【推荐语】
随着世界不断改变,人们对、技术的需求愈加迫切。每个组织、机构、企业和军事单位都开始关注问题。几乎所有公司和组织机构都在积极寻求才华横溢、经验丰富的专业人员,因为只有这些专家才能保护公司赖以生存和保持竞争力的宝贵资源。而CISSP 认证能证明你已经成为一名拥有知识和经验的专业人员。当然,这些知识和经验是认证体系预先规定的,并得到了整个行业的理解和认可。通过持续地持有,表明你保持与行业同步发展。列出一些获取CISSP 认证资格的理由: 充实现有的关于概念和实际应用的知识。 展示了你是一位拥有专业知识并且经验丰富的专家。 让自己在这个竞争激烈的劳动力市场中占据优势。 增加收入,并能得到更多工作机会。 为你现在的工作带来更好的专业知识。 表明对规则的贡献。CISSP 认证能帮助公司确认某人是否具有相应的技术能力、知识和经验,从而能从事具体的工作,执行风险分析,谋划必要的对策,并可帮助整个组织机构保护其设施、网络、系统和信息。CISSP 认证还能担保通过认证的人员具备行业所需的熟练程度、专业技能和知识水平。对于企业的重要在未来只可能不断增加,从而导致对技术熟练的专业人员的更大需求。CISSP 认证表明,可由被公众认可的第三方机构负责确定个人在技术和理论方面的专业知识,并将其与缺乏这种专业知识的普通人员区分开来。对于的网络管理员、编程人员或工程师来说,理解和实现应用是一项关重要的内容。在大量并非针对专业人员的职位描述中,往往仍要求应聘人员正确理解概念及其实现方式。虽然许多组织机构由于职位和预算的限制而无法聘请单独的网络和人员,但都相信对于组织机构自身来说关重要。因此,这些组织机是尝试将知识和其他技术知识合并在一个角色内。在这个问题上,如果具有CISSP 么你会比其他应聘人员更有优势。;
【目录】
第1章? 和风险管理???? 1
1.1? 基本原则???? 2
1.1.1? 可用???? 3
1.1.2? 完整???? 3
1.1.3? 机密???? 3
1.1.4? 平衡???? 4
1.2? 定义???? 5
1.3? 控制类型???? 6
1.4? 框架???? 10
1.4.1?
ISO/IEC 27000系列???? 12
1.4.2? 企业架构开发???? 14
1.4.3? 控制开发???? 23
1.4.4? 流程管理开发???? 26
1.4.5?能与???? 32
1.5? 计算机犯罪法的难题???? 32
1.6? 网络犯罪的复杂???? 34
1.6.1? 电子资产???? 35
1.6.2? 攻击的演变???? 36
1.6.3? 问题???? 38
1.6.4? 法律的类型???? 41
1.7? 知识产权法???? 44
1.7.1? 商业秘密???? 44
1.7.2? 版权???? 45
1.7.3? 商标???? 45
1.7.4? 专利???? 46
1.7.5? 知识产权的内部保护???? 47
1.7.6? 软件盗版???? 48
1.8? 隐私???? 50
1.8.1? 对隐私法不断增长的需求???? 51
1.8.2? 法律、指令和法规???? 52
1.8.3? 员工隐私问题???? 58
1.9? 数据泄露???? 59
1.9.1? 美国的数据泄露相关法律???? 60
1.9.2? 其他国家有关数据泄露的法律???? 61
1.10? 策略、标准、基线、指南和
过程???? 61
1.10.1?
策略???? 62
1.10.2 ?标准???? 64
1.10.3?
基线??? ?65
1.10.4?
指南???? 66
1.10.5?
措施???? 66
1.10.6?
实施???? 66
1.11? 风险管理???? 67
1.11.1?
的风险管理???? 68
1.11.2?
信息系统风险管理策略???? 68
1.11.3?
风险管理团队???? 69
1.11.4?
风险管理过程???? 69
1.12? 威胁建模???? 70
1.12.1?
脆弱???? 70
1.12.2?
威胁???? 71
1.12.3?
攻击???? 71
1.12.4?
消减分析? ???72
1.13? 风险评估和分析???? 73
1.13.1?
风险分析团队???? 74
1.13.2?
信息和资产的价值???? 74
1.13.3?
构成价值的成本???? 75
1.13.4?
识别脆弱和威胁???? 75
1.13.5?
风险评估方法???? 76
1.13.6?
风险分析方法???? 80
1.13.7?
定风险分析???? 83
1.13.8?
保护机制???? 86
1.13.9?
综合考虑???? 88
1.13.10?
