CCSP雲安全專家認證All-in-One(第2版)（簡體書）

涵蓋所有六個知識域:

●云概念、架構與設計

●云數據安全

●云平臺與基礎架構安全

●云應用程序安全

●云運營安全

●法律、風險與合規

Daniel Carter，持有CISSP、CCSP、CISM和CISA等證書，是約翰斯·霍普金斯大學醫學院的高級系統工程師。作為一名IT安全和系統專家，Daniel在基於Web的應用程序和基礎架構，以及LDAP、PKI、SIEM、Linux/UNIX系統、SAML和聯合身份系統等領域擁有豐富的工作經驗。Daniel擁有美國馬裡蘭大學的犯罪學和刑事司法學位，以及技術管理碩士學位，研究方向是國土安全管理。

譯者簡介

欒浩，獲得美國天普大學IT審計與網絡安全專業理學碩士學位，持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等認證。現任CTO職務，負責金融科技研發、數據安全、云計算安全和信息科技審計和風控等工作。擔任(ISC)²上海分會理事。欒浩先生擔任本書的總技術負責人，並承擔第1章、第3~5章的翻譯工作，以及全書的校對和定稿工作。

陳英杰，獲得北京交通大學海濱學院計算機科學與應用專業工學學士學位，持有國家互聯網應急中心“網絡安全能力認證(CCSC)”培訓講師、高級網絡安全等級測評師等認證。現任河北翎賀計算機信息技術有限公司總經理，負責公司運營和安全技術管理工作。陳英杰女士承擔全書的校對和定稿工作。

姚凱，獲得中歐國際工商學院工商管理碩士學位，持有CISSP、CCSP、CISA和CEH等認證。現任CIO職務，負責IT戰略規劃、策略程序制定、IT架構設計及應用部署、系統取證和應急響應、數據安全、災難恢復演練及復盤等工作。姚凱先生承擔本書前言、第7章的翻譯工作，以及全書校對工作。姚凱先生為本書撰寫了譯者序。

王向宇，獲得安徽科技學院網絡工程專業工學學士學位，持有CISP、CISP-A等認證。負責數據安全運營、安全工具研發、信息系統審計和軟件研發安全等工作。王向宇先生承擔本書第6章和附錄的翻譯工作，以及全書校對工作。

呂麗，獲得吉林大學文秘專業文學學士學位，持有CISSP、CISA、CISM和CISP-PTE等證書。現任中銀金融商務有限公司信息安全經理，負責信息科技風險管理、網絡安全技術評估、信息安全體系制度管理、業務持續及災難恢復體系管理、安全合規與審計等工作。呂麗女士承擔全書術語校對工作，並擔任本書項目經理，統籌各項事務。

張瑞恒，畢業於防災科技學院計算機網絡技術與信息處理專業，持有CISSP、CISA和Prince2等認證。負責IT內控、云計算安全運營企業SOC建設以及數據安全等工作。張瑞恒先生擔任本書的云計算運營與技術顧問。

徐坦，獲得河北科技大學理工學院網絡工程專業工學學士學位，持有CISP等認證。現任安全滲透測試工程師職務，負責數據安全滲透測試、安全工具研發和企業安全攻防等工作。徐坦先生承擔本書部分章節的校對工作。

李浩軒，獲得河北科技大學理工學院網絡工程專業工學學士學位，持有CISP等認證。現任安全滲透測試工程師職務，負責安全工具研發、應用安全檢測、異常流量分析、攻擊事件研判和網絡攻擊溯源等工作。李浩軒先生承擔本書部分章節的校對工作。

陳陽，獲得哈爾濱工程大學計算機軟件工程碩士學位，持有CISSP、CISA等認證，現任高級技術經理職務，負責信息安全管理、信息風險管理、應急與災備管理、事件管理、信息科技監管合規等工作。陳陽女士承擔本書第2章翻譯工作以及部分章節的校對工作。

