CISSP All-In-One考试指南,第八版,第8版

书中描述

新版Shon Harris'estselling考试准备指导 - 全新的CISSP 2018常见知识

这有效的自学指南充分准备您具有挑战性的CISSP考试,并提供100%覆盖所有考试领域。本版本已经彻底修订,涵盖了新的CISSP 2018共同知识体系、热点和拖放问题格式等。

CISSP全合一考试指南,第八版提供实践练习以及“笔记”,“提示”和“注意事项”,提供真实世界的洞察力,并呼出潜在有害的情况。每个章节都有学习目标,考试技巧和练习问题,深入答案解释。除了考试准备之外,指南还可作为IT安全专业人员的理想选择。

•完全更新以涵盖2018年考试目标和问题格式
•数字内容包括访问totaltester测试引擎的1500个练习问题,和抽认卡
•作为必不可少的作业参考

目录

  1. 封面
  2. 封面
  3. 版权页
  4. 奉献
  5. 关于作者
  6. 内容一目了然
  7. 内容
  8. 在纪念Shon Harris
  9. 前言
  10. 来自作者
  11. 致谢
  12. 为什么成为CISSP?
  13. 第一章安全与风险管理
    1. 安全基本原则
      1. 可用性
      2. 完整性
      3. 保密
      4. 平衡的安全
    2. 安全定义
    3. 控制类型
    4. 安全框架
      1. ISO / IEC 27000系列
      2. 企业架构开发
      3. 安全控制发展
      4. 流程管理发展
      5. 功能与安全
    5. 计算机犯罪法的症结
    6. 网络犯罪的复杂性
      1. 电子资产
      2. 攻击的演变
      3. 国际问题
      4. 法律制度的类型
    7. 知识产权法
      1. 商业秘密
      2. 版权
      3. 商标
      4. 专利
      5. 知识产权内部保护
      6. 软件盗版
    8. 隐私
      1. 对隐私法的需求日益增长
      2. 法律、指示和法规
      3. 员工隐私问题
    9. 数据泄露
      1. 与数据违规有关的法律
      2. 其他国家与数据违规的法律
    10. 政策、标准、基线、指导方针和程序
      1. 安全政策
      2. 标准
      3. 基线
      4. 指导方针
      5. 程序
      6. 执行
    11. 风险管理
      1. 全面风险管理
      2. 信息系统风险管理政策
      3. 风险管理团队
      4. 风险管理流程
    12. 威胁建模
      1. 威胁建模概念
      2. 威胁建模方法
    13. 风险评估和分析
      1. 风险评估团队
      2. 信息与资产的价值
      3. 成本构成价值
      4. 识别漏洞和威胁
      5. 风险评估方法
      6. 风险分析方法
      7. 定性风险分析
      8. 保护机制
      9. 总风险与残余风险
      10. 处理风险
    14. 供应链风险管理
      1. 上游和下游供应商
      2. 服务等级协定
    15. 风险管理框架
      1. 分类信息系统
      2. 选择安全控制
      3. 实现安全控制
      4. 评估安全控制
      5. 授权信息系统
      6. 监控安全控件
    16. 业务连续性和灾难恢复
      1. 标准和最佳实践
      2. 使BCM成为企业安全计划的一部分
      3. BCP项目组件
    17. 人员的安全
      1. 招聘实践
      2. onboarding.
      3. 终止
      4. 安全意识培训
      5. 学位或认证?
    18. 安全治理
      1. 指标
    19. 伦理
      1. 计算机伦理研究所
      2. 互联网架构板
      3. 企业伦理程序
    20. 总结
    21. 快速提示
      1. 问题
      2. 答案
  14. 第2章资产安全
    1. 信息生命周期
      1. 收购
      2. 档案馆
      3. 处理
    2. 分类
      1. 分类水平
      2. 分类控件
    3. 责任层
      1. 执行管理
      2. 数据所有者
      3. 数据托管人
      4. 系统所有者
      5. 安全管理员
      6. 导师
      7. 变更控制分析师
      8. 数据分析师
      9. 用户
      10. 审计师
      11. 为什么这么多角色?
    4. 保留政策
      1. 制定保留政策
    5. 保护隐私
      1. 数据所有者
      2. 数据处理器
      3. 数据剩磁
      4. 集合限制
    6. 保护资产
      1. 数据安全控件
      2. 媒体控制
      3. 保护移动设备
      4. 纸张记录
      5. 保险箱
      6. 选择标准
    7. 数据泄露
      1. 数据泄漏的预防
    8. 总结
    9. 快速提示
      1. 问题
      2. 答案
  15. 第三章安全架构与工程
