CISSP官方學習指南(第8版)（簡體書）

100%涵蓋全部考試目標：
◆ 安全與風險管理
◆ 資產安全
◆ 安全架構和工程
◆ 通信與網絡安全
◆ 身份和訪問管理
◆ 安全評估與測試
◆ 安全運營
◆ 軟件開發安全

Mike Chapple，CISSP、博士、Security+、CISA、CySA+，聖母大學IT、分析學和運營學副教授。曾任品牌研究所首席信息官、美國國家安全局和美國空軍信息安全研究員。他主攻網絡入侵檢測和訪問控制專業。Mike經常為TechTarget所屬的SearchSecurity網站撰稿，著書逾25本，其中包括《(ISC)：CISSP官方習題集》《CompTIA CSA+學習指南》以及《網絡戰：互連世界中的信息戰》。
James Michael Stewart，CISSP、CEH、ECSA、CHFI、Security+、Network+，從事寫作和培訓工作20多年，目前專註於安全領域。自2002年起一直講授CISSP培訓課程，互聯網安全、道德黑客/滲透測試等內容更在他的授課範圍之內。他是超過75部著作以及大量課件的作者和撰稿者，內容涉及安全認證、微軟主題和網絡管理，其中包括《Security+ (SY0-501)複習指南》。
Darril Gibson，CISSP、Security+、CASP，YCDA有限責任公司首席執行官，是40多部著作的作者或共同作者。Darril持有多種專業證書，經常寫作、提供諮詢服務和開展教學，涉及各種技術和安全主題。
王連強，現任北京時代新威信息技術有限公司技術負責人，博士、全國信安標委WG7成員，持有信息系統審計師、IPMP等認證證書，負責統籌本書翻譯各項工作事務，並承擔本書第6章、第7章和第17章的翻譯工作，以及全書的審校和定稿工作。
吳瀟，現任北京天融信網絡安全技術有限公司專家級安全顧問，持有CISSP、CISA、PMP、ISO27001等認證證書，負責本書第1~4章的翻譯工作。
羅愛國，現就職於互聯網公司，持有CISSP及CSSLP認證證書，參與本書第18~21章的翻譯工作。
郭鵬程，現任北森雲計算安全負責人，中國雲安全聯盟專家委員會專家、雲安全講師、C-Star諮詢師，持有CISSP、CCSK等認證證書，負責本書第11章、第13章和第14章的翻譯工作。
劉北水，現任中國賽寶實驗室信息安全研究中心工程師，持有CISSP、PMP等認證證書，負責本書第15章和第16章的翻譯工作，併為本書撰寫譯者序。
孫書強，北京中科博安科技有限公司創始人，(ISC)2北京分會秘書長、(ISC)2官方講師，持有CISSP-ISSAP、ISSMP、CISA、PMP、系統分析師等認證證書，負責本書第8章和第9章的翻譯工作。
顧廣宇，現任國家電網安徽省電力科學研究院高級工程師，持有CISSP認證證書，負責本書第10章和第12章的翻譯工作。
馬多賀，現任中國科學院信息工程研究所副研究員，(ISC)2北京分會會員主席、CISSP認證講師、博士、碩士生導師，持有CISSP、PMP等認證證書，參與了本書第5章的翻譯工作。
最後，感謝顧偉在本書譯校過程中提供的幫助。
精彩書評
直擊要害，字字珠璣。
—— M. König
本書章節編排合理，講解酣暢淋漓，詳略得當，涵蓋的知識極其豐富，堪稱一座知識寶庫。
本書是優秀的參考書，是你進入安全行業的指路明燈。每章末的「本章小結」助你鞏固所學的知識，「考試要點」指明參試前必須駕輕就熟地掌握的要點，「複習題」極富挑戰性，可用於為考試熱身。
本書助我高效地吸取CISSP知識精髓，是我的良師益友。
如果你想通過CISSP認證考試，本書是首推之選！
—— Adrian Galindo
本書的內容源自(ISC)²CISSP通用知識體系，可為學員參加CISSP認證考試打下堅實基礎。如果你想成為一名CISSP，本書是更佳選擇。
衷心希望你能在本書的指導下自信地走進考場，旗開得勝，馬到成功！
一本卓越書籍！
—— Brandon Marburger
你可通過這本綜合性全新指南更明智、更快捷地準備考試。本書在上一版的基礎上做出全面細緻的更新，這些更新之處對於通過當前的CISSP考試至關重要。本書的習題也比上一版更精鍊，更有價值。
本書是十分優秀的認證考試工具，非常詳細，幾乎涵蓋了你將在考試中遇到的每個問題。
優秀的備考資源，出類拔萃的學習指南！
—— Barry M.