任寅，畢業於河北工業大學計算機科學與技術專業，持有注冊信息安全講師(CISI)、國家互聯網應急中心“網絡安全能力認證(CCSC)”講師等認證。現任河北翎賀計算機信息技術有限公司技術經理職務，負責網絡安全等級測評、風險評估、商用密碼應用安全性評估、信息安全審計等工作。任寅女士承擔本書部分章節的校對工作。

沈鵬，畢業於西北工業大學網絡工程專業，持有CISP-PTE、國家互聯網應急中心CCSC講師等認證。現任河北翎賀計算機信息技術有限公司攻防實驗室負責人職務，負責網絡安全攻防對抗、溯源取證、商用密碼應用安全性評估等工作。沈鵬先生承擔本書部分章節的校對工作。

任佩，獲得北京工業大學軟件工程專業碩士學位，持有CISP、信息安全等級測評師證書(高級)、信息系統項目管理師(高級)等認證。現任職於中國電科集團第十五研究所中電科認證測評中心網絡安全測評部主管，負責網絡安全等級測評、風險評估、商用密碼應用安全性評估、信息安全審計等工作。任佩女士承擔本書部分章節校對工作。

李雅欣，獲得中南財經政法大學信息安全專業工學學士學位。現任解決方案工程師職務，負責數據安全產品方案及內容輸出、安全工具產品說明和企業數據安全業務模型設計等工作。李雅欣女士承擔本書部分章節的校對工作。

劉波，畢業於西北工業大學計算機科學與技術專業，持有CISP、網絡安全等級測評師中級證書、信息安全保障人員認證安全運維(專業級)等認證。現任職於河北翎賀計算機信息技術有限公司技術部，負責網絡安全等級測評、風險評估、商用密碼應用安全性評估、信息安全審計等工作。劉波先生承擔本書部分章節的校對工作。

何迎杰，獲得河北工業大學通信工程專業工學學士學位，持有國家互聯網應急中心CCSC講師認證等認證，中國計算機學會CCF會員，現任職於河北翎賀計算機信息技術有限公司技術部，負責網絡安全等級測評、風險評估、商用密碼應用安全性評估、信息安全審計等工作。何迎杰女士承擔本書部分章節的校對工作。

本書原文涉獵廣泛，內容涉及云計算安全的各方面的認證考試相關難點，特別是細分領域的安全術語和概念，中文譯本極易混淆，往往令應試者考場失利。在本次翻譯工作中，針對此類情況，舉行了專項學術討論，(ISC)²上海分會的諸位安全專家給予高效專業的解答，這裡衷心感謝(ISC)²上海分會理事會和(ISC)²上海分會會員的參與、支持和幫助。

《CCSP云安全專家認證All-in-One(第2版)》是一份高效的自學指南，涵蓋2019年發布的具有挑戰性的CCSP考試的所有六個知識域，以及由(ISC)開發的CCSP通用知識體系。本書講解清晰，列舉多個示例，練習題與實際考試的內容和風格完全匹配:正文穿插的“注意”和“警告”提供獨到見解，“考試提示” 傳授考試經驗。每章開頭列出關鍵信息，章末附有“練習”“小結”“問題”以及“答案”，以幫助學員回顧重點並扎實掌握知識點。

過去幾年間，“云(Cloud)”流行開來，即使是那些與IT行業沒有直接聯繫、沒受過培訓或沒有專業知識的外行人士，也開始對其熟悉起來。云計算不時出現在面向普通大眾的商業廣告中，作各類服務的主要賣點。即使是那些不了解什麼是云計算(Cloud Computing)或云計算工作原理的人們，很大程度上也認識到云計算是對產品或服務起主要作用的積極因素，普遍認為云計算意味著更高的可靠性(Reliability)、更快的速度和更便捷的整體消費者體驗。由於云計算具有諸多優勢和特性，如今的許多組織都在鼓足幹勁、快馬加鞭地擁抱云計算技術。

