CISSP认证考试权威指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

CISSP认证考试权威指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　可问责性与访问控制1

1.1　访问控制概述2

1.1.1　访问控制的类型2

1.1.2　分层环境中的访问控制4

1.1.3 问责的过程4

1.2　身份标识与验证技术8

1.2.1 密码8

1.2.2　生物测定学11

1.2.3　令牌16

1.2.4 票证17

1.2.5　单点登录17

1.3　访问控制技术20

1.3.1 自主访问控制20

1.3.2　非自主访问控制21

1.3.3　强制访问控制21

1.3.4　角色型访问控制22

1.3.5　格型访问控制23

1.4　访问控制方法及实施23

1.4.1　集中式访问控制与分散式访问控制24

1.4.2　RADIUS与TACACS24

1.5　访问控制管理25

1.5.1 账户管理25

1.5.2　监控账户、记录与日志26

1.5.3　访问权限与特权26

1.6　小结29

1.7　应试要点30

1.8　书面练习32

1.9　书面练习答案32

1.10　复习题32

1.11 复习题答案35

第2章　攻击与监控37

2.1 监控&.38

2.2　入侵检测39

2.2.1 主机型与网络型IDS41

2.2.2　知识型与行为型检测42

2.3 与IDS相关的工具43

2.3.1　理解“蜜罐”43

2.3.2　理解填充单元44

2.3.3　理解漏洞扫描程序44

2.4　渗透测试45

2.5　攻击方法46

2.5.1　穷举攻击和字典攻击46

2.5.2　拒绝服务攻击48

2.5.3　欺骗攻击52

2.5.4　中间人攻击52

2.5.5 嗅闻攻击53

2.5.6　垃圾邮件攻击53

2.5.7　骇客、黑客和攻击者54

2.6　访问控制补偿54

2.7 小结&.54

2.8　应试要点55

2.9　书面练习57

2.10　书面练习答案57

2.11 复习题57

2.12　复习题答案60

第3章　ISO模型、协议、网络安全与网络基础架构62

3.1 OSI模型63

3.1.1　OSI模型的历史63

3.1.2　OSI功能64

3.1.3　封装／拆装64

3.1.4　OSI分层66

3.1.5　TCP/IP模型71

3.2　通信与网络安全71

3.2.1　网络线缆连接72

3.2.2　LAN技术81

3.2.3　网络拓扑结构84

3.2.4　TCP/IP概述86

3.3　Internet／内部网／外部网组件95

3.3.1 防火墙95

3.3.2　其他网络设备99

3.4　远程访问安全管理101

3.5 网络与协议安全机制102

3.5.1　安全通信协议102

3.5.2　拨号协议103

3.5.3　身份验证协议103

3.5.4　集中化的远程身份验证服务104

3.6　避免单点故障104

3.6.1　冗余服务器104

3.6.2　故障转移解决方案105

3.6.3　RAID105

3.7 小结106

3.8　应试要点107

3.9 书面练习108

3.10　书面练习答案108

3.11 复习题109

3.12　复习题答案111

第4章　通信安全性与对策113

4.1 虚拟专用网（VPN）114

4.1.1　隧道技术114

4.1.2　VPN的工作原理116

4.1.3　实现VPN116

4.2　网络地址转换117

4.2.1　专用IP地址118

4.2.2 状态NAT119

4.2.3　静态NAT与动态NAT120

4.2.4　自动专用IP地址寻址（APIPA）120

4.3　交换技术121

4.3.1 电路交换121

4.3.2　分组交换122

4.3.3　虚电路122

4.4　WAN技术122

4.4.1　WAN连接技术124

4.4.2　拨号封装协议126

4.5　各种安全控制特性126

4.5.1 透明性127

4.5.2　验证完整性127

4.5.3　传输机制128

4.6　管理电子邮件的安全性128

4.6.1 电子邮件安全性的目标128

4.6.2　理解电子邮件的安全性问题129

4.6.3 电子邮件安全性解决方案130

4.7　安全的语音通信132