本書囊括CISSP認證考試涉及的所有知識，講解透徹。我認真研讀了本書，付出了時間和精力，並最終一次性通過CISSP考試。我相信，你也可以做到！
本書條理清晰，是安全類書籍中的翹楚之作，是你案邊必備的參考書；你很容易就能從中找到重要細節，如快速找到公式ALE = SLE * ARO，或確定哪部法律涉及個人信息保護方面的內容。
一本優秀書籍，涵蓋全新材料。
—— Andy
獲得CISSP認證資格將體現你的敬業精神，也會提高你在IT安全領域的信譽並讓你在職場中更加受寵；本書便是你的CISSP應試利器！CISSP考試包括一些怪題，如幾個答案看似全對，但題目要求你選出「更佳答案」；又有時，幾個答案看似全錯，但題目要求你選出「不正確」的答案；本書將抽絲剝繭般地剖析這些難點，讓你悟透道理，從容解題，並取得驕人成績。
將所有CISSP考點一一道來，講個通通透透，助你一次性通過考試！
—— Mina
Mike Chapple的作品十分出色！是優秀的學習指南，將助你一次性通過考試。
備考期間，你需要有嚴謹認真的學習態度，需要付出汗水，辛勤耕耘，但你終會收到回報。

《CISSP官方學習指南(第8版)》是涵蓋2018年CISSP所有考試目標的一站式備考資源，將助你更明智、更快捷地準備CISSP考試。這本精品書籍編排精當，每章開頭列出目標地圖，正文穿插「真實場景」，詳細講解各個知識點，章末附有考試要點、書面實驗題和極富挑戰的複習題；前言中的「評估測驗」針對性極強，可供自我評估備考進展狀況。藉助Sybex提供的可在各種設備上訪問的獨特在線學習環境和測試題庫，你可進一步鞏固所學的知識。開始使用本書準備CISSP考試吧。

《CISSP官方學習指南(第8版)》可為你參加CISSP(註冊信息系統安全師)認證考試打下堅實基礎。買下這《CISSP官方學習指南(第8版)》，就表明你想學習並通過這一認證提高自己的專業技能。這裏將對《CISSP官方學習指南(第8版)》和CISSP考試做基本介紹。
《CISSP官方學習指南(第8版)》為想以努力學習方式通過CISSP認證考試的讀者和學生而設計。如果你的目標是成為一名持證安全專業人員，則CISSP認證和本學習指南是你的最佳選擇。《CISSP官方學習指南(第8版)》的目的就是幫助你為參加CISSP考試做好準備。
在深入閱讀《CISSP官方學習指南(第8版)》前，你首先要完成幾項任務。你需要對IT和安全有一個大致了解。你應該在CISSP考試涵蓋的8個知識域中的兩個或多個擁有5年全職全薪工作經驗(如果你有本科學歷，則有4年工作經驗即可)。如果根據(ISC)2規定的條件你具備了參加CISSP考試的資格，則意味著你做好了充分準備可藉助《CISSP官方學習指南(第8版)》備考CISSP。有關(ISC)2的詳細信息，稍後介紹。
如果你擁有(ISC)2先決條件路徑認可的其他認證，(ISC)2也允許把5年工作經驗的要求減掉一年。這些認證包括CAP、CISM、CISA、CCNA Security、Security+、MCSA、MCSE等，以及多種GIAC認證。有關資格認證的完整列表，可訪問https://www.isc2.org/certifications/ CISSP/Prerequisite-pathway查詢。需要指出的是，你只能用一種方法減少工作經驗年限，要麼是本科學歷，要麼是認證證書，不能兩者都用。
(ISC)2
CISSP考試由國際信息系統安全認證聯盟(International Information Systems Security Certification Consortium)管理，該聯盟的英文簡稱是(ISC)2。(ISC)2是一個全球性非營利組織，致力於實現4大任務目標：
為信息系統安全領域維護通用知識體系(CBK)。
為信息系統安全專業人員和從業者提供認證。
開展認證培訓並管理認證考試。
通過繼續教育，監察合格認證申請人的持續評審工作。
(ISC)2由董事會管理，董事從持證從業人員中按級別選出。
(ISC)2支持和提供多項專業認證，其中包括CISSP、SSCP、CAP、CSSLP、CCFP、HCISPP和CCSP。這些認證旨在驗證所有行業IT安全專業人員的知識和技術水平。有關(ISC)2及其證書認證的詳情，可訪問(ISC)2網站www.isc2.org查詢。
CISSP證書專為在組織內負責設計和維護安全基礎設施的安全專業人員而設。
知識域
CISSP認證涵蓋8個知識域的內容，分別是：
安全與風險管理
資產安全
安全架構和工程
通信與網絡安全
身份和訪問管理
安全評估與測試
安全運營
軟件開發安全