隨著行業運營模式的巨大轉變，各類組織對深入、嫻熟掌握云計算技術的專家的需求以同樣的速度激增，這種需求遍及各個計算領域。由於云計算的獨特影響力和特徵，使相關組織對云計算安全專家的需求變得分外急迫，以全面保護組織的各類系統(System)、應用程序(Application)和數據。

云計算代表IT專家和安全專家看待數據保護以及可用的各類技術和方法的範式轉變。在想要獲得CCSP認證的考生中，一部分是經驗豐富的安全專家，並已持有多個安全類證書，如CISSP認證等。但對於其他讀者而言，這將是成為安全專家的第一次認證考試歷程。一些考生早先就開始使用云計算技術，而其他大部分考生則是第一次學習云計算技術的基礎知識。本書旨在滿足各類考生的需要，不論其是否具有安全或通用計算方面的背景或具體經驗。

本書將為考生提供通過CCSP考試所需的信息和知識，也將擴展考生對云計算和安全技術的理解和認知，而非僅是應試和答題。希望考生能將本書作為一本案頭必備書籍，即使在考試後也繼續通過本書更深入地理解核心云計算概念和方法。

本書的結構與(ISC)2官方考試大綱的主題密切相關，涵蓋其中的所有目標和組成部分。在深入研究CCSP考試涉及的六大知識域前，本書為那些將CCSP作為第一項安全認證的考生提供關於IT安全的一般性介紹。而那些經驗豐富並已持有各類安全證書的考生將發現這是一種復習基本概念和術語的有效方法。

不論考生的背景、經驗如何，也無論已持有多少證書，作者都希望考生能通過本書發現云計算領域獨特的安全挑戰，獲得更多啟發和頓悟。云計算技術代表計算領域的一個不斷發展、令人興奮的新方向，在可預見的未來，云計算技術將成為一種主要範式(Major Paradigm)。

