CISSP认证考试指南(第7版)（安全技术经典译丛） pdf epub mobi txt 电子书下载 2025

简体网页||繁体网页

☆☆☆☆☆

Shon，Harris，Fernando，Maymi，唐俊著

图书标签:

CISSP
信息安全
认证考试
安全管理
风险管理
网络安全
加密技术
安全架构
信息系统安全
安全标准

下载链接在页面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 复制链接

想要找书就要到图书大百科

book.teaonline.club

立刻按 ctrl+D收藏本页

你会得到大惊喜!!

出版社：清华大学出版社

ISBN：9787302491491

版次：1

商品编码：12306039

包装：平装

开本：16开

出版时间：2018-01-01

用纸：胶版纸

页数：980

字数：1686000

正文语种：中文

具体描述

产品特色

编辑推荐

　　随着世界不断改变，人们对增强安全、改进技术的需求愈加迫切。每个组织、政府机构、企业和军事单位都开始关注安全问题。几乎所有公司和组织机构都在积极寻求才华横溢、经验丰富的安全专业人员，因为只有这些专家才能保护公司赖以生存和保持竞争力的宝贵资源。而CISSP认证能证明你已经成为一名拥有一定知识和经验的安全专业人员。当然，这些知识和经验是认证体系预先规定的，并得到了整个安全行业的理解和认可。通过持续地持有证书，就表明你保持与安全行业同步发展。
　　下面列出一些获取CISSP认证资格的理由：
　　●充实现有的关于安全概念和实际应用的知识。
　　●展示了你是一位拥有专业知识并且经验丰富的安全专家。
　　●让自己在这个竞争激烈的劳动力市场中占据优势。
　　●增加收入，并能得到更多工作机会。
　　●为你现在的工作带来更好的安全专业知识。
　　●表明对安全规则的贡献。
　　CISSP认证能帮助公司确认某人是否具有相应的技术能力、知识和经验，从而能从事具体的安全工作，执行风险分析，谋划必要的对策，并可帮助整个组织机构保护其设施、网络、系统和信息。CISSP认证还能担保通过认证的人员具备安全行业所需的熟练程度、专业技能和知识水平。安全对于成功企业的重要性在未来只可能不断增加，从而导致对技术熟练的安全专业人员的更大需求。CISSP认证表明，可由被公众认可的第三方机构负责确定个人在技术和理论方面的安全专业知识，并将其与缺乏这种专业知识的普通人员区分开来。
　　对于优秀的网络管理员、编程人员或工程师来说，理解和实现安全应用是一项至关重要的内容。在大量并非针对安全专业人员的职位描述中，往往仍要求应聘人员正确理解安全概念及其实现方式。虽然许多组织机构由于职位和预算的限制而无法聘请单独的网络和安全人员，但都相信安全对于组织机构自身来说至关重要。因此，这些组织机构总是尝试将安全知识和其他技术知识合并在一个角色内。在这个问题上，如果具有CISSP资格，那么你就会比其他应聘人员更有优势。

内容简介

　　如果你想成为一名经过(ISC)2认证的CISSP，那么在《CISSP认证考试指南(第7版)》里能找到需要了解的所有内容。《CISSP认证考试指南(第7版)》讲述企业如何制定和实现策略、措施、指导原则和标准及其原因；介绍网络、应用程序和系统的脆弱性，脆弱性的被利用情况以及如何应对这些威胁；解释物理安全、操作安全以及不同系统会采用不同安全机制的原因。此外，还回顾美国与国际上用于测试系统安全性的安全准则和评估体系，诠释这些准则的含义及其使用原因。最后，《CISSP认证考试指南(第7版)》还将阐明与计算机系统及其数据相关的各种法律责任问题，例如计算机犯罪、法庭证物以及如何为出庭准备计算机证据。
　　尽管《CISSP认证考试指南(第7版)》主要是为CISSP考试撰写的学习指南，但在你通过认证后，它仍不失为一本不可替代的重要参考用书。