    1. 系统架构
    2. 计算机架构
      1. 中央处理单元
      2. 多处理
      3. 内存类型
    3. 操作系统
      1. 流程管理
      2. 内存管理
      3. 输入/输出设备管理
      4. CPU架构集成
      5. 操作系统架构
      6. 虚拟机
    4. 系统安全架构
      1. 安全政策
      2. 安全架构要求
    5. 安全模型
      1. 贝尔拉帕德杜模型
      2. 成员模型
      3. Clark-Wilson模型
      4. 不干扰模型
      5. 布鲁尔和纳什模型
      6. Graham-Denning模型
      7. Harrison-Ruzzo-Ullman模型
    6. 系统评估
      1. 共同标准
      2. 为什么要对产品进行评估?
    7. 认证与认证
      1. 认证
      2. 认证
    8. 开放系统与封闭系统
      1. 开放系统
      2. 封闭系统
    9. 系统安全
      1. 基于客户端的系统
      2. 客户机-服务器系统
      3. 分布式系统
      4. 云计算
      5. 并行计算
      6. 数据库系统
      7. 基于web的系统
      8. 移动系统
      9. 网络物理系统
    10. 一些威胁要审查
      1. 维护钩子
      2. Time-of-Check /分时攻击
    11. 密码学在上下文中
      1. 密码学的历史
    12. 密码学定义和概念
      1. Kerckhoffs的原则
      2. 密码系统的强度
      3. 一次性垫
      4. 奔跑和隐藏密码
      5. 隐写术
    13. 类型的密码
      1. 替换密码
      2. 换位密码
    14. 加密方法
      1. 对称与非对称算法
      2. 对称密码学
      3. 块和流密码
      4. 混合加密方法
    15. 对称系统的类型
      1. 数据加密标准
      2. Triple-des.
      3. 高级加密标准
      4. 国际数据加密算法
      5. 河豚
      6. RC4
      7. RC5
      8. 将是
    16. 非对称系统的类型
      1. Diffie-Hellman算法
      2. RSA.
      3. el gamal.
      4. 椭圆曲线密码系统
      5. 背包
      6. 零知识证明
    17. 消息完整性
      1. 单向散列
      2. 各种散列算法
      3. MD4.
      4. MD5.
      5. 单向哈希函数攻击
    18. 公钥基础设施
      1. 证书当局
      2. 证书
      3. 注册机构
      4. PKI步骤
    19. 应用加密
      1. 服务密码
      2. 数字签名
      3. 数字签名标准
      4. 密钥管理
      5. 可信平台模块
      6. 数字版权管理
    20. 攻击加密
      1. 仅限密文攻击
      2. 已知的明文攻击
      3. 选择 - 明文攻击
      4. chosen-piphertext攻击
      5. 差分密码分析
      6. 线性密码分析
      7. 侧通道攻击
      8. 重播攻击
      9. 代数攻击
      10. 分析攻击
      11. 统计攻击
      12. 社会工程攻击
      13. 见面中间攻击
    21. 网站和设施安全
    22. 修建性规划过程
      1. 通过环境设计预防犯罪
      2. 设计物理安全计划
    23. 内部支持系统
      1. 电力
      2. 环境问题
      3. 防火,检测和抑制
    24. 总结
    25. 快速提示
      1. 问题
      2. 答案
  16. 第4章通信和网络安全
    1. 网络架构原理
    2. 打开系统互连参考模型
      1. 协议
      2. 应用程序层
      3. 表示层
      4. 会话层
      5. 运输层
      6. 网络层
      7. 数据链路层
      8. 物理层
      9. OSI模型中的函数和协议
      10. 将图层绑在一起
      11. 多层协议
    3. TCP / IP模型
      1. TCP
      2. IP寻址
      3. IPv6.
      4. 第2层安全标准
      5. 聚合协议
    4. 传输媒体
      1. 传输类型
      2. 布线
    5. 无线网络
      1. 无线通信技术
      2. WLAN组件
      3. WLAN安全的演变
      4. 无线标准
      5. 保护WLAN的最佳实践
      6. 卫星
      7. 移动无线通信
    6. 网络基础
      1. 网络拓扑结构
      2. 媒体访问技术
      3. 传输方法
    7. 网络协议与服务
      1. 地址解析协议
