滿額折
CISSP認證考試指南(第6版.附光碟)(簡體書)
商品資訊
人民幣定價:128 元
定價
:NT$ 768 元優惠價
:87 折 668 元
絕版無法訂購
相關商品
商品簡介
作者簡介
名人/編輯推薦
序
目次
書摘/試閱
商品簡介
《CISSP認證考試指南(第6版)》針對最新發布的信息系統安全專家考試做了全面修訂,它全面、最新地覆蓋了(ISC)2開發的CISSP考試的所有10個專業領域。這本權威的考試指南在每一章的開始都給出了學習目標、考試技巧、實踐問題和深入的解釋.《CISSP認證考試指南(第6版)》由IT安全認證和培訓的首席專家撰寫,將幫助您輕松地通過考試,也可以作為工作的一本重要參考書。
作者簡介
Shon Harris是Shon Harris安全有限責任公司和邏輯安全有限責任公司的創始人兼首席執行官,她是一名安全顧問,是美國空軍信息作戰部門的前任工程師,也是教師和作家。自2001年以來,Shon擁有并經營著自己的培訓和咨詢公司,她為財富100強公司和政府機構廣泛的安全問題提供咨詢服務。她撰寫了3本最暢銷的CISSP圖書,同時還是Gray Hat Hacking:The Ethical Hackers Handbook和Security Information and Event Management(SIEM)Implementation盼特約作者,Information Security Magazine的技術編輯。她還為Pearson出版公司開發了許多數字化安防產品。
名人/編輯推薦
覆蓋CISSP的10個專業領域:
信息安全治理與風險管理
訪問控制
安全架構與設計
物理和環境安全
通信與網絡安全
密碼學
業務連續性與災難恢復
法律、法規、合規與調查
軟件開發安全
運營安全
最新覆蓋信息系統安全認證的所有10個專業領域
最理想的學習工具和工作參考書
豐富的練習試題和深入的解答
信息安全治理與風險管理
訪問控制
安全架構與設計
物理和環境安全
通信與網絡安全
密碼學
業務連續性與災難恢復
法律、法規、合規與調查
軟件開發安全
運營安全
最新覆蓋信息系統安全認證的所有10個專業領域
最理想的學習工具和工作參考書
豐富的練習試題和深入的解答
序
我已經從事安全業務39年了,其中26年專注于信息安全。這些年我們已經看到了這個行業前所未有的變化:原來的計算機有一間屋子那么大,而且必須用水冷。到現在手機的計算能力已經超過了美國宇航局用于登陸月球所用的計算機。
我們敬畏地看著這一切,技術在發展,我們的生活質量也在不斷提升。例如,我們可以通過手機來支付,我們的汽車也是計算機控制的,計算機控制帶來了性能的優化和燃料的經濟性,我們可以在酒店的房間辦理登記手續并且得到登機牌。
但遺憾的是,一些人卻通過技術和自己的優勢找到漏洞,把這些進步變成了他們個人或其組織謀取政治利益和經濟利益的工具。
為了應對這些對手,信息安全專業出現了。第一個認識到信息安全專業的組織是(ISC)2,它成立于1988年。1994年(ISC)2創建了注冊信息系統安全專家(Certified Information System Security Professional,CISSP)認證并舉行了第一次考試。這樣就可以給經理和雇主(和潛在的雇主)一個保證,證實證書持有人對組成公共知識體(Common Body of Knowledge,CBK)中的10個領域都有基本的理解。
Shon Harris撰著的《CISSP認證考試指南》(CISSPAAll-in-One Exam Guide)是為應考者準備CISSP考試的指導書籍。我看到過許多類似的考試指南,Shon的書和別人的區別是她的書并不教人們如何通過考試,而是教你要通過考試所需的知識和材料。這意味著,雖然可能已經通過考試并獲得證書,但是Shon的書仍然會在你的書架上(或平板電腦中)作為一個有價值的參考指南。
我認識Shon已經將近15年了,感動我的是她的奉獻精神、道德和榮譽。她是我們這個行業里我遇到的最專業的人。她不斷工作來改進她的書以便所有水平的讀者都能理解各個主題。她開發了一種學習模式,幫助確保一個組織從底層到最高管理層的每個人都知道對他們負責的數據盡職盡責是明智的選擇。
很榮幸有機會幫助介紹CISSP。我是Shon的忠實讀者,我認為學習完這本書之后,你也會成為Shon的忠實讀者。享受這段學習經歷,為了這個證書而付出努力將物有所值。