這8個知識域以獨立於廠商的視角展現了一個通用安全框架。這個框架是支持在全球所有類型的組織中討論安全實踐的基礎。
最新修訂的主題域在2018年4月15日開始的考試中體現出來。若需要根據8個知識域的劃分全面了解CISSP考試涵蓋的主題範圍，請訪問(ISC)2網站www.isc2.org，索取「申請人信息公告」(Candidate Information Bulletin)。這份文件包含完整的考試大綱以及有關認證的其他相關信息。
資格預審
(ISC)2規定了成為一名CISSP必須滿足的資格要求。首先，你必須是一名有5年以上全職全薪工作經驗或者有4年工作經驗並具有IT或IS本科學歷的安全專業從業人員。專業工作經驗的定義是：在8個CBK域的兩個或多個域內有工資或傭金收入的安全工作。
其次，你必須同意遵守道德規範。CISSP道德規範是(ISC)2希望所有CISSP申請人都嚴格遵守的一套行為準則，目的是在信息系統安全領域保持專業素養。你可在(ISC)2網站www.isc2.org的信息欄下查詢有關內容。
(ISC)2還提供一個名為「(ISC)2準會員」的入門方案。這個方案允許沒有任何從業經驗或經驗不足的申請人參加CISSP考試，通過考試後再獲得工作經驗。準會員資格有6年有效期，申請人需要在這6年時間裡獲得5年安全工作經驗。只有在提交5年工作經驗證明(通常是有正式簽名的文件和一份簡歷)之後，準會員才能得到CISSP證書。
CISSP考試簡介
CISSP考試堪稱從萬米高空俯瞰安全，涉及更多的是理論和概念，而非執行方案和規程。它的涵蓋面很廣，但並不很深。若想通過這個考試，你需要熟知所有的域，但不必對每個域都那麼精通。
2017年12月18日後，CISSP英語考試將以自適應形式呈現。(ISC)2給新版考試定名為CISSP-CAT(計算機化自適應考試)。有關這一新版考試呈現形式的詳細信息，可訪問https://www.isc2.org/certifications/CISSP/CISSP-CAT查詢。
CISSP-CAT考試將最少含100道考題，最多含150道考題。呈現給你的所有考項不會全部計入你的分數或考試通過狀態。(ISC)2把這些不計分考項定名為考前題(pretest question)，而計分考項叫作操作項(operational item)。這些考題在考試中均不標明計入考分還是不計入考分。認證申請人會在考試中遇到25個不計分考項——無論他們只做100道考題就達到了通過等級還是看全了所有150道題。
CISSP-CAT考試時間最長不超過3小時。如果你沒等達到某個通過等級就用完了時間，將被自動判定失敗。
CISSP-CAT不允許返回前面的考題修改答案。你離開一道考題後，你選擇的答案將是最終結果。
CISSP-CAT沒有公布或設置需要達到的分數。相反，你必須在最後的75個操作項(即考題)之內展示自己具有超過(ISC)2通過線(也叫通過標準)的答題能力。
如果計算機判斷你達到通過標準的概率低於5%，而且你已答過75個操作項，你的考試將自動以失敗告終。一旦計算機評分系統根據必要數量考題以95%的信心得出結論，判斷你有能力達到或無法達到通過標準，將不保證有更多考題展示給你。
如果你第一次未能順利通過CISSP考試，你可在以下條件下再次參加CISSP考試：
每12個月內你最多可以參加3次CISSP考試。
從第一次考試到第二次考試之間，你必須等待30天。
從第二次考試到第三次考試之間，你必須再等待90天。
從第三次考試到下次考試之間，你必須再等待180天，或者第一次考試之日後滿12個月。
每次考試都需要支付全額考試費。
從前的紙質或CBT(基於計算機的考試)平面250題版考試已不可能重現。CISSP現在只使用CBT CISSP-CAT格式。
更新後的CISSP考試將以英文、法文、德文、巴西葡萄牙文、西班牙文、日文、簡體中文和韓文等版本提供。
自2017年12月18日起，CISSP(註冊信息系統安全師)考試(僅英語考試)將通過(ISC)2授權的Pearson VUE考試中心在所授權地區以CAT形式進行。英文以外其他語言CISSP考試以及(ISC)2所有其他認證考試將繼續以固定的線性考試(linear examination)方式進行。
CISSP考試的考題類型
CISSP考試的大多數考題都有4個選項，這種題目只有一個正確答案。有些考題很簡單，比如要求你選一個定義。有些考題則複雜一些，要求你選出合適的概念或最佳實踐規範。有些考題會向你呈現一個場景或一種情況，讓你選出最佳答案。下面舉一個例子：
1. 以下哪一項是安全解決方案的最重要目標並具有最高優先順序？
A. 防止泄露
B. 保持完整性
C. 保持人身安全
