蔡建
Tag標簽:無
內(nèi)容概要
《CISSP認證考試指南(第5版)》提供最新最全的資源,涵蓋通過CISSP(Certified Information
Systems Security
Professional,信息系統(tǒng)安全專家認證)考試所需的全部信息,內(nèi)容涉及(ISC)2(International
Information Systems Security Certification
Consortium,國際信息系統(tǒng)安全認證協(xié)會)規(guī)定的10個考試領(lǐng)域。本書在每一章開頭都明確學習目標,隨后提供考試提示、練習題和深入的解釋。本書不僅能夠幫助您通過CISSP考試,也是您工作中不可缺少的參考資料。
作者簡介
Shon Harris是CISSP、Logical
Security總裁、安全顧問、美國空軍信息戰(zhàn)部門的前任工程師、技術(shù)總監(jiān)和作者。她是兩本CISSP暢銷書的作者,并且與其他人合著了Hacker’s
Challenge: Test Your Incident Response Skills Using 20
Scenarios和Gray Hat Hacking: The Ethical Hacker’s
Handbook(均由McGraw-Hill出版社出版)。Shon曾為眾多客戶提供計算機和信息安全服務,包括RSA、美國國防部、美國能源部、美國國家安全局(NSA)、美國銀行、美國國防信息系統(tǒng)局(DISA)、BMC、西點軍校等。
書籍目錄
第1章 成為一名cissp
1.1 成為cissp的理由
1.2 cissp考試
1.3 cissp認證的發(fā)展簡史
1.4 如何成為一名cissp
1.5 本書概要
1.6 cissp應試小貼士
1.7 本書使用指南
第2章 計算機安全的發(fā)展趨勢
2.1 安全已成為一個難題
2.2 安全所涉及的領(lǐng)域
2.3 信息戰(zhàn)
2.4 政治和法律
2.5 黑客與攻擊
2.6 管理
2.7 分層模式
2.8 教育
2.9 小結(jié)
第3章 信息安全與風險管理
3.1 安全管理
3.2 安全管理與支持控制
3.3 組織化安全模型
3.4 信息風險管理
3.5 風險分析
3.6 策略、措施、標準、基準和指導原則
3.7 信息分類
3.8 責任分層
3.9 安全意識培訓
3.10 小結(jié)
3.11 快速提示
第4章 訪問控制
4.1 訪問控制概述
4.2 安全原則
4.3 身份標識、身份驗證、授權(quán)與可問責性
4.4 訪問控制模型
4.5 訪問控制方法和技術(shù)
4.6 訪問控制管理
4.7 訪問控制方法
4.8 訪問控制類型
4.9 可問責性
4.10 訪問控制實踐
4.11 訪問控制監(jiān)控
4.12 對訪問控制的幾種威脅
4.13 小結(jié)
4.14 快速提示
第5章 安全體系結(jié)構(gòu)和設(shè)計
5.1 計算機體系結(jié)構(gòu)
5.2 中央處理單元
5.3 系統(tǒng)體系結(jié)構(gòu)
5.4 安全模型
5.5 運行安全模式
5.6 系統(tǒng)評估方法
5.7 橘皮書與彩虹系列
5.8 信息技術(shù)安全評估準則
5.9 通用準則
5.10 認證與鑒定
5.11 開放系統(tǒng)與封閉系統(tǒng)
5.12 企業(yè)體系結(jié)構(gòu)
5.13 一些對安全模型和體系結(jié)構(gòu)的威脅
5.14 小結(jié)
5.15 快速提示
第6章 物理和環(huán)境安全
第7章 通信與網(wǎng)絡(luò)安全
第8章 密碼術(shù)
第9章 業(yè)務連續(xù)性與災難恢復
第10章 法律、法規(guī)、遵從和調(diào)查
第11章 應用程序安全
第12章 操作安全
