CISSP認證考試權(quán)威指南

前言

本書為讀者提供了信息系統(tǒng)安全專家認證(Certified lnformation Systems SecurityProfessional，CISSP)考試的完備基礎(chǔ)知識。購買本書表示你愿意學習和進一步了解CISSP考試要求掌握的技能。本部分概述了本書與CISSP考試的內(nèi)容。 本書是專門為參加CISSP認證考試的讀者和學生編寫的。如果你有志成為一名通過認證的安全專家，那么CISSP認證和這本學習指南就非常適合你。本書的目的就是要幫助你為通過CISSP認證考試做好充分的準備。 在開始閱讀本書之前，你需要先獨自完成一些工作。你應當對IT及安全性有大致的了解，應當在CISSP考試所覆蓋十個領(lǐng)域中的某個領(lǐng)域具有5年的工作經(jīng)歷(或4年的工作；經(jīng)歷加上大學學位)。根據(jù)(ISC)2，如果你具有參加CISSP考試的資格，那么可以使用本書充分地準備CISSP考試。接下來將介紹有關(guān)(ISC)2的更多信息。 (ISC)2 CISSP考試由國際信息系統(tǒng)安全認證協(xié)會(International Information Systems SecurityCertification Consortium，(ISC)2)管理。(ISC)2是一個全球性的非贏利性組織，該組織具有四個主要的目標： 為信息系統(tǒng)安全領(lǐng)域維護公共知識體系(CommonBodyofKnowledge，CBK)。 為信息系統(tǒng)安全專業(yè)人士和從業(yè)人員提供認證。 指導認證培訓和管理認證考試。 通過連續(xù)的教育培訓，對有資格的認證候選人的鑒定工作進行管理。 (ISC)2由董事會運作，董事會成員從通過認證的從業(yè)人員中按級別選舉產(chǎn)生。

內(nèi)容概要

　　獲得CISSP認證將顯示您的職業(yè)資歷，增強您在IT安全領(lǐng)域的可信度和職場競爭力。本書由三位安全認證專家聯(lián)袂撰寫，通過列舉多個真實場景、提供書面練習并全面介紹CISSP考試的公共知識體系，使您不僅擁有了應試利器，還可以掌握得心應手地履行本職工作所需的技能。這本最新的必備指南涵蓋訪問控制、業(yè)務連續(xù)性、密碼術(shù)、生物測定學和軟件安全測試等重要主題，還列出了如何順利通過考試的實用建議。本書內(nèi)容如下：　　全面系統(tǒng)地覆蓋所有考試目標，是您必備的優(yōu)秀考試指南?！　嵱玫摹皠邮志毩暋睅湍柟剃P(guān)鍵技能?！　　罢鎸崍鼍啊睂⒛鶎W的理論知識運用于實際工作中?！　∶空碌摹皬土曨}”極富挑戰(zhàn)性，可用于為考試熱身。　　每章的“應試要點”列出參試前必須熟練掌握的要點，這是本書的一個鮮明特色?！　”緯┪驳囊姿嚎键c卡詳細列出所有官方考試目標，指出每個目標對應的章號，以便您對照每個目標跟蹤備考情況。

作者簡介

James Michael Stewart，信息系統(tǒng)安全認證專家，從事寫作與培訓工作已有14年之久，其作品始終與最新的安全熱點相結(jié)合。他教授許多CISSP培訓課程，此外，還參加眾多與Windows安全性和Certified Ethical Hacker認證相關(guān)的會議。Michael的一些著作和教材主要涉及安全認證、Microsoft專題以及網(wǎng)絡管理。讀者可以在其Web站點www．impactonline．com上了解到Michael的更多信息。Ed TiEel，從事自由職業(yè)的作家、培訓師和顧問，精通信息安全、標記語言與網(wǎng)絡連接技術(shù)的相關(guān)知識。他是許多Tech Target站點的定期撰稿人，與HP. Sony和Motorola等許多公司合作，講授聯(lián)機安全和技術(shù)課程，并且定期為Tom's Hardware站點提供稿件。讀者可以在其Web站點www.edtittel.com上了解到Ed的更多信息。Mike Chapple，信息系統(tǒng)安全認證專家，Notre Dame大學的IT安全專家。曾任Brand Institute的首席信息主管以及美國國家安全局和美國空軍的信息安全研究員。Mike的主要專業(yè)領(lǐng)域包括網(wǎng)絡入侵檢測和訪問控制，他是Tech Target Search Security站點的長期撰稿人，Information Security雜志的技術(shù)編輯。Mike編著了一些與信息安全相關(guān)的著作，包括Wiley出版社發(fā)行的The GSEC Prep Guide以及Jonesand Bartlett Publishers出版社發(fā)行的Information Security Illuminated。