我們敬畏地看著這一切,技術在發展,我們的生活質量也在不斷提升。例如,我們可以通過手機來支付,我們的汽車也是計算機控制的,計算機控制帶來了性能的優化和燃料的經濟性,我們可以在酒店的房間辦理登記手續并且得到登機牌。
但遺憾的是,一些人卻通過技術和自己的優勢找到漏洞,把這些進步變成了他們個人或其組織謀取政治利益和經濟利益的工具。
為了應對這些對手,信息安全專業出現了。第一個認識到信息安全專業的組織是(ISC)2,它成立于1988年。1994年(ISC)2創建了注冊信息系統安全專家(Certified Information System Security Professional,CISSP)認證并舉行了第一次考試。這樣就可以給經理和雇主(和潛在的雇主)一個保證,證實證書持有人對組成公共知識體(Common Body of Knowledge,CBK)中的10個領域都有基本的理解。
Shon Harris撰著的《CISSP認證考試指南》(CISSPAAll-in-One Exam Guide)是為應考者準備CISSP考試的指導書籍。我看到過許多類似的考試指南,Shon的書和別人的區別是她的書并不教人們如何通過考試,而是教你要通過考試所需的知識和材料。這意味著,雖然可能已經通過考試并獲得證書,但是Shon的書仍然會在你的書架上(或平板電腦中)作為一個有價值的參考指南。
我認識Shon已經將近15年了,感動我的是她的奉獻精神、道德和榮譽。她是我們這個行業里我遇到的最專業的人。她不斷工作來改進她的書以便所有水平的讀者都能理解各個主題。她開發了一種學習模式,幫助確保一個組織從底層到最高管理層的每個人都知道對他們負責的數據盡職盡責是明智的選擇。
很榮幸有機會幫助介紹CISSP。我是Shon的忠實讀者,我認為學習完這本書之后,你也會成為Shon的忠實讀者。享受這段學習經歷,為了這個證書而付出努力將物有所值。
目次
第1章 成為一名CISSP
1.1 成為CISSP的理由
1.2 CISSP考試
1.3 CISSP認證的發展簡史
1.4 如何注冊考試
1.5 本書概要
1.6 CISSP應試小貼士
1.7 本書使用指南
1.7.1 問題
1.7.2 答案
第2章 信息安全治理與風險管理
2.1 安全基本原則
2.1.1 可用性
2.1.2 完整性
2.1.3 機密性
2.1.4 平衡安全
2.2 安全定義
2.3 控制類型
2.4 安全框架
2.4.1 ISO/IEC27000系列
2.4.2 企業架構開發
2.4.3 安全控制開發
2.4.4 COSO
2.4.5 流程管理開發
2.4.6 功能與安全性
2.5 安全管理
2.6 風險管理
2.6.1 誰真正了解風險管理
2.6.2 信息風險管理策略
2.6.3 風險管理團隊
2.7 風險評估和分析
2.7.1 風險分析團隊
2.7.2 信息和資產的價值
2.7.3 構成價值的成本
2.7.4 識別脆弱性和威脅
2.7.5 風險評估方法
2.7.6 風險分析方法
2.7.7 定性風險分析
2.7.8 保護機制
2.7.9 綜合考慮
2.7.10 總風險與剩余風險
2.7.11 處理風險
2.7.12 外包
2.8 策略、標準、基準、指南和過程
2.8.1 安全策略
2.8.2 標準
2.8.3 基準
2.8.4 指南
2.8.5 措施
2.8.6 實施
2.9 信息分類
2.9.1 分類級別
2.9.2 分類控制
2.10 責任分層
2.10.1 董事會
2.10.2 執行管理層
2.10.3 CIO
2.10.4 CPO
2.10.5 CSO
2.11 安全指導委員會
2.11.1 審計委員會
2.11.2 數據所有者
2.11.3 數據看管員
2.11.4 系統所有者
2.11.5 安全管理員
2.11.6 安全分析員
2.11.7 應用程序所有者
2.11.8 監督員
2.11.9 變更控制分析員
2.11.10 數據分析員
2.11.11 過程所有者
2.11.12 解決方案提供商
2.11.13 用戶
2.11.14 生產線經理
2.11.15 審計員
2.11.16 為何需要這么多角色
2.11.17 人員安全
2.11.18 招聘實踐
2.11.19 解雇
2.11.20 安全意識培訓
2.11.21 學位或證書
2.12 安全治理
2.13 小結
2.14 快速提示
2.14.1 問題
2.14.2 答案
第3章 訪問控制
3.1 訪問控制概述
3.2 安全原則
3.2.1 可用性
3.2.2 完整性
