CISSP.All.in.One.Exam.Guide.5th.Edition

CISSP

需积分: 50 198 浏览量 2012-01-05 11:02:18 上传评论收藏 33.73MB PDF 举报

资源推荐

资源详情

资源评论

CONTENTS AT A GLANCE

Chapter 1 Becoming a CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Chapter 2 Security Trends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Chapter 3 Information Security and Risk Management . . . . . . . . . . . . . . . . . . . . . . . . 45

Chapter 4 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Chapter 5 Security Architecture and Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Chapter 6 Physical and Environmental Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

Chapter 7 Telecommunications and Network Security . . . . . . . . . . . . . . . . . . . . . . . . 483

Chapter 8 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665

Chapter 9 Business Continuity and Disaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . 777

Chapter 10 Legal, Regulations, Compliance, and Investigations . . . . . . . . . . . . . . . . . . . 845

Chapter 11 Application Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921

Chapter 12 Operations Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1049

Appendix A Security Content Automation Protocol Overview . . . . . . . . . . . . . . . . . . . 1133

Appendix B About the CD-ROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1141

Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1145

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1161

All-in-1 / CISSP All-in-One Exam Guide, 5th Ed. / Harris / 160217-8/

FM.indd viFM.indd vi 12/16/2009 2:20:14 PM12/16/2009 2:20:14 PM

All-in-1 / CISSP All-in-One Exam Guide, 5th Ed. / Harris / 160217-8/

CONTENTS

Forewords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii

Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii

Chapter 1 Becoming a CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Why Become a CISSP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

The CISSP Exam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

CISSP: A Brief History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

How Do You Become a CISSP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

What Does This Book Cover? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Tips for Taking the CISSP Exam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

How to Use This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Chapter 2 Security Trends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

How Security Became an Issue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Areas of Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Benign to Scary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Evidence of the Evolution of Hacking . . . . . . . . . . . . . . . . . . . . . . . . 22

How Are Nations Affected? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

How Are Companies Affected? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

The U.S. Government’s Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Politics and Laws . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

So What Does This Mean to Us? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Hacking and Attacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

A Layered Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

An Architectural View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

A Layer Missed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Bringing the Layers Together . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Chapter 3 Information Security and Risk Management . . . . . . . . . . . . . . . . . . . . . . . . 45

Security Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Security Management Responsibilities . . . . . . . . . . . . . . . . . . . . . . . 46

The Top-Down Approach to Security . . . . . . . . . . . . . . . . . . . . . . . . . 47

Security Administration and Supporting Controls . . . . . . . . . . . . . . . . . . . . 48

Fundamental Principles of Security . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Security Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Security Through Obscurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Organizational Security Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Security Program Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Information Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Who Really Understands Risk Management? . . . . . . . . . . . . . . . . . . 73

Information Risk Management Policy . . . . . . . . . . . . . . . . . . . . . . . . 74

The Risk Management Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

vii

FM.indd viiFM.indd vii 12/16/2009 2:20:14 PM12/16/2009 2:20:14 PM

CISSP All-in-One Exam Guide

viii

All-in-1 / CISSP All-in-One Exam Guide, 5th Ed. / Harris / 160217-8

Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

The Risk Analysis Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

The Value of Information and Assets . . . . . . . . . . . . . . . . . . . . . . . . . 78

Costs That Make Up the Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Identifying Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Failure and Fault Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Quantitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Qualitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Quantitative vs. Qualitative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Protection Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Putting It Together . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Total Risk vs. Residual Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

Handling Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Policies, Standards, Baselines, Guidelines, and Procedures . . . . . . . . . . . . . 102

Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Baselines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Information Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Private Business vs. Military Classifications . . . . . . . . . . . . . . . . . . . 11 2

Classification Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 5

Layers of Responsibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 7

Who’s Involved? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 7

The Data Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

The Data Custodian . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

The System Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

The Security Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

The Security Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

The Application Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

The Supervisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

The Change Control Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

The Data Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

The Process Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

The Solution Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

The User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

The Product Line Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

The Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Why So Many Roles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Hiring Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Employee Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Termination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Security-Awareness Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Different Types of Security-Awareness Training . . . . . . . . . . . . . . . . 135