1.13.11?
处理风险???? 89
1.13.12?
???? 90
1.14? 风险管理框架???? 91
1.14.1?
信息分类???? 92
1.14.2?
控制的选择???? 92
1.14.3?
控制的实现???? 93
1.14.4?
控制的评估???? 93
1.14.5?
信息系统的授权???? 93
1.14.6?
控制的监管???? 93
1.15? 业务连续与灾难恢复???? 94
1.15.1?
标准和实践???? 96
1.15.2?
使BCM成为企业计划的
一部分???? 98
1.15.3?
BCP项目的组成???? 100
1.16? 人员???? 111
1.16.1?
招聘实践???? 112
1.16.2?
解雇???? 113
1.16.3?
意识培训???? 114
1.16.4?
学位或???? 115
1.17? 治理???? 115
1.18? 道德???? 1
1.18.1?
计算机道德协会???? 1
1.18.2?
互联网架构研究委员会???? 121
1.18.3?
企业道德计划???? 122
1.19? 小结???? 122
1.? 快速提示???? 123
1.21? 问题???? 126
1.22? 答案???? 133
第2章? 资产???? 137
2.1? 信息生命周期???? 137
2.1.1? 获取???? 138
2.1.2? 使用???? 138
2.1.3? 存档???? 139
2.1.4? 处置???? 139
2.2? 信息分类???? 140
2.2.1? 分类等级???? 141
2.2.2? 分类控制???? 143
2.3? 责任分层???? 144
2.3.1? 行政管理层???? 144
2.3.2? 数据所有者???? 147
2.3.3? 数据看管员???? 147
2.3.4? 系统所有者???? 148
2.3.5? 管理员???? 148
2.3.6? 主管???? 148
2.3.7? 变更控制分析员???? 148
2.3.8? 数据分析员???? 149
2.3.9? 用户???? 149
2.3.10?
审计员???? 149
2.3.11?
为何需要这么多角色???? 149
2.4? 保留策略???? 149
2.5? 保护隐私 ????152
2.5.1? 数据所有者???? 153
2.5.2? 数据处理者???? 153
2.5.3? 数据残留???? 153
2.5.4? 收集的限制???? 156
2.6? 保护资产???? 156
2.6.1? 数据控制???? 157
2.6.2? 介质控制???? 159
2.7? 数据泄露???? 163
2.8? 保护其他资产???? 170
2.8.1? 保护移动设备???? 170
2.8.2? 纸质记录???? 171
2.8.3? 保险箱???? 171
2.9? 小结???? 172
2.10? 快速提示???? 172
2.11? 问题???? 173
2.12? 答案???? 176
第3章? 工程???? 179
3.1? 系统架构???? 180
3.2? 计算机架构???? 183
3.2.1? 中央处理单元???? 183
3.2.2? 多重处理???? 186
3.2.3? 存储器类型???? 187
3.3? 操作系统???? 197
3.3.1?程管理???? 197
3.3.2? 存储器管理???? 4
3.3.3? 输入/输出设备管理???? 7
3.3.4?
CPU架构集成???? 9
3.3.5? 操作系统架构???? 212
3.3.6? 虚拟机???? 217
3.4? 系统架构???? 219
3.4.1? 策略???? 219
3.4.2? 架构要求???? 2
3.5? 模型???? 224
3.5.1?
Bell-LaPadula模型???? 224
3.5.2?
Biba模型???? 225
3.5.3?
Clark-Wilson模型???? 225
3.5.4? 无干扰模型???? 226
3.5.5?
Brewer and Nash模型???? 227
3.5.6?
Graham-Denning模型???? 227
3.5.7?
Harrison-Ruzzo-Ullman模型???? 227
3.6? 系统评估方法???? 228
3.6.1? 通用准则???? 229
3.6.2? 对产行评估的原因???? 232
3.7? 认证与认可???? 232
3.7.1? 认证???? 232
3.7.2? 认可???? 233
3.8? 开放系统与封闭系统???? 234
3.8.1? 开放系统???? 234
3.8.2? 封闭系统???? 234
3.9? 分布式系统???? 234
3.9.1? 云计算???? 235
3.9.2? 并行计算???? 235
3.9.3? 数据库???? 236
3.9.4?
Web应用???? 238
3.9.5? 移动设备???? 239
3.9.6? 网络物理系统???? 240
3.10? 一些对模型和架构的威胁???? 242
3.10.1?
维护陷阱???? 243
3.10.2?
检验时间/使用时间攻击???? 243
3.11? 密码学背景???? 244
3.12? 密码学定义与概念???? 249
3.12.1?
