CISSP官方学习手册(第9版)（网络空间安全丛书） 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线

涵盖2021年CISSP所有考点，是您的一站式学习手册，助您更灵活、更快捷地准备CISSP考试。本书编排得当，内容详实，包含可供个人评估备考进展的测试、目标地图、书面实验题、关键考点以及富有挑战的章节练习题。开始使用本手册准备CISSP考试吧。

涵盖全部考试目标

? 安全与风险管 理

? 资产安全

? 安全架构与工程

? 通信与网络安全

? 身份和访问管理

? 安全评估与测试

? 安全运营

? 软件开发安全

第1章  实现安全治理的原则和策略   1

1.1  安全101   2

1.2  理解和应用安全概念   2

1.2.1  保密性   3

1.2.2  完整性   4

1.2.3  可用性   4

1.2.4  DAD、过度保护、真实性、不可否认性和AAA服务   5

1.2.5  保护机制   8

1.3  安全边界   9

1.4  评估和应用安全治理原则   10

1.4.1  第三方治理   11

1.4.2  文件审查   11

1.5  管理安全功能   12

1.5.1  与业务战略、目标、使命和宗旨相一致的安全功能   12

1.5.2  组织的流程   14

1.5.3  组织的角色与责任   15

1.5.4  安全控制框架   16

1.5.5  应尽关心和尽职审查   17

1.6  安全策略、标准、程序和指南   17

1.6.1  安全策略   17

1.6.2  安全标准、基线和指南   18

1.6.3  安全程序   18

1.7  威胁建模   19

1.7.1  识别威胁   19

1.7.2  确定和绘制潜在的攻击   21

1.7.3  执行简化分析   22

1.7.4  优先级排序和响应   22

1.8    23

1.9  本章小结   24

1.10  考试要点   25

1.11  书面实验   27

1.12  复习题   27

第2章  人员安全和风险管理的概念   32

2.1  人员安全策略和程序   33

2.1.1  岗位描述与职责   33

2.1.2  候选人筛选及招聘   33

2.1.3  入职：雇佣协议及策略   34

2.1.4  员工监管   35

2.1.5  离职、调动和解雇流程   36

2.1.6 

2.1.7  合规策略要求   39

2.1.8  隐私策略要求   39

2.2  理解并应用风险管理概念   40

2.2.1  风险术语和概念   41

2.2.2  资产估值   43

2.2.3  识别威胁和脆弱性   44

2.2.4  风险评估/分析   45

2.2.5  风险响应   50

2.2.6  安全控制的成本与收益   52

2.2.7  选择与实施安全对策   54

2.2.8  适用的控制类型   56

2.2.9  安全控制评估   58

2.2.10  监视和测量   58

2.2.11  风险报告和文档   58

2.2.12  持续改进   59

2.2.13  风险框架   60

2.3  社会工程   62

2.3.1  社会工程原理   63

2.3.2  获取信息   65

2.3.3  前置词   65

2.3.4  网络钓鱼   65

2.3.5  鱼叉式网络钓鱼   66

2.3.6  网络钓鲸   67

2.3.7  短信钓鱼   67

2.3.8  语音网络钓鱼   68

2.3.9  垃圾邮件   68

2.3.10  肩窥   69

2.3.11  发票诈骗   69

2.3.12  恶作剧   69

2.3.13  假冒和伪装   70

2.3.14  尾随和捎带   70

2.3.15  垃圾箱搜寻   71

2.3.16  身份欺诈   71

2.3.17  误植域名   72

2.3.18  影响力运动   73

2.4  建立和维护安全意识、教育和培训计划   74

2.4.1  安全意识   74

2.4.2  培训   75

2.4.3  教育   75

2.4.4  改进   75

2.4.5  有效性评估   76

2.5  本章小结   77

2.6  考试要点   78

2.7  书面实验   81

2.8  复习题   81

第3章  业务连续性计划   86

3.1  业务连续性计划概述   86

3.2  项目范围和计划   87

3.2.1  组织分析   88

3.2.2  选择BCP团队   88

3.2.3  资源需求   90

3.2.4  法律和法规要求   91

3.3  业务影响分析   92

3.3.1  确定优先级   92

3.3.2  风险识别   93

3.3.3  可能性评估   95

3.3.4  影响分析   95

3.3.5  资源优先级排序   96

3.4  连续性计划   97

3.4.1  策略开发   97

3.4.2  预备和处理   97

3.5  计划批准和实施   99

3.5.1  计划批准   99

3.5.2  计划实施   99

3.5.3  培训和教育   99

3.5.4  BCP文档化   100

3.6  本章小结   103

3.7  考试要点   103

3.8  书面实验   104

3.9  复习题   104

第4章  法律、法规和合规   108

4.1  法律的分类   108

4.1.1  刑法   109

4.1.2  民法   110

4.1.3  行政法   110

4.2  法律   111

4.2.1  计算机犯罪   111

4.2.2  知识产权   114

4.2.3  许可   118

4.2.4  进口/出口控制   119

4.2.5  隐私   120

4.3  合规   127

4.4  合同和采购   128

4.5  本章小结   129

4.6  考试要点   129

4.7  书面实验   130

4.8  复习题   130

第5章  保护资产安全   135

5.1  对信息和资产进行识别和分类   136

5.1.1  定义敏感数据   136

5.1.2  定义数据分类   137

5.1.3  定义资产分类   139

5.1.4  理解数据状态   139

5.1.5  确定合规要求   140

5.1.6  确定数据安全控制   141

5.2  建立信息和资产的处理要求   142

5.2.1  数据维护   143

5.2.2  数据丢失预防   143

5.2.3  标记敏感数据和资产   144

5.2.4  处理敏感信息和资产   145

5.2.5  数据收集限制   145

5.2.6  数据位置   146

5.2.7  存储敏感数据   146

5.2.8  数据销毁   147

5.2.9  确保适当的数据和资产保留期   149

5.3  数据保护方法   150

5.3.1  数字版权管理   151

5.3.2  云访问安全代理   152

5.3.3  假名化   152

5.3.4  令牌化   153

5.3.5  匿名化   154