Evaluating the Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Specialized Security Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

FM.indd viiiFM.indd viii 12/16/2009 2:20:15 PM12/16/2009 2:20:15 PM

Contents

All-in-1 /

P All-in-

ne Exam

uide, 5th Ed. / Harris / 16

17-

Chapter 4 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Access Controls Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Security Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Identification, Authentication, Authorization, and Accountability . . . . . . . 156

Identification and Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Password Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Access Control Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Mandatory Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Role-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Access Control Techniques and Technologies . . . . . . . . . . . . . . . . . . . . . . . 21 6

Rule-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

Constrained User Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 8

Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 8

Content-Dependent Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . 220

Context-Dependent Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . 220

Access Control Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Centralized Access Control Administration . . . . . . . . . . . . . . . . . . . . 222

Decentralized Access Control Administration . . . . . . . . . . . . . . . . . . 229

Access Control Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Access Control Layers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

Administrative Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

Physical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

Technical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Access Control Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

Preventive: Administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Preventive: Physical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Preventive: Technical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Review of Audit Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Keystroke Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Protecting Audit Data and Log Information . . . . . . . . . . . . . . . . . . . 245

Access Control Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Unauthorized Disclosure of Information . . . . . . . . . . . . . . . . . . . . . 246

Access Control Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Intrusion Prevention Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

A Few Threats to Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

Dictionary Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Brute Force Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

Spoofing at Logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

Chapter 5 Security Architecture and Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Computer Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

The Central Processing Unit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Multiprocessing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

FM.indd ixFM.indd ix 12/16/2009 2:20:16 PM12/16/2009 2:20:16 PM

剩余1163页未读，继续阅读

评论收藏

内容反馈

zhpxpower

粉丝: 5
资源: 2

CISSP.All.in.One.Exam.Guide.5th.Edition

CISSP All-in-One Exam Guide (Fifth Edition)

CISSP All-in-One Exam Guide, Fifth Edition -part1

CISSP All-in-One Exam Guide, Fifth Edition -part3

CISSP All-in-One Exam Guide, Fifth Edition -part2

CISSP McGraw.Hill.CISSP.Certification.All.in.One.Exam.Guide.4th.Edition.Nov.2007.pdf Part1

CISSP.All-In-One.Exam.Guide.3rd.Edition

McGraw.Hill.CISSP.Certification.All.in.One.Exam.Guide.4th.Edition.Nov.2007.pdf

CISSP.All-in-One.Exam.Guide.Third.Edition

CISSP.All.in.One.4th.Edition Chapter 7

CISSP.All.in.One.4th.Edition

CISSP All-in-One.Exam.Guide.7th.Edition中文(搜索版)

CISSP All-in-One Exam Guide 7th Edition.docx

JavaScript.The.Definitive.Guide.5th.Edition(chm)

Cisco CISSP Exam Cram (2nd Edition)

CISSP All in One Exam Guide 5th Edition.part2 (已加书签)

CISSP All-in-One Exam Guide, 8th Edition.zip

CISSP All in One Exam Guide, 8th Edition

CISSP All in One Exam Guide 5th Edition.part1 (已加书签)

CISSP.Exam.Study.Guide

CISSP All-in-One Exam Guide, 6th Edition.pdf

CISSP All-in-One Exam Guide, 6th Edition.pdf

CISSP All-in-One Exam Guide, 8th Edition.rar

CISSP.Prep.Guide.Gold.Edition.rar_CISSP_The CISSP Prep Guide_gol

For.Dummies.CISSP.for.Dummies.2nd.Edition.Apr.2007

CISSP All-in-One Exam Guide, Eighth Edition 8th.pdf

CISSP All-in-One Exam Guide 7th Edition 练习题库 Text 版 (英文)

ybex,.CISSP.Certified.Information.Systems.Security.Professional.Study.Guide.(2008),.4thEd

最新资源