3.2.3 機密性
3.3 身份標識、身份驗證、授權與可問責性
3.3.1 身份標識與身份驗證
3.3.2 密碼管理
3.3.3 授權
3.4 訪問控制模型
3.4.1 自主訪問控制
3.4.2 強制訪問控制
3.4.3 角色型訪問控制
3.5 訪問控制方法和技術
3.5.1 規則型訪問控制
3.5.2 限制性用戶接口
3.5.3 訪問控制矩陣
3.5.4 內容相關訪問控制
3.5.5 上下文相關訪問控制
3.6 訪問控制管理
3.6.1 集中式訪問控制管理
3.6.2 分散式訪問控制管理
3.7 訪問控制方法
3.7.1 訪問控制層
3.7.2 行政管理性控制
3.7.3 物理性控制
4.7.4 技術性控制
3.8 可問責性
3.8.1 審計信息的檢查
3.8.2 保護審計數據和日志信息
3.8.3 擊鍵監控
3.9 訪問控制實踐
3.10 訪問控制監控
3.10.1 入侵檢測
3.10.2 入侵防御系統
3.11 對訪問控制的幾種威脅
3.11.1 字典攻擊
3.11.2 蠻力攻擊
3.11.3 登錄欺騙
3.11.4 網絡釣魚
3.11.5 威脅建模
3.12 小結
3.13 快速提示
3.13.1 問題
3.13.2 答案
第4章 安全架構和設計
4.1 計算機安全
4.2 系統架構
4.3 計算機架構
4.3.1 中央處理單元
4.3.2 多重處理
4.3.3 操作系統架構
……
第5章 物理和環境安全
第6章 通信與網絡安全
第7章 密碼術
第8章 業務連續性與災難恢復
第9章 法律、法規、合規和調查
第10章 軟件開發安全
第11章 安全運營
附錄A 完整的問題
附錄B 配套光盤使用指南
1.1 成為CISSP的理由
1.2 CISSP考試
1.3 CISSP認證的發展簡史
1.4 如何注冊考試
1.5 本書概要
1.6 CISSP應試小貼士
1.7 本書使用指南
1.7.1 問題
1.7.2 答案
第2章 信息安全治理與風險管理
2.1 安全基本原則
2.1.1 可用性
2.1.2 完整性
2.1.3 機密性
2.1.4 平衡安全
2.2 安全定義
2.3 控制類型
2.4 安全框架
2.4.1 ISO/IEC27000系列
2.4.2 企業架構開發
2.4.3 安全控制開發
2.4.4 COSO
2.4.5 流程管理開發
2.4.6 功能與安全性
2.5 安全管理
2.6 風險管理
2.6.1 誰真正了解風險管理
2.6.2 信息風險管理策略
2.6.3 風險管理團隊
2.7 風險評估和分析
2.7.1 風險分析團隊
2.7.2 信息和資產的價值
2.7.3 構成價值的成本
2.7.4 識別脆弱性和威脅
2.7.5 風險評估方法
2.7.6 風險分析方法
2.7.7 定性風險分析
2.7.8 保護機制
2.7.9 綜合考慮
2.7.10 總風險與剩余風險
2.7.11 處理風險
2.7.12 外包
2.8 策略、標準、基準、指南和過程
2.8.1 安全策略
2.8.2 標準
2.8.3 基準
2.8.4 指南
2.8.5 措施
2.8.6 實施
2.9 信息分類
2.9.1 分類級別
2.9.2 分類控制
2.10 責任分層
2.10.1 董事會
2.10.2 執行管理層
2.10.3 CIO
2.10.4 CPO
2.10.5 CSO
2.11 安全指導委員會
2.11.1 審計委員會
2.11.2 數據所有者
2.11.3 數據看管員
2.11.4 系統所有者
2.11.5 安全管理員
2.11.6 安全分析員
2.11.7 應用程序所有者
2.11.8 監督員
2.11.9 變更控制分析員
2.11.10 數據分析員
2.11.11 過程所有者
2.11.12 解決方案提供商
2.11.13 用戶
2.11.14 生產線經理
2.11.15 審計員
2.11.16 為何需要這么多角色
2.11.17 人員安全
2.11.18 招聘實踐
2.11.19 解雇
2.11.20 安全意識培訓
2.11.21 學位或證書
2.12 安全治理
2.13 小結
2.14 快速提示
2.14.1 問題
2.14.2 答案
第3章 訪問控制
3.1 訪問控制概述
3.2 安全原則
3.2.1 可用性
3.2.2 完整性
3.2.3 機密性
3.3 身份標識、身份驗證、授權與可問責性
3.3.1 身份標識與身份驗證
3.3.2 密碼管理
3.3.3 授權
3.4 訪問控制模型
3.4.1 自主訪問控制