D. 保持可用性
你必須選出一個正確或最佳答案並把它標記出來。有時，正確答案一目了然。而在其他時候，幾個答案似乎全都正確。遇到這種情況時，你必須為所問的問題選出最佳答案，你應該留意一般性、特定、通用、超集和子集答案選項。還有些時候，幾個答案看起來全都不對。遇到這種情況時，你需要把最不正確的那個答案選出來。
注意：
順便提一句，這道題的答案是C。保持人身安全永遠是重中之重。
除了標準多選題格式以外，(ISC)2還增加了一種高級考題格式，叫作高級創新題(advanced innovative question)。其中包括拖放題和熱點題。這些類型考題要求你按操作順序、優先順序偏好或與所需解決方案的適當位置的關聯來排列主題或概念。具體來說，拖放題要求參試者移動標籤或圖標，以在圖像上把考項標記出來。熱點題要求考生用十字記號筆在圖像上標出一個位置。這些考題涉及的概念很容易處理和理解，但你要注意放置或標記操作的準確性。
有關考試的建議
CISSP考試由兩個關鍵元素組成。首先，你需要熟知8個知識域涉及的內容。其次，你必須掌握高超的考試技巧。你最多只有3小時時間，期間可能要回答多達150道題。如此算來，每道題的答題時間平均只有1分多鍾。因此，快速答題至關重要，但也不必太過匆忙，只要不浪費時間就好。
(ISC)2對CISSP-CAT格式的描述並未講明猜答案是不是適合每種情況的好辦法，但是這似乎確實是比跳題答問更好的策略。我們建議你在猜一道題的答案之前盡量減少選項的數量；如果實在無法排除任何答案選項，可考慮跳過這道題，而不進行隨機猜測。對減少了數量的選項作出有根據的猜測，可以提高答對考題的概率。
我們還要請大家注意，(ISC)2並沒有說明，面對由多個部分組成的考題時，如果你只答對了部分內容，是否會得到部分考分。因此，你需要注意帶複選框(而不是帶單選按鈕)的考題，並且確保按需要的數量選擇考項，以適當解決問題。
你將被發給一塊白板和一支記號筆，用來記下你的思路和想法。但是寫在白板上的任何東西都不能改變你的考分。離開考場之前，你必須把這塊白板還給考試管理員。
為幫助你在考試中取得最好成績，這裏提出幾條一般性指南：
先讀一遍考題，再把答案選項讀一遍，之後再讀一遍考題。
先排除錯誤答案，再選擇正確答案。
注意雙重否定。
確保自己明白考題在問什麼。
掌控好自己的時間。儘管可在考試過程中歇一會兒，但這畢竟會把部分考試時間消耗掉。你可以考慮帶些飲品和零食，但食物和飲料不可帶進考場，而且休息所用的時間是要計入考試時間的。確保自己只隨身攜帶藥物或其他必需的物品，所有電子產品都要留在家裡或汽車裡。你應該避免在手腕上戴任何東西，其中包括手錶、健身跟蹤器和首飾。你不可使用任何形式的防噪耳機或耳塞式耳機，不過你可使用泡沫耳塞。我們還建議你穿著舒適的衣服，並帶上一件薄外套(一些考場有點兒涼)。
如果英語不是你的第一語言，你可註冊其他語言版本的考試。或者，如果你選擇使用英文版考試，你將被允許使用翻譯詞典(務必事先聯繫你的考場，以便提前做好安排)。你必須能夠證明你確實需要這樣一部詞典，這通常需要你出示自己的出生證或護照。
注意：
考試或考試目標偶爾會發生一些小變化。每逢這種情況，Sybex都會在自己網站上貼出更新的內容。參加考試前應訪問www.wiley.com/go/cissp8e，確保自己掌握最新信息。
學習和備考技巧
我們建議你為CISSP考試製定一個月左右的晚間強化學習計劃。這裏提幾點建議，可以最大限度增加你的學習時間；你可根據自己的學習習慣做必要修改：
用一兩個晚上細讀《CISSP官方學習指南(第8版)》的每一章並把它的複習材料做一遍。
回答所有複習題，並把《CISSP官方學習指南(第8版)》和考試引擎中的練習考試做一遍。完成每章的書面實驗，並利用每章的複習題來找到一些主題，投入更多時間對它們進行深入學習，掌握其中的關鍵概念和戰略，或許能令你受益。
複習(ISC)2的考試大綱：www.isc2.org。
利用學習工具附帶的速記卡來強化自己對概念的理解。

第1章 實現安全治理的原則和策略
1.1 理解和應用保密性、完整性及可用性的概念
1.1.1 保密性
1.1.2 完整性
1.1.3 可用性
1.1.4 其他安全概念
1.1.5 保護機制
1.1.6 分層
1.1.7 抽象
1.1.8 數據隱藏
1.1.9 加密
1.2 評估和應用安全治理原則
1.2.1 與業務戰略、目標、使命和宗旨相一致的安全功能
1.2.2 組織的流程
1.2.3 組織的角色與責任
1.2.4 安全控制框架
1.2.5 應盡關心和盡職審查
1.3 開發、記錄和實施安全策略、標準、程序和指南
1.3.1 安全策略