5.4  理解数据角色   155

5.4.1  数据所有者   155

5.4.2  资产所有者   156

5.4.3  业务/任务所有者   156

5.4.4  数据处理者和数据控制者   157

5.4.5  数据托管员   157

5.4.6  管理员   157

5.4.7  用户和主体   158

5.5  使用安全基线   158

5.5.1  对比定制和范围界定   159

5.5.2  选择标准   160

5.6  本章小结   160

5.7  考试要点   161

5.8  书面实验   162

5.9  复习题   162

第6章  密码学和对称密钥算法   167

6.1  密码学基本知识   167

6.1.1  密码学的目标   168

6.1.2  密码学的概念   169

6.1.3  密码数学   170

6.1.4  密码   175

6.2  现代密码学   181

6.2.1  密码密钥   182

6.2.2  对称密钥算法   183

6.2.3  非对称密钥算法   184

6.2.4  哈希算法   186

6.3  对称密码   187

6.3.1  密码运行模式   187

6.3.2  数据加密标准   189

6.3.3  三重DES   189

6.3.4  国际数据加密算法   190

6.3.5  Blowfish   190

6.3.6  Skipjack   191

6.3.7  Rivest Ciphers   191

6.3.8  高级加密标准   192

6.3.9  CAST   192

6.3.10  比较各种对称加密算法   192

6.3.11  对称密钥管理   193

6.4  密码生命周期   195

6.5  本章小结   195

6.6  考试要点   196

6.7  书面实验   197

6.8  复习题   197

第7章  PKI和密码应用   201

7.1  非对称密码   202

7.1.1  公钥和私钥   202

7.1.2  RSA   203

7.1.3  ElGamal   204

7.1.4  椭圆曲线   205

7.1.5  Diffie-Hellman密钥交换   205

7.1.6  量子密码   206

7.2  哈希函数   207

7.2.1  SHA   208

7.2.2  MD5   209

7.2.3  RIPEMD   209

7.2.4  各种哈希算法的哈希值长度比较   209

7.3  数字签名   210

7.3.1  HMAC   211

7.3.2  数字签名标准   212

7.4  公钥基础设施   212

7.4.1  证书   212

7.4.2  发证机构   213

7.4.3  证书的生命周期   214

7.4.4  证书的格式   217

7.5  非对称密钥管理   217

7.6  混合加密法   218

7.7  应用密码学   219

7.7.1  便携设备   219

7.7.2  电子邮件   220

7.7.3  Web应用   222

7.7.4  隐写术和水印   224

7.7.5  联网   225

7.7.6  新兴的应用   227

7.8  密码攻击   228

7.9  本章小结   231

7.10  考试要点   232

7.11  书面实验   233

7.12  复习题   233

第8章  安全模型、设计和能力的原则   237

8.1  安全设计原则   238

8.1.1  客体和主体   238

8.1.2  封闭系统和开放系统   239

8.1.3  默认安全配置   240

8.1.4  失效安全   241

8.1.5  保持简单   243

8.1.6  零信任   243

8.1.7  通过设计保护隐私   244

8.1.8  信任但要验证   245

8.2  用于确保保密性、完整性和可用性的技术   245

8.2.1  限定   246

8.2.2  界限   246

8.2.3  隔离   246

8.2.4  访问控制   247

8.2.5  信任与保证   247

8.3  理解安全模型的基本概念   247

8.3.1  可信计算基   248

8.3.2  状态机模型   249

8.3.3  信息流模型   250

8.3.4  无干扰模型   250

8.3.5  获取-授予模型   251

8.3.6  访问控制矩阵   252

8.3.7  Bell-LaPadula模型   252

8.3.8  Biba模型   254

8.3.9  Clark-Wilson模型   256

8.3.10  Brewer and Nash模型   257

8.3.11  Goguen-Meseguer模型   258

8.3.12  Sutherland模型   258

8.3.13  Graham-Denning模型   258

8.3.14  Harrison-Ruzzo-Ullman模型   259

8.4  根据系统安全要求挑选控制   259

8.4.1  通用准则   260

8.4.2  操作授权   262

8.5  理解信息系统的安全能力   263

8.5.1  内存保护   263

8.5.2  虚拟化   264

8.5.3  可信平台模块   264

8.5.4  接口   264

8.5.5  容错   264

8.5.6  加密/解密   264

8.6  本章小结   265

8.7  考试要点   265

8.8  书面实验   267

8.9  复习题   267

第9章  安全漏洞、威胁和对策   272

9.1  共担责任   273

9.2  评价和弥补安全架构、设计和解决方案元素的漏洞   274

9.2.1  硬件   274

9.2.2  固件   286

9.3  基于客户端的系统   287

9.3.1  移动代码   287

9.3.2  本地缓存   289

9.4  基于服务器端的系统   290

9.4.1  大规模并行数据系统   290

9.4.2  网格计算   291

9.4.3  对等网络   292

9.5  工业控制系统   292

9.6  分布式系统   293

9.7  高性能计算系统   295

9.8  物联网   296

9.9  边缘和雾计算   298

9.10  嵌入式设备和信息物理融合系统   299

9.10.1  静态系统   300

9.10.2  可联网设备   300

9.10.3  信息物理融合系统   301

9.10.4  与嵌入式和静态系统相关的元素   301

9.10.5  嵌入式和静态系统的安全问题   302

9.11  专用设备   304

9.12  微服务   305

9.13  基础设施即代码   306

9.14  虚拟化系统   307

9.14.1  虚拟软件   310

9.14.2  虚拟化网络   310

9.14.3  软件定义一切   310

9.14.4  虚拟化的安全管理   312

9.15  容器化   314

9.16  无服务器架构   315