作者简介

　　ShonHarris，CISSP，是ShonHarris安全有限责任公司和逻辑安全有限责任公司的创始人兼首席执行官，她是一名安全顾问，是美国空军信息作战部门的前任工程师，也是一名教师和作家。在2014年去世前，Shon拥有并运营自己的培训和咨询公司13年。她为财富100强公司和政府机构广泛的安全问题提供咨询服务。她撰写了3本*畅销的CISSP图书，也曾参与撰写GrayHatHacking:TheEthicalHacker’sHandbook和SecurityInformationandEventManagement(SIEM)Implementation，并担任InformationSecurityMagazine的技术编辑。
　　FernandoMaymí,博士，CISSP，拥有逾25年的安全领域工作经验。他目前领导一个多学科小组，负责网络空间操作的颠覆性创新，并试图通过加强公共部门与私企的合作关系来更好地保护网络空间。Fernando曾在美国和其他国家担任政府和私营部门组织的顾问。在美国和拉丁美洲，他为学术、政府和专业机构讲授了数十门网络安全课程。Fernando曾发表十几篇技术文章，并拥有三项专利。Fernando曾荣获美国陆军研究与发展成就奖，被评为HENAAC杰出人物。他与ShonHarris密切合作，并为包括《CISSP认证考试指南(第6版)》在内的诸多项目提供建议。Fernando还是一名志愿者，致力于盲人导盲，养着两只导盲犬：Trinket和Virgo。

目录
第1章安全和风险管理1
1.1安全基本原则2
1.1.1可用性3
1.1.2完整性3
1.1.3机密性3
1.1.4平衡安全4
1.2安全定义5
1.3控制类型6
1.4安全框架10
1.4.1ISO/IEC27000系列12
1.4.2企业安全架构开发14
1.4.3安全控制开发23
1.4.4流程管理开发26
1.4.5功能与安全性32
1.5计算机犯罪法的难题32
1.6网络犯罪的复杂性34
1.6.1电子资产35
1.6.2攻击的演变36
1.6.3国际问题38
1.6.4法律的类型41
1.7知识产权法44
1.7.1商业秘密44
1.7.2版权45
1.7.3商标45
1.7.4专利46
1.7.5知识产权的内部保护47
1.7.6软件盗版48
1.8隐私50
1.8.1对隐私法不断增长的需求51
1.8.2法律、指令和法规52
1.8.3员工隐私问题58
1.9数据泄露59
1.9.1美国的数据泄露相关法律60
1.9.2其他国家有关数据泄露的法律61
1.10策略、标准、基线、指南和
过程61
1.10.1安全策略62
1.10.2标准64
1.10.3基线65
1.10.4指南66
1.10.5措施66
1.10.6实施66
1.11风险管理67
1.11.1全面的风险管理68
1.11.2信息系统风险管理策略68
1.11.3风险管理团队69
1.11.4风险管理过程69
1.12威胁建模70
1.12.1脆弱性70
1.12.2威胁71
1.12.3攻击71
1.12.4消减分析72
1.13风险评估和分析73
1.13.1风险分析团队74
1.13.2信息和资产的价值74
1.13.3构成价值的成本75
1.13.4识别脆弱性和威胁75
1.13.5风险评估方法76
1.13.6风险分析方法80
1.13.7定性风险分析83
1.13.8保护机制86
1.13.9综合考虑88
1.13.10总风险与剩余风险88
1.13.11处理风险89
1.13.12外包90
1.14风险管理框架91
1.14.1信息分类92
1.14.2安全控制的选择92
1.14.3安全控制的实现93
1.14.4安全控制的评估93
1.14.5信息系统的授权93
1.14.6安全控制的监管93
1.15业务连续性与灾难恢复94
1.15.1标准和最佳实践96
1.15.2使BCM成为企业安全计划的
一部分98
1.15.3BCP项目的组成100
1.16人员安全111
1.16.1招聘实践112
1.16.2解雇113
1.16.3安全意识培训114
1.16.4学位或证书115
1.17安全治理115
1.18道德120
1.18.1计算机道德协会120
1.18.2互联网架构研究委员会121
1.18.3企业道德计划122
1.19小结122
1.20快速提示123
1.21问题126
1.22答案133
第2章资产安全137
2.1信息生命周期137
2.1.1获取138
2.1.2使用138
2.1.3存档139
2.1.4处置139
2.2信息分类140
2.2.1分类等级141
2.2.2分类控制143
2.3责任分层144
2.3.1行政管理层144
2.3.2数据所有者147
2.3.3数据看管员147
2.3.4系统所有者148
2.3.5安全管理员148
2.3.6主管148
2.3.7变更控制分析员148
2.3.8数据分析员149
2.3.9用户149
2.3.10审计员149
2.3.11为何需要这么多角色149
2.4保留策略149
2.5保护隐私152
2.5.1数据所有者153
2.5.2数据处理者153
2.5.3数据残留153
2.5.4收集的限制156
2.6保护资产156
2.6.1数据安全控制157
2.6.2介质控制159
2.7数据泄露163
2.8保护其他资产170
2.8.1保护移动设备170
2.8.2纸质记录171
2.8.3保险箱171
2.9小结172
2.10快速提示172
2.11问题173
2.12答案176