第1章 獲得CCSP認證的途徑及

安全概念簡介 1

1.1 為什麼CCSP認證的價值

如此之高 1

1.2 如何獲取CCSP認證 2

1.3 CCSP六大知識域簡介 3

1.3.1 知識域1：云概念、架構與

設計 3

1.3.2 知識域2：云數據安全 5

1.3.3 知識域3：云平臺與基礎架構

安全 6

1.3.4 知識域4：云應用程序安全 7

1.3.5 知識域5：云安全運營 8

1.3.6 知識域6：法律、風險與

合規 9

1.4 IT安全簡介 10

1.4.1 基礎安全概念 10

1.4.2 風險管理 14

1.4.3 業務持續性和災難

恢復(BCDR) 14

1.5 本章小結 15

第2章 云概念、架構與設計 17

2.1 云計算概念 18

2.1.1 云計算定義 18

2.1.2　云計算角色 19

2.1.3 云計算的關鍵特性 20

2.1.4 構建塊技術 22

2.2 云參考架構 22

2.2.1 云計算活動 23

2.2.2 云服務能力 24

2.2.3 云服務類別 24

2.2.4 云部署模型 28

2.2.5 云共享注意事項 31

2.2.6 相關技術的影響 34

2.3 與云計算相關的安全概念 38

2.3.1 密碼術 38

2.3.2 訪問控制 40

2.3.3 數據和介質脫敏 42

2.3.4 網絡安全 44

2.3.5 虛擬化技術安全 44

2.3.6 常見威脅 45

2.3.7 不同云類別的安全考慮 49

2.4 云計算的安全設計原則 53

2.4.1 云安全數據生命周期 53

2.4.2 基於云環境的業務持續性和

災難恢復規劃 54

2.4.3 成本效益分析 55

2.5 識別可信云服務 56

2.5.1 認證與準則 56

2.5.2 系統/子系統產品認證 56

2.6 云架構模型 60

2.6.1 舍伍德業務應用安全架構

(SABSA) 61

2.6.2 IT基礎架構庫(ITIL) 61

2.6.3 The Open Group架構框架

(TOGAF) 61

2.6.4 NIST云技術路線圖 62

2.7 練習 62

2.8 本章小結 62

2.9 問題 63

2.10 答案 65

第3章 云數據安全 69

3.1 描述云數據概念 69

3.1.1 云數據生命周期的各階段 69

3.1.2 數據分散 72

3.2 設計和實施云數據存儲架構 72

3.2.1 存儲類型 72

3.2.2 云存儲的威脅 74

3.3 設計並實施數據安全戰略 74

3.3.1 加密技術 75

3.3.2 哈希技術 76

3.3.3 密鑰管理 77

3.3.4 標記化技術 78

3.3.5 數據防泄露 78

3.3.6 數據去標識化技術 79

3.3.7 匹配應用程序與數據

安全技術 80

3.3.8 新興技術 81

3.4 實施數據探查 82

3.4.1 結構化數據 83

3.4.2 非結構化數據 83

3.5 數據分類的實施 83

3.5.1 映射 84

3.5.2 標簽 84

3.5.3 敏感數據 85

3.6 個人身份信息的相關數據

保護司法管轄權 85

3.6.1 數據隱私法案 86

3.6.2 隱私角色和責任 87

3.6.3 實施數據探查 87

3.6.4 對探查出的敏感數據執行

分類 87

3.6.5 控制措施的映射和定義 88

3.6.6 使用已定義的控制措施 88

3.7 數據版權管理 89

3.7.1 數據版權目標 89

3.7.2 常見工具 89

3.8 數據留存、刪除和歸檔策略 90

3.8.1 數據留存 90

3.8.2 數據刪除 91

3.8.3 數據歸檔 92

3.8.4 法定保留 93

3.9 數據事件的可審計性、

可追溯性和可問責性 93

3.9.1 事件源定義 94

3.9.2 身份屬性要求 95

3.9.3 數據事件日志 97

3.9.4 數據事件的存儲和分析 98

3.9.5 持續優化 100

3.9.6 證據保管鏈和抗抵賴性 101

3.10 練習 101

3.11 本章小結 101

3.12 問題 102

3.13 答案 104

第4章 云平臺與基礎架構安全 107

第5章 云應用程序安全 135

第6章 云運營安全 163

第7章 法律、風險與合規 205

7.1 云計算相關的監管合規要求和特有風險 205

7.1.1 相互衝突的國際法律 206

7.1.2 云計算特有法律風險評價 206

7.1.3 法律框架和指導原則 206

7.1.4 電子取證 207

7.1.5 取證要求 210

7.2 理解隱私問題 211

7.2.1 合同PII以及受監管PII的差異 211

7.2.2 PII和數據隱私相關的國家特定法律 212

7.2.3 機密性、完整性、可用性和隱私性之間的差異 213

7.2.4 隱私要求標準 215

7.3 理解審計流程、方法論和云環境所需的調整 217

7.3.1 內外部審計控制體系 217

7.3.2 審計要求的影響 218

7.3.3 虛擬化和云環境的保障挑戰 218

7.3.4 審計報告類型 219

7.3.5 審計範圍限制 221

7.3.6 差距分析 222

7.3.7 審計規劃 223

7.3.8 內部信息安全管理體系 226

7.3.9 內部信息安全控制系統 227

7.3.10 策略 228

7.3.11 利益相關方的識別和參與 228

7.3.12 高度監管行業的特殊合規要求 229

7.3.13 分布式IT模型的影響 229

7.4 理解云對企業風險管理的影響 230

7.4.1 評估云服務提供商的風險管理態勢 230

7.4.2 數據所有方/控制方與數據托管方/處理方之間的差異 231

7.4.3 風險處理 231

7.4.4 不同的風險框架 234

7.4.5 風險管理指標 235

7.4.6 風險環境評估 236

7.5 了解外包和云合同設計 236

7.5.1 業務需求 236

7.5.2 供應商管理 237

7.5.3 合同管理 238

7.6 履行供應商管理 240

7.7 練習 240

7.8 本章小結 240

7.9 問題 241

7.10 答案 243

附錄A 備考習題(可從配套網站下載)

附錄B 關於在線內容(可從配套網站下載)