Kerckhoffs原则???? 251
3.12.2?
密码系统的强度???? 251
3.12.3?
密码系统的服务???? 252
3.12.4?
一次密码本???? 252
3.12.5?
滚动密码与隐藏密码???? 254
3.12.6?
隐写术???? 255
3.13? 密码的类型???? 257
3.13.1?
替代密码???? 257
3.13.2?
换位密码???? 257
3.14? 加密的方法???? 259
3.14.1?
对称算法与非对称算法???? 259
3.14.2?
分组密码与流密码???? 263
3.14.3?
混合加密方法???? 267
3.15? 对称系统的类型???? 272
3.15.1?
数据加密标准???? 272
3.15.2?
三重DES???? 278
3.15.3?
加密标准???? 278
3.15.4?
数据加密算法???? 279
3.15.5?
Blowfish???? 279
3.15.6?
RC4???? 279
3.15.7?
RC5???? 279
3.15.8?
RC6???? 280
3.16? 非对称系统的类型???? 280
3.16.1?
Diffie-Hellman 算法???? 280
3.16.2?
RSA???? 282
3.16.3?
El Gamal???? 284
3.16.4?
椭圆曲线密码系统???? 284
3.16.5?
算法???? 285
3.16.6?
零知识证明???? 285
3.17? 消息完整???? 286
3.17.1?
单向散列???? 286
3.17.2 ?各种散列算法 ????290
3.17.3?
MD4???? 291
3.17.4?
MD5???? 291
3.17.5?
SHA???? 291
3.17.6?
针对单向散列函数的攻击???? 291
3.17.7?
数字签名???? 292
3.17.8?
数字签名标准???? 294
3.18? 公钥基础设施???? 294
3.18.1?
认证授权机构???? 295
3.18.2?
???? 297
3.18.3?
注册授权机构???? 297
3.18.4?
PKI 步骤???? 297
3.19? 密钥管理???? 299
3.19.1?
密钥管理原则???? 300
3.19.2?
密钥和密钥管理的规则???? 301
3.? 可信平台模块???? 301
3.21? 针对密码学的攻击???? 303
3.21.1?
唯密文攻击???? 303
3.21.2?
已知明文攻击???? 303
3.21.3?
选定明文攻击???? 303
3.21.4?
选定密文攻击???? 304
3.21.5?
差分密码分析???? 304
3.21.6?
线密码分析???? 304
3.21.7?
旁路攻击 ????305
3.21.8?
重放攻击???? 305
3.21.9?
代数攻击???? 305
3.21.10?
分析式攻击???? 306
3.21.11?
统计式攻击???? 306
3.21.12?
社会工程攻击???? 306
3.21.13?
中间相遇攻击???? 306
3.22? 站点和设施???? 306
3.23? 站点规划过程???? 307
3.23.1?
通过环境设计来犯罪???? 310
3.23.2?
制订物理计划???? 314
3.24? 保护资产???? 324
3.24.1 ?保护移动设备???? 324
3.24.2?
使用保险柜???? 325
3.25? 内部支持系统???? 325
3.25.1?
电力???? 325
3.25.2?
环境问题???? 329
3.25.3?
火灾的、检测和扑灭???? 331
3.26? 小结???? 335
3.27? 快速提示???? 336
3.28? 问题???? 340
3.29? 答案???? 346
第4章? 通信与网络???? 351
4.1? 通信???? 352
4.2? 开放系统互连参考模型???? 353
4.2.1? 协议???? 354
4.2.2? 应用层???? 356
4.2.3? 表示层???? 356
4.2.4? 会话层???? 357
4.2.5? 传输层???? 359
4.2.6? 网络层???? 360
4.2.7? 数据链路层???? 360
4.2.8? 物理层???? 362
4.2.9?
OSI模型能和协议???? 362
4.2.10?
综合这些层???? 364
4.2.11?
多层协议???? 365
4.3?
TCP/IP模型???? 366
4.3.1?
TCP???? 367
4.3.2?
IP寻址???? 371
4.3.3?
IPv6???? 373
4.3.4? 第2层标准???? 376
4.3.5? 汇聚协议???? 377
4.4? 传输类型???? 378
4.4.1? 模拟和数字???? 378
4.4.2? 异步和同步???? 379
4.4.3? 宽带和基带???? 381
4.5? 线缆???? 382
4.5.1? 同轴电缆???? 382
4.5.2? 双绞线???? 382
4.5.3? 光缆???? 383
4.5.4? 布线问题???? 384
4.6? 网络互联基础???? 386
4.6.1? 网络拓扑???? 386
4.6.2 ?介质访问技术???? 388
4.6.3 ?传输方法???? 397
4.6.4? 网络协议和服务???? 398
4.6.5? 域名服务???? 405
4.6.6? 电子邮件服务???? 410
4.6.7? 网络地址转换???? 414
4.6.8? 路由协议???? 416
4.7? 网络互联设备???? 419
4.7.1? 中继器???? 4
4.7.2 ?网桥???? 4
4.7.3? 路由器???? 422
4.7.4? 交换机???? 423
4.7.5? 网关???? 427
4.7.6?