前言/序言

　　前言
　　随着世界不断改变，人们对增强安全、改进技术的需求愈加迫切。每个组织、政府机构、企业和军事单位都开始关注安全问题。几乎所有公司和组织机构都在积极寻求才华横溢、经验丰富的安全专业人员，因为只有这些专家才能保护公司赖以生存和保持竞争力的宝贵资源。而CISSP认证能证明你已经成为一名拥有一定知识和经验的安全专业人员。当然，这些知识和经验是认证体系预先规定的，并得到了整个安全行业的理解和认可。通过持续地持有证书，就表明你保持与安全行业同步发展。
　　下面列出一些获取CISSP认证资格的理由：
　　●充实现有的关于安全概念和实际应用的知识。
　　●展示了你是一位拥有专业知识并且经验丰富的安全专家。
　　●让自己在这个竞争激烈的劳动力市场中占据优势。
　　●增加收入，并能得到更多工作机会。
　　●为你现在的工作带来更好的安全专业知识。
　　●表明对安全规则的贡献。
　　CISSP认证能帮助公司确认某人是否具有相应的技术能力、知识和经验，从而能从事具体的安全工作，执行风险分析，谋划必要的对策，并可帮助整个组织机构保护其设施、网络、系统和信息。CISSP认证还能担保通过认证的人员具备安全行业所需的熟练程度、专业技能和知识水平。安全对于成功企业的重要性在未来只可能不断增加，从而导致对技术熟练的安全专业人员的更大需求。CISSP认证表明，可由被公众认可的第三方机构负责确定个人在技术和理论方面的安全专业知识，并将其与缺乏这种专业知识的普通人员区分开来。
　　对于优秀的网络管理员、编程人员或工程师来说，理解和实现安全应用是一项至关重要的内容。在大量并非针对安全专业人员的职位描述中，往往仍要求应聘人员正确理解安全概念及其实现方式。虽然许多组织机构由于职位和预算的限制而无法聘请单独的网络和安全人员，但都相信安全对于组织机构自身来说至关重要。因此，这些组织机构总是尝试将安全知识和其他技术知识合并在一个角色内。在这个问题上，如果具有CISSP资格，那么你就会比其他应聘人员更有优势。
　　CISSP考试
　　因为CISSP考试涵盖了构成公共知识体系的8个领域，所以常被描述为“寸之深、亩之阔”。这意味着，考试中出现的问题实质上不一定非常详细，并不要求你在所有主题上都是专家。但是，这些问题却要求你熟悉许多不同的安全主题。
　　CISSP考试由250道选择题构成，并要求在6小时内完成。创新型问题包括拖曳(例如：取一个选项或项目，并将其拖到框中的正确位置)或热点(例如：点击能正确回答问题的项目或选项)界面，但权重和得分与其他任何问题一样。这些题目均来自一个庞大的试题库，从而能尽量做到考题因人而异。此外，为更准确地反映最新的安全趋势，试题库会不断变化和更新，考题则根据需要在库中经常循环和替换。考试中计入成绩的只有225道题，其余25道题仅供出题人员研究之用。但这25道题与计分的题目毫无区别，因此应试人员并不知道哪些题目是计入总分的。通过CISSP考试的最低分数是700分(总分是1000分)，每道题都会根据难度设定权重，而且并非每道题的分值都是一样的。此项考试不面向特定的产品或供应商，这意味着没有任何问题会针对特定的产品或供应商(例如Windows、UNIX或Cisco)，而是涉及测试这些系统所用的安全模型和方法。
　　考试提示：猜测不倒扣分。如果不能在合理时间内找出正确答案，那么你可以猜一个并继续下一个问题。
　　(ISC)2(InternationalInformationSystemsSecurityCertificationConsortium，国际信息系统安全认证协会)还在CISSP考试中增加了基于场景的问题。每个问题都向应试者展示一个简短的场景，而不是要求他们区分术语和/或概念。增加基于场景的问题，其目的是确保应试人员不仅知道和理解CBK中的概念，而且能将这些知识应用到现实生活场景中。这种做法更为实用，其原因在于现实生活中不可能有人询问你：“共谋(collusion)的定义是什么？”此时，除了需要知道“共谋”的定义外，还需要知道如何检测并阻止共谋的发生。