4.7.1　社会工程学132

4.7.2　伪造与滥用133

4.7.3　飞客行为134

4.8　安全边界135

4.9　网络攻击与对策136

4.9.1 偷听136

4.9.2　第二级攻击137

4.10　小结139

4.11　应试要点140

4.12　书面练习141

4.13　书面练习答案141

4.14　复习题142

4.15　复习题答案144

第5章　安全管理的概念与原则146

5.1　安全管理的概念与原则147

5.1.1　机密性147

5.1.2　完整性148

5.1.3　可用性149

5.1.4　其他安全概念150

5.2　保护机制153

5.2.1 层次法153

5.2.2　抽象154

5.2.3　数据隐藏154

5.2.4　加密154

5.3　更改控制／管理154

5.4　数据分类155

5.5　对计划的规划158

5.6　小结158

5.7　应试要点159

5.8 书面练习161

5.9　书面练习答案161

5.10　复习题161

5.11 复习题答案164

第6章　资产价值、策略与角色165

6.1　雇佣策略与实践166

6.2　安全角色170

6.3　编制安全管理计划171

6.4　策略、标准、基准、指导原则及措施172

6.4.1　安全策略172

6.4.2　安全标准、基准及指导原则173

6.4.3　安全措施174

6.5 风险管理175

6.5.1　风险术语175

6.5.2　风险评估方法177

6.5.3　定量的风险分析179

6.5.4　定性的风险分析183

6.5.5　应对风险184

6.6　安全意识培训186

6.7 小结187

6.8　应试要点188

6.9　书面练习190

6.10　书面练习答案190

6.11 复习题190

6.12　复习题答案193

第7章　数据与应用程序的安全问题195

7.1　应用程序问题196

7.1.1　本地／非分布式环境196

7.1.2　分布式环境198

7.2　数据库与数据仓库201

7.2.1 数据库管理系统（DBMS）体系结构201

7.2.2　数据库204

7.2.3　多级数据库的安全性205

7.2.4　ODBC207

7.2.5　聚合208

7.2.6　数据挖掘209

7.3　数据／信息存储器210

7.3.1　存储器的类型210

7.3.2　存储器的威胁210

7.4　知识型系统211

7.4.1　专家系统211

7.4.2　神经网络212

7.4.3　决策支持系统212

7.4.4　安全性应用212

7.5　系统开发控制213

7.5.1　软件开发213

7.5.2　系统开发生命周期217

7.5.3　生命周期模型220

7.5.4 甘特图与PERT224

7.5.5　更改控制和配置管理224

7.5.6　软件测试226

7.5.7　安全控制体系结构226

7.5.8　服务等级协议228

7.6　小结229

7.7　应试要点229

7.8　书面练习230

7.9　书面练习答案231

7.10　复习题231

7.11　复习题答案234

第8章　恶意代码与应用程序攻击235

8.1 恶意代码236

8.1.1　来源236

8.1.2　病毒236

8.1.3　逻辑炸弹241

8.1.4　特洛伊木马241

8.1.5　蠕虫242

8.1.6　问谍软件与广告软件244

8.1.7　活动内容244

8.1.8　对策245

8.2　密码攻击246

8.2.1　密码猜测攻击246

8.2.2　字典攻击247

8.2.3　社会工程学攻击247

8.2.4　对策248

8.3　拒绝服务攻击248

8.3.1　SYN洪泛攻击248

8.3.2　分布式DoS工具箱249

8.3.3　smurf攻击250

8.3.4　DNS放大攻击251

8.3.5　泪滴攻击251

8.3.6　陆地攻击253

8.3.7　DNS中毒攻击253

8.3.8　死亡之ping攻击253

8.4　应用程序攻击254

8.4.1　缓冲区溢出254

8.4.2　检验时间到使用时间254

8.4.3　陷门255

8.4.4　rootkit255

8.5　Web应用程序的安全性255

8.5.1　跨站脚本攻击255

8.5.2　SQL注入攻击256

8.6　侦察攻击259

8.6.1　IP探测259

