CISSP认证考试指南 pdf下载

　　覆盖CISSP的10个专业领域：
　　信息安全治理与风险管理
　　访问控制
　　安全架构与设计
　　物理和环境安全
　　通信与网络安全
　　密码学
　　业务连续性与灾难恢复
　　法律、法规、合规与调查
　　软件开发安全
　　运营安全
　　覆盖信息系统安全认证的所有10个专业领域
　　最理想的学习工具和工作参考书
　　丰富的练习试题和深入的解答

　　《CISSP认证考试指南（第6版）》针对发布的信息系统安全专家考试做了全面修订，它全面、地覆盖了（ISC）2开发的CISSP考试的所有10个专业领域。这本的考试指南在每一章的开始都给出了学习目标、考试技巧、实践问题和深入的解释.《CISSP认证考试指南（第6版）》由IT安全认证和培训的首席专家撰写，将帮助您轻松地通过考试，也可以作为工作的一本重要参考书。

　　Shon Harris，是Shon Harris安全有限责任公司和逻辑安全有限责任公司的创始人兼首席执行官，她是一名安全顾问，是美国空军信息作战部门的前任工程师，也是教师和作家。自2001年以来，Shon拥有并经营着自己的培训和咨询公司，她为财富100强公司和政府机构广泛的安全问题提供咨询服务。她撰写了3本畅销的CISSP图书，同时还是Gray Hat Hacking：The Ethical Hacker's Handbook和Security Information and Event Management（SIEM）Implementation盼特约作者，Information Security Magazine的技术编辑。她还为Pearson出版公司开发了许多数字化安防产品。

第1章 成为一名CISSP
1.1 成为CISSP的理由
1.2 CISSP考试
1.3 CISSP认证的发展简史
1.4 如何注册考试
1.5 本书概要
1.6 CISSP应试小贴士
1.7 本书使用指南
1.7.1 问题
1.7.2 答案

第2章 信息安全治理与风险管理
2.1 安全基本原则
2.1.1 可用性
2.1.2 完整性
2.1.3 机密性
2.1.4 平衡安全
2.2 安全定义
2.3 控制类型
2.4 安全框架
2.4.1 ISO/IEC27000系列
2.4.2 企业架构开发
2.4.3 安全控制开发
2.4.4 COSO
2.4.5 流程管理开发
2.4.6 功能与安全性
2.5 安全管理
2.6 风险管理
2.6.1 谁真正了解风险管理
2.6.2 信息风险管理策略
2.6.3 风险管理团队
2.7 风险评估和分析
2.7.1 风险分析团队
2.7.2 信息和资产的价值
2.7.3 构成价值的成本
2.7.4 识别脆弱性和威胁
2.7.5 风险评估方法
2.7.6 风险分析方法
2.7.7 定性风险分析
2.7.8 保护机制
2.7.9 综合考虑
2.7.10 总风险与剩余风险
2.7.11 处理风险
2.7.12 外包
2.8 策略、标准、基准、指南和过程
2.8.1 安全策略
2.8.2 标准
2.8.3 基准
2.8.4 指南
2.8.5 措施
2.8.6 实施
2.9 信息分类
2.9.1 分类级别
2.9.2 分类控制
2.10 责任分层
2.10.1 董事会
2.10.2 执行管理层
2.10.3 CIO
2.10.4 CPO
2.10.5 CSO
2.11 安全指导委员会
2.11.1 审计委员会
2.11.2 数据所有者
2.11.3 数据看管员
2.11.4 系统所有者
2.11.5 安全管理员
2.11.6 安全分析员
2.11.7 应用程序所有者
2.11.8 监督员
2.11.9 变更控制分析员
2.11.10 数据分析员
2.11.11 过程所有者
2.11.12 解决方案提供商
2.11.13 用户
2.11.14 生产线经理
2.11.15 审计员
2.11.16 为何需要这么多角色
2.11.17 人员安全
2.11.18 招聘实践
2.11.19 解雇
2.11.20 安全意识培训
2.11.21 学位或证书
2.12 安全治理
2.13 小结
2.14 快速提示
2.14.1 问题
2.14.2 答案

第3章 访问控制
3.1 访问控制概述
3.2 安全原则
3.2.1 可用性
3.2.2 完整性
3.2.3 机密性
3.3 身份标识、身份验证、授权与可问责性
3.3.1 身份标识与身份验证
3.3.2 密码管理
3.3.3 授权
3.4 访问控制模型
3.4.1 自主访问控制
3.4.2 强制访问控制
3.4.3 角色型访问控制
3.5 访问控制方法和技术
3.5.1 规则型访问控制
3.5.2 限制性用户接口
3.5.3 访问控制矩阵
3.5.4 内容相关访问控制
3.5.5 上下文相关访问控制
3.6 访问控制管理
3.6.1 集中式访问控制管理
3.6.2 分散式访问控制管理
3.7 访问控制方法
3.7.1 访问控制层
3.7.2 行政管理性控制
3.7.3 物理性控制
4.7.4 技术性控制
3.8 可问责性
3.8.1 审计信息的检查
3.8.2 保护审计数据和日志信息
3.8.3 击键监控
3.9 访问控制实践
3.10 访问控制监控
3.10.1 入侵检测
3.10.2 入侵防御系统
3.11 对访问控制的几种威胁
3.11.1 字典攻击
3.11.2 蛮力攻击
3.11.3 登录欺骗
3.11.4 网络钓鱼
3.11.5 威胁建模
3.12 小结
3.13 快速提示
3.13.1 问题
3.13.2 答案

