描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787302567738丛书名: 安全技术经典译丛
《CISSP权威指南(第8版)》针对新发布的“信息系统安全认证专家考试”做了全面细致的修订和更新,覆盖所有考试领域以及(ISC)2新开发的2018 CISSP通用知识体系。这本综合性权威指南编排精当,每章开头列出学习目标,正文中穿插考试提示,章末附有练习题和精辟解释。本书由*的IT安全认证和培训专家撰写,将帮助你轻松通过考试;也可作为你工作中的一本重要参考书。
涵盖CISSP的8个专业领域: ? 安全和风险管理 ? 资产安全 ? 安全架构与工程 ? 通信与网络安全 ? 身份与访问管理 ? 安全评估与测试 ? 运营安全 ? 软件开发安全
第1章 安全和风险管理 1
1.1 安全基本原则 3
1.1.1 可用性 3
1.1.2 完整性 4
1.1.3 机密性 4
1.1.4 平衡安全性 5
1.2 安全定义 6
1.3 控制措施类型 8
1.4 安全框架 12
1.4.1 ISO/IEC 27000系列 14
1.4.2 企业安全架构建设 16
1.4.3 部署安全控制措施 27
1.4.4 建立流程管理体系 31
1.4.5 功能性与安全性 37
1.5 反计算机犯罪法律的难题 37
1.6 网络犯罪的复杂性 39
1.6.1 电子资产 40
1.6.2 攻击的演变 41
1.6.3 国际化问题 44
1.6.4 法律体系的分级 47
1.7 知识产权 50
1.7.1 商业秘密 50
1.7.2 版权(著作权) 51
1.7.3 商标 52
1.7.4 专利 53
1.7.5 内部知识产权保护 54
1.7.6 软件盗版 54
1.8 个人隐私保护 56
1.8.1 日益增加的隐私法需求 58
1.8.2 法律、法规与指引 59
1.8.3 员工隐私问题 65
1.9 数据泄露 67
1.9.1 有关数据泄露的美国法律 67
1.9.2 其他国家有关数据泄露的
法律 69
1.10 方针、策略、标准、基线、
指南与程序 69
1.10.1 安全方针及策略 70
1.10.2 标准 72
1.10.3 基线 73
1.10.4 指南 74
1.10.5 程序 74
1.10.6 实施 75
1.11 风险管理 75
1.11.1 全面风险管理 76
1.11.2 信息系统风险管理策略 76
1.11.3 风险管理团队 77
1.11.4 风险管理流程 78
1.12 威胁建模 78
1.12.1 威胁建模概念 78
1.12.2 威胁建模方法论 80
1.13 风险评估与分析 82
1.13.1 风险评估团队 83
1.13.2 信息与资产的价值 84
1.13.3 资产价值的成本要素 84
1.13.4 识别脆弱性与威胁 85
1.13.5 风险评估方法论 86
1.13.6 风险分析方法 90
1.13.7 定性风险分析 93
1.13.8 保护机制 96
1.13.9 总体风险与残余风险的对比 99
1.13.10 处理风险 100
1.14 供应链风险管理 101
1.14.1 上下游供应商 103
1.14.2 服务水平协议 104
1.15 风险管理框架 104
1.15.1 信息系统分类 105
1.15.2 选择安全控制措施 106
1.15.3 实施安全控制措施 106
1.15.4 评估安全控制措施 107
1.15.5 信息系统授权 107
1.15.6 持续监测安全控制措施 107
1.16 业务连续性和灾难恢复 108
1.16.1 标准与最佳实践 110
1.16.2 将业务连续性管理融入企业安全计划 112
1.16.3 业务连续性计划的组件 114
1.17 人员安全 127
1.17.1 聘用安全实践 128
1.17.2 入职安全实践 129
1.17.3 解聘 130
1.17.4 安全意识宣贯培训 130
1.17.5 学位或认证 132
1.18 安全治理 133
1.19 道德 137
1.19.1 计算机道德协会 138
1.19.2 Internet架构委员会 139
1.19.3 企业道德计划 140
1.20 总结 140
1.21 快速提示 142
1.22 问题 145
1.23 答案 152
第2章 资产安全 157
2.1 信息生命周期 158
2.1.1 获取 158
2.1.2 使用 159
2.1.3 归档 159
2.1.4 废弃 160
2.2 数据分级 160
2.2.1 数据分级水平 161
2.2.2 分级控制措施 164
2.3 管理责任层级 165
2.3.1 行政管理层 166
2.3.2 信息所有者 168
2.3.3 数据托管者 169