　　通过考试后，你会被要求提供由担保人认可的证明文件，以证明你确实具有相关类型的工作经验。担保人必须签署一份文件，从而为你提交的安全工作经验提供担保。因此，在注册并支付考试费用之前，一定要与担保人取得联系。你肯定不愿意看到这样的局面：在支付费用并通过考试后，却发现无法找到担保人帮助你完成获得认证所需的最后步骤。
　　之所以要求提供担保，是为了确保获得认证的应试人员拥有为公司服务的实际工作经验。虽然书本知识对于理解理论、概念、标准和规章极其重要，但绝对不能替代亲身经历。因此，请你一定要证明拥有支持认证实用性的实践经验。
　　(ISC)2将从通过考试的考生中随机挑选少数应试人员进行审查。在审查过程中，(ISC)2工作人员将向考生选定的担保人和联系人核实应试人员相关工作经验的真实性。
　　这项考试的挑战性在于：虽然大多数认证考生都从事安全领域内的工作，但不一定通晓CBK包含的全部8个领域。虽然某人被视为脆弱性测试或应用程序安全方面的专家，但她可能不擅长于物理安全、密码学或取证。因此，为这项考试而学习将极大地拓宽你在安全领域的知识。
　　考题涉及构成CBK的8个安全领域，如下表所示。
　　安全领域描述
　　安全和风险管理这个领域涵盖了信息系统安全的基本概念。该领域的部分主题包括：●可用性、完整性和机密性的原则●安全治理和合规●法律和法规问题●职业道德●个人安全策略●风险管理●威胁模型
　　(续表)
　　安全领域描述
　　资产安全这个领域解释了在整个信息资产生命周期中如何对信息资产进行保护。该领域的部分主题包括：●信息分类●保持的所有权●隐私●保留●数据安全控制●需求处理
　　安全工程这个领域解释了在面对无数威胁的情况下如何保护信息系统发展的安全。该领域的部分主题包括：●安全设计原则●选择有效的措施●缓解脆弱性●密码学●站点和设施的安全设计●物理安全
　　通信与网络安全这个领域解释如何理解保护网络架构、通信技术和网络协议的安全目标。该领域的部分主题包括：安全的网络架构●网络组件●安全的通信信道●网络层攻击
　　身份与访问管理身份与访问管理是信息安全中最重要的主题之一。这个领域涵盖了用户和系统之间、系统和其他系统之间的相互关系。该领域的部分主题包括：●控制物理和逻辑访问●身份标识与认证●身份即服务●第三方身份服务●授权方法●访问控制攻击
　　安全评估与测试这个领域解释了验证我们的信息系统安全的方法。该领域的部分主题包括：●评估和测试策略●测试安全控制●收集安全过程数据●分析和报告结果●开展和促进审计
　　(续表)
　　安全领域描述
　　安全运营这个领域涵盖了在我们日常业务中许多维护网络安全的活动。该领域的部分主题包括：●支持调查●日志和监控●安全资源配置●事故管理●预防措施●变更管理●业务连续性●物理安全管理
　　软件开发安全这个领域解释了应用安全原则去获取和开发软件系统。该领域的部分主题包括：●软件开发生命周期中的安全●开发活动中的安全控制●评估软件安全●评估外部获取软件的安全性
　　为紧跟安全领域的新技术和新方法，(ISC)2每年都要在试题库中加入大量新试题。这些试题都基于最新的技术、运用、方法和标准。例如，1998年的CISSP认证考试没有出现关于无线安全、跨站点脚本攻击或IPv6的问题。
　　本书概要
　　如果你想成为一名经过(ISC)2认证的CISSP，那么在本书里能找到需要了解的所有内容。本书讲述企业如何制定和实现策略、措施、指导原则和标准及其原因；介绍网络、应用程序和系统的脆弱性，脆弱性的被利用情况以及如何应对这些威胁；解释物理安全、操作安全以及不同系统会采用不同安全机制的原因。此外，本书还回顾美国与国际上用于测试系统安全性的安全准则和评估体系，诠释这些准则的含义及其使用原因。最后，本书还将阐明与计算机系统及其数据相关的各种法律责任问题，例如计算机犯罪、法庭证物以及如何为出庭准备计算机证据。