PBX???? 428
4.7.7? 防火墙???? 431
4.7.8? 代理服务器???? 448
4.7.9? 蜜罐???? 450
4.7.10?
统一威胁管理???? 450
4.7.11?
内容分发网络???? 451
4.7.12?
软件定义网络???? 452
4.8? 内联网与外联网???? 454
4.9? 城域网???? 455
4.10? 广域网???? 457
4.10.1?
通信的发展???? 458
4.10.2?
专用链路???? 459
4.10.3?
WAN技术???? 462
4.11? 远程连接???? 478
4.11.1?
拨号连接???? 478
4.11.2?
ISDN???? 479
4.11.3?
DSL???? 480
4.11.4?
线缆调制解调器???? 481
4.11.5?
VPN???? 482
4.11.6?
身份验证协议???? 488
4.12? 无线网络???? 489
4.12.1 ?无线通信技术???? 490
4.12.2?
WLAN组件???? 492
4.12.3?
WLAN的演化???? 494
4.12.4?
无线标准???? 498
4.12.5?
保护WLAN的实践???? 502
4.12.6?
卫星???? 503
4.12.7?
移动无线通信???? 504
4.13? 网络加密???? 508
4.13.1?
链路加密与端对端加密???? 508
4.13.2?
电子邮件加密标准???? 510
4.13.3?
互联网???? 512
4.14? 网络攻击???? 516
4.14.1?
拒绝服务???? 516
4.14.2?
???? 518
4.14.3?
DNS劫持???? 519
4.14.4?
偷渡???? 519
4.15? 小结???? 5
4.16? 快速提示???? 5
4.17? 问题???? 523
4.18? 答案???? 530
第5章? 身份与访问管理???? 535
5.1? 访问控制概述???? 535
5.2? 原则???? 536
5.2.1? 可用???? 536
5.2.2? 完整???? 537
5.2.3 机密???? 537
5.3? 身份标识、身份验证、授权与
可问责???? 538
5.3.1? 身份标识与身份验证???? 539
5.3.2? 身份验证???? 548
5.3.3? 授权???? 564
5.3.4? 联合???? 574
5.3.5? 身份即服务???? 581
5.3.6? 集成身份识别服务???? 581
5.4? 访问控制模型???? 582
5.4.1? 自主访问控制???? 582
5.4.2? 强制访问控制???? 583
5.4.3? 角色访问控制???? 585
5.4.4? 规则型访问控制???? 587
5.5? 访问控制方???? 588
5.5.1? 限制用户接口???? 588
5.5.2? 访问控制矩阵???? 589
5.5.3? 内容相关访问控制???? 590
5.5.4? 上下文相关访问控制???? 591
5.6? 访问控制管理???? 591
5.6.1? 集中式访问控制管理???? 592
5.6.2? 分散式访问控制管理???? 597
5.7? 访问控制方法???? 597
5.7.1? 访问控制层???? 598
5.7.2? 行政管理控制???? 598
5.7.3? 物理控制???? 599
5.7.4? 技术控制???? 600
5.8? 可问责???? 603
5.8.1? 审计信息的检查???? 604
5.8.2? 保护审据和日志信息???? 605
5.8.3? 击键监控???? 605
5.9? 访问控制实践???? 606
5.10 访问控制监控???? 608
5.10.1?
入侵检测???? 608
5.10.2?
入侵防御系统???? 616
5.11? 对访问控制的几种威胁???? 618
5.11.1?
字典攻击???? 618
5.11.2?
蛮力攻击???? 619
5.11.3?
登录欺骗???? 619
5.11.4?
网络钓鱼???? 619
5.12? 小结???? 622
5.13? 快速提示???? 622
5.14? 问题???? 625
5.15? 答案???? 632
第6章? 评估与测试???? 635
6.1? 审计策略???? 636
6.1.1? 内部审计???? 637
6.1.2? 第三方审计???? 638
6.2? 审计技术控制 ????640
6.2.1? 脆弱测试???? 640
6.2.2? 渗透测试???? 642
6.2.3? 战争拨号攻击???? 646
6.2.4? 其他脆弱类型???? 646
6.2.5? 事后检查???? 648
6.2.6? 日志审查???? 649
6.2.7? 综合事务???? 651
6.2.8? 误用案例测试???? 652
6.2.9? 代码审查???? 653
6.2.10?