2.3.4 系统所有者 169
2.3.5 安全管理员 169
2.3.6 主管 170
2.3.7 变更控制分析师 170
2.3.8 数据分析师 170
2.3.9 用户 170
2.3.10 审计师 170
2.3.11 为什么有这么多角色? 171
2.4 资产留存策略 171
2.5 隐私保护 174
2.5.1 数据所有者 175
2.5.2 数据处理者 175
2.5.3 数据残留 175
2.5.4 信息收集限制 178
2.6 保护资产 179
2.6.1 数据安全控制措施 179
2.6.2 介质安全控制措施 183
2.6.3 移动设备安全保护 187
2.6.4 纸质记录 188
2.6.5 保险柜 188
2.6.6 选择恰当的安全标准 189
2.7 数据泄露 189
2.8 总结 197
2.9 快速提示 198
2.10 问题 199
2.11 答案 202
第3章 安全架构与工程 205
3.1 系统架构 206
3.2 计算机架构 209
3.2.1 中央处理器 210
3.2.2 多处理器 213
3.2.3 存储器类型 214
3.3 操作系统 225
3.3.1 进程管理 225
3.3.2 内存管理 233
3.3.3 输入/输出设备管理 237
3.3.4 中央处理器(CPU)集成架构 239
3.3.5 操作系统架构 242
3.3.6 虚拟机 248
3.4 系统安全架构 251
3.4.1 安全策略 252
3.4.2 安全架构需求 252
3.5 安全模型 256
3.5.1 Bell-LaPadula模型 257
3.5.2 Biba模型 257
3.5.3 Bell-LaPadula 模型与Biba模型 258
3.5.4 Clark-Wilson 模型 258
3.5.5 非干扰模型 259
3.5.6 Brewer-Nash模型 260
3.5.7 Graham-Denning模型 260
3.5.8 Harrison-Ruzzo-Ullman模型 261
3.6 系统评价 262
3.6.1 通用准则 262
3.6.2 产品评价的必要性 265
3.7 认证和认可 265
3.7.1 认证 266
3.7.2 认可 266
3.8 开放式系统与封闭式系统 267
3.9 系统安全 268
3.9.1 客户端系统 268
3.9.2 客户/服务端系统 268
3.9.3 分布式系统安全 269
3.9.4 云计算安全 269
3.9.5 并行计算 270
3.9.6 数据库系统安全 271
3.9.7 Web系统安全 272
3.9.8 移动系统安全 273
3.9.9 信息物理系统 274
3.10 工控安全威胁回顾 277
3.10.1 维护钩子 277
3.10.2 检查时间/使用时间
攻击 278
3.11 密码编码术的背景 279
3.12 密码学的定义与概念 284
3.12.1 Kerckhoffs原则 286
3.12.2 密码系统的强度 286
3.12.3 一次性密码本 287
3.12.4 滚动密码与隐藏密码 289
3.12.5 隐写术 290
3.13 密码运算的类型 292
3.13.1 替换密码 292
3.13.2 置换密码 292
3.14 加密方法 294
3.14.1 对称算法与非对称算法 294
3.14.2 对称密码算法 295
3.14.3 非对称密码算法 296
3.14.4 分组密码与流密码 299
3.14.5 混合加密方法 303
3.15 对称密码系统的种类 308
3.15.1 数据加密标准 308
3.15.2 三重DES 315
3.15.3 高级加密标准 315
3.15.4 国际数据加密算法 316
3.15.5 Blowfish 316
3.15.6 RC4 316
3.15.7 RC5 317
3.15.8 RC6 317
3.16 非对称密码系统的种类 317
3.16.1 Diffie-Hellman算法 318
3.16.2 RSA 320
3.16.3 El Gamal 322
3.16.4 椭圆曲线密码系统 322
3.16.5 背包问题算法 323
3.16.6 零知识证明 323
3.17 消息完整性 324
3.17.1 单向哈希 324
3.17.2 各种哈希算法 328
3.17.3 MD4算法 329
3.17.4 MD5算法 329
3.17.5 SHA 算法 329
3.17.6 对单向哈希函数的攻击 330
3.18 公钥基础架构 331
3.18.1 证书认证机构 331
3.18.2 证书 333
3.18.3 证书注册机构 333
3.18.4 PKI步骤 334
3.19 密码技术的应用 336
3.19.1 密码系统的服务 336