      2. 动态主机配置协议
      3. Internet控制消息协议
      4. 简单的网络管理协议
      5. 域名服务
      6. 电子邮件服务
      7. 网络地址转换
      8. 路由协议
    8. 网络组件
      1. 中继者
      2. 桥梁
      3. 路由器
      4. 开关
      5. 网关
      6. 用户交换机
      7. 防火墙
      8. 代理服务器
      9. 统一威胁管理
      10. 内容分发网络
      11. 软件定义网络
      12. 终点
      13. 蜜罐
      14. 网络访问控制
      15. 虚拟网络
    9. 内联网和外联网
    10. 大都市区域网络
      1. 地铁以太网
    11. 广域网
      1. 电信演变
      2. 专用链接
      3. WAN Technologies
    12. 通信渠道
      1. 多业务访问技术
      2. H.323网关
      3. 挖掘进入啜饮
      4. IP电话问题
    13. 远程访问
      1. 拨号连接
      2. isdn.
      3. DSL.
      4. 电缆调制解调器
      5. VPN
      6. 身份验证协议
    14. 网络加密
      1. 链路加密vs.端到端加密
      2. 电子邮件加密标准
      3. 网络安全
    15. 网络攻击
      1. 拒绝服务
      2. 嗅闻
      3. DNS劫持
      4. 驾车下载
    16. 总结
    17. 快速提示
      1. 问题
      2. 答案
  17. 第5章身份和访问管理
    1. 访问控制概述
    2. 安全原则
      1. 可用性
      2. 完整性
      3. 保密
    3. 识别,身份验证,授权和问责制
      1. 识别和身份验证
      2. 身份验证方法
      3. 授权
      4. 问责制
      5. 会话管理
      6. 联邦
    4. 将身份作为服务集成
      1. 内部
      2. 整合问题
    5. 访问控制机制
      1. 自由访问控制
      2. 强制访问控制
      3. 基于角色的访问控制
      4. 基于规则的访问控制
      5. 基于属性的访问控制
    6. 访问控制技术与技术
      1. 限制用户界面
      2. 远程访问控制技术
      3. 访问控制矩阵
      4. 内容相关访问控制
      5. 上下文相关的访问控制
    7. 管理身份和访问提供生命周期
      1. 供应
      2. 用户访问评论
      3. 系统帐户访问审核
      4. 消退
    8. 控制物理和逻辑访问
      1. 访问控制层
      2. 行政控制
      3. 物理控制
      4. 技术控制
    9. 访问控制实践
      1. 未经授权披露资料
    10. 访问控制监控
      1. 入侵检测系统
      2. 入侵防御系统
    11. 对访问控制的威胁
      1. 字典攻击
      2. 穷举式攻击
      3. 登录时欺骗
      4. 钓鱼,嫁接
    12. 总结
    13. 快速提示
      1. 问题
      2. 答案
  18. 第六章安全评估与测试
    1. 评估,测试和审计策略
      1. 内部审计
      2. 外部审计
      3. 第三方审核
      4. 测试覆盖范围
    2. 审计技术控制
      1. 漏洞测试
      2. 渗透测试
      3. 战争拨号
      4. 其他类型的脆弱性
      5. 后期
      6. 日志评论
      7. 综合事务
      8. 滥用情况下测试
      9. 代码评审
      10. 代码测试
      11. 界面测试
    3. 审计管理控制
      1. 账户管理
      2. 备份验证
      3. 灾难恢复和业务连续性
      4. 安全培训和安全意识培训
      5. 关键绩效和风险指标
    4. 报告
      1. 分析结果
      2. 撰写技术报告
      3. 执行概要
    5. 管理审查和批准
      1. 在管理审查之前
      2. 审查输入
      3. 管理批准
    6. 总结
    7. 快速提示
      1. 问题
      2. 答案
  19. 第7章安全操作
    1. 运营部的作用
    2. 行政管理
      1. 安全和网络人员
      2. 问责制
      3. 剪切水平
    3. 物理安全
      1. 设施访问控制
      2. 人员访问控制
      3. 外部边界保护机制
      4. 入侵检测系统
      5. 巡逻部队及警卫
      6. 小狗
      7. 审计物理访问
      8. 内部安全控件
    4. 安全的资源配置
      1. 资产库存
      2. 资产管理
      3. 配置管理
      4. 值得信赖的恢复
      5. 输入和输出控制
      6. 系统硬化
