CISSP认证考试指南（第2版）

第1章  成为一名CISSP的理由
  1.1  为什么要成为一名CISSP
  1.2  CISSP认证考试
  1.3  CISSP认证的历史回顾
  [.4  如何成为一名CISSP
  1.5  关于再认证的规定
  1.6  本书概要
  1.7  CISSP认证考试小窍门
  1.8  本书使用指南
  1.9  问题
第2章  计算机安全的发展趋势
  2.1  计算机安全的发展趋势
  2.2  安全的领域
  2.3  信息战
  2.3.1  黑客活动的最新进展
  2.3.2  信息安全对国家的影响
  2.3.3  公司如何受到影响
  2.3.4  美国政府的行动
  2.3.5  这对于我们意味着什么
  2.4  黑客和攻击
  2.5  管理部门的责任
  2.6  因特网和网上行为
  2.6.1  双层结构模式
  2.6.2  数据库的角色
  2.6.3  微软数据访问组件
  2.7  一种分层的模式
  2.8  一种结构化的分析方法
  2.8.1  消失的那一层
  2.8.2  将所有的层结合在一起
  2.9  政治和法律
  2.10  教育
  2.11  总结
第3章  安全管理实践
  3.1  安全管理
  3.2  安全管理职责
  3.3  安全管理和支持控制
  3.4  安全的基本原则
  3.4.1  可用性
  3.4.2  完整性
  3.4.3  机密性
  3.5  安全定义
  3.6  自顶向下的方法
  3.7  机构安全模型
  3.8  商业需求——私有企业和军事组织
  3.9  风险管理
  3.10  风险分析
  3.10.1  风险分析团队
  3.10.2  信息和财产的价值
  3.10.3  构成价值的成本
  3.10.4  识别威胁
  3.10.5  定量的方法
  3.10.6  分析输入和数据采集
  3.10.7  自动风险分析方法
  3.10.8  风险分析的步骤
  3.10.9  风险分析的结果
  3.10.10  定性的风险分析
  3.10.11  定量和定性的对比
  3.10.12  保护机制
  3.10.13  综合考虑
  3.10.14  总风险和剩余风险
  3.10.15  处理风险
  3.11  策略、规程、标准、基线和方针
  3.11.1  安全策略
  3.11.2  标准
  3.11.3  基线
  3.11.4  方针
  3.11.5  规程
  3.11.6  实行
  3.12  信息分级
  3.13  职责层次
  3。13.1  人员
  3.13.2  构架
  3.14  雇用措施
  3.14.1  运作
  3.14.2  终止
  3.15  安全意识
  3.16  总结
  3.17  快速提示
  3.18  问题
第4章  访问控制
  4.1  访问控制
  4.2  安全原则
  4.2.1  可用性
  4.2.2  完整性
  4.2.3  机密性
  4.3  标识、认证、授权和稽核
  4.3.1  标识和认证
  4.3.2  授权
  4.3.3  单点登录
  4.4访问控制模型
  4.4.1  自主型访问控制
  4.4.2  强制型访问控制
  4.4.3  基于角色的访问控制
  4.5  访问控制方法和技术
  4.5.1  基于规则的访问控制
  4.5.2  限制性的用户接口
  4.5.3  访问控制矩阵
  4.5.4访问能力表
  4.5.5  访问控制列表
  4.5.6  基于内容的访问控制
  4.6  访问控制管理
  4.6.1  集中式
  4.6.2  分散式
  4.6.3  混合式
  4.7  访问控制方法
  4.7.1  访问控制层
  4.7.2  管理控制
  4.7.3  物理控制
  4.7.4  技术控制
  4.8  访问控制类型
  4.9  访问控制实践
  4.10  访问控制监控
  4.11  对访问控制的几种威胁
  4.11.1  字典式攻击
  4.11.2  蛮力攻击
  4.11.3  登录欺骗
  4.11.4  渗透测试
  4.12  总结
  4.13  快速提示
  4.14  问题
第5章  安全模型和体系结构
  5.1  安全模型和体系结构
  5.2  计算机体系结构
  5.2.1  中央处理单元
  5.2.2  存储器
  5.2.3  CPU模式和保护环
  5.2.4  进程活动
  5.2.5  输入输出设备管理
  5.2.6  小结
  5.3  系统体系结构
  5.3.1  定义主体和客体子集
  5.3.2  可信计算基础
  5.3.3  安全边界
  5.3.4  引用监控器和安全核心