3.19.2 数字签名 337
3.19.3 数字签名标准(DSS) 339
3.19.4 密钥管理 339
3.19.5 可信平台模块 341
3.19.6 数字版权管理 343
3.20 对密码技术的攻击 343
3.20.1 唯密文攻击 343
3.20.2 已知明文攻击 344
3.20.3 选择明文攻击 344
3.20.4 选择密文攻击 344
3.20.5 差分密码分析 345
3.20.6 线性密码分析 345
3.20.7 侧信道攻击 345
3.20.8 重放攻击 346
3.20.9 代数攻击 346
3.20.10 分析攻击 346
3.20.11 统计攻击 347
3.20.12 社交工程攻击 347
3.20.13 中间相遇攻击 347
3.21 设计场所与基础设施安全 347
3.22 场所安全设计过程 348
3.22.1 通过环境设计来阻止犯罪 352
3.22.2 设计一个物理安全计划 356
3.23 内部支持系统 367
3.23.1 电力 368
3.23.2 环境问题 372
3.23.3 防火、探测和灭火 374
3.24 总结 379
3.25 快速提示 380
3.26 问题 384
3.27 答案 391
第4章 通信与网络安全 395
4.1 网络架构原则 396
4.2 开放系统互联参考模型 397
4.2.1 协议 398
4.2.2 应用层 400
4.2.3 表示层 401
4.2.4 会话层 402
4.2.5 传输层 404
4.2.6 网络层 405
4.2.7 数据链路层 405
4.2.8 物理层 407
4.2.9 OSI模型的功能与协议 408
4.2.10 OSI各层综述 410
4.2.11 多层协议 411
4.3 TCP/IP模型 412
4.3.1 TCP 413
4.3.2 IP寻址 418
4.3.3 IPv6 420
4.3.4 第二层安全标准 423
4.3.5 聚合协议 424
4.4 传输介质 425
4.4.1 传输类型 425
4.4.2 布线 429
4.5 无线网络 433
4.5.1 无线通信技术 434
4.5.2 无线网络组件 437
4.5.3 无线网络安全的演化 438
4.5.4 无线标准 443
4.5.5 无线网络安全最佳实践 448
4.5.6 卫星 448
4.5.7 移动无线通信 450
4.6 网络基础 453
4.6.1 网络拓扑 454
4.6.2 介质访问技术 456
4.6.3 传输方法 466
4.7 网络协议和服务 467
4.7.1 地址解析协议 467
4.7.2 动态主机配置协议 469
4.7.3 网络控制报文协议 471
4.7.4 简单网络管理协议 473
4.7.5 域名服务 475
4.7.6 电子邮件服务 481
4.7.7 网络地址转换 486
4.7.8 路由协议 487
4.8 网络组件 491
4.8.1 中继器 491
4.8.2 网桥 492
4.8.3 路由器 494
4.8.4 交换机 495
4.8.5 网关 499
4.8.6 PBX 501
4.8.7 防火墙 504
4.8.8 代理服务器 523
4.8.9 统一威胁管理 525
4.8.10 内容分发网络 526
4.8.11 软件定义网络 526
4.8.12 终端 528
4.8.13 蜜罐 529
4.8.14 网络准入控制 530
4.8.15 虚拟网络 530
4.9 内联网与外联网 531
4.10 城域网 533
4.11 广域网(WAN) 535
4.11.1 通信的发展 536
4.11.2 专用链路 538
4.11.3 WAN技术 541
4.12 通信信道 551
4.12.1 多服务访问技术 551
4.12.2 H.323 网关 553
4.12.3 SIP详述 554
4.12.4 IP电话安全问题 557
4.13 远程连接 558
4.13.1 拨号连接 559
4.13.2 ISDN 560
4.13.3 DSL 561
4.13.4 线缆调制解调器 562
4.13.5 VPN 563
4.13.6 身份验证协议 569
4.14 网络加密 571
4.14.1 链路加密与端对端加密 572
4.14.2 电子邮件加密标准 573
4.14.3 Internet安全 576
4.15 网络攻击 581
4.15.1 拒绝服务 581
4.15.2 嗅探 583
4.15.3 DNS劫持 583
4.15.4 偷渡下载 584
4.16 总结 585
4.17 快速提示 585
4.18 问题 589
4.19 答案 596
第5章 身份与访问管理 601
5.1 访问控制概述 601
5.2 安全原理 602