　　尽管本书主要是为CISSP考试撰写的学习指南，但在你通过认证后，它仍不失为一本不可替代的重要参考用书。
　　CISSP应试小贴士
　　许多人考试时会感觉题目比较绕弯。所以一定要仔细阅读问题和所有备选答案，而不是看了几个单词就断定自己已知道问题的答案。某些答案选项的差别不明显，这就需要你花一些时间耐心地将问题再阅读领会几遍。
　　有人抱怨CISSP考试略带主观色彩。例如，有这样两个问题。第一个是技术问题，考查的是防止中间人攻击的TLS(TransportLayerSecurity，传输层安全)所采用的具体机制；第二个问题则询问周长为8英尺的栅栏提供的是低级、中级还是高级的安全防护。你会发现，前一个问题比后一个问题更容易回答。许多问题要求应试人员选择最佳方法，而一些人会认为很难说哪一个是最佳方法，因为这都带有主观色彩。此处给出这样的示例并非是批评(ISC)2和出题人员，而是为了帮助你更好地准备这项考试。本书涵盖了所有的考试范围和需要掌握的内容，同时提供了大量问题和自测试卷。大部分问题的格式都采用了实际试题的形式，使你能更好地准备应对真实的考试。因此，你一定要阅读本书的全部内容，同时特别注意问题及其格式。有时，即使对某个主题十分了解，你也可能答错题。因此，我们需要学会如何应试。
　　在回答某些问题时，要记住，一些事物比其他东西更有价值。例如，保护人身安全和福利几乎总是高于所有其他方面。与此类似，如果所有其他因素都比较便宜，第二个会赢得大部分时间。专家意见(例如：从律师那里获得的)比那些拥有较少认证的人的意见更有价值。如果一个问题的可选项之一是寻求或获得专家意见，请密切关注这个问题。正确的答案可能是寻求那位专家的意见。
　　尽量让自己熟悉行业标准，并了解自己工作之外的技术知识和方法。再次强调一下，即使你在某个领域是专家，仍然可能不熟悉考试所涉及的全部领域。
　　当你在PearsonVUE考试中心参加CISSP考试时，其他认证考试可能会在同一个房间同时进行。如果你看到别人很早离开房间，不要感到匆忙；他们可能是因为参加一个较短的考试。
　　如何使用本书
　　本书的作者尽了很大努力才将所有重要信息汇编成书；现在，轮到你尽力从本书中汲取知识了。要从本书受益最大，可采用以下学习方法：
　　●认真学习每个章节，真正理解其中介绍的每个概念。许多概念都必须完全理解，如果对一些概念似懂非懂，那么对你来说将是非常不利的。CISSPCBK包含数以千计的不同主题，因此需要花时间掌握这些内容。
　　●确认学习和解答所有问题。如果不能正确解答其中的问题，那么需要再次阅读相关的章节。需要记住，真实考试中的某些问题含糊其辞，看上去比较难回答，不要误以为这些问题表述不清楚而忽视了这些含糊其辞的问题。相反，它们的存在具有明确的目的性，对此要特别注意。
　　●如果你对某些具体的主题(如防火墙、法律、物理安全或协议功能)不熟悉，那么需要通过其他信息源(书籍和文章等)以达到对这些主题更深入的理解程度，而不是局限于自认为通过CISSP考试所需的范围。
　　●阅读本书后，你需要学习所有问题和答案，并进行自测。接着，查看(ISC)2的学习指南，确信对列出的每条内容都十分了解。如果对某些内容还感到困惑，那么请重新复习相关的章节。
　　●如果参加过其他资格认证考试(如Cisco、Novell和Microsoft的认证考试)，那么你可能习惯于记忆一些细节和配置参数。但请记住，CISSP考试强调“寸之深、亩之阔”，因此在记忆具体细节之前一定要先掌握每个主题中的各种概念。
　　●记住该考试是需要找出最佳答案，所以，对于有些问题应试人员可能会对全部或部分答案持不同意见。记住要在所给的4个答案中找出最合理的那一个。
　　配套练习题
　　本书配套网站提供1400道练习题，其中既有热点问题，也有“拖放”问题。读者可访问http://www.tupwk.com.cn/downpage/，输入本书中文书名或ISBN下载，也可直接扫描本书封底的二维码下载。