1.3.2 標準、基線和指南
1.3.3 程序
1.4 理解與應用威脅建模的概念和方法
1.4.1 識別威脅
1.4.2 確定和繪製潛在的攻擊
1.4.3 執行簡化分析
1.4.4 優先順序排序和響應
1.5 將基於風險的管理理念應用到供應鏈
1.6 本章小結
1.7 考試要點
1.8 書面實驗
1.9 複習題
第2章 人員安全和風險管理的概念
2.1 人員安全策略和程序
2.1.1 候選人篩選及招聘
2.1.2 雇傭協議及策略
2.1.3 入職和離職程序
2.1.4 供應商、顧問和承包商的協議和控制
2.1.5 合規策略要求
2.1.6 隱私策略要求
2.2 安全治理
2.3 理解並應用風險管理理念
2.3.1 風險術語
2.3.2 識別威脅和脆弱性
2.3.3 風險評估/分析
2.3.4 風險響應
2.3.5 選擇與實施控制措施
2.3.6 適用的控制類型
2.3.7 安全控制評估
2.3.8 監視和測量
2.3.9 資產估值與報告
2.3.10 持續改進
2.3.11 風險框架
2.4 建立和維護安全意識、教育和培訓計劃
2.5 管理安全功能
2.6 本章小結
2.7 考試要點
2.8 書面實驗
2.9 複習題
第3章 業務連續性計劃
3.1 業務連續性計劃簡介
3.2 項目範圍和計劃
3.2.1 業務組織分析
3.2.2 選擇BCP團隊
3.2.3 資源需求
3.2.4 法律和法規要求
3.3 業務影響評估
3.3.1 確定優先順序
3.3.2 風險識別
3.3.3 可能性評估
3.3.4 影響評估
3.3.5 資源優先順序排序
3.4 連續性計劃
3.4.1 策略開發
3.4.2 預備和處理
3.5 計劃批準和實施
3.5.1 計劃批準
3.5.2 計劃實施
3.5.3 培訓和教育
3.5.4 BCP文檔化
3.6 本章小結
3.7 考試要點
3.8 書面實驗
3.9 複習題
第4章 法律、法規和合規
4.1 法律的分類
4.1.1 刑法
4.1.2 民法
4.1.3 行政法
4.2 法律
4.2.1 計算機犯罪
4.2.2 知識產權
4.2.3 許可
4.2.4 進口/出口控制
4.2.5 隱私
4.3 合規
4.4 合同和採購
4.5 本章小結
4.6 考試要點
4.7 書面實驗
4.8 複習題
第5章 保護資產安全
5.1 資產識別和分類
5.1.1 定義敏感數據
5.1.2 定義數據分類
5.1.3 定義資產分類
5.1.4 確定數據的安全控制
5.1.5 理解數據狀態
5.1.6 管理信息和資產
5.1.7 數據保護方法
5.2 定義數據所有權
5.2.1 數據所有者
5.2.2 資產所有者
5.2.3 業務/任務所有者
5.2.4 數據使用者
5.2.5 管理員
5.2.6 託管員
5.2.7 用戶
5.2.8 保護隱私
5.3 使用安全基線
5.3.1 範圍界定和按需定製
5.3.2 選擇標準
5.4 本章小結
5.5 考試要點
5.6 書面實驗
5.7 複習題
第6章 密碼學和對稱密鑰算法
6.1 密碼學的歷史裡程碑
6.1.1 凱撒密碼
6.1.2 美國南北戰爭
6.1.3 Ultra與Enigma
6.2 密碼學基本知識
6.2.1 密碼學的目標
6.2.2 密碼學的概念
6.2.3 密碼數學
6.2.4 密碼
6.3 現代密碼學
6.3.1 密碼密鑰
6.3.2 對稱密鑰算法
6.3.3 非對稱密鑰算法
6.3.4 散列算法
6.4 對稱密碼
6.4.1 數據加密標準
6.4.2 三重DES
6.4.3 國際數據加密算法
6.4.4 Blowfish
6.4.5 Skipjack
6.4.6 高級加密標準
6.4.7 對稱密鑰管理
6.5 密碼生命周期
6.6 本章小結
6.7 考試要點
6.8 書面實驗
6.9 複習題
第7章 PKI和密碼應用
7.1 非對稱密碼
7.1.1 公鑰和私鑰
7.1.2 RSA
7.1.3 El Gamal
7.1.4 橢圓曲線
7.2 散列函數
7.2.1 SHA
7.2.2 MD2
7.2.3 MD4
7.2.4 MD5
7.3 數字簽名
7.3.1 HMAC
7.3.2 數字簽名標準
7.4 公鑰基礎設施
7.4.1 證書
7.4.2 發證機構
7.4.3 證書的生成和銷毀
7.5 非對稱密鑰管理
7.6 應用密碼學
7.6.1 便攜設備
7.6.2 電子郵件
7.6.3 Web應用程序
7.6.4 數字版權管理
7.6.5 聯網
7.7 密碼攻擊
7.8 本章小結
7.9 考試要點
7.10 書面實驗
7.11 複習題
第8章 安全模型、設計和能力的原則