5.2.1 可用性 603
5.2.2 完整性 603
5.2.3 机密性 603
5.3 身份标识、身份验证、授权与可问责性 604
5.3.1 身份标识和身份验证 606
5.3.2 身份验证方法 615
5.3.3 授权 634
5.3.4 可问责性 646
5.3.5 会话管理 650
5.3.6 联合身份验证 651
5.4 集成身份即服务 661
5.4.1 本地部署 661
5.4.2 云计算 661
5.4.3 集成问题 662
5.5 访问控制机制 663
5.5.1 自主访问控制 663
5.5.2 强制访问控制 664
5.5.3 基于角色的访问控制 667
5.5.4 基于规则的访问控制 669
5.5.5 基于属性的访问控制 670
5.6 访问控制方法和技术 670
5.6.1 用户界面限制 671
5.6.2 远程访问控制技术 671
5.6.3 访问控制矩阵 677
5.6.4 内容相关访问控制 678
5.6.5 上下文相关访问控制 678
5.7 身份与访问权限配置生命周期管理 679
5.7.1 配置 679
5.7.2 用户访问审查 680
5.7.3 系统账户访问审查 680
5.7.4 撤销 680
5.8 控制物理与逻辑访问 681
5.8.1 访问控制层级 681
5.8.2 行政性控制措施 682
5.8.3 物理性控制措施 683
5.8.4 技术性控制措施 684
5.9 访问控制实践 686
5.10 访问控制持续监测 689
5.10.1 入侵检测系统 689
5.10.2 入侵防御系统 698
5.11 访问控制面临的威胁 700
5.11.1 字典攻击 700
5.11.2 暴力破解攻击 701
5.11.3 登录欺骗 702
5.11.4 网络钓鱼和域欺骗 702
5.12 总结 705
5.13 快速提示 705
5.14 问题 708
5.15 答案 715
第6章 安全评估与测试 719
6.1 评估、测试和审计策略 720
6.1.1 内部审计 722
6.1.2 外部审计 723
6.1.3 第三方审计 724
6.1.4 测试覆盖率 725
6.2 审计技术控制措施 725
6.2.1 漏洞测试 726
6.2.2 渗透测试 729
6.2.3 战争拨号 732
6.2.4 其他漏洞类型 733
6.2.5 事后检查 734
6.2.6 日志审查 735
6.2.7 综合交易 738
6.2.8 误用用例测试 738
6.2.9 代码审查 740
6.2.10 代码测试 741
6.2.11 接口测试 742
6.3 审计管理控制措施 742
6.3.1 账户管理 742
6.3.2 备份验证 744
6.3.3 灾难恢复和业务连续性 747
6.3.4 安全培训和安全意识宣贯 752
6.3.5 关键绩效和风险指标 756
6.4 报告 758
6.4.1 分析结果 758
6.4.2 撰写技术报告 759
6.4.3 摘要 760
6.5 管理评审和批准 761
6.5.1 管理评审之前 762
6.5.2 评审的输入 762
6.5.3 管理批准 763
6.6 总结 763
6.7 快速提示 764
6.8 问题 765
6.9 答案 769
第7章 运营安全 771
7.1 运营部门的角色 772
7.2 行政管理 773
7.2.1 安全与网络人员 775
7.2.2 可问责性 776
7.2.3 阈值水平 776
7.3 物理安全 777
7.3.1 工作场所访问控制 777
7.3.2 人员访问控制 784
7.3.3 外部边界保护机制 785
7.3.4 入侵检测系统 792
7.3.5 巡逻与警卫 795
7.3.6 警犬 795
7.3.7 物理访问的审计 796
7.3.8 内部安全控制措施 796
7.4 安全资源配置 796
7.4.1 资产清单 797
7.4.2 资产管理 798
7.4.3 配置管理 800
7.4.4 可信恢复 803
7.4.5 输入/输出控制措施 805
7.4.6 系统加固 806
7.4.7 远程访问的安全性 808
7.4.8 配置云资产 808
7.5 网络与资源的可用性 809
7.5.1 平均故障间隔时间 810
7.5.2 平均修复时间 810
7.5.3 单点故障 811
7.5.4 备份 818
7.5.5 应急计划 821
7.6 预防与检测 821
7.6.1 不间断持续监测 822
7.6.2 防火墙 823
7.6.3 入侵检测和防御系统 823
7.6.4 白名单与黑名单 824
7.6.5 反恶意软件 825
7.6.6 脆弱性管理 825
7.6.7 补丁管理 828
7.6.8 沙箱 830
7.6.9 蜜罐和蜜网 830