9.17  移动设备   315

9.17.1  移动设备的安全性能   317

9.17.2  移动设备的部署策略   327

9.18  基本安全保护机制   332

9.18.1  进程隔离   333

9.18.2  硬件分隔   333

9.18.3  系统安全策略   333

9.19  常见的安全架构缺陷和问题   334

9.19.1  隐蔽通道   334

9.19.2  基于设计或编码缺陷的攻击   335

9.19.3  rootkit   336

9.19.4  增量攻击   337

9.20  本章小结   337

9.21  考试要点   338

9.22  书面实验   343

9.23  复习题   343

第10章  物理安全要求   348

10.1  站点与设施设计的安全原则   349

10.1.1  安全设施计划   349

10.1.2  站点选择   349

10.1.3  设施设计   350

10.2  实现站点与设施安全控制   351

10.2.1  设备故障   352

10.2.2  配线间   353

10.2.3  服务器间与数据中心   354

10.2.4  入侵检测系统   356

10.2.5  摄像头   358

10.2.6  访问滥用   359

10.2.7  介质存储设施   359

10.2.8  证据存储   360

10.2.9  受限区与工作区安全   360

10.2.10  基础设施关注点   361

10.2.11  火灾预防、探测与消防   365

10.3  物理安全的实现与管理   370

10.3.1  边界安全控制   370

10.3.2  内部安全控制   373

10.3.3  物理安全的关键性能指标   375

10.4  本章小结   376

10.5  考试要点   376

10.6  书面实验   379

10.7  复习题   379

第11章  安全网络架构和组件   384

11.1  OSI模型   385

11.1.1  OSI模型的历史   385

11.1.2  OSI功能   385

11.1.3  封装/解封   386

11.1.4  OSI模型层次   387

11.2  TCP/IP模型   390

11.3  网络流量分析   391

11.4  通用应用层协议   391

11.5  传输层协议   392

11.6  域名系统   393

11.6.1  DNS中毒   395

11.6.2  域名劫持   398

11.7  互联网协议网络   399

11.7.1  IPv4与IPv6   399

11.7.2  IP分类   400

11.7.3  ICMP   401

11.7.4  IGMP   401

11.8  ARP关注点   402

11.9  安全通信协议   403

11.10  多层协议的含义   403

11.10.1  融合协议   404

11.10.2  网络电话   405

11.10.3  软件定义网络   406

11.11  微分网段   407

11.12  无线网络   408

11.12.1  保护SSID   409

11.12.2  无线信道   409

11.12.3  进行现场调查   410

11.12.4  无线安全   410

11.12.5  Wi-Fi保护设置   413

11.12.6  无线 MAC过滤器   413

11.12.7  无线天线管理   413

11.12.8  使用强制门户   414

11.12.9  一般Wi-Fi安全程序   414

11.12.10  无线通信   415

11.12.11  无线攻击   417

11.13  其他通信协议   420

11.14  蜂窝网络   421

11.15  内容分发网络   421

11.16  安全网络组件   422

11.16.1  硬件的安全操作   422

11.16.2  常用网络设备   423

11.16.3  网络访问控制   425

11.16.4  防火墙   425

11.16.5  端点安全   430

11.16.6  布线、拓扑和传输介质技术   432

11.16.7  传输介质   433

11.16.8  网络拓扑   435

11.16.9  以太网   437

11.16.10  子技术   438

11.17  本章小结   440

11.18  考试要点   441

11.19  书面实验   444

11.20  复习题   444

第12章  安全通信与网络攻击   449

12.1  协议安全机制   449

12.1.1  身份认证协议   450

12.1.2  端口安全   451

12.1.3  服务质量   452

12.2  语音通信的安全   452

12.2.1  公共交换电话网   452

12.2.2  VoIP   453

12.2.3  语音钓鱼和电话飞客   454

12.2.4  PBX欺骗与滥用   455

12.3  远程访问安全管理   456

12.3.1  远程访问与远程办公技术   456

12.3.2  远程连接安全   457

12.3.3  规划远程访问安全策略   457

12.4  多媒体协作   458

12.4.1  远程会议   458

12.4.2  即时通信和聊天   459

12.5  负载均衡   459

12.5.1  虚拟IP和负载持久性   460

12.5.2  主动-主动与主动-被动   460

12.6  管理电子邮件安全   461

12.6.1  电子邮件安全目标   461

12.6.2  理解电子邮件安全问题   462

12.6.3  电子邮件安全解决方案   463

12.7  虚拟专用网   465

12.7.1  隧道技术   466

12.7.2  VPN的工作机理   467

12.7.3  始终在线VPN   469

12.7.4  分割隧道与全隧道   469

12.7.5  常用的VPN协议   469

12.8  交换与虚拟局域网   471

12.9  网络地址转换   475

12.9.1  私有IP地址   476

12.9.2  状态NAT   477

12.9.3  自动私有IP分配   477

12.10  第三方连接   478

12.11  交换技术   479

12.11.1  电路交换   479

12.11.2  分组交换   480

12.11.3  虚电路   480

12.12  WAN技术   481

12.13  光纤链路   482

12.14  安全控制特征   483

12.14.1  透明性   483

12.14.2  传输管理机制   483

12.15  防止或减轻网络攻击   483

12.15.1  窃听   484

12.15.2  篡改攻击   484

12.16  本章小结   484

12.17  考试要点   485

12.18  书面实验   487

12.19  复习题   487

第13章  管理身份和认证   492

13.1  控制对资产的访问   493

