CISSP认证考试指南

内容概要

　　《CISSP认证考试指南(第5版)》提供最新最全的资源，涵盖通过CISSP(Certified Information
Systems Security
Professional，信息系统安全专家认证)考试所需的全部信息，内容涉及(ISC)2(International
Information Systems Security Certification
Consortium，国际信息系统安全认证协会)规定的10个考试领域。本书在每一章开头都明确学习目标，随后提供考试提示、练习题和深入的解释。本书不仅能够帮助您通过CISSP考试，也是您工作中不可缺少的参考资料。
　　

作者简介

Shon Harris是CISSP、Logical
Security总裁、安全顾问、美国空军信息战部门的前任工程师、技术总监和作者。她是两本CISSP畅销书的作者，并且与其他人合著了Hacker’s
Challenge: Test Your Incident Response Skills Using 20
Scenarios和Gray Hat Hacking: The Ethical Hacker’s
Handbook(均由McGraw-Hill出版社出版)。Shon曾为众多客户提供计算机和信息安全服务，包括RSA、美国国防部、美国能源部、美国国家安全局(NSA)、美国银行、美国国防信息系统局(DISA)、BMC、西点军校等。

书籍目录

第1章 成为一名cissp
 1.1 成为cissp的理由
 1.2 cissp考试
 1.3 cissp认证的发展简史
 1.4 如何成为一名cissp
 1.5 本书概要
 1.6 cissp应试小贴士
 1.7 本书使用指南
第2章 计算机安全的发展趋势
 2.1 安全已成为一个难题
 2.2 安全所涉及的领域
 2.3 信息战
 2.4 政治和法律
 2.5 黑客与攻击
 2.6 管理
 2.7 分层模式
 2.8 教育
 2.9 小结
第3章 信息安全与风险管理
 3.1 安全管理
 3.2 安全管理与支持控制
 3.3 组织化安全模型
 3.4 信息风险管理
 3.5 风险分析
 3.6 策略、措施、标准、基准和指导原则
 3.7 信息分类
 3.8 责任分层
 3.9 安全意识培训
 3.10 小结
 3.11 快速提示
第4章 访问控制
 4.1 访问控制概述
 4.2 安全原则
 4.3 身份标识、身份验证、授权与可问责性
 4.4 访问控制模型
 4.5 访问控制方法和技术
 4.6 访问控制管理
 4.7 访问控制方法
 4.8 访问控制类型
 4.9 可问责性
 4.10 访问控制实践
 4.11 访问控制监控
 4.12 对访问控制的几种威胁
 4.13 小结
 4.14 快速提示
第5章 安全体系结构和设计
 5.1 计算机体系结构
 5.2 中央处理单元
 5.3 系统体系结构
 5.4 安全模型
 5.5 运行安全模式
 5.6 系统评估方法
 5.7 橘皮书与彩虹系列
 5.8 信息技术安全评估准则
 5.9 通用准则
 5.10 认证与鉴定
 5.11 开放系统与封闭系统
 5.12 企业体系结构
 5.13 一些对安全模型和体系结构的威胁
 5.14 小结
 5.15 快速提示
第6章 物理和环境安全
第7章 通信与网络安全
第8章 密码术
第9章 业务连续性与灾难恢复
第10章 法律、法规、遵从和调查
第11章 应用程序安全
第12章 操作安全
附录a 安全内容自动化协议综述
附录b 配套光盘使用指南
术语表

章节摘录

版权页：插图：如今，设定公司内部的信息安全级别以及选择何种类型的安全系统都应当是管理部门考虑的问题。管理部门应该规定哪些是需要保护的重要数据，由何人来进行何种级别的数据保护，并且应该制订公司内部员工对不同数据的使用权限以及针对违规操作的惩罚条款。然而，在编写本书期间，并没有多少公司对信息安全有如上所述的认识，他们还是将这些事情丢给公司内的IT人员。管理部门这样做并不是为了逃避责任，真正的原因是他们对信息和企业安全性的认识不够全面和深入。许多组织机构都误以为信息安全是一个技术问题，其实不然。信息安全是一个需要技术解决方案的管理问题，这就是信息安全专家的重要性所在。信息安全专家不仅必须理解组织机构的目标和任务，而且必须了解用于保护重要财产的技术问题。一个优秀的信息安全解决方案绝不仅仅是建立一个防火墙，然后安装一些杀毒软件。完美的解决方案应该是针对实际情况进行分析、设计、实施和维护，而且这样的系统也会随着新f青况的出现不断发展。要制订一个适合公司实际的安全解决方案，必须根据公司的商业目标和营销策略来制订具体细节。公司的管理部门必须对信息安全问题及其对公司和客户的影响有足够的认识，从而他们才能为整个解决方案的制订提供合适的资源、资金以及充足的时间。换句话说，信息安全的实施应当是由上至下的。然而，实际情况并非如此。在很多公司内，安全事务往往全部由IT部门负责，而IT人员却经常忙于处理日常出现的各种情况，根本没有充足的精力制订一个合理的安全方案。在上述案例中，安全以一种反应式的、自底向上的方式实现，这将显著降低其效力。此外，每当IT部门申请建立安全系统的资金时，公司高层往往置若罔闻。将整个公司的信息安全建设交给一个小小的IT部门，对他们来说负担太大。公司的信息安全需要全体员工的理解和支持，也需要管理部门的资金支持。管理部门不需要了解安全的机制、安全协议的选择以及安全组件的配置，但是他们应该从信息安全的角度为公司制订一个合理的工作流程。也就是说，管理部门应当制订信息安全解决方案的框架，并指派专人负责完善整个系统。2004.年2月，Wells Fargo银行的笔记本电脑第二次被盗，其中包含该公司客户数据库中的保密信息。第一台笔记本电脑于2003年11月被盗，其中包含一个保存有200 000条客户记录的数据库。在2004年2月的事故中，两名Wells Fargo员工将他们租用的汽车停在密苏里州圣路易市的一家加油站，便利店门外，然后进入店内。当他们返回时，汽车上的所有物品（包括行李箱中的笔记本电脑）全都不见了。直到一个月后，Wells Fargo银行才通知了受影响的客户。

编辑推荐

《CISSP认证考试指南(第5版)》全面涵盖CISSP认证考试的10个知识领域：信息安全和风险管理，访问控制，安全体系结构和设计，物理和环境安全，通信和网络安全，密码术，业务连续性和灾难恢复，法律、法规、合规性和调查应用程序安全，操作安全。全面覆盖CISSP认证考试的10个知识领域，既是理想的考试学习用书，也可以作为IT安全从业人员的技术参考，提供数百道练习题，并给出答案和详尽的解释。

图书封面

图书标签Tags

无

评论、评分、阅读与下载

---

    CISSP认证考试指南 PDF格式下载

---