接口测试???? 655
6.3? 审计管理控制???? 655
6.3.1? 账户管理???? 655
6.3.2? 备份验证???? 657
6.3.3? 灾难恢复和业务连续???? 659
6.3.4? 培训和意识培训???? 664
6.3.5? 关键绩效和风险指标???? 667
6.4? 报告???? 669
6.4.1? 技术报告???? 669
6.4.2? 执行摘要???? 669
6.5? 管理评审???? 670
6.5.1? 管理评审前???? 671
6.5.2? 审查输入???? 671
6.5.3? 管理层的行动???? 672
6.6? 小结???? 672
6.7 ?快速提示???? 673
6.8? 问题???? 674
6.9? 答案???? 678
?
1.1? 基本原则???? 2
1.1.1? 可用???? 3
1.1.2? 完整???? 3
1.1.3? 机密???? 3
1.1.4? 平衡???? 4
1.2? 定义???? 5
1.3? 控制类型???? 6
1.4? 框架???? 10
1.4.1?
ISO/IEC 27000系列???? 12
1.4.2? 企业架构开发???? 14
1.4.3? 控制开发???? 23
1.4.4? 流程管理开发???? 26
1.4.5?能与???? 32
1.5? 计算机犯罪法的难题???? 32
1.6? 网络犯罪的复杂???? 34
1.6.1? 电子资产???? 35
1.6.2? 攻击的演变???? 36
1.6.3? 问题???? 38
1.6.4? 法律的类型???? 41
1.7? 知识产权法???? 44
1.7.1? 商业秘密???? 44
1.7.2? 版权???? 45
1.7.3? 商标???? 45
1.7.4? 专利???? 46
1.7.5? 知识产权的内部保护???? 47
1.7.6? 软件盗版???? 48
1.8? 隐私???? 50
1.8.1? 对隐私法不断增长的需求???? 51
1.8.2? 法律、指令和法规???? 52
1.8.3? 员工隐私问题???? 58
1.9? 数据泄露???? 59
1.9.1? 美国的数据泄露相关法律???? 60
1.9.2? 其他国家有关数据泄露的法律???? 61
1.10? 策略、标准、基线、指南和
过程???? 61
1.10.1?
策略???? 62
1.10.2 ?标准???? 64
1.10.3?
基线??? ?65
1.10.4?
指南???? 66
1.10.5?
措施???? 66
1.10.6?
实施???? 66
1.11? 风险管理???? 67
1.11.1?
的风险管理???? 68
1.11.2?
信息系统风险管理策略???? 68
1.11.3?
风险管理团队???? 69
1.11.4?
风险管理过程???? 69
1.12? 威胁建模???? 70
1.12.1?
脆弱???? 70
1.12.2?
威胁???? 71
1.12.3?
攻击???? 71
1.12.4?
消减分析? ???72
1.13? 风险评估和分析???? 73
1.13.1?
风险分析团队???? 74
1.13.2?
信息和资产的价值???? 74
1.13.3?
构成价值的成本???? 75
1.13.4?
识别脆弱和威胁???? 75
1.13.5?
风险评估方法???? 76
1.13.6?
风险分析方法???? 80
1.13.7?
定风险分析???? 83
1.13.8?
保护机制???? 86
1.13.9?
综合考虑???? 88
1.13.10?
1.13.11?
处理风险???? 89
1.13.12?
???? 90
1.14? 风险管理框架???? 91
1.14.1?
信息分类???? 92
1.14.2?
控制的选择???? 92
1.14.3?
控制的实现???? 93
1.14.4?
控制的评估???? 93
1.14.5?
信息系统的授权???? 93
1.14.6?
控制的监管???? 93
1.15? 业务连续与灾难恢复???? 94
1.15.1?
标准和实践???? 96
1.15.2?
使BCM成为企业计划的
一部分???? 98
1.15.3?
BCP项目的组成???? 100
1.16? 人员???? 111
1.16.1?
招聘实践???? 112
1.16.2?
解雇???? 113
1.16.3?
意识培训???? 114
1.16.4?
学位或???? 115
1.17? 治理???? 115
1.18? 道德???? 1
1.18.1?
计算机道德协会???? 1
1.18.2?
互联网架构研究委员会???? 121
1.18.3?
