没有合适的资源?快使用搜索试试~ 我知道了~
CISSP.All.in.One.Exam.Guide.5th.Edition
需积分: 50 30 下载量 198 浏览量
2012-01-05
11:02:18
上传
评论
收藏 33.73MB PDF 举报
温馨提示
试读
1164页
CISSP考试必备书籍,英文版<CISSP.All.in.One.Exam.Guide.5th.Edition>
资源推荐
资源详情
资源评论
CONTENTS AT A GLANCE
Chapter 1 Becoming a CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Chapter 2 Security Trends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Chapter 3 Information Security and Risk Management . . . . . . . . . . . . . . . . . . . . . . . . 45
Chapter 4 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Chapter 5 Security Architecture and Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Chapter 6 Physical and Environmental Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Chapter 7 Telecommunications and Network Security . . . . . . . . . . . . . . . . . . . . . . . . 483
Chapter 8 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665
Chapter 9 Business Continuity and Disaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . 777
Chapter 10 Legal, Regulations, Compliance, and Investigations . . . . . . . . . . . . . . . . . . . 845
Chapter 11 Application Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921
Chapter 12 Operations Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1049
Appendix A Security Content Automation Protocol Overview . . . . . . . . . . . . . . . . . . . 1133
Appendix B About the CD-ROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1141
Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1145
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1161
All-in-1 / CISSP All-in-One Exam Guide, 5th Ed. / Harris / 160217-8/
vi
FM.indd viFM.indd vi 12/16/2009 2:20:14 PM12/16/2009 2:20:14 PM
All-in-1 / CISSP All-in-One Exam Guide, 5th Ed. / Harris / 160217-8/
CONTENTS
Forewords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii
Chapter 1 Becoming a CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Why Become a CISSP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
The CISSP Exam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
CISSP: A Brief History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
How Do You Become a CISSP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
What Does This Book Cover? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Tips for Taking the CISSP Exam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
How to Use This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Chapter 2 Security Trends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
How Security Became an Issue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Areas of Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Benign to Scary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Evidence of the Evolution of Hacking . . . . . . . . . . . . . . . . . . . . . . . . 22
How Are Nations Affected? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
How Are Companies Affected? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
The U.S. Government’s Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Politics and Laws . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
So What Does This Mean to Us? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Hacking and Attacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
A Layered Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
An Architectural View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
A Layer Missed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Bringing the Layers Together . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Chapter 3 Information Security and Risk Management . . . . . . . . . . . . . . . . . . . . . . . . 45
Security Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Security Management Responsibilities . . . . . . . . . . . . . . . . . . . . . . . 46
The Top-Down Approach to Security . . . . . . . . . . . . . . . . . . . . . . . . . 47
Security Administration and Supporting Controls . . . . . . . . . . . . . . . . . . . . 48
Fundamental Principles of Security . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Security Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Security Through Obscurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Organizational Security Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Security Program Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Information Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Who Really Understands Risk Management? . . . . . . . . . . . . . . . . . . 73
Information Risk Management Policy . . . . . . . . . . . . . . . . . . . . . . . . 74
The Risk Management Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
vii
FM.indd viiFM.indd vii 12/16/2009 2:20:14 PM12/16/2009 2:20:14 PM
CISSP All-in-One Exam Guide
viii
All-in-1 / CISSP All-in-One Exam Guide, 5th Ed. / Harris / 160217-8
Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
The Risk Analysis Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
The Value of Information and Assets . . . . . . . . . . . . . . . . . . . . . . . . . 78
Costs That Make Up the Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Identifying Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Failure and Fault Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Quantitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Qualitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Quantitative vs. Qualitative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Protection Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Putting It Together . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Total Risk vs. Residual Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Handling Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Policies, Standards, Baselines, Guidelines, and Procedures . . . . . . . . . . . . . 102
Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Baselines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Information Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Private Business vs. Military Classifications . . . . . . . . . . . . . . . . . . . 11 2
Classification Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 5
Layers of Responsibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 7
Who’s Involved? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 7
The Data Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
The Data Custodian . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
The System Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
The Security Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
The Security Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
The Application Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
The Supervisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
The Change Control Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
The Data Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
The Process Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
The Solution Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
The User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
The Product Line Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
The Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Why So Many Roles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Hiring Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Employee Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Termination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Security-Awareness Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Different Types of Security-Awareness Training . . . . . . . . . . . . . . . . 135
Evaluating the Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Specialized Security Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
FM.indd viiiFM.indd viii 12/16/2009 2:20:15 PM12/16/2009 2:20:15 PM
Contents
ix
All-in-1 /
C
I
SS
P All-in-
O
ne Exam
G
uide, 5th Ed. / Harris / 16
02
17-
8
Chapter 4 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Access Controls Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Security Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Identification, Authentication, Authorization, and Accountability . . . . . . . 156
Identification and Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Password Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Access Control Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Mandatory Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Role-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Access Control Techniques and Technologies . . . . . . . . . . . . . . . . . . . . . . . 21 6
Rule-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Constrained User Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 8
Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 8
Content-Dependent Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Context-Dependent Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Access Control Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Centralized Access Control Administration . . . . . . . . . . . . . . . . . . . . 222
Decentralized Access Control Administration . . . . . . . . . . . . . . . . . . 229
Access Control Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Access Control Layers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Administrative Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Physical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Technical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Access Control Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Preventive: Administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Preventive: Physical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Preventive: Technical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Review of Audit Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Keystroke Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Protecting Audit Data and Log Information . . . . . . . . . . . . . . . . . . . 245
Access Control Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Unauthorized Disclosure of Information . . . . . . . . . . . . . . . . . . . . . 246
Access Control Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Intrusion Prevention Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
A Few Threats to Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Dictionary Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Brute Force Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Spoofing at Logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Chapter 5 Security Architecture and Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Computer Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
The Central Processing Unit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Multiprocessing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
FM.indd ixFM.indd ix 12/16/2009 2:20:16 PM12/16/2009 2:20:16 PM
剩余1163页未读,继续阅读
资源评论
zhpxpower
- 粉丝: 5
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功