      7. 远程访问安全性
      8. 供应云资产
    5. 网络和资源可用性
      1. 平均故障间隔时间
      2. 平均修复时间
      3. 单点失败
      4. 备份
      5. 应急计划
    6. 防止和检测
      1. 连续监测
      2. 防火墙
      3. 入侵检测和防御系统
      4. 白名单和黑名单
      5. 防病毒
      6. 漏洞管理
      7. 补丁管理
      8. 沙盒
      9. 蜜罐和蜜虫
      10. 出口监测
      11. 安全信息和事件管理
      12. 外包服务
    7. 事故管理程序
      1. 检测
      2. 响应
      3. 缓解
      4. 报告
      5. 恢复
      6. 修复
    8. 调查
      1. 计算机取证和适当的证据收集
      2. 动机,机会和手段
      3. 计算机犯罪行为
      4. 事故调查人员
      5. 类型的调查
      6. 法医调查过程
      7. 在法庭上受理的是什么?
      8. 监视,搜索和扣押
    9. 灾难恢复
      1. 业务流程的复苏
      2. 恢复网站策略
      3. 供应及技术回收
      4. 备份存储策略
      5. 最终用户环境
      6. 可用性
    10. 责任及其后果
      1. 责任情景
      2. 第三方风险
      3. 合同协议
      4. 采购和供应商流程
    11. 保险
    12. 实施灾难恢复
      1. 人员
      2. 评估
      3. 恢复
      4. 通信
      5. 训练
    13. 人身安全问题
      1. 紧急管理
      2. 胁迫
      3. 旅行
      4. 训练
    14. 总结
    15. 快速提示
      1. 问题
      2. 答案
  20. 第八章软件开发安全
    1. 建立好的代码
      1. 我们在哪里放置安全?
      2. 不同的环境需要不同的安全性
      3. 环境与应用程序
      4. 功能与安全
      5. 实施和默认问题
    2. 软件开发生命周期
      1. 项目管理
      2. 需求收集阶段
      3. 设计阶段
      4. 发展阶段
      5. 测试阶段
      6. 运营和维护阶段
    3. 软件开发方法
      1. 瀑布方法
      2. v型方法
      3. 原型设计
      4. 增量方法
      5. 螺旋方法
      6. 快速应用开发
      7. 敏捷方法
      8. 集成产品团队
      9. DevOps
    4. 能力成熟度模型集成
    5. 变更管理
      1. 切换控制
    6. 开发环境的安全性
      1. 发展平台的安全性
      2. 代码库的安全性
      3. 软件配置管理
    7. 安全编码
      1. 源代码漏洞
      2. 安全编码实践
    8. 编程语言和概念
      1. 汇编程序、编译器、解释器
      2. 面向对象的概念
      3. 其他软件开发概念
      4. 应用程序编程接口
    9. 分布式计算
      1. 分布式计算环境
      2. Corba和Orbs.
      3. COM和DCOM
      4. Java平台,企业版
      5. 面向服务的体系结构
    10. 移动代码
      1. Java applet
      2. ActiveX控件
    11. Web安全
      1. 对Web环境的具体威胁
      2. Web应用安全原理
    12. 数据库管理
      1. 数据库管理软件
      2. 数据库模型
      3. 数据库编程接口
      4. 关系数据库组件
      5. 完整性
      6. 数据库安全问题
      7. 数据仓库和数据挖掘
    13. 恶意软件(恶意软件)
      1. 病毒
      2. 蠕虫
      3. Rootkit
      4. 间谍软件和广告软件
      5. 僵尸网络攻击
      6. 逻辑炸弹
      7. 特洛伊木马
      8. 防病毒软件
      9. 垃圾邮件检测
      10. antimalware程序
    14. 评估收购软件的安全性
    15. 总结
    16. 快速提示
      1. 问题
      2. 答案
  21. 附录是全面的问题
    1. 答案
  22. 附录B关于在线内容
    1. 系统需求
    2. 您的研讨会总研讨会账户
      1. 单个用户许可条款和条件
    3. TotalTester在线
    4. 热点和拖放问题
    5. 在线闪存卡
      1. 单个用户许可条款和条件
      2. 技术支援
  23. 词汇表
  24. 指数

产品信息

  • 标题:CISSP All-In-One考试指南,第八版,第8版
  • 作者:肖恩·哈里斯,费尔南多·梅米
  • 发布日期:2018年10月
  • 出版商:麦格劳山
  • 国际标准图书编号:9781260142648