信息安全管理与技术实践的深度解析本书并非为您呈现一本具体的《CISSP认证考试指南（第7版）（安全技术经典译丛）》的概要，而是旨在探讨信息安全领域的核心概念、关键技术以及管理实践，为有志于深化信息安全知识体系的读者提供一个广阔的视野和严谨的框架。我们将从信息安全的目标出发，逐步深入到各个安全域的细节，最终落脚于风险管理和合规性建设，力求展现一个全面而深刻的信息安全知识图景。一、信息安全的基石：保密性、完整性与可用性（CIA三要素）任何信息安全体系的建立都离不开对CIA三要素的深刻理解与有效保障。保密性（Confidentiality）：确保信息仅对授权用户可见，防止未经授权的披露。这涉及了身份认证、访问控制、加密技术等多个层面。身份认证是第一道防线，确保“你是谁”的问题得到准确回答。常见的认证机制包括口令、生物识别（指纹、人脸）、多因素认证（MFA）等。访问控制则是在身份认证成功后，进一步细化用户能够访问哪些资源以及可以执行哪些操作，例如基于角色的访问控制（RBAC）、基于属性的访问控制（ABAC）。加密技术则是数据在传输和存储过程中的一道坚实屏障，能够将明文信息转化为不可读的密文，即使数据被窃取，也无法轻易理解其内容。公钥基础设施（PKI）在此扮演着至关重要的角色，它提供了密钥管理、数字证书颁发与验证的机制。完整性（Integrity）：确保信息在存储、传输或处理过程中不被未经授权地修改、破坏或删除，并且信息是准确和完整的。这通常通过哈希函数、数字签名、版本控制、数据校验和审计日志等方式实现。哈希函数可以将任意长度的数据映射成固定长度的散列值，任何微小的改动都会导致散列值发生显著变化，从而检测到数据是否被篡改。数字签名则结合了哈希函数和非对称加密，不仅能验证数据的完整性，还能确保发送者的身份，实现不可否认性。版本控制系统在软件开发和文档管理中尤为重要，能够追溯历史版本，恢复到任何一个有效状态。可用性（Availability）：确保授权用户在需要时能够及时、可靠地访问信息和资源。这需要我们防范各种可能导致服务中断的威胁，例如硬件故障、软件错误、网络攻击（如DDoS攻击）以及自然灾害。冗余设计（如RAID、双机热备、负载均衡）、灾难恢复计划（DRP）、业务连续性计划（BCP）以及定期的系统维护和更新都是保障可用性的关键措施。DDoS攻击是常见的对可用性构成威胁的网络攻击，需要部署相应的流量清洗和防御设备。二、信息安全管理的四大核心领域信息安全管理并非孤立的技术实践，而是一个系统性的管理过程，贯穿于组织运营的各个环节。本书将从以下几个关键的管理领域进行深入探讨：安全治理与风险管理（Security Governance & Risk Management）：安全治理是建立清晰的组织结构、角色职责、决策流程和策略，以指导和监督信息安全活动。它确保信息安全目标与组织的业务目标保持一致。风险管理则是识别、评估、处理和监控信息安全风险的过程。首先需要识别潜在的安全威胁和脆弱性，评估它们发生的可能性和一旦发生可能造成的潜在影响（损失），然后根据评估结果制定相应的风险应对策略，包括风险规避、风险转移（如购买保险）、风险降低（实施安全控制）或风险接受。风险管理是一个持续的过程，需要定期审查和更新。资产管理（Asset Management）：组织的信息资产是其最重要的财富之一，了解和保护这些资产是信息安全的基础。资产管理包括识别、分类、拥有权分配和生命周期管理。我们需要明确组织拥有哪些信息资产（如数据、软件、硬件、知识产权），它们的价值和重要性，谁对这些资产负责，以及如何安全地获取、使用、存储、传输和销毁这些资产。清晰的资产清单是后续进行风险评估和安全控制设计的前提。身份与访问管理（Identity and Access Management, IAM）： IAM是一个综合性的安全管理领域，其核心在于确保“正确的人”在“正确的时间”拥有“正确的访问权限”。这涵盖了用户生命周期管理（入职、转岗、离职）、身份提供者（IdP）、访问管理（如SSO单点登录、MFA多因素认证）、特权访问管理（PAM）以及审计和监控。PAM尤为重要，因为它专注于管理那些拥有高度权限的账户，例如管理员账户，以防止权限滥用。安全运营与事件响应（Security Operations & Incident Response）：安全运营关注日常的安全监控、威胁检测和漏洞管理。