企业道德计划???? 122
1.19? 小结???? 122
1.? 快速提示???? 123
1.21? 问题???? 126
1.22? 答案???? 133
第2章? 资产???? 137
2.1? 信息生命周期???? 137
2.1.1? 获取???? 138
2.1.2? 使用???? 138
2.1.3? 存档???? 139
2.1.4? 处置???? 139
2.2? 信息分类???? 140
2.2.1? 分类等级???? 141
2.2.2? 分类控制???? 143
2.3? 责任分层???? 144
2.3.1? 行政管理层???? 144
2.3.2? 数据所有者???? 147
2.3.3? 数据看管员???? 147
2.3.4? 系统所有者???? 148
2.3.5? 管理员???? 148
2.3.6? 主管???? 148
2.3.7? 变更控制分析员???? 148
2.3.8? 数据分析员???? 149
2.3.9? 用户???? 149
2.3.10?
审计员???? 149
2.3.11?
为何需要这么多角色???? 149
2.4? 保留策略???? 149
2.5? 保护隐私 ????152
2.5.1? 数据所有者???? 153
2.5.2? 数据处理者???? 153
2.5.3? 数据残留???? 153
2.5.4? 收集的限制???? 156
2.6? 保护资产???? 156
2.6.1? 数据控制???? 157
2.6.2? 介质控制???? 159
2.7? 数据泄露???? 163
2.8? 保护其他资产???? 170
2.8.1? 保护移动设备???? 170
2.8.2? 纸质记录???? 171
2.8.3? 保险箱???? 171
2.9? 小结???? 172
2.10? 快速提示???? 172
2.11? 问题???? 173
2.12? 答案???? 176
第3章? 工程???? 179
3.1? 系统架构???? 180
3.2? 计算机架构???? 183
3.2.1? 中央处理单元???? 183
3.2.2? 多重处理???? 186
3.2.3? 存储器类型???? 187
3.3? 操作系统???? 197
3.3.1?程管理???? 197
3.3.2? 存储器管理???? 4
3.3.3? 输入/输出设备管理???? 7
3.3.4?
CPU架构集成???? 9
3.3.5? 操作系统架构???? 212
3.3.6? 虚拟机???? 217
3.4? 系统架构???? 219
3.4.1? 策略???? 219
3.4.2? 架构要求???? 2
3.5? 模型???? 224
3.5.1?
Bell-LaPadula模型???? 224
3.5.2?
Biba模型???? 225
3.5.3?
Clark-Wilson模型???? 225
3.5.4? 无干扰模型???? 226
3.5.5?
Brewer and Nash模型???? 227
3.5.6?
Graham-Denning模型???? 227
3.5.7?
Harrison-Ruzzo-Ullman模型???? 227
3.6? 系统评估方法???? 228
3.6.1? 通用准则???? 229
3.6.2? 对产行评估的原因???? 232
3.7? 认证与认可???? 232
3.7.1? 认证???? 232
3.7.2? 认可???? 233
3.8? 开放系统与封闭系统???? 234
3.8.1? 开放系统???? 234
3.8.2? 封闭系统???? 234
3.9? 分布式系统???? 234
3.9.1? 云计算???? 235
3.9.2? 并行计算???? 235
3.9.3? 数据库???? 236
3.9.4?
Web应用???? 238
3.9.5? 移动设备???? 239
3.9.6? 网络物理系统???? 240
3.10? 一些对模型和架构的威胁???? 242
3.10.1?
维护陷阱???? 243
3.10.2?
检验时间/使用时间攻击???? 243
3.11? 密码学背景???? 244
3.12? 密码学定义与概念???? 249
3.12.1?
Kerckhoffs原则???? 251
3.12.2?
密码系统的强度???? 251
3.12.3?
密码系统的服务???? 252
3.12.4?
一次密码本???? 252
3.12.5?
滚动密码与隐藏密码???? 254
3.12.6?
隐写术???? 255
3.13? 密码的类型???? 257
3.13.1?
替代密码???? 257
3.13.2?
换位密码???? 257
3.14? 加密的方法???? 259
3.14.1?
对称算法与非对称算法???? 259
3.14.2?
分组密码与流密码???? 263
3.14.3?
混合加密方法???? 267
3.15? 对称系统的类型???? 272
3.15.1?
数据加密标准???? 272
3.15.2?
三重DES???? 278
3.15.3?
加密标准???? 278
3.15.4?
数据加密算法???? 279
3.15.5?
Blowfish???? 279
3.15.6?
RC4???? 279
3.15.7?
RC5???? 279
3.15.8?
RC6???? 280
3.16? 非对称系统的类型???? 280
3.16.1?