7.6.10 出口流量持续监测 831
7.6.11 安全信息和事件管理 832
7.6.12 外包服务 832
7.7 事故管理流程 833
7.7.1 检测 837
7.7.2 响应 837
7.7.3 缓解 838
7.7.4 报告 839
7.7.5 恢复 839
7.7.6 修复 840
7.8 调查 840
7.8.1 计算机取证与适当的证据收集 841
7.8.2 动机、机会与手段 842
7.8.3 计算机犯罪行为 843
7.8.4 事故调查 843
7.8.5 调查类型 844
7.8.6 司法调查流程 845
7.8.7 什么是法庭上可受理的? 850
7.8.8 监视、搜查和扣押 852
7.9 灾难恢复 853
7.9.1 业务流程恢复 856
7.9.2 恢复站点策略 857
7.9.3 供应和技术恢复 863
7.9.4 备份存储策略 866
7.9.5 终端用户环境 874
7.9.6 可用性 875
7.10 责任及其影响 877
7.10.1 责任示例场景 879
7.10.2 第三方风险 881
7.10.3 合同协议 881
7.10.4 采购和供应商流程 881
7.11 保险 882
7.12 实施灾难恢复 883
7.12.1 人员 884
7.12.2 评估 884
7.12.3 还原 885
7.12.4 通信 887
7.12.5 培训 887
7.13 人员安全问题 888
7.13.1 应急管理 888
7.13.2 胁迫 889
7.13.3 旅行 889
7.13.4 培训 890
7.14 总结 890
7.15 快速提示 890
7.16 问题 892
7.17 答案 897
第8章 软件开发安全 901
8.1 构建良好代码 902
8.1.1 如何处置软件安全问题? 902
8.1.2 不同环境需要不同的安全 904
8.1.3 环境与应用程序 905
8.1.4 功能性与安全性 905
8.1.5 实施与默认配置问题 906
8.2 软件开发生命周期 907
8.2.1 项目管理 907
8.2.2 需求收集阶段 908
8.2.3 设计阶段 909
8.2.4 开发阶段 912
8.2.5 测试阶段 914
8.2.6 运营维护阶段 916
8.3 软件开发方法论 918
8.3.1 瀑布模式 918
8.3.2 V形模式 919
8.3.3 原型模式 919
8.3.4 增量模式 920
8.3.5 螺旋模式 921
8.3.6 快速应用程序开发 922
8.3.7 敏捷模式 923
8.3.8 集成产品团队 926
8.3.9 DevOps 927
8.4 能力成熟度集成模型(CMMI) 928
8.5 变更管理 930
8.6 开发环境的安全性 931
8.6.1 开发平台的安全性 932
8.6.2 代码库的安全性 932
8.6.3 软件配置管理 933
8.7 安全编码 934
8.7.1 源代码漏洞 934
8.7.2 安全编码实践 934
8.8 编程语言与概念 935
8.8.1 汇编器、编译器和解释器 937
8.8.2 面向对象的概念 939
8.8.3 其他软件开发的概念 945
8.8.4 应用程序接口 947
8.9 分布式计算 947
8.9.1 分布式计算环境 948
8.9.2 CORBA和 ORB 949
8.9.3 COM和DCOM 951
8.9.4 Java平台企业版 953
8.9.5 面向服务的架构 953
8.10 移动代码 956
8.10.1 Java applet 956
8.10.2 ActiveX控件 958
8.11 Web安全 959
8.11.1 Web环境的具体威胁 960
8.11.2 Web应用安全准则 965
8.12 数据库管理 966
8.12.1 数据库管理软件 967
8.12.2 数据库模型 968
8.12.3 数据库编程接口 972
8.12.4 关系型数据库组件 974
8.12.5 完整性 976
8.12.6 数据库安全问题 978
8.12.7 数据仓库与数据挖掘 982
8.13 恶意软件 985
8.13.1 病毒 987
8.13.2 蠕虫 989
8.13.3 rootkit 989
8.13.4 间谍软件和广告软件 990
8.13.5 僵尸网络 991
8.13.6 逻辑炸弹 992
8.13.7 特洛伊木马 992
8.13.8 反恶意软件 993
8.13.9 垃圾邮件检测 996
8.13.10 反恶意软件程序 997
8.14 评估获取软件的安全性 998
8.15 总结 999
8.16 快速提示 999
8.17 问题 1002
8.18 答案 1008
附录 关于在线内容 1013
为什么成为CISSP持证专家?