这包括部署和维护安全设备（如防火墙、IDS/IPS、SIEM），收集和分析日志信息，进行漏洞扫描和渗透测试，以及及时修补安全漏洞。事件响应则是当安全事件发生时，组织能够快速、有效地进行响应，以最小化损失并恢复正常运营。一个完善的事件响应计划（IRP）应包含事件的识别、分类、遏制、根除、恢复和事后总结等阶段。三、信息安全技术深度解析除了管理层面，技术是信息安全得以实现的具体手段。本书将对以下关键技术领域进行深入探索：密码学（Cryptography）：密码学是信息安全的数学基础，用于实现保密性、完整性和身份认证。我们探讨对称加密（如AES）和非对称加密（如RSA）的区别与应用场景，哈希函数（如SHA-256）在数据完整性验证中的作用，以及数字签名如何实现身份认证和不可否认性。公钥基础设施（PKI）的原理和应用，以及密钥管理的重要性也将是重点。网络安全（Network Security）：网络是信息传递的桥梁，也是攻击者觊觎的目标。本节将深入研究防火墙（包括下一代防火墙）、入侵检测/防御系统（IDS/IPS）、虚拟专用网络（VPN）、安全信息与事件管理（SIEM）系统、网络访问控制（NAC）以及无线安全协议（如WPA3）。我们还将探讨网络分段、流量监控和DDoS攻击的防御策略。端点安全（Endpoint Security）：端点（如服务器、工作站、移动设备）是用户与信息资产交互的直接接口，因此是安全防护的重点。这包括端点检测与响应（EDR）解决方案、防病毒/防恶意软件软件、数据丢失防护（DLP）、主机入侵检测系统（HIDS）以及设备加密。此外，移动设备管理（MDM）和统一端点管理（UEM）在保障移动办公环境下的安全也至关重要。应用安全（Application Security）：软件漏洞是导致安全事件的常见原因。本节将关注软件开发生命周期（SDLC）中的安全实践，如安全编码指南、静态应用安全测试（SAST）、动态应用安全测试（DAST）、交互式应用安全测试（IAST）和软件成分分析（SCA）。我们还将讨论Web应用防火墙（WAF）、API安全以及容器安全。物理安全（Physical Security）：信息安全并不仅仅是虚拟世界的安全，物理环境的安全同样关键。这包括对数据中心、办公区域等关键设施的访问控制、监控、环境安全（如火灾、水患防护）以及人员安全。物理安全是实现信息安全的前提。四、风险评估、业务连续性与灾难恢复信息安全的目标是降低风险，保障业务的持续运营。风险评估（Risk Assessment）：风险评估是风险管理的核心活动，它通过结构化的方法来识别、分析和评估信息资产面临的风险。这包括威胁建模、脆弱性分析、影响评估等。例如，通过分析潜在威胁（如黑客攻击、内部人员泄露）和资产的脆弱性（如未打补丁的软件、弱密码），我们可以量化这些风险，并优先处理高风险项。业务连续性与灾难恢复（Business Continuity & Disaster Recovery）：业务连续性计划（BCP）旨在确保在发生重大中断事件时，组织的关键业务功能能够继续运行。灾难恢复计划（DRP）则是BCP的一个组成部分，专注于在灾难发生后，如何恢复IT基础设施和数据。这包括制定备份与恢复策略、建立冗余数据中心、定期进行恢复演练等。五、合规性、法律与伦理信息安全实践必须遵循相关的法律法规和行业标准，并秉持高度的伦理原则。合规性（Compliance）：组织需要遵守一系列国内外法律法规，如GDPR（通用数据保护条例）、CCPA（加州消费者隐私法案）、HIPAA（健康保险流通与责任法案）等，以及行业标准，如ISO 27001、PCI DSS（支付卡行业数据安全标准）等。合规性不仅是为了避免罚款，更是为了建立客户信任和维护声誉。法律与伦理（Legal & Ethical Issues）：深入理解信息安全相关的法律框架，包括数据隐私权、知识产权保护、网络犯罪等。同时，培养和践行信息安全伦理，例如尊重用户隐私、避免恶意行为、保持职业操守，是成为一名合格的信息安全专业人士不可或缺的品质。总结本书所探讨的，是一个广阔且不断发展的领域。信息安全不再是简单的技术防御，而是涉及组织战略、管理流程、人员意识以及技术手段的综合性学科。理解并掌握这些核心概念和实践，将为信息安全专业人士提供坚实的基础，帮助他们在复杂多变的安全环境中，有效地保护组织的宝贵信息资产，确保业务的稳定与发展。