附錄a 安全內(nèi)容自動化協(xié)議綜述
附錄b 配套光盤使用指南
術(shù)語表
章節(jié)摘錄
版權(quán)頁:插圖:如今,設(shè)定公司內(nèi)部的信息安全級別以及選擇何種類型的安全系統(tǒng)都應當是管理部門考慮的問題。管理部門應該規(guī)定哪些是需要保護的重要數(shù)據(jù),由何人來進行何種級別的數(shù)據(jù)保護,并且應該制訂公司內(nèi)部員工對不同數(shù)據(jù)的使用權(quán)限以及針對違規(guī)操作的懲罰條款。然而,在編寫本書期間,并沒有多少公司對信息安全有如上所述的認識,他們還是將這些事情丟給公司內(nèi)的IT人員。管理部門這樣做并不是為了逃避責任,真正的原因是他們對信息和企業(yè)安全性的認識不夠全面和深入。許多組織機構(gòu)都誤以為信息安全是一個技術(shù)問題,其實不然。信息安全是一個需要技術(shù)解決方案的管理問題,這就是信息安全專家的重要性所在。信息安全專家不僅必須理解組織機構(gòu)的目標和任務,而且必須了解用于保護重要財產(chǎn)的技術(shù)問題。一個優(yōu)秀的信息安全解決方案絕不僅僅是建立一個防火墻,然后安裝一些殺毒軟件。完美的解決方案應該是針對實際情況進行分析、設(shè)計、實施和維護,而且這樣的系統(tǒng)也會隨著新f青況的出現(xiàn)不斷發(fā)展。要制訂一個適合公司實際的安全解決方案,必須根據(jù)公司的商業(yè)目標和營銷策略來制訂具體細節(jié)。公司的管理部門必須對信息安全問題及其對公司和客戶的影響有足夠的認識,從而他們才能為整個解決方案的制訂提供合適的資源、資金以及充足的時間。換句話說,信息安全的實施應當是由上至下的。然而,實際情況并非如此。在很多公司內(nèi),安全事務往往全部由IT部門負責,而IT人員卻經(jīng)常忙于處理日常出現(xiàn)的各種情況,根本沒有充足的精力制訂一個合理的安全方案。在上述案例中,安全以一種反應式的、自底向上的方式實現(xiàn),這將顯著降低其效力。此外,每當IT部門申請建立安全系統(tǒng)的資金時,公司高層往往置若罔聞。將整個公司的信息安全建設(shè)交給一個小小的IT部門,對他們來說負擔太大。公司的信息安全需要全體員工的理解和支持,也需要管理部門的資金支持。管理部門不需要了解安全的機制、安全協(xié)議的選擇以及安全組件的配置,但是他們應該從信息安全的角度為公司制訂一個合理的工作流程。也就是說,管理部門應當制訂信息安全解決方案的框架,并指派專人負責完善整個系統(tǒng)。2004.年2月,Wells Fargo銀行的筆記本電腦第二次被盜,其中包含該公司客戶數(shù)據(jù)庫中的保密信息。第一臺筆記本電腦于2003年11月被盜,其中包含一個保存有200 000條客戶記錄的數(shù)據(jù)庫。在2004年2月的事故中,兩名Wells Fargo員工將他們租用的汽車停在密蘇里州圣路易市的一家加油站,便利店門外,然后進入店內(nèi)。當他們返回時,汽車上的所有物品(包括行李箱中的筆記本電腦)全都不見了。直到一個月后,Wells Fargo銀行才通知了受影響的客戶。
編輯推薦
《CISSP認證考試指南(第5版)》全面涵蓋CISSP認證考試的10個知識領(lǐng)域:信息安全和風險管理,訪問控制,安全體系結(jié)構(gòu)和設(shè)計,物理和環(huán)境安全,通信和網(wǎng)絡(luò)安全,密碼術(shù),業(yè)務連續(xù)性和災難恢復,法律、法規(guī)、合規(guī)性和調(diào)查應用程序安全,操作安全。全面覆蓋CISSP認證考試的10個知識領(lǐng)域,既是理想的考試學習用書,也可以作為IT安全從業(yè)人員的技術(shù)參考,提供數(shù)百道練習題,并給出答案和詳盡的解釋。
圖書封面
圖書標簽Tags
無
評論、評分、閱讀與下載