8.6.2　端口扫描259

8.6.3　漏洞扫描259

8.6.4　垃圾搜寻260

8.7　伪装攻击260

8.7.1　IP欺骗260

8.7.2　会话劫持261

8.8 诱骗技术261

8.8.1　蜜罐261

8.8.2　伪缺陷261

8.9　小结262

8.10　应试要点262

8.11　书面练习263

8.12　书面练习答案263

8.13　复习题264

8.14　复习题答案266

第9章　密码术与私钥算法268

9.1　密码术历史上的里程碑269

9.1.1 凯撒密码269

9.1.2　美国内战270

9.1.3　Ultra与Enigma270

9.2　密码术基础271

9.2.1　密码术的目标271

9.2.2　密码术概念272

9.2.3　密码术数学原理273

9.2.4　密码278

9.3　现代密码术283

9.3.1　密钥283

9.3.2　对称密钥算法284

9.3.3　非对称密钥算法285

9.3.4　散列算法287

9.4　对称密码术288

9.4.1　数据加密标准288

9.4.2　三重数据加密算法290

9.4.3 国际数据加密算法291

9.4.4　Blowfish密码291

9.4.5　Skiajack算法291

9.4.6 高级加密标准292

9.4.7　密钥分发293

9.4.8　密钥托管295

9.5 小结295

9.6　应试要点295

9.7 书面练习297

9.8　书面练习答案297

9.9　复习题298

9.10　复习题答案300

第10章　PKI与密码术的应用302

10.1　非对称密码术303

10.1.1　公钥与私钥303

10.1.2　RSA算法304

10.1.3　El Gamal算法305

10.1.4　椭圆曲线密码术306

10.2　散列函数306

10.2.1　SHA函数307

10.2.2　MD2函数308

10.2.3　MD4函数308

10.2.4　MD5函数309

10.3　数字签名310

10.3.1　HMAC310

10.3.2　数字签名标准311

10.4　公钥基础结构（PKI）312

10.4.1 证书312

10.4.2　证书授权机构312

10.4.3　证书的生成与撤消313

10.4.4　密钥管理315

10.5　应用密码术315

10.5.1　电子邮件315

10.5.2　Web317

10.5.3 电子商务319

10.5.4　网络连接319

10.6　密码术攻击323

10.7　小结324

10.8　应试要点325

10.9　书面练习326

10.10　书面练习答案326

10.11　复习题326

10.12　复习题答案329

第11章　计算机设计原则331

11.1　计算机体系结构332

11.1.1　硬件333

11.1.2　输入／输出结构349

11.1.3　固件350

11.2　安全保护机制351

11.2.1　技术机制351

11.2.2　安全策略与计算机体系结构353

11.2.3　策略机制354

11.2.4　分布式体系结构355

11.3 小结356

11.4　应试要点357

11.5　书面练习358

11.6　书面练习答案358

11.7　复习题358

11.8　复习题答案361

第12章　安全模型的原则363

12.1 安全模型364

12.1.1　可信计算基（TCB）365

12.1.2　状态机模型366

12.1.3　信息流模型367

12.1.4　无干扰模型367

12.1.5　Take-Grant模型368

12.1.6　访问控制表368

12.1.7　Bell-LaPadula模型368

12.1.8　Biba模型370

12.1.9　Clark-Wilson模型372

12.1.10　Brewer and Nash模型（Chinese Wall模型）372

12.2　客体和主体373

12.2.1　封闭式系统和开放式系统373

12.2.2　用于确保机密性、完整性和可用性的技术374

12.2.3　控制375

12.2.4　信任与保证375

12.3　理解系统安全评估376

12.3.1　彩虹系列376

12.3.2　ITSEC类别与所需的保证和功能性379

12.3.3 通用准则380

12.3.4　认证和鉴定383

12.4　常见的缺陷和安全问题385