書籍目錄

第1章 可問責性與訪問控制第2章 攻擊與監(jiān)控第3章 ISO模型、協(xié)議、網(wǎng)絡安全與網(wǎng)絡基礎(chǔ)架構(gòu)第4章 通信安全性與對策第5章 安全管理的概念與原則第6章 資產(chǎn)價值、策略與角色第7章 數(shù)據(jù)與應用程序的安全問題第8章 惡意代碼與應用程序攻擊第9章 密碼術(shù)與私鑰算法第10章 PKI與密碼術(shù)的應用第11章 計算機設計原則第12章 安全模型的原則第13章 行政性管理第14章 審計和監(jiān)控第15章 業(yè)務連續(xù)性計劃第16章 災難恢復計劃第17章 法律與調(diào)查第18章 事故和道德規(guī)范第19章 物理安全要求附錄A 關(guān)于配書術(shù)語表

章節(jié)摘錄

插圖：（1）“操作者的動作”和“操作者的位置”除了上述三種常見的身份驗證因素之外，至少還有其他兩個因素值得注意。第一個因素是“操作者的動作（something you do）”，例如，書寫簽名、鍵入密碼短語（擊鍵力度）或者講出短語?！安僮髡叩膭幼鳌背３０凇安僮髡叩纳矸荨被蝾愋?中。另外一個值得注意的因素是“操作者的位置（somewhere you are）”，例如，操作者登入的計算機終端、操作者進行連接操作的電話號碼（通過呼叫者的ID標識）或國家（通過IP地址標識）。通過物理位置控制訪問時，主體必須存在而非遠程連接?！安僮髡叩奈恢谩背３０凇安僮髡咚哂械奈锲贰被蝾愋?中。（2）邏輯位置邏輯位置能夠?qū)ⅰ安僮髡叩奈恢谩?、“操作者所擁有的物品”和“操作者知道的?nèi)容”這幾種概念結(jié)合在一起。邏輯位置（logical location）訪問控制在某些邏輯身份標識（如IP地址、MAC地址、客戶類型或所用協(xié)議1的基礎(chǔ)上約束訪問。不過請注意，因為使用黑客工具能夠偽造任何類型的地址信息，所以邏輯位置訪問控制應當不是唯一的身份驗證因素。我們還可以在日期和時間的基礎(chǔ)上約束訪問，也可以按照事務類型約束訪問。前者阻止指定時間周期之外的訪問；后者則是一種與內(nèi)容或上下文相關(guān)的訪問控制，此時訪問基于主體嘗試的事務而動態(tài)變化。（3）多因素身份驗證當需要使用兩個不同的因素都來提供身份驗證時，就會出現(xiàn)雙因素身份驗證（two factor authentication）。例如，你在雜貨店用支票付賬時，通常需要提供你的駕照（“操作者所擁有的物品”）和你的電話號碼（“操作者知道的內(nèi)容”）。強身份驗證只不過是需要兩個或多個因素的任何身份驗證，而且這些因素不必屬于不同的類型。不過一般說來，如果組合不同類型的因素，那么合成的身份驗證就更安全。雙因素身份驗證背后的概念是：如果組合使用兩個相同的因素，那么系統(tǒng)的強度并不會超過只單獨使用其中一個因素的系統(tǒng)的強度。更確切地說，只要攻擊能夠竊取或獲得特定因素的一個實例，那么相同的攻擊就能夠竊取或獲得特定因素的所有實例。例如，同時使用兩個密碼并不比只使用一個密碼更安全，這是由于如果密碼破解攻擊能夠成功破解一個密碼，那么這種攻擊就能夠破解兩個密碼。不過，使用兩個或多個不同的因素時，兩個或多個不同的攻擊類型或攻擊方法要想成功，就必須收集所有相關(guān)的身份驗證元素。例如，如果一個令牌、一個密碼和一個生物測定學因素共同被用于身份驗證，那么只有在偷竊物品、破解密碼與生物測定學復制攻擊同時成功的情況下才能進入指定系統(tǒng)。一旦提供的身份標識和身份驗證因素的登錄憑證被提交給系統(tǒng)，那么系統(tǒng)就會將它們與系統(tǒng)中的身份標識數(shù)據(jù)庫進行核對。如果定位到身份標識并且提供的身份驗證因素也正確，那么主體就通過了身份驗證。

編輯推薦

《CISSP認證考試權(quán)威指南(第4版)》提供包括多個真實場景，提供豐富的習題，還配備了光盤。光盤中的前沿備考軟件包含：自定義測驗引擎PDF格式的英文版電子書兩套包含250道題的標準模擬試題可以運行在PC、掌上電腦或Palm掌上設備上的用于輔助記憶的電子抽認卡

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    CISSP認證考試權(quán)威指南 PDF格式下載

---