13.1.1  控制物理和逻辑访问   493

13.1.2  CIA三性和访问控制   494

13.2  管理身份标识和认证   494

13.2.1  比较主体和客体   495

13.2.2  身份注册、证明和创建   496

13.2.3  授权和问责   497

13.2.4  身份认证因素概述   498

13.2.5  你知道什么   499

13.2.6  你拥有什么   501

13.2.7  你是什么   502

13.2.8  多因素身份认证   505

13.2.9  使用身份认证应用程序进行双因素身份认证   505

13.2.10  无口令身份认证   506

13.2.11  设备身份认证   507

13.2.12  服务身份认证   508

13.2.13  双向身份认证   508

13.3  实施身份管理   508

13.3.1  单点登录   509

13.3.2  SSO与联合身份标识   510

13.3.3  凭证管理系统   511

13.3.4  凭证管理器应用程序   512

13.3.5  脚本访问   512

13.3.6  会话管理   512

13.4  管理身份和访问配置生命周期   513

13.4.1  配置和入职   513

13.4.2  取消配置和离职   514

13.4.3  定义新角色   515

13.4.4  账户维护   515

13.4.5  账户访问审查   516

13.5  本章小结   516

13.6  考试要点   517

13.7  书面实验   518

13.8  复习题   518

第14章  控制和监控访问   522

14.1  比较访问控制模型   523

14.1.1  比较权限、权利和特权   523

14.1.2  理解授权机制   523

14.1.3  使用安全策略定义需求   525

14.1.4  介绍访问控制模型   525

14.1.5  自主访问控制   526

14.1.6  非自主访问控制   526

14.2  实现认证系统   532

14.2.1  互联网上实现SSO   532

14.2.2  在内部网络上实现SSO   536

14.3  了解访问控制攻击   540

14.3.1  常见访问控制攻击   540

14.3.2  特权提升   541

14.3.3  核心保护方法   552

14.4  本章小结   553

14.5  考试要点   553

14.6  书面实验   555

14.7  复习题   555

第15章  安全评估与测试   559

15.1  构建安全评估和测试方案   560

15.1.1  安全测试   560

15.1.2  安全评估   561

15.1.3  安全审计   562

15.2  开展漏洞评估   565

15.2.1  漏洞描述   565

15.2.2  漏洞扫描   565

15.2.3  渗透测试   574

15.2.4  合规性检查   576

15.3  测试软件   576

15.3.1  代码审查与测试   577

15.3.2  接口测试   580

15.3.3  误用案例测试   581

15.3.4  测试覆盖率分析   581

15.3.5  网站监测   581

15.4  实施安全管理流程   582

15.4.1  日志审查   582

15.4.2  账户管理   583

15.4.3  灾难恢复和业务连续性   583

15.4.4  培训和意识   584

15.4.5  关键绩效和风险指标   584

15.5  本章小结   584

15.6  考试要点   585

15.7  书面实验   586

15.8  复习题   586

第16章  安全运营管理   590

16.1  应用基本的安全运营概念   591

16.1.1  因需可知和小特权   591

16.1.2  职责分离和责任   592

16.1.3  双人控制   593

16.1.4  岗位轮换   593

16.1.5  强制休假   594

16.1.6  特权账户管理   594

16.1.7  服务水平协议   595

16.2  解决人员安全和安保问题   596

16.2.1  胁迫   596

16.2.2  出差   596

16.2.3  应急管理   597

16.2.4  安全培训和意识   597

16.3  安全配置资源   597

16.3.1  信息和资产所有权   598

16.3.2  资产管理   598

16.4  实施资源保护   599

16.4.1  媒介管理   599

16.4.2  媒介保护技术   600

16.5  云托管服务   602

16.5.1  使用云服务模型分担责任   602

16.5.2  可扩展性和弹性   604

16.6  开展配置管理   604

16.6.1  配置   604

16.6.2  基线   605

16.6.3  使用镜像技术创建基线   605

16.6.4  自动化   606

16.7  管理变更   606

16.7.1  变更管理   608

16.7.2  版本控制   609

16.7.3  配置文档   609

16.8  管理补丁和减少漏洞   609

16.8.1  系统管理   609

16.8.2  补丁管理   610

16.8.3  漏洞管理   611

16.8.4  漏洞扫描   611

16.8.5  常见漏洞和披露   612

16.9  本章小结   612

16.10  考试要点   613

16.11  书面实验   614

16.12  复习题   615

第17章  事件的预防和响应   619

17.1  实施事件管理   620

17.1.1  事件的定义   620

17.1.2  事件管理步骤   621

17.2  实施检测和预防措施   625

17.2.1  基本预防措施   626

17.2.2  了解攻击   627

17.2.3  入侵检测和预防系统   634

17.2.4  具体预防措施   641

17.3  日志记录和监测   646

17.3.1  日志记录技术   646

17.3.2  监测的作用   648

17.3.3  监测技术   651

17.3.4  日志管理   654

17.3.5  出口监测   654

17.4  自动事件响应   655

17.4.1  了解SOAR   655

17.4.2  机器学习和AI工具   656

17.4.3  威胁情报   657

17.4.4  SOAR、机器学习、人工智能和威胁馈送的交叉融汇   660

17.5  本章小结   660

17.6  考试要点   661

17.7  书面实验   663

17.8  复习题   663

第18章  灾难恢复计划   667

18.1  灾难的本质   668

18.1.1  自然灾难   668

18.1.2  人为灾难   672

18.2  理解系统韧性、高可用性和容错能力   676

18.2.1  保护硬盘驱动器   677

18.2.2  保护服务器   678