随着世界的变化,社会对安全和技术改进的需求不断增长。公司和其他组织迫切需要找到并招募才华横溢、经验丰富的安全专家,因为只有这些专业人员才能保护公司和组织赖以生存和保持竞争力的宝贵资源。作为一名认证信息系统安全专家(CISSP),你将被视为一名能力过硬的安全专家,并已成功满足了预计的知识和经验标准,在整个行业中广为人知且获得尊重。通过保持此认证的有效性,将证明你致力于跟上安全发展的步伐。
下面列出获取CISSP认证资格的一些理由:
扩展你当前对安全概念和实践的了解
展示你作为经验丰富的安全专家的专业知识
在竞争激烈的劳动力市场中占据优势
增加薪水并有资格获得更多就业机会
为你当前的职业带来更高的安全专业知识
表现出对安全纪律的献身精神
CISSP认证可帮助公司确定某人具有实施可靠安全措施所需的能力、知识和经验;进行风险分析;确定必要的对策;并帮助整个组织保护设施、网络、系统和信息。CISSP认证还向潜在雇主表明你已达到安全行业所需的技能和知识水平。安全对于成功企业的重要性在未来只可能不断增加,从而导致对高技能安全专家的更高要求。CISSP认证表明,受人尊敬的第三方组织已经认可了个人的技术和理论知识以及专业知识,并将该个人与缺乏这种知识水平的人区分开。
对于优秀的网络管理员、编程人员或工程师来说,理解和实现安全应用是一项至关重要的内容。在大量并非针对安全专家的职位描述中,往往仍要求应聘人员正确理解安全概念及其实现方式。由于人员规模和预算限制,许多组织负担不起聘用单独的网络和安全人员的开销。但他们仍然认为安全性对组织至关重要;因此,经常尝试将技术和安全知识合并到一个角色中。通过CISSP认证,你就会比其他应聘人员更有优势。
CISSP考试
因为CISSP考试涵盖构成CISSP CBK的8个领域,所以它通常被描述为“一英寸深,一英里宽”,这是指许多考题不很详细,也不要求考生是每个学科的专家;但这些考题确实要求考生熟悉许多不同的安全主题。
截至2017年12月18日,CISSP考试有两个版本,即英文版和非英文版。英文版现在是一种计算机自适应测试(CAT),在这个测试中,考题数量从100道到150道,具体取决于考生的知识水平;其中,25道题不计入分数,是为了将来的考试而评估的(有时被称为预测试)。基本上,测试软件越容易确定考生的熟练程度,考题就越少。不管问了多少问题,考生完成测试的时间都不会超过3小时。当系统成功评估了考生的知识水平后,不管考生用了多长时间,测试都将结束。
考试提示:
英文版CAT考试系统将对CISSP考生的知识掌握程度进行估计,并相应调整CAT考题,使考生感到问题“较难”。不要灰心;只是要注意不能停滞在某一道题上,因为必须在3小时内至少回答100道题。
非英文版的CISSP考试也基于计算机,但不是自适应的,包括250道题,回答时间不超过6小时。与CAT版本一样,有25道题是预测试(不得分),将根据考生的其他考题来计分,共225道题。有25个研究考题被整合到考试中,所以考生不知道哪一个会影响最终成绩。要通过考试,考生需要在1000分中得到700分。
不论考生参加哪个考试版本,都会遇到多项选择和创新性考题。创新性考题包含拖放(将术语或条目拖到框中的正确位置)或热点(单击正确回答考题的条目或术语)界面,但要加权,与其他任何考题一样计分。从更大的题库中提取考题,以确保每个考生的考试尽可能唯一。此外,题库不断变化,以更准确地反映真实的安全领域。考题会不断轮换,并根据需要进行替换。根据考题的难度进行加权;并非所有考题的得分都相同。考试不是针对产品或供应商的,这意味着没有考题针对某些产品或供应商(如Windows、UNIX或Cisco)。相反,将通过这类系统所用的安全模型和方法进行测试。
考试提示:
猜错不会倒扣分数。如果考生无法在合理时间内回答出正确答案,那么建议猜测答案并继续下一道题。
(ISC)2(International Information Systems Security Certification Consortium,国际信息系统安全认证联盟)在CISSP考试中也包括基于场景的考题。场景题向考生呈现一个简短场景,而非要求考生识别术语和/或概念。场景题的目标是确保考生不仅理解CBK中的概念,而且可将这些知识应用到实际中。这更实用,因为在现实中,考生不会因为有人询问“共谋的定义是什么?”而受到挑战;除了解术语的定义外,考生还需要知道如何检测和防止共谋的发生。
通过考试后,将要求考生提供由背书人支持的文档,以此来证明考生确实具有获得此认证所需的经验。背书人必须签署一份凭证,为考生提交的安全工作经验提供担保。因此,在注册考试和付款之前,请联系好一位背书人。考生肯定不愿意看到这样的局面:在支付费用并通过考试后,却发现无法找到背书人帮助考生完成获得认证所需的最后步骤。
提出背书要求的原因是为了确保获得认证的人员具有为组织提供服务的真实经验。书面知识对于理解理论、概念、标准和法规极为重要,但永远不能替代动手实践。证明考生的实践经验可以证明认证的相关性。
通过考试后,将随机抽取一小部分考生作为样本进行审核。审核人员主要来自(ISC)2的两个人,他们将通过拜访考生的背书人和联络人来核实考生的相关经历。
使CISSP考试具有挑战性的因素之一是,尽管大多数考生都在安全领域工作,但他们不一定熟悉所有8个CBK安全领域。例如,如果某个安全专家是漏洞测试或应用程序安全方面的专家,那么他可能并不熟悉物理安全性、加密或取证。因此,学习此考试将拓宽考生对安全领域的了解。
考题涉及8个CBK安全领域,如下表所示。
安全领域 描述
安全和风险管理 该领域涵盖了信息系统安全的许多基本概念。该领域的部分主题包括:
可用性、完整性和机密性的原则
安全治理和法规遵从性
法律和法规问题
职业道德
人员安全策略
风险管理
威胁建模
资产安全 该领域解释了在整个信息资产生命周期中如何对信息资产进行保护。该领域的部分主题包括:
资产识别和分类
维护信息和资产所有权
隐私
资产留存
数据安全控制
信息和资产处理要求
安全架构与工程 该领域解释了在面对无数威胁的情况下如何保护信息系统发展的安全。该领域的部分主题包括:
安全设计原则
选择有效的控制措施
缓解脆弱性
密码学
站点和基础设施的安全设计
物理安全
(续表)
安全领域 描述
通信与网络安全 该领域解释如何保护网络架构、通信技术和网络协议的安全。该领域的部分主题包括:
安全网络架构
安全网络组件
安全通信信道
身份与访问管理 身份与访问管理是信息安全中最重要的主题之一。该领域涵盖了用户和系统之间、系统和其他系统之间的相互关系。该领域的部分主题包括:
控制对资产的物理和逻辑访问
身份标识与验证
身份即服务
第三方身份服务
授权方式
安全评估与测试 该领域解释了验证信息系统安全性的方法。该领域的部分主题包括:
评估和测试策略
测试安全控制
收集安全过程数据
分析和报告结果
开展和促进审计
运营安全 该领域涵盖了在我们日常业务中许多维护网络安全的活动。该领域的部分主题包括:
支持调查
调查类型及其要求
日志和监控
安全配置资源
软件开发安全 该领域解释了应用安全原则去获取和开发软件系统。该领域的部分主题包括:
软件开发生命周期中的安全
开发环境中的安全控制
评估软件安全性
评估所购软件的安全性
安全编码准则和标准
(ISC)2试图通过每年向测试题库添加许多新考题,来反映安全领域技术和方法的变化。这些考题基于当前的技术、实践、方法和标准。例如,1998年进行的CISSP考试没有关于无线安全性、跨站点脚本攻击或IPv6的考题。
书中包含哪些内容?