  5.3.5  领域
  5.3.6  资源隔离
  5.3.7  安全策略
  5.3.8  最小特权
  5.3.9  分层、数据隐藏和抽象化
  5.4  安全模型
  5.4.1  状态机模型
  5.4.2  Bell-LaPadula模型
  5.4.3  Biba模型
  5.4.4  Clark-Wilson模型
  5.4.5  信息流模型
  5.4.6  非干涉模型
  5.4.7  Brewer  Nash模型
  5.4.8  Graham-Denning和Harrison-Ruzzo-Ullman模型
  5.5  运行安全模式
  5.5.1  专门的安全模式
  5.5.2  系统范围的安全模式
  5.5.3  分段安全模式
  5.5.4  多级安全模式
  5.5.5  可信与保险
  5.6  系统评测方法
  5.7  橘皮书
  5.7.1  D组——最小保护
  5.7.2  C组——自主保护
  5.7.3  B组——强制保护
  5.7.4  A组——验证保护
  5.8  彩虹系列
  5.9  信息技术安全评测标准
  5.10  通用准则
  5.11  认证和认可
  5.11.1  认证
  5.11.2  认可
  5.11.3  7799标准
  5.12  开放系统和封闭系统
  5.12.1  开放系统
  5.12.2  封闭系统
  5.13  一些对安全模型和体系结构的威胁
  5.13.1  隐蔽通道
  5.13.2  后门
  5.13.3  异步攻击
  5.13.4  缓冲区溢出
  5.14  总结
  5.15  快速提示
  5.16  习题
第6章  物理安全
  6.1  物理安全
  6.2  执行步骤的计划
  6.3  设施管理
  6.3.1  设施的物理特性
  6.3.2  建筑物的建造
  6.3.3  建筑设施的构件
  6.3.4  计算机和设备的房间
  6.4  物理安全风险
  6.5  物理安全设备的选择步骤
  6.5.1  安全须知
  6.5.2  安全应知
  6.5.3  备份
  6.6  环境因素
  6.6.1  通风
  6.6.2  火灾的预防、探测和排除
  6.6.3  火灾探测的类型
  6.6.4  火灾的扑灭
  6.7  管理方面的措施
  6.8  周边安全问题
  6.8.1  设施访问控制
  6.8.2  员工的访问控制
  6.8.3  外部边界的保护措施
  6.8.4  入侵检测系统
  6.9  总结
  6.10  快速提示
  6.11  问题
第7章  远程通信和网络安全
  7.1  远程通信和网络安全
  7.2  开放系统互连模型
  7.2.1  应用层
  7.2.2  表示层
  7.2.3  会话层
  7.2.4  传输层
  7.2.5  网络层
  7.2.6  数据链路层
  7.2.7  物理层
  7.3  综合这些层
  7.4  TCP/IP
  7.4.1  TCP
  7.4.2  TCP握手
  7.4.3  数据结构
  7.4.4  1P寻址
  7.5  传输类型
  7.5.1  模拟和数字
  7.5.2  异步和同步
  7.5.3  宽带和基带
  7.6  联网
  7.7  网络拓扑
  7.7.1  环形拓扑
  7.7.2  总线拓扑
  7.7.3  星型拓扑
  7.7.4  网格拓扑
  7.7.5  LAN介质访问技术
  7.7.6  布线
  7.7.7  布线问题
  7.7.8  LAN传输方法
  7.8  LAN介质访问技术
  7.8.1  令牌传递
  7.8.2  CSMA
  7.8.3  冲突域
  7.8.4  轮询
  7.9  协议
  7.9.1  地址解析协议
  7.9.2  反向地址解析协议
  7.9.3  因特网控制消息协议-
  7.10  网络设备
  7.10.1  中继器
  7.10.2  桥接器
  7.10.3  转发表
  7.10.4  路由器
  7.10.5  路由选择
  7.10.6  交换机
  7.10.7  VLAN
  7.10.8  网关
  7.10.9  PBX
  7.10.10  防火墙
  7.11  网络隔离
  7.12  网络服务
  7.12.1  网络操作系统
  7.12.2  DNS
  7.12.3  因特网DNS和域
  7.12.4  目录服务
  7.13  内部网和外部网
  7.14  城域网
  7.15  广域网
  7.15.1  远程通信的发展
  7.15.2  专用链路
  7.15.3  T载波
  7.15.4  S/WAN
  7.15.5  WAN技术
  7.15.6  多服务访问技术