18.2.3  保护电源   679

18.2.4  可信恢复   680

18.2.5  服务质量   680

18.3  恢复策略   681

18.3.1  业务单元和功能优先级   681

18.3.2  危机管理   682

18.3.3  应急沟通   683

18.3.4  工作组恢复   683

18.3.5  备用处理站点   683

18.3.6  数据库恢复   687

18.4  恢复计划开发   688

18.4.1  应急响应   689

18.4.2  职员和通信   689

18.4.3  评估   690

18.4.4  备份和离站存储   690

18.4.5  软件托管协议   693

18.4.6  公用设施   694

18.4.7  

18.4.8  恢复与还原的比较   694

18.5  培训、意识与文档记录   695

18.6  测试与维护   695

18.6.1  通读测试   696

18.6.2  结构化演练   696

18.6.3  模拟测试   696

18.6.4  并行测试   696

18.6.5  完全中断测试   696

18.6.6  经验教训   697

18.6.7  维护   697

18.7  本章小结   698

18.8  考试要点   698

18.9  书面实验   699

18.10  复习题   699

第19章  调查和道德   703

19.1  调查   703

19.1.1  调查的类型   704

19.1.2  证据   705

19.1.3  调查过程   710

19.2  计算机犯罪的主要类别   713

19.2.1  军事和情报攻击   714

19.2.2  商业攻击   714

19.2.3  财务攻击   715

19.2.4  恐怖攻击   715

19.2.5  恶意攻击   716

19.2.6  兴奋攻击   717

19.2.7  黑客行动主义者   717

19.3  道德规范   717

19.3.1  组织道德规范   718

19.3.2  (ISC)2的道德规范   718

19.3.3  道德规范和互联网   719

19.4  本章小结   721

19.5  考试要点   721

19.6  书面实验   722

19.7  复习题   722

第20章  软件开发安全   726

20.1  系统开发控制概述   727

20.1.1  软件开发   727

20.1.2  系统开发生命周期   733

20.1.3  生命周期模型   736

20.1.4  甘特图与PERT   742

20.1.5  变更和配置管理   743

20.1.6  DevOps方法   744

20.1.7  应用编程接口   745

20.1.8  软件测试   746

20.1.9  代码仓库   747

20.1.10  服务水平协议   748

20.1.11  第三方软件采购   749

20.2  创建数据库和数据仓储   749

20.2.1  数据库管理系统的体系结构   750

20.2.2  数据库事务   752

20.2.3  多级数据库的安全性   753

20.2.4  开放数据库互连   756

20.2.5  NoSQL   757

20.3  存储器威胁   757

20.4  理解基于知识的系统   758

20.4.1  专家系统   758

20.4.2  机器学习   759

20.4.3  神经网络   759

20.5  本章小结   760

20.6  考试要点   760

20.7  书面实验   761

20.8  复习题   761

第21章  恶意代码和应用攻击   765

21.1  恶意软件   766

21.1.1  恶意代码的来源   766

21.1.2  病毒   767

21.1.3  逻辑炸弹   770

21.1.4  特洛伊木马   770

21.1.5  蠕虫   771

21.1.6  间谍软件与广告软件   773

21.1.7  勒索软件   773

21.1.8  恶意脚本   774

21.1.9  零日攻击   774

21.2  恶意软件预防   775

21.2.1  易受恶意软件攻击的平台   775

21.2.2  反恶意软件   775

21.2.3  完整性监控   776

21.2.4  高级威胁保护   776

21.3  应用程序攻击   777

21.3.1  缓冲区溢出   777

21.3.2  检查时间到使用时间   778

21.3.3  后门   778

21.3.4  特权提升和rootkit   779

21.4  注入漏洞   779

21.4.1  SQL注入攻击   779

21.4.2  代码注入攻击   782

21.4.3  命令注入攻击   783

21.5  利用授权漏洞   783

21.5.1  不安全的直接对象引用   784

21.5.2  目录遍历   784

21.5.3  文件包含   785

21.6  利用Web应用程序漏洞   786

21.6.1  跨站脚本   786

21.6.2  请求伪造   789

21.6.3  会话劫持   789

21.7  应用程序安全控制   790

21.7.1  输入验证   790

21.7.2  Web应用程序防火墙   791

21.7.3  数据库安全   792

21.7.4  代码安全   793

21.8  安全编码实践   795

21.8.1  源代码注释   795

21.8.2  错误处理   795

21.8.3  硬编码凭证   797

21.8.4  内存管理   797

21.9  本章小结   798

21.10  考试要点   798

21.11  书面实验   799

21.12  复习题   799

附录A  书面实验答案   803

附录B  复习题答案   815

Mike Chapple，博士、CISSP、Security 、CySA 、PenTest 、CISA、CISM、CCSP、CIPP/US，圣母大学IT、分析学和运营学教授。曾任品牌研究所首席信息官、美国国家安全局和美国空军信息安全研究员。他主攻网络入侵检测和访问控制专业。Mike经常为TechTarget所属的SearchSecurity网站撰稿，著书逾25本，其中包括《(ISC)2：CISSP官方习题集》《CompTIA CySA (CS0-001考试)学习指南》《CompTIA Security (SY0-601考试)学习指南》以及《网络空间战：互联世界的信息作战》。

James Michael Stewart，CISSP、CEH、CHFI、ECSA、CND、ECIH、CySA 、PenTest 、CASP 、Security 、Network 、A 、CISM和CFR，从事写作和培训工作超过25年，目前专注于安全领域。他自2002年起一直讲授CISSP培训课程，互联网安全、道德黑客/渗透测试等内容更在他的授课范围之内。他是超过75部著作的作者或撰稿者，其著作内容涉及安全认证、微软主题和网络管理，其中包括《CompTIA Security (SY0-601考试)复习指南》。 