Diffie-Hellman 算法???? 280
3.16.2?
RSA???? 282
3.16.3?
El Gamal???? 284
3.16.4?
椭圆曲线密码系统???? 284
3.16.5?
算法???? 285
3.16.6?
零知识证明???? 285
3.17? 消息完整???? 286
3.17.1?
单向散列???? 286
3.17.2 ?各种散列算法 ????290
3.17.3?
MD4???? 291
3.17.4?
MD5???? 291
3.17.5?
SHA???? 291
3.17.6?
针对单向散列函数的攻击???? 291
3.17.7?
数字签名???? 292
3.17.8?
数字签名标准???? 294
3.18? 公钥基础设施???? 294
3.18.1?
认证授权机构???? 295
3.18.2?
???? 297
3.18.3?
注册授权机构???? 297
3.18.4?
PKI 步骤???? 297
3.19? 密钥管理???? 299
3.19.1?
密钥管理原则???? 300
3.19.2?
密钥和密钥管理的规则???? 301
3.? 可信平台模块???? 301
3.21? 针对密码学的攻击???? 303
3.21.1?
唯密文攻击???? 303
3.21.2?
已知明文攻击???? 303
3.21.3?
选定明文攻击???? 303
3.21.4?
选定密文攻击???? 304
3.21.5?
差分密码分析???? 304
3.21.6?
线密码分析???? 304
3.21.7?
旁路攻击 ????305
3.21.8?
重放攻击???? 305
3.21.9?
代数攻击???? 305
3.21.10?
分析式攻击???? 306
3.21.11?
统计式攻击???? 306
3.21.12?
社会工程攻击???? 306
3.21.13?
中间相遇攻击???? 306
3.22? 站点和设施???? 306
3.23? 站点规划过程???? 307
3.23.1?
通过环境设计来犯罪???? 310
3.23.2?
制订物理计划???? 314
3.24? 保护资产???? 324
3.24.1 ?保护移动设备???? 324
3.24.2?
使用保险柜???? 325
3.25? 内部支持系统???? 325
3.25.1?
电力???? 325
3.25.2?
环境问题???? 329
3.25.3?
火灾的、检测和扑灭???? 331
3.26? 小结???? 335
3.27? 快速提示???? 336
3.28? 问题???? 340
3.29? 答案???? 346
第4章? 通信与网络???? 351
4.1? 通信???? 352
4.2? 开放系统互连参考模型???? 353
4.2.1? 协议???? 354
4.2.2? 应用层???? 356
4.2.3? 表示层???? 356
4.2.4? 会话层???? 357
4.2.5? 传输层???? 359
4.2.6? 网络层???? 360
4.2.7? 数据链路层???? 360
4.2.8? 物理层???? 362
4.2.9?
OSI模型能和协议???? 362
4.2.10?
综合这些层???? 364
4.2.11?
多层协议???? 365
4.3?
TCP/IP模型???? 366
4.3.1?
TCP???? 367
4.3.2?
IP寻址???? 371
4.3.3?
IPv6???? 373
4.3.4? 第2层标准???? 376
4.3.5? 汇聚协议???? 377
4.4? 传输类型???? 378
4.4.1? 模拟和数字???? 378
4.4.2? 异步和同步???? 379
4.4.3? 宽带和基带???? 381
4.5? 线缆???? 382
4.5.1? 同轴电缆???? 382
4.5.2? 双绞线???? 382
4.5.3? 光缆???? 383
4.5.4? 布线问题???? 384
4.6? 网络互联基础???? 386
4.6.1? 网络拓扑???? 386
4.6.2 ?介质访问技术???? 388
4.6.3 ?传输方法???? 397
4.6.4? 网络协议和服务???? 398
4.6.5? 域名服务???? 405
4.6.6? 电子邮件服务???? 410
4.6.7? 网络地址转换???? 414
4.6.8? 路由协议???? 416
4.7? 网络互联设备???? 419
4.7.1? 中继器???? 4
4.7.2 ?网桥???? 4
4.7.3? 路由器???? 422
4.7.4? 交换机???? 423
4.7.5? 网关???? 427
4.7.6?
PBX???? 428
4.7.7? 防火墙???? 431
4.7.8? 代理服务器???? 448
4.7.9? 蜜罐???? 450
4.7.10?
统一威胁管理???? 450
4.7.11?
内容分发网络???? 451
4.7.12?
软件定义网络???? 452
4.8? 内联网与外联网???? 454
4.9? 城域网???? 455
4.10? 广域网???? 457
4.10.1?
通信的发展???? 458
4.10.2?