8.1 使用安全設計原則實施和管理工程過程
8.1.1 客體和主體
8.1.2 封閉系統和開放系統
8.1.3 用於確保保密性、完整性和可用性的技術
8.1.4 控制
8.1.5 信任與保證
8.2 理解安全模型的基本概念
8.2.1 可信計算基
8.2.2 狀態機模型
8.2.3 信息流模型
8.2.4 非干擾模型
8.2.5 Take-Grant模型
8.2.6 訪問控制矩陣
8.2.7 Bell-LaPadula模型
8.2.8 Biba模型
8.2.9 Clark-Wilson模型
8.2.10 Brewer and Nash模型
8.2.11 Goguen-Meseguer模型
8.2.12 Sutherland模型
8.2.13 Graham-Denning模型
8.3 基於系統安全需求選擇控制措施
8.3.1 彩虹系列
8.3.2 TCSEC分類和所需功能
8.3.3 通用準則
8.3.4 行業和國際安全實施指南
8.3.5 認證和鑒定
8.4 理解信息系統的安全功能
8.4.1 內存保護
8.4.2 虛擬化
8.4.3 可信平臺模塊
8.4.4 接口
8.4.5 容錯
8.5 本章小結
8.6 考試要點
8.7 書面實驗
8.8 複習題
第9章 安全漏洞、威脅和對策
9.1 評估和緩解安全漏洞
9.1.1 硬體
9.1.2 固件
9.2 基於客戶端的系統
9.2.1 applet
9.2.2 本地緩存
9.3 基於服務端的系統
9.4 資料庫系統安全
9.4.1 聚合
9.4.2 推理
9.4.3 數據挖掘和數據倉庫
9.4.4 數據分析
9.4.5 大規模並行數據系統
9.5 分散式系統和端點安全
9.5.1 基於雲的系統和雲計算
9.5.2 網格計算
9.5.3 對等網絡
9.6 物聯網
9.7 工業控制系統
9.8 評估和緩解基於Web系統的漏洞
9.9 評估和緩解移動系統的漏洞
9.9.1 設備安全
9.9.2 應用安全
9.9.3 BYOD關注點
9.10 評估和緩解嵌入式設備和信息物理系統的漏洞
9.10.1 嵌入式系統和靜態系統的示例
9.10.2 保護嵌入式和靜態系統的方法
9.11 基本安全保護機制
9.11.1 技術機制
9.11.2 安全策略和計算機架構
9.11.3 策略機制
9.12 常見的架構缺陷和安全問題
9.12.1 隱蔽通道
9.12.2 基於設計或編碼缺陷的攻擊和安全問題
9.12.3 編程
9.12.4 計時、狀態改變和通信中斷
9.12.5 技術和過程集成
9.12.6 電磁輻射
9.13 本章小結
9.14 考試要點
9.15 書面實驗
9.16 複習題
第10章 物理安全要求
10.1 站點與設施設計的安全原則
10.1.1 安全設施計劃
10.1.2 站點選擇
10.1.3 可見度
10.1.4 自然災害
10.1.5 設施設計
10.2 實現站點與設施安全控制
10.2.1 設備故障
10.2.2 配線間
10.2.3 服務器間與數據中心
10.2.4 介質存儲設施
10.2.5 證據存儲
10.2.6 受限區與工作區安全
10.2.7 基礎設施與HVAC
10.2.8 火災預防、探測與消防
10.3 物理安全的實現與管理
10.3.1 邊界安全控制
10.3.2 內部安全控制
10.4 本章小結
10.5 考試要點
10.6 書面實驗
10.7 複習題
第11章 安全網絡架構和保護網絡組件
11.1 OSI模型
11.1.1 OSI模型的歷史
11.1.2 OSI功能
11.1.3 封裝/解封
11.1.4 OSI模型層次
11.2 TCP/IP模型
11.3 融合協議
11.4 無線網絡
11.4.1 保護無線接入點
11.4.2 保護SSID
11.4.3 進行現場調查
11.4.4 使用安全加密協議
11.4.5 天線放置
11.4.6 天線類型
11.4.7 調整功率電平控制
11.4.8 WPS
11.4.9 使用強制門戶
11.4.10 一般Wi-Fi安全程序
11.4.11 無線攻擊
11.5 安全網絡組件
11.5.1 網絡訪問控制
11.5.2 防火牆
11.5.3 端點安全
11.5.4 硬體的安全操作
11.6 布線、無線、拓撲、通信和傳輸介質技術
11.6.1 傳輸介質
11.6.2 網絡拓撲
11.6.3 無線通信與安全
11.6.4 區域網技術
11.7 本章小結
11.8 考試要點
11.9 書面實驗
11.10 複習題
第12章 安全通信與網絡攻擊
12.1 網絡與協議安全機制
12.1.1 安全通信協議
12.1.2 身份驗證協議
12.2 語音通信的安全