Darril Gibson，CISSP、Security 、CASP，YCDA有限责任公司首席执行官，是40多部著作的作者或合作作者。Darril持有多种专业证书，经常写作，提供咨询服务和开展教学，内容涉及各种技术和安全主题。

暂无出版社相关信息，正在全力查找中！

暂无相关书籍摘录，正在全力查找中！

在线阅读地址：CISSP官方学习手册(第9版)（网络空间安全丛书）在线阅读

在线听书地址：CISSP官方学习手册(第9版)（网络空间安全丛书）在线收听

在线购买地址：CISSP官方学习手册(第9版)（网络空间安全丛书）在线购买

暂无原文赏析，正在全力查找中！

编辑推荐

《CISSP官方学习手册(第9版)》通过明细的架构与简明的语言，全面系统地讲述CISSP认证考试的八大知识域:安全与风险管理、资产安全、安全架构与工程、通信与网络安全、身份和访问管理(IAM)、安

全评估与测试、安全运营和软件开发安全。《CISSP官方学习手册(第9版)》涵盖风险管理、云计算、移动安全、应用开发安全等关键安全议题，总结的网络安全上佳实践。本书旨在为任何对CISSP感兴趣且想通过认证的读者提供诚挚指导。尽管本书主要是为CISSP认证考试撰写的学习手册，但我们希望本书在你通过认证考试后仍然可以作为一本有价值的专业参考书。

前言

《CISSP官方学习手册(第9版)》可为你参加CISSP(注册信息系统安全师)认证考试打下坚实基础。买下这本书，就表明你想学习并通过这一认证提高自己的专业技能。这里将对《CISSP官方学习手册(第9版)》和CISSP考试做基本介绍。

《CISSP官方学习手册(第9版)》为那些希望通过CISSP认证考试的勤奋读者而设计。如果你的目标是成为一名持证安全专业人员，则CISSP认证和本学习手册是你的选择。《CISSP官方学习手册(第9版)》旨在帮助你做好CISSP应试准备。

在深入阅读《CISSP官方学习手册(第9版)》前，你首先要完成几项任务。你需要对IT和安全有一个大致了解。你应该在CISSP考试涵盖的8个知识域中的两个或多个拥有5年全职全薪工作经验(如果你有本科学历，则有4年工作经验即可)。如果根据(ISC)2规定的条件，你具备了参加CISSP考试的资格，则意味着你做好了充分准备，可借助《CISSP官方学习手册(第9版)》备考CISSP。有关(ISC)2的详细信息，稍后将介绍。

如果你拥有(ISC)2先决条件路径认可的其他认证，(ISC)2也允许把5年的工作经验要求减掉一年。这些认证包括CAP、CISM、CISA、CCIE、CCNA Security、CompTIA CASP、CompTIA Security 、CompTIA CySA 等，以及多种GIAC认证。有关资格认证的完整列表，可访问(ISC)2网站。

  注意：

需要指出的是，你只能用一种方法降低工作经验的年限要求，要么是本科学历，要么是认证证书，不能两者都用。

如果你刚刚开始CISSP认证之旅，还没有工作经验，那么《CISSP官方学习手册(第9版)》仍然可以成为你准备考试的有效工具。但是，你会发现自己对一些主题知识不太熟悉，需要使用其他材料进行一些额外的研究，然后返回《CISSP官方学习手册(第9版)》中继续学习。

(ISC)2

CISSP考试由国际信息系统安全认证联盟(International Information Systems Security Certification Consortium)管理，该联盟的英文简称是(ISC)2。(ISC)2是一个全球性非营利组织，致力于实现四大任务目标：

● 为信息系统安全领域维护通用知识体系(CBK)。

● 为信息系统安全专业人员和从业者提供认证。

● 开展认证培训并管理认证考试。

● 通过继续教育监察合格认证申请人的持续评审工作。

(ISC)2由董事会管理，董事会成员从持证从业人员中按级别选出。

(ISC)2支持和提供多项专业认证，包括CISSP、CISSP-ISSAP、CISSP-ISSMP、 CISSP-ISSEP、SSCP、CAP、CSSLP、HCISPP和CCSP。这些认证旨在验证所有行业IT安全专业人员的知识和技术水平。有关(ISC)2及其证书认证的详情，可访问(ISC)2网站。

CISSP证书专为在组织内负责设计和维护安全基础设施的安全专业人员而设。

知识域

CISSP认证涵盖8个知识域的内容，分别是：

● 域1  安全与风险管理

● 域2  资产安全

● 域3  安全架构与工程

● 域4  通信与网络安全

● 域5  身份和访问管理(IAM)

● 域6  安全评估与测试

● 域7  安全运营

● 域8  软件开发安全

这8个知识域以独立于厂商的视角展现了一个通用安全框架。这个框架是支持在全球所有类型的组织中讨论安全实践的基础。

资格预审

(ISC)2规定了成为一名CISSP必须满足的资格要求。首先，你必须是一名有5年以上全职全薪工作经验或者有4年工作经验并具有IT或IS本科学历或经批准的安全认证(有关详细信息，请参阅(ISC)2官网的安全专业从业人员。专业工作经验的定义是：在8个CBK域的两个或多个域内从事过有工资或佣金收入的安全工作。

其次，你必须同意遵守道德规范。CISSP道德规范是(ISC)2希望所有CISSP申请人都严格遵守的一套行为准则，旨在使他们在信息系统安全领域保持专业素养。你可在(ISC)2网站的信息栏下查询有关内容。