《CISSP权威指南(第8版)》涵盖了成为(ISC)2认证CISSP所需的全部知识。讲述企业如何制定和实施策略、程序、指南和标准,并解释原因。涵盖网络、应用程序和系统漏洞,漏洞被利用情况,以及如何应对这些威胁。《CISSP权威指南(第8版)》解释物理安全、操作安全以及系统如何实现其安全机制。还回顾美国和国际安全标准以及在保证评级系统上执行的评估,分析这些标准的含义以及使用它们的原因。《CISSP权威指南(第8版)》还解释了围绕计算机系统及其所拥有数据的法律和责任问题,包括计算机犯罪、法证学等主题,以及如何为出庭准备计算机证据。
虽然《CISSP权威指南(第8版)》主要是用作CISSP考试的学习指南,但在考生通过认证后,《CISSP权威指南(第8版)》仍不失为一本不可替代的重要参考用书。
参加CISSP考试的提示
很多考生觉得考题很棘手。一定要仔细阅读考题和所有备选答案,而不是看了几个单词就断定自己已知道考题的答案。有些答案选项可能只有细微差别,所以要有耐心,多花时间通读考题。
有些考生抱怨CISSP考试略带主观色彩。例如,有这样两个考题。第一个是技术考题,考查的是防止中间人攻击的TLS(Transport Layer Security,传输层安全)所用的具体机制;第二个考题则询问周长为8英尺的栅栏提供的是低级、中级还是高级安全防护。考生会发现,前一个考题比后一个考题更容易回答。许多考题要求考生选择“最佳”方法,有些考生认为这是令人困惑和主观的。这里提到这些抱怨不是为了批评(ISC)2和出题人员,而是为了帮助考生更好地备考。《CISSP权威指南(第8版)》涵盖了考试必需的所有材料,并包含了许多问题和自测试卷。大部分问题的格式与实际试题相同,使考生能更好地准备应对真实考试。所以,一定要阅读书中的所有材料,并密切注意问题及其格式。有时,即使考生对某个主题十分了解,也可能答错题。因此,考生需要学会如何应试。
在回答某些问题时,重要的是要记住,一些事物比其他东西更有价值。例如,保护人身安全和福祉总比其他所有应对措施更重要。同样,如果其他所有因素都相等,考生可选择昂贵和复杂的解决方案,又可选择更简单和便宜的解决方案,那么第二个方法在大多数情况下都会胜出。专家建议(如律师的建议)比凭据较少的人士提供的建议更有价值。如果某道题的可能答案之一是寻求专家的建议或向其寻求建议,请密切注意该类考题。正确的应对措施很可能就是寻找该专家。
CISSP考生需要熟悉行业标准,并了解自己工作之外的技术知识和方法。必须再次强调的是,考生可能仅在特定领域是佼佼者,并不意味着考生对考试涉及的每个领域都做好了充分准备。
当CISSP考生在Pearson VUE测试中心参加CISSP考试时,其他认证考试可能在同一房间同时进行。如果看到其他考生很早离开房间,不要着急;其他人可能正在参加一项时间较短的考试。
如何使用这本书
《CISSP权威指南(第8版)》的作者尽了很大努力才将所有重要信息汇编成书;现在,轮到你尽力从《CISSP权威指南(第8版)》中汲取知识了。要从《CISSP权威指南(第8版)》受益最大,可采用以下学习方法:
认真学习每一章,确保理解了每一个概念。对许多概念必须完全理解,如果对一些概念似懂非懂,那么对你来说将是非常不利的。CISSP CBK包含数百个不同主题,因此需要花时间掌握这些内容。
确保学习并回答所有问题。如果有任何疑问使你感到困惑,那么需要再次阅读相关的章节。请记住,实际考试中的某些问题含糊其辞,看上去较难回答,不要误以为这些问题表述不清而将其忽视。相反,它们的存在具有明确的目的性,对此要特别注意。
如果你不熟悉特定主题,如防火墙、法律、物理安全或协议功能,请使用其他信息源(书籍、文章等)来更深入地了解这些主题。不要仅依靠你自认为需要知道的东西来准备CISSP考试。
阅读《CISSP权威指南(第8版)》后,你需要学习所有问题和答案,并进行自测。然后复习(ISC)2考试大纲,确保对所呈现的每个条目都很熟悉。如果对某些条目不够熟悉,请重新阅读相关章节。
如果你参加了其他认证考试(如Cisco、Novell或Microsoft),则可能习惯于记住一些细节和配置参数。但请记住,CISSP测试是“一英寸深,一英里宽”,因此在尝试记住具体细节之前,请确保了解每个主题的概念。
记住,考试是在寻找“最佳”答案。在一些问题上,你可能不同意其中一个或多个答案。你需要从提供的4个答案中选出其中最合理的那一个。
在线内容
考生可参考《CISSP权威指南(第8版)》附录,访问在线内容。
评论
还没有评论。