12.2.1 VoIP
12.2.2 社會工程
12.2.3 欺騙與濫用
12.3 多媒體合作
12.3.1 遠程會議
12.3.2 實時通信
12.4 管理郵件安全
12.4.1 郵件安全目標
12.4.2 理解郵件安全問題
12.4.3 郵件安全解決方案
12.5 遠程訪問安全管理
12.5.1 遠程訪問安全計劃
12.5.2 撥號上網協議
12.5.3 中心化遠程身份驗證服務
12.6 虛擬專用網
12.6.1 隧道技術
12.6.2 VPN的工作機理
12.6.3 常用的VPN協議
12.6.4 虛擬區域網
12.7 虛擬化
12.7.1 虛擬軟件
12.7.2 虛擬化網絡
12.8 網絡地址轉換
12.8.1 私有IP地址
12.8.2 有狀態NAT
12.8.3 靜態與動態NAT
12.8.4 自動私有IP分配
12.9 交換技術
12.9.1 電路交換
12.9.2 分組交換
12.9.3 虛電路
12.10 WAN技術
12.10.1 WAN連接技術
12.10.2 撥號封裝協議
12.11 多種安全控制特徵
12.11.1 透明性
12.11.2 驗證完整性
12.11.3 傳輸機制
12.12 安全邊界
12.13 防止或減輕網絡攻擊
12.13.1 DoS與DDoS
12.13.2 竊聽
12.13.3 假冒/偽裝
12.13.4 重放攻擊
12.13.5 修改攻擊
12.13.6 地址解析協議欺騙
12.13.7 DNS毒化、欺騙及劫持
12.13.8 超鏈接欺騙
12.14 本章小結
12.15 考試要點
12.16 書面實驗
12.17 複習題
第13章 管理身份和身份驗證
13.1 控制對資產的訪問
13.1.1 比較主體和客體
13.1.2 CIA三性和訪問控制
13.1.3 訪問控制的類型
13.2 比較身份識別和身份驗證
13.2.1 身份註冊和證明
13.2.2 授權和問責
13.2.3 身份驗證因素
13.2.4 密碼
13.2.5 智能卡和令牌
13.2.6 生物識別技術
13.2.7 多因素身份驗證
13.2.8 設備驗證
13.2.9 服務身份驗證
13.3 實施身份管理
13.3.1 單點登錄
13.3.2 憑據管理系統
13.3.3 集成身份服務
13.3.4 管理會話
13.3.5 AAA協議
13.4 管理身份和訪問配置生命周期
13.4.1 訪問配置
13.4.2 帳戶審核
13.4.3 帳戶撤消
13.5 本章小結
13.6 考試要點
13.7 書面實驗
13.8 複習題
第14章 控制和監控訪問
14.1 比較訪問控制模型
14.1.1 比較許可權、權利和特權
14.1.2 理解授權機制
14.1.3 使用安全策略定義需求
14.1.4 實施縱深防禦
14.1.5 總結訪問控制模型
14.1.6 自主訪問控制
14.1.7 非自主訪問控制
14.2 了解訪問控制攻擊
14.2.1 風險要素
14.2.2 識別資產
14.2.3 識別威脅
14.2.4 識別漏洞
14.2.5 常見的訪問控制攻擊
14.2.6 保護方法綜述
14.3 本章小結
14.4 考試要點
14.5 書面實驗
14.6 複習題
第15章 安全評估與測試
15.1 構建安全評估和測試方案
15.1.1 安全測試
15.1.2 安全評估
15.1.3 安全審計
15.2 開展漏洞評估
15.2.1 漏洞描述
15.2.2 漏洞掃描
15.2.3 滲透測試
15.3 測試軟件
15.3.1 代碼審查與測試
15.3.2 接口測試
15.3.3 誤用例測試
15.3.4 測試覆蓋率分析
15.3.5 網站監測
15.4 實施安全管理流程
15.4.1 日誌審查
15.4.2 帳戶管理
15.4.3 備份驗證
15.4.4 關鍵績效和風險指標
15.5 本章小結
15.6 考試要點
15.7 書面實驗
15.8 複習題
第16章 安全運營管理
16.1 應用安全運營概念
16.1.1 知其所需和最小特權
16.1.2 職責分離
16.1.3 崗位輪換
16.1.4 強制休假
16.1.5 特權帳戶管理
16.1.6 管理信息生命周期
16.1.7 服務水平協議
16.1.8 關注人員安全
16.2 安全配置資源
16.2.1 管理硬體和軟件資產
16.2.2 保護物理資產
16.2.3 管理虛擬資產
16.2.4 管理雲資產
16.2.5 介質管理
16.3 配置管理
16.3.1 基線
16.3.2 使用鏡像技術創建基線
16.4 變更管理
16.4.1 安全影響分析
16.4.2 版本控制
16.4.3 配置文檔