第4章 安全架构和设计
4.1 计算机安全
4.2 系统架构
4.3 计算机架构
4.3.1 中央处理单元
4.3.2 多重处理
4.3.3 操作系统架构

……
第5章 物理和环境安全
第6章 通信与网络安全
第7章 密码术
第8章 业务连续性与灾难恢复
第9章 法律、法规、合规和调查
第10章 软件开发安全
第11章 安全运营
附录A 完整的问题
附录B 配套光盘使用指南

　　组织机构的安全计划要取得预期的效果，就必须同雇员交流与安全相关的问题，如执行哪些安全计划、执行方式以及执行这些计划的原因。安全意识培训应专门为特定团体特别设计，内容广泛，并在整个组织机构内全面施行。它应该以不同形式重复最重要的信息，时刻更新，有趣味性，积极幽默，易于理解，最重要的是得到高层管理者的支持。管理层必须为这个活动配备资源，并强调员工的出勤率。安全意识培训的目的是让每名雇员都了解安全对于整个公司和每个人的重要性。必须阐明期望的责任和可接受的行为，并在援引法规之前明确不服从规定所造成的后果，视程度轻重给予警告或开除工作。安全意识培训的执行是为了修正员工对安全的错误行为和态度。这种状态能够通过正式的安全意识培训过程得到实现。因为安全是一个涉及组织机构许多不同方面的主题，所以可能很难向适当的人员传达正确的信息。使用正式的安全意识培训过程，你就可以确定一种提供最佳结果的方法，确保向组织机构中合适的人员传达安全策略和措施。这样，你就可以确保每个人都理解企业安全策略的内容、安全策略的重要性以及它如何与组织机构中个人的职责相适应。更高级别的员工接受的培训更加全面，针对的是更加广泛的概念和目标。如果针对特定的工作和任务，那么培训就会变得更加具体化，因为它直接适用于公司中的某些职位。一个安全意识培训计划通常至少有3种受众：管理层、职员、技术人员。每种意识培训都必须针对一类受众，从而保证每个群体都了解自己特定的责任、义务和期望。对高级管理层进行技术安全培训时，如果向他们提及协议和防火墙，那么他们会目瞪口呆。另一方面，如果同IT员工讨论法律问题、与数据保护有关的公司责任问题以及股东的期望，那么他们就会自己玩手机，玩猜词游戏，上网或者给朋友发短信。专门召集管理层成员召开一次简短的安全意识定位会议，讨论与安全相关的企业资产和金融损益，他们就会获益良多。他们需要了解安全危害对股价的负面影响、公司面临的可能威胁及其后果，以及安全为什么需要像其他业务过程一样集成到系统环境中。因为管理层成员必须领导公司其他员工支持安全工作，所以他们应当对安全的重要性有正确的认识。
　　详细说明策略、措施、标准和指南以及它们与中层管理人员各自管理的部门之间的关系，这会让中层管理人员从中受益。应使中层管理人员认识到他们的支持对自己所在部门的重要性，同时他们还有责任保证员工实施安全的计算活动。此外，还应向中层管理人员说明其下属的不服从行为对整个公司的影响，以及他们作为部门经理对此不当行为应承担的责任。
　　……

　　我已经从事安全业务39年了，其中26年专注于信息安全。这些年我们已经看到了这个行业前所未有的变化：原来的计算机有一间屋子那么大，而且必须用水冷。到现在手机的计算能力已经超过了美国宇航局用于登陆月球所用的计算机。
　　我们敬畏地看着这一切，技术在发展，我们的生活质量也在不断提升。例如，我们可以通过手机来支付，我们的汽车也是计算机控制的，计算机控制带来了性能的优化和燃料的经济性，我们可以在酒店的房间办理登记手续并且得到登机牌。
　　但遗憾的是，一些人却通过技术和自己的优势找到漏洞，把这些进步变成了他们个人或其组织谋取政治利益和经济利益的工具。
　　为了应对这些对手，信息安全专业出现了。第一个认识到信息安全专业的组织是（ISC）2，它成立于1988年。1994年（ISC）2创建了注册信息系统安全专家（Certified Information System Security Professional，CISSP）认证并举行了第一次考试。这样就可以给经理和雇主（和潜在的雇主）一个保证，证实证书持有人对组成公共知识体（Common Body of Knowledge，CBK）中的10个领域都有基本的理解。
　　Shon Harris撰著的《CISSP认证考试指南》（CISSPAAll-in-One Exam Guide）是为应考者准备CISSP考试的指导书籍。我看到过许多类似的考试指南，Shon的书和别人的区别是她的书并不教人们如何通过考试，而是教你要通过考试所需的知识和材料。这意味着，虽然可能已经通过考试并获得证书，但是Shon的书仍然会在你的书架上（或平板电脑中）作为一个有价值的参考指南。
　　我认识Shon已经将近15年了，感动我的是她的奉献精神、道德和荣誉。她是我们这个行业里我遇到的最专业的人。她不断工作来改进她的书以便所有水平的读者都能理解各个主题。她开发了一种学习模式，帮助确保一个组织从底层到最高管理层的每个人都知道对他们负责的数据尽职尽责是明智的选择。
　　很荣幸有机会帮助介绍CISSP。我是Shon的忠实读者，我认为学习完这本书之后，你也会成为Shon的忠实读者。享受这段学习经历，为了这个证书而付出努力将物有所值。