(ISC)2还提供一个名为“(ISC)2准会员”的入门方案。这个方案允许没有任何从业经验或经验不足的申请人参加CISSP考试，通过考试后再获得工作经验。准会员资格有6年有效期，申请人需要在这6年时间里获得5年安全工作经验。只有在提交5年工作经验证明(通常是有正式签名的文件和一份简历)之后，准会员才能得到CISSP证书。

CISSP考试简介

CISSP考试堪称从万米高空俯瞰安全，涉及更多的是理论和概念，而非执行方案和规程。它的涵盖面很广，但并不深入。若想通过这个考试，你需要熟知所有的域，但不必对每个域都那么精通。

CISSP英文考试将以自适应形式呈现。(ISC)2给考试定名为CISSP-CAT(计算机化自适应考试)。

CISSP-CAT考试少含100道考题，多含150道考题。呈现给你的所有考项不会全部计入你的分数或考试通过状态。(ISC)2把这些不计分考项称为考前题(pretest question)，而把计分考项称为操作项(operational item)。这些考题在考试中均不标明计入考分(操作项)还是不计入考分(考前题)。认证申请人会在考试中遇到25个不计分考项——无论他们只做100道考题就达到了通过等级，还是做了所有150道题。

CISSP-CAT考试时间长不超过3小时。如果你没达到某个通过等级就用完了时间，将被自动判定为失败。

CISSP-CAT不允许返回至前面的考题修改答案。一旦你提交选择的答案并离开一道考题，你选择的答案将是终结果。

CISSP-CAT没有公布或设置需要达到的分数。相反，你必须在后的75个操作项(即考题)之内展示自己具有超过(ISC)2通过线(也叫通过标准)的答题能力。

如果计算机判断你达到通过标准的概率低于5%，而且你已答过75个操作项(此时已答100题)，你的考试将自动以失败告终。如果计算机判断你达到通过标准的概率大于95%，而且你已答过75个操作项(此时已答100题)，你的考试将自动以合格结束。如果这两个都没有满足，那么你将看到下一个考题，计算机将在你答题后再次评估你的状态。一旦计算机评分系统根据必要数量的考题以95%的信心得出结论，判断你有能力达到或无法达到通过标准，将不保证有更多考题展示给你。如果你在提交150题的答案后未达到通过标准或者超时，那就意味着你失败了。

如果你次未能顺利通过CISSP考试，可在以下条件下再次参加CISSP考试：

● 每12个月内你多可以参加四次CISSP考试。

● 在次考试和第二次考试之间，你必须等待30天。

● 在第二次考试和第三次考试之间，你必须再等待60天。

● 在第三次考试和下次考试之间，你必须再等待90天。

重考政策于2020年10月更新；有关官方政策，请参阅(ISC)2官网。

每次考试都需要你支付全额考试费。

从前的英文纸质或CBT(基于计算机的考试)平面250题版考试已不可能重现。CISSP现在只通过(ISC)2-授权Pearson VUE测试中心使用英文CBT CISSP-CAT格式。

  注意：

2021年初，(ISC)2通过Pearson VUE为CISSP试行了在线考试监控方案。该试验的结果将在2021 Q3进行评估，(ISC)2将根据结果作出决定。请关注(ISC)2博客，了解有关远程在线监考CISSP考试产品的信息。

更新后的CISSP考试将以英文、法文、德文、巴西葡萄牙文、西班牙文(现代)、日文、简体中文和韩文等版本提供。CISSP非英文版考试仍然使用250个问题的平滑线性、固定形式进行。关于CISSP考试的详情和信息，请访问(ISC)2官网并下载CISSP终极指南和CISSP考试大纲(目前位于“2：注册并准备考试”部分)。你还可以在(ISC)2博客上找到有用的信息。例如，该博客在2020年10月发布了一篇题为“CISSP考试为什么会改变？”的优秀文章。

CISSP考试的考题类型

CISSP考试的大多数考题都有4个选项，这种题目只有一个正确答案。有些考题很简单，比如要求你选一个定义。有些考题则复杂一些，要求你选出合适的概念或实践规范。有些考题会向你呈现一个场景或一种情况，让你选出答案。

你必须选出一个正确或答案并把它标记出来。有时，正确答案一目了然。而在其他时候，几个答案似乎全都正确。遇到这种情况时，你必须为所问的问题选出答案。你应该留意一般性、特定、通用、超集和子集答案选项。还有些时候，几个答案看起来全都不对。遇到这种情况时，你需要把正确的那个答案选出来。

某些多项选择题可能要求你选择多个答案，题目将说明此题需要多选以提供完整答案。

除了标准多选题格式，考试还包括一种高级考题格式，被(ISC)2称为高级创新题(advanced innovative question)。其中包括拖放题和热点题。这些类型的考题要求你按操作顺序、优先级偏好或与所需解决方案的适当位置的关联来排列主题或概念。具体来说，拖放题要求考生移动标签或图标并在图像上把考项标记出来。热点题要求考生用十字记号笔在图像上标出一个位置。这些考题涉及的概念很容易处理和理解，但你要注意放置或标记操作的准确性。

有关考试的建议

CISSP考试由两个关键元素组成。首先，你需要熟知8个知识域涉及的内容。其次，你必须掌握高超的考试技巧。你多只有3小时的时间，期间可能要回答多达150道题。如此算来，每道题的答题时间平均只有1分多钟。所以，快速答题至关重要，但也不必太过匆忙，只要不浪费时间就好。

CISSP考试不再允许考生跳题而且不允许返回，所以不管怎样，你都必须在每个考题上给出你好的答案。建议你在猜一道题的答案之前尽量减少选项的数量；然后你可以从一组减少的选项中做出有根据的猜测，以增加你正确答题的机会。