  7.16  远程访问
  7.16.1  拨号和RAS
  7.16.2  ISDN
  7.16.3  DSL
  7.16.4  电缆调制解调器
  7.16.5  VPN
  7.16.6  隧道协议
  7.17  网络和资源的可用性
  7.17.1  单一故障点
  7.17.2  RAID
  7.17.3  集群
  7.17.4  备份
  7.18  无线技术
  7.19  小结
  7.20  快速提示
  7.21  问题
第8章  密码学
  8.1  密码学
  8.2  密码学的历史
  8.3  密码学的定义
  8.4  密码系统的强度
  8.5  密码系统的目标
  8.6  密码的类型
  8.6.1  代换密码
  8.6.2  置换密码
  8.6.3  流动密码与隐藏密码
  8.7  隐藏术
  8.8  政府与密码学的牵连
  8.9  加密方法
  8.9.1  对称和非对称加密算法.，
  8.9.2  流密码与分组密码
  8.9.3  对称密码系统的类型
  8.9.4  非对称加密算法
  8.9.5  混合加密方法
  8.10  公钥基础设施
  8.10.1  认证授权方
  8.10.2  证书
  8.10.3  注册授权方
  8.10.4  PKI步骤
  8.1l  消息完整性
  8.11.1  单向哈希函数
  8.11.2  数字签名
  8.11.3  数字签名标准
  8.11.4  各种哈希算法
  8.11.5  攻击单向哈希函数
  8.11.6  一次一密
  8.12  密钥管理
  8.13  链路加密与端到端加密
  8.14  e-mail标准
  8.14.1  MIME
  8.14.2  增强型加密邮件
  8.14.3  消息安全协议
  8.14.4  良好隐私标准
  8.15  因特网安全
  8.16  攻击
  8.16.1  仅密文攻击
  8.16.2  已知明文攻击
  8.16.3  选择明文攻击
  8.16.4  选择密文攻击
  8.16.5  中间人攻击
  8.16.6  字典攻击
  8.16.7  重放攻击
  8.16.8  旁路攻击
  8.17  总结
  8.18  快速提示
  8.19  问题
第9章  业务连贯性规划
  9.1  业务连贯性和灾难恢复
  9.2  将其作为安全策略和纲要的一部分
  9.3  务影响分析
  9.4  业务连贯性计划的需求
  9.4.1  制定意外事故计划的目标
  9.4.2  发展团队
  9.4.3  企业范围
  9.4.4  计划的发展
  9.4.5  确定业务关键功能
  9.4.6  确定支持关键功能的资源和系统
  9.4.7  估计潜在的灾难事件
  9.4.8  选择计划策略
  9.4.9  实施策略
  9.4.10  测试和修订计划
  9.5  终端用户环境
  9.6  备份方案选择
  9.6.1  硬件备份
  9.6.2  软件备份
  9.7  选择软件备份设施
  9.7.1  文档
  9.7.2  人力资源
  9.8  恢复和重建
  9.9  测试和演习
  9.9.1  核对性的测试
  9.9.2  结构化的排练性测试
  9.9.3  模拟测试
  9.9.4  并行测试
  9.9.5  全中断测试
  9.9.6  其他类型的训练
  9.10  紧急事件响应
  9.11  总结
  9.12  快速提示
  9.13  问题
第10章  道德、法律和调查
  10.1  计算机法律的方方面面
  10.2  道德
  10.2.1  计算机道德协会
  10.2.2  因特网体系结构研究委员会
  10.2.3  通用安全规则系统
  10.2.4  动机、机会和方式
  10.3  黑客和骇客
  10.4  著名的计算机犯罪
  10.4.1  布谷鸟彩蛋
  10.4.2  KevinMitnick
  10.4.3  Chaos计算机俱乐部
  10.4.4  CultoftheDeadCOw
  10.4.5  电话飞客
  10.5  识别、保护和起诉
  10.6  义务及其后果
  10.6.1  个人信息
  10.6.2  黑客入侵
  10.7  法律类型
  10.8  丢弃设备及软件案例
  10.9  计算机犯罪调查
  10.9.1  一个不同的方法
  10.9.2  事件处理
  10.9.3  法庭上可接受些什么
  10.9.4  监视、搜索和查封
  10.9.5  访谈和审讯
  10.10  进出口法律
  10.11  隐私
  10.12  法律、指令和规范
  10.12.1  联邦健康保险法案
  10.12.2  1999年的金融现代化法案..