3.4.2 強制訪問控制
3.4.3 角色型訪問控制
3.5 訪問控制方法和技術
3.5.1 規則型訪問控制
3.5.2 限制性用戶接口
3.5.3 訪問控制矩陣
3.5.4 內容相關訪問控制
3.5.5 上下文相關訪問控制
3.6 訪問控制管理
3.6.1 集中式訪問控制管理
3.6.2 分散式訪問控制管理
3.7 訪問控制方法
3.7.1 訪問控制層
3.7.2 行政管理性控制
3.7.3 物理性控制
4.7.4 技術性控制
3.8 可問責性
3.8.1 審計信息的檢查
3.8.2 保護審計數據和日志信息
3.8.3 擊鍵監控
3.9 訪問控制實踐
3.10 訪問控制監控
3.10.1 入侵檢測
3.10.2 入侵防御系統
3.11 對訪問控制的幾種威脅
3.11.1 字典攻擊
3.11.2 蠻力攻擊
3.11.3 登錄欺騙
3.11.4 網絡釣魚
3.11.5 威脅建模
3.12 小結
3.13 快速提示
3.13.1 問題
3.13.2 答案
第4章 安全架構和設計
4.1 計算機安全
4.2 系統架構
4.3 計算機架構
4.3.1 中央處理單元
4.3.2 多重處理
4.3.3 操作系統架構
……
第5章 物理和環境安全
第6章 通信與網絡安全
第7章 密碼術
第8章 業務連續性與災難恢復
第9章 法律、法規、合規和調查
第10章 軟件開發安全
第11章 安全運營
附錄A 完整的問題
附錄B 配套光盤使用指南
書摘/試閱
組織機構的安全計劃要取得預期的效果,就必須同雇員交流與安全相關的問題,如執行哪些安全計劃、執行方式以及執行這些計劃的原因。安全意識培訓應專門為特定團體特別設計,內容廣泛,并在整個組織機構內全面施行。它應該以不同形式重復最重要的信息,時刻更新,有趣味性,積極幽默,易于理解,最重要的是得到高層管理者的支持。管理層必須為這個活動配備資源,并強調員工的出勤率。安全意識培訓的目的是讓每名雇員都了解安全對于整個公司和每個人的重要性。必須闡明期望的責任和可接受的行為,并在援引法規之前明確不服從規定所造成的后果,視程度輕重給予警告或開除工作。安全意識培訓的執行是為了修正員工對安全的錯誤行為和態度。這種狀態能夠通過正式的安全意識培訓過程得到實現。因為安全是一個涉及組織機構許多不同方面的主題,所以可能很難向適當的人員傳達正確的信息。使用正式的安全意識培訓過程,你就可以確定一種提供最佳結果的方法,確保向組織機構中合適的人員傳達安全策略和措施。這樣,你就可以確保每個人都理解企業安全策略的內容、安全策略的重要性以及它如何與組織機構中個人的職責相適應。更高級別的員工接受的培訓更加全面,針對的是更加廣泛的概念和目標。如果針對特定的工作和任務,那么培訓就會變得更加具體化,因為它直接適用于公司中的某些職位。一個安全意識培訓計劃通常至少有3種受眾:管理層、職員、技術人員。每種意識培訓都必須針對一類受眾,從而保證每個群體都了解自己特定的責任、義務和期望。對高級管理層進行技術安全培訓時,如果向他們提及協議和防火墻,那么他們會目瞪口呆。另一方面,如果同IT員工討論法律問題、與數據保護有關的公司責任問題以及股東的期望,那么他們就會自己玩手機,玩猜詞游戲,上網或者給朋友發短信。專門召集管理層成員召開一次簡短的安全意識定位會議,討論與安全相關的企業資產和金融損益,他們就會獲益良多。他們需要了解安全危害對股價的負面影響、公司面臨的可能威脅及其后果,以及安全為什么需要像其他業務過程一樣集成到系統環境中。因為管理層成員必須領導公司其他員工支持安全工作,所以他們應當對安全的重要性有正確的認識。
詳細說明策略、措施、標準和指南以及它們與中層管理人員各自管理的部門之間的關系,這會讓中層管理人員從中受益。應使中層管理人員認識到他們的支持對自己所在部門的重要性,同時他們還有責任保證員工實施安全的計算活動。此外,還應向中層管理人員說明其下屬的不服從行為對整個公司的影響,以及他們作為部門經理對此不當行為應承擔的責任。
……
詳細說明策略、措施、標準和指南以及它們與中層管理人員各自管理的部門之間的關系,這會讓中層管理人員從中受益。應使中層管理人員認識到他們的支持對自己所在部門的重要性,同時他們還有責任保證員工實施安全的計算活動。此外,還應向中層管理人員說明其下屬的不服從行為對整個公司的影響,以及他們作為部門經理對此不當行為應承擔的責任。
……
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。