12.4.1　隐蔽通道385

12.4.2　基于设计或编码缺陷的攻击和安全问题386

12.4.3　编程388

12.4.4　计时、状态改变和通信中断389

12.4.5 电磁辐射389

12.5 小结390

12.6　应试要点391

12.7　书面练习392

12.8　书面练习答案392

12.9　复习题392

12.10　复习题答案395

第13章　行政性管理397

13.1　操作安全的概念398

13.1.1　反病毒管理398

13.1.2　操作保证和生命周期保证400

13.1.3　备份维护401

13.1.4　工作岗位／办公地点的改变401

13.1.5 “知其所需”与最小特权原则402

13.1.6　特权操作功能402

13.1.7　可信恢复403

13.1.8　配置和更改管理控制404

13.1.9　适度关注和尽职的标准405

13.1.10　隐私和保护405

13.1.11　法律要求406

13.1.12　违法行为406

13.1.13　记录保留406

13.1.14　敏感信息和介质406

13.1.15　安全控制类型409

13.1.16　操作控制410

13.2　人员控制413

13.3　小结414

13.4　应试要点415

13.5　书面练习417

13.6　书面练习答案417

13.7　复习题417

13.8　复习题答案419

第14章　审计和监控421

14.1　审计422

14.1.1　审计基础知识422

14.1.2　审计跟踪424

14.1.3　报告的概念425

14.1.4　抽样426

14.1.5　记录保留426

14.1.6　外部审计人员427

14.2　监控428

14.3　渗透测试技术430

14.3.1　计划渗透测试430

14.3.2　渗透测试团队431

14.3.3　道德黑客行为432

14.3.4　战争拨号攻击433

14.3.5　嗅闻与偷听433

14.3.6　辐射监控434

14.3.7　垃圾搜寻434

14.3.8　社会工程攻击435

14.3.9　问题管理436

14.4　不恰当的活动436

14.5　不明威胁和对策437

14.5.1　错误和疏忽437

14.5.2　欺诈和盗窃437

14.5.3　共谋437

14.5.4　阴谋破坏438

14.5.5　失去物理和基础架构的支持438

14.5.6　恶意攻击者439

14.5.7　间谍活动439

14.5.8　恶意代码440

14.5.9　流量和趋势分析440

14.5.10　初始程序载入脆弱性441

14.6　小结442

14.7　应试要点442

14.8 书面练习445

14.9　书面练习答案445

14.10　复习题445

14.11　复习题答案448

第15章　业务连续性计划449

15.1 业务连续性计划简介450

15.2　项目范围与计划编制451

15.2.1　业务组织机构分析451

15.2.2　BCP团队的选择452

15.2.3　资源要求453

15.2.4　法律和法规要求454

15.3　业务影响评估455

15.3.1　确定优先级456

15.3.2　风险识别457

15.3.3　可能性评估457

15.3.4　影响评估458

15.3.5　资源优先级划分459

15.4　连续性计划459

15.4.1　策略开发460

15.4.2　预备和处理460

15.4.3　计划批准462

15.4.4　计划实现462

15.4.5　培训和教育462

15.5　BCP文档化462

15.5.1　连续性计划的目标463

15.5.2　重要性声明463

15.5.3　优先级声明463

15.5.4　组织机构职责的声明463

15.5.5　紧急程度和时限的声明463

15.5.6　风险评估464

15.5.7　可接受的风险／风险缓解464

15.5.8　重大记录计划464

15.5.9　响应紧急事件的指导原则464

15.5.10　维护464

15.5.11　测试465

15.6　小结465

15.7　应试要点465

15.8　书面练习466

15.9　书面练习答案466

15.10　复习题466

15.11　复习题答案469

第16章　灾难恢复计划471

16.1　灾难的种类472

16.1.1 自然灾难473