专用链路???? 459
4.10.3?
WAN技术???? 462
4.11? 远程连接???? 478
4.11.1?
拨号连接???? 478
4.11.2?
ISDN???? 479
4.11.3?
DSL???? 480
4.11.4?
线缆调制解调器???? 481
4.11.5?
VPN???? 482
4.11.6?
身份验证协议???? 488
4.12? 无线网络???? 489
4.12.1 ?无线通信技术???? 490
4.12.2?
WLAN组件???? 492
4.12.3?
WLAN的演化???? 494
4.12.4?
无线标准???? 498
4.12.5?
保护WLAN的实践???? 502
4.12.6?
卫星???? 503
4.12.7?
移动无线通信???? 504
4.13? 网络加密???? 508
4.13.1?
链路加密与端对端加密???? 508
4.13.2?
电子邮件加密标准???? 510
4.13.3?
互联网???? 512
4.14? 网络攻击???? 516
4.14.1?
拒绝服务???? 516
4.14.2?
???? 518
4.14.3?
DNS劫持???? 519
4.14.4?
偷渡???? 519
4.15? 小结???? 5
4.16? 快速提示???? 5
4.17? 问题???? 523
4.18? 答案???? 530
第5章? 身份与访问管理???? 535
5.1? 访问控制概述???? 535
5.2? 原则???? 536
5.2.1? 可用???? 536
5.2.2? 完整???? 537
5.2.3 机密???? 537
5.3? 身份标识、身份验证、授权与
可问责???? 538
5.3.1? 身份标识与身份验证???? 539
5.3.2? 身份验证???? 548
5.3.3? 授权???? 564
5.3.4? 联合???? 574
5.3.5? 身份即服务???? 581
5.3.6? 集成身份识别服务???? 581
5.4? 访问控制模型???? 582
5.4.1? 自主访问控制???? 582
5.4.2? 强制访问控制???? 583
5.4.3? 角色访问控制???? 585
5.4.4? 规则型访问控制???? 587
5.5? 访问控制方???? 588
5.5.1? 限制用户接口???? 588
5.5.2? 访问控制矩阵???? 589
5.5.3? 内容相关访问控制???? 590
5.5.4? 上下文相关访问控制???? 591
5.6? 访问控制管理???? 591
5.6.1? 集中式访问控制管理???? 592
5.6.2? 分散式访问控制管理???? 597
5.7? 访问控制方法???? 597
5.7.1? 访问控制层???? 598
5.7.2? 行政管理控制???? 598
5.7.3? 物理控制???? 599
5.7.4? 技术控制???? 600
5.8? 可问责???? 603
5.8.1? 审计信息的检查???? 604
5.8.2? 保护审据和日志信息???? 605
5.8.3? 击键监控???? 605
5.9? 访问控制实践???? 606
5.10 访问控制监控???? 608
5.10.1?
入侵检测???? 608
5.10.2?
入侵防御系统???? 616
5.11? 对访问控制的几种威胁???? 618
5.11.1?
字典攻击???? 618
5.11.2?
蛮力攻击???? 619
5.11.3?
登录欺骗???? 619
5.11.4?
网络钓鱼???? 619
5.12? 小结???? 622
5.13? 快速提示???? 622
5.14? 问题???? 625
5.15? 答案???? 632
第6章? 评估与测试???? 635
6.1? 审计策略???? 636
6.1.1? 内部审计???? 637
6.1.2? 第三方审计???? 638
6.2? 审计技术控制 ????640
6.2.1? 脆弱测试???? 640
6.2.2? 渗透测试???? 642
6.2.3? 战争拨号攻击???? 646
6.2.4? 其他脆弱类型???? 646
6.2.5? 事后检查???? 648
6.2.6? 日志审查???? 649
6.2.7? 综合事务???? 651
6.2.8? 误用案例测试???? 652
6.2.9? 代码审查???? 653
6.2.10?
接口测试???? 655
6.3? 审计管理控制???? 655
6.3.1? 账户管理???? 655
6.3.2? 备份验证???? 657
6.3.3? 灾难恢复和业务连续???? 659
6.3.4? 培训和意识培训???? 664
6.3.5? 关键绩效和风险指标???? 667
6.4? 报告???? 669
6.4.1? 技术报告???? 669
6.4.2? 执行摘要???? 669
6.5? 管理评审???? 670
6.5.1? 管理评审前???? 671
6.5.2? 审查输入???? 671
6.5.3? 管理层的行动???? 672
6.6? 小结???? 672
6.7 ?快速提示???? 673
6.8? 问题???? 674
6.9? 答案???? 678
?