  10.12.3  计算机诈骗及滥用法案
  10.12.4  1974年的联邦隐私法案
  10.12.5  欧盟隐私原则
  10.12.6  1987年的计算机安全法案
  10.12.7  通过加密的安全和自由法案
  10.12.8  联邦判决指南
  10.12.9  1996年的经济间谍法案
  10.13  国际合作成就
  10.13.1  G8
  10.13.2  Interpol
  10.13.3  欧盟
  10.14  总结
  10.15  快速提示
  t0.16  问题
第11章  应用和系统开发
  11.1  软件的重要性
  11.2  设备和软件安全
  11.3  不同的环境需要不同的安全
  11.3.1  电子商务
  11.3.2  客户/服务器模型
  11.4  环境和应用程序控制
  11.5  功能复杂性
  11.6  数据类型、格式和长度
  ]1.7  实施和默认配置问题
  11.8  故障状态
  11.9  数据库管理
  11.9.1  数据库管理软件
  11.9.2  数据库模型
  11.9.3  数据库接口语言
  11.9.4  关系数据库组件
  11.9.5  数据字典
  11.9.6  完整性
  11.9.7  数据库安全问题
  11.9.8  数据仓库和数据挖掘
  11.10  系统开发
  11.10.1  开发管理
  11.10.2  生命周期
  11.10.3  软件开发方法
  11.10.4  变更控制
  11.10.5  能力成熟度模型
  11.10.6  软件托管
  11.11  应用开发方法学
  11.11.1  面向对象的概念
  11.11.2  数据建模
  11.11.3  软件体系结构
  11.11.4  数据结构
  11.11.5  ORB和CORBA
  11.11.6  计算机辅助软件工程
  11.11.7  原型开发
  11.11.8  COM和DCOM
  11.11.9  开放数据库连接
  11.11.10  对象链接和嵌入
  11.11.11  动态数据交换
  11.11.12  分布式计算环境
  11.11.13  企业JavaBean
  11.11.14  专家系统和基于知识的系统
  11.11.15  人工神经网络
  11.11.16  Java
  11.11.17  ActiveX
  11.11.18  恶意代码
  11.11.19  攻击
  11.12  总结
  11.13  快速提示
  11.14  问题
第12章  操作安全
  12.1  操作安全
  12.1.1  行政管理
  12.1.2  可稽核性
  12.1.3  安全操作和产品评估
  12.1.4  输入和输出控制
  12.2  电子邮件安全
  12.2.1  传真安全
  12.2.2  破坏和攻击方法
  12.2.3  操作部门
  12.3  总结
  12.4  快速提示
  12.5  问题
附录A  安全策略
  A.1  安全策略的类型
  A.1.1  信息保护策略
  A.1.2  远程访问策略
  A.1.3  外部网和业务伙伴策略
  A.2  策略示例
  A.2.1  信息保护策略
  A.2.2  远程访问策略
  A.3  制定安全策略
附录B  British Standard 7799
附录C  安全组织
  C.1  NSA
  C.2  NIST
  C.3  NCSC
  C.4  ISO
  C.5  ANSI
  C.6  IEEE
附录D  Gramm-Leach-Bmey法案.
  D.1  Security Program Components.
  D.1.1  Responsibility
  D.1.2  Risk Management
  D.1.3  Training
  D.1.4  Test Security Measures
  D.1.5  Service Provider
  D.1.6  Disclosing Procedures
  D.1.7  Responding to Incidents
  D.2  Summary
附录E  以太网的多种组网方式
  E.1  以太网
  E.1.1  10Mbps以太网
  E.1.2  百兆快速以太网——IEEE 802.3u
  E.1.3  G比特千兆以太网
  E.1.4  以太网帧结构
附录F  无线技术
  F.1  新的无线标准
附录G  HIPAA
附录H  关于光盘
  H.1  运行QuickTime，观看密码技术视频课件
  H.1.1  故障处理
  H.1.2  技术支持
  H.2  安装Total Seminar的考试软件
  H.2.1  导航
  H.2.2  Total Seminar的考试软件的系统最小配置
  H.2.3  技术支持
术语表