16.5 補丁管理和漏洞減少
16.5.1 系統管理
16.5.2 補丁管理
16.5.3 漏洞管理
16.5.4 常見的漏洞和風險
16.6 本章小結
16.7 考試要點
16.8 書面實驗
16.9 複習題
第17章 事件的預防和響應
17.1 事件響應管理
17.1.1 事件的定義
17.1.2 事件響應步驟
17.2 落實檢測和預防措施
17.2.1 基本預防措施
17.2.2 了解攻擊
17.2.3 入侵檢測和預防系統
17.2.4 具體預防措施
17.3 日誌記錄、監測和審計
17.3.1 日誌記錄和監測
17.3.2 出口監測
17.3.3 效果評價審計
17.3.4 安全審計和審查
17.3.5 報告審計結果
17.4 本章小結
17.5 考試要點
17.6 書面實驗
17.7 複習題
第18章 災難恢復計劃
18.1 災難的本質
18.1.1 自然災難
18.1.2 人為災難
18.2 理解系統恢復和容錯能力
18.2.1 保護硬碟驅動器
18.2.2 保護服務器
18.2.3 保護電源
18.2.4 受信恢復
18.2.5 服務質量
18.3 恢復策略
18.3.1 確定業務單元的優先順序
18.3.2 危機管理
18.3.3 應急通信
18.3.4 工作組恢復
18.3.5 可替代的工作站點
18.3.6 相互援助協議
18.3.7 資料庫恢復
18.4 恢復計劃開發
18.4.1 緊急事件響應
18.4.2 人員通知
18.4.3 評估
18.4.4 備份和離站存儲
18.4.5 軟件託管協議
18.4.6 外部通信
18.4.7 公用設施
18.4.8 物流和供應
18.4.9 恢復與還原的比較
18.5 培訓、意識與文檔記錄
18.6 測試與維護
18.6.1 通讀測試
18.6.2 結構化演練
18.6.3 模擬測試
18.6.4 並行測試
18.6.5 完全中斷測試
18.6.6 維護
18.7 本章小結
18.8 考試要點
18.9 書面實驗
18.10 複習題
第19章 調查和道德
19.1 調查
19.1.1 調查的類型
19.1.2 證據
19.1.3 調查過程
19.2 計算機犯罪的主要類別
19.2.1 軍事和情報攻擊
19.2.2 商業攻擊
19.2.3 財務攻擊
19.2.4 恐怖攻擊
19.2.5 惡意攻擊
19.2.6 興奮攻擊
19.3 道德規範
19.3.1 （ISC）2的道德規範
19.3.2 道德規範和互聯網
19.4 本章小結
19.5 考試要點
19.6 書面實驗
19.7 複習題
第20章 軟件開發安全
20.1 系統開發控制概述
20.1.1 軟件開發
20.1.2 系統開發生命周期
20.1.3 生命周期模型
20.1.4 甘特圖與PERT
20.1.5 變更和配置管理
20.1.6 DevOps方法
20.1.7 應用編程接口
20.1.8 軟件測試
20.1.9 代碼倉庫
20.1.10 服務水平協議
20.1.11 軟件採購
20.2 創建資料庫和數據倉儲
20.2.1 資料庫管理系統的體繫結構
20.2.2 資料庫事務
20.2.3 多級資料庫的安全性
20.2.4 ODBC
20.2.5 NoSQL
20.3 存儲數據和信息
20.3.1 存儲器的類型
20.3.2 存儲器威脅
20.4 理解基於知識的系統
20.4.1 專家系統
20.4.2 機器學習
20.4.3 神經網絡
20.4.4 安全性應用
20.5 本章小結
20.6 考試要點
20.7 書面實驗
20.8 複習題
第21章 惡意代碼和應用攻擊
21.1 惡意代碼
21.1.1 惡意代碼的來源
21.1.2 病毒
21.1.3 邏輯炸彈
21.1.4 特洛伊木馬
21.1.5 蠕蟲
21.1.6 間諜軟件與廣告軟件
21.1.7 零日（Zero-Day）攻擊
21.2 密碼攻擊
21.2.1 密碼猜測攻擊
21.2.2 字典攻擊
21.2.3 社會工程學
21.2.4 對策
21.3 應用程序攻擊
21.3.1 緩衝區溢出
21.3.2 檢驗時間到使用時間
21.3.3 後門
21.3.4 許可權提升和rootkit
21.4 Web應用的安全性
21.4.1 跨站腳本
21.4.2 跨站請求偽造
21.4.3 SQL注入攻擊
21.5 偵察攻擊
21.5.1 IP探測
21.5.2 埠掃描
21.5.3 漏洞掃描
21.6 偽裝攻擊
21.6.1 IP欺騙
21.6.2 會話劫持
21.7 本章小結
21.8 考試要點
21.9 書面實驗
21.10 複習題
附錄A 書面實驗答案
附錄B 複習題答案