16.1.2　人为灾难476

16.2　恢复策略481

16.2.1　确定业务单元的优先顺序481

16.2.2　危机管理481

16.2.3　应急通信482

16.2.4　工作组恢复482

16.2.5　可替代的工作场所482

16.2.6　相互援助协议486

16.2.7　数据库恢复486

16.3　恢复计划开发488

16.3.1　紧急事件响应488

16.3.2　人员通知489

16.3.3　备份和离站存储490

16.3.4　软件托管协议493

16.3.5　外部通信493

16.3.6　公用设施493

16.3.7　物流和供应493

16.3.8　恢复与还原的比较494

16.4　培训与文档记录494

16.5　测试与维护495

16.5.1　清单测试495

16.5.2　组织演练496

16.5.3　模拟测试496

16.5.4　并行测试496

16.5.5　完全中断测试496

16.5.6　维护496

16.6　小结497

16.7　应试要点497

16.8　书面练习497

16.9　书面练习答案498

16.10　复习题498

16.11　复习题答案501

第17章　法律与调查503

17.1　法律的类别504

17.1.1　刑法504

17.1.2 民法505

17.1.3　行政法506

17.2　法律506

17.2.1　计算机犯罪506

17.2.2　知识产权510

17.2.3　许可证颁发514

17.2.4　进口／出口515

17.2.5　隐私516

17.3 调查520

17.3.1 证据520

17.3.2　调查过程522

17.4　小结524

17.5　应试要点524

17.6　书面练习525

17.7　书面练习答案525

17.8　复习题526

17.9　复习题答案529

第18章　事故和道德规范531

18.1　计算机犯罪的主要类别532

18.1.1　军事和情报攻击532

18.1.2　商业攻击533

18.1.3　财务攻击533

18.1.4　恐怖攻击534

18.1.5　恶意攻击534

18.1.6　兴奋攻击535

18.1.7　证据535

18.2 事故处理536

18.2.1　常见的事故类型536

18.2.2 响应团队539

18.2.3　事故响应过程539

18.2.4　约谈542

18.2.5　事故数据的完整性和保存问题542

18.2.6　事故报告542

18.3　道德规范543

18.3.1 （ISC）2的道德规范准则544

18.3.2　道德规范和Internet544

18.4　小结545

18.5　考试要点546

18.6　书面练习547

18.7　书面练习答案547

18.8　复习题547

18.9　复习题答案550

第19章　物理安全要求552

19.1 设施要求553

19.1.1　安全设施计划553

19.1.2　物理安全控制554

19.1.3　场地选择555

19.1.4　可视性555

19.1.5 可到达性555

19.1.6 自然灾害555

19.1.7　设施的设计556

19.1.8　工作区556

19.1.9　服务器机房556

19.1.10　来访者557

19.2　物理访问控制的形式558

19.2.1　栅栏、大门、旋转门和陷阱558

19.2.2　照明559

19.2.3　保安和狗559

19.2.4　钥匙和号码锁560

19.2.5　员工证560

19.2.6　运动探测仪561

19.2.7　入侵警报561

19.2.8　辅助验证机制561

19.3　技术控制562

19.3.1 智能卡562

19.3.2　邻近读卡机563

19.3.3　访问滥用563

19.3.4　入侵检测系统564

19.3.5　放射防护564

19.4　环境与生命安全565

19.4.1　人员安全566

19.4.2　电源和电力566

19.4.3　噪声567

19.4.4　温度、湿度和静电567

19.4.5　水568

19.4.6　火灾探测和灭火措施568

19.5　设备故障572

19.6 小结572

19.7　应试要点573

19.8 书面练习575

19.9　书面练习答案575

19.10　复习题575

19.11　复习题答案578

附录A　关于配书光盘579

术语表582