另外，请注意，(ISC)2并没有说明，面对由多个部分组成的考题时，如果你只答对了部分内容，是否会得到部分考分。因此，你需要注意带复选框的考题，并确保按需要的数量选择考项，以对该考题做出选择。

在考场中，你将得到一块白板和一支记号笔，以便你记下自己的思路和想法。但是写在白板上的任何东西都不能改变你的考分。离开考场之前，你必须把这块白板还给考试管理员。

为帮助你在考试中取得成绩，这里提出几条一般性指南：

● 先读一遍考题，再把答案选项读一遍，之后再读一遍考题。

● 先排除错误答案，再选择正确答案。

● 注意双重否定。

● 确保自己明白考题在问什么。

掌控好自己的时间。尽管可在考试过程中歇一会儿，但这毕竟会浪费部分考试时间。你可以考虑带些饮品和零食，但食物和饮料不可带进考场，而且休息所用的时间是要计入考试时间的。确保自己只随身携带药物或其他必需物品，所有电子产品都要留在家里或汽车里。你应该避免在手腕上戴任何东西，包括手表、计步器和首饰。你不可使用任何形式的防噪耳机或耳塞式耳机，不过可以使用泡沫耳塞。另外，建议你穿舒适的衣服，并带上一件薄外套(一些考场有点儿凉)。

后，(ISC)2考试政策可能会发生变化，在注册和参加考试之前请务必登录其官网查看当前政策。

学习和备考技巧

建议你为CISSP考试制订一个月左右的晚间强化学习计划。这里提的几点建议可以限度地增加你的学习时间；你可根据自己的学习习惯进行必要的修改。

● 用一两个晚上细读《CISSP官方学习手册(第9版)》的每一章并把它的复习题做一遍。

● 回答所有复习题，并把《CISSP官方学习手册(第9版)》和在线考试引擎中的模拟考题做一遍。一定要研究错题，以掌握不了解的知识。

● 完成每章的书面实验。

● 阅读并理解考试要点。

● 复习(ISC)2的考试大纲。

● 利用学习工具附带的速记卡来强化自己对概念的理解。

  提示：

建议你把一半的学习时间用来阅读和复习概念，并把另一半时间用来做练习题。有学生报告说，花在练习题上的时间越多，考试主题记得越清楚。除了本学习手册的模拟考试，Sybex还出版了《(ISC)2：CISSP官方习题集(第3版)》。该书为每个域都设置了100多道练习题，还包含4个标准的模拟考试。与本学习手册一样，它还有在线版考题。

完成认证流程

你被通知成功通过CISSP认证考试后，离真正获得CISSP证书还差后一步。后一步是背书(endorsement)。从根本上说，这要求你让一个本身是CISSP或(ISC)²其他证书持有者、有很高声望并熟悉你的职业履历的人为你提交一份举荐表。通过CISSP考试后，你将收到一封包含说明的电子邮件，也可在(ISC)2网站上查看背书申请流程。如果注册了CISSP，那么你必须在考试后9个月内完成背书。如果注册了(ISC)²的准会员，那么你有6年的时间完成背书。一旦(ISC)²接受背书，认证过程将完成，你将收到欢迎包裹。

获得CISSP认证后，必须努力维护该认证。需要在3年之内获得120个持续专业教育(CPE)学分。有关获得和报告CPE的详细信息，请参阅(ISC)2继续专业教育(CPE)手册和CPE Opportunities页面。在获得认证后还需要每年支付年度维护费(AMF)。有关AMF的详细信息，请参阅(ISC)2 CPE手册和官网信息。

本学习手册的元素

每一章都包含帮助你集中学习和测试知识的常用元素。下面介绍其中的部分元素。

真实场景  在学习各章内容的过程中，你会发现《CISSP官方学习手册(第9版)》对典型且真实可信的工作场景的描述。在这些情景下，你从该章学到的安全战略和方法可在解决问题或化解潜在困难的过程中发挥作用。这让你有机会了解如何把具体的安全策略、指南或实践规范应用到实际工作中。

提示和注意  对于每一章中的插入性语句，应该额外注意，它们通常是章节中相关重要材料的重点细节。

本章小结  这是对该章的简要回顾，归纳了该章涵盖的内容。

考试要点  考试要点突出了可能以某种形式出现在考试中的主题。虽然我们显然不可能确切知道某次考试将包括哪些内容，但这一部分有助于你进一步掌握本章概念和主题的关键。考试要点是一章中保留的限度的知识点。

书面实验  每章都设有书面实验，以综述该章出现的各种概念和主题。书面实验提出的问题旨在帮助你把散布于该章各处的重要内容归纳到一起，形成一个整体，使你能够提出或描述潜在安全战略或解决方案。强烈建议你在查看附录A中提供的解决方案之前，先写出答案。

复习题  每章都设有复习题，旨在衡量你对该章所述关键概念的掌握程度。你应该在读完每章内容后把这些题做一遍；如果你答错了一些题，说明你需要花更长时间来钻研相关主题。《CISSP官方学习手册(第9版)》附录B给出复习题的答案。

书籍介绍

涵盖2021年CISSP所有考点，是您的一站式学习手册，助您更灵活、更快捷地准备CISSP考试。本书编排得当，内容详实，包含可供个人评估备考进展的测试、目标地图、书面实验题、关键考点以及富有挑战的章节练习题。开始使用本手册准备CISSP考试吧。

涵盖全部考试目标

 安全与风险管理

 资产安全

 安全架构与工程

 通信与网络安全

 身份和访问管理

 安全评估与测试

 安全运营

 软件开发安全