用户评价

评分☆☆☆☆☆

说实话，在接触《CISSP认证考试指南（第7版）》之前，我对于“安全技术”这个概念，一直停留在非常模糊的层面。总觉得这是一门庞大而又抽象的学科，充斥着各种我理解不了的专业术语和复杂的算法。然而，这本书彻底颠覆了我之前的认知。作者用一种非常接地气的方式，将那些看似高深莫测的安全技术，拆解成一个个易于理解的部分。例如，在讲述加密算法时，它并没有止步于列出各种算法的名称和公式，而是深入浅出地解释了它们的工作原理、应用场景以及在实际安全防护中的作用。我印象最深刻的是关于访问控制的部分，书中详细介绍了RBAC、ABAC等模型，并通过生动的图示和实际案例，让我明白了不同模型的设计思路和优缺点。这不仅仅是知识的传递，更是一种思维的引导，让我学会如何从不同的角度去分析和解决安全问题。而且，本书的内容非常全面，几乎涵盖了CISSP考试所需的全部知识领域，让我少走了很多弯路。我真的庆幸自己选择了这本作为我的备考首选，它为我构建了一个扎实的安全知识体系。

评分☆☆☆☆☆

坦白讲，作为一名在IT行业摸爬滚打多年的从业者，我对各种技术书籍并不陌生。但《CISSP认证考试指南（第7版）》给我的惊喜依然是巨大的。《安全技术经典译丛》这个系列的名字本身就带着一种信赖感，而这本书也确实不负众望。让我印象深刻的是，作者在讲解每一个安全概念时，都会追根溯源，解释其背后的原理和历史演变。这种“知其然，更知其所以然”的讲解方式，让我能够更深刻地理解这些概念的价值和局限性。例如，在介绍网络安全协议时，它不仅仅讲了TCP/IP的五层模型，还详细分析了每一层协议在安全方面的考量，以及可能存在的漏洞。这种深度讲解，让我对网络安全有了更全面的认识。而且，本书的语言风格非常严谨，但又不失可读性，即使是第一次接触CISSP的读者，也不会感到畏惧。每次翻开这本书，我都感觉自己像是在与一位经验丰富的安全专家进行对话，从他那里汲取宝贵的知识和经验。

评分☆☆☆☆☆

这本书给我最大的感受就是它的“厚重感”——一种知识体系上的厚重，而不是单纯的页数堆叠。作者在内容编排上，展现了极高的专业素养和对CISSP考试的深刻理解。它不仅仅是知识点的罗列，更像是一条精心设计的学习路径，引导读者一步步深入理解信息安全的各个维度。我尤其欣赏书中对于“安全意识”和“风险管理”等概念的处理。这部分内容常常被很多技术类的书籍忽略，但CISSP考试恰恰非常看重这些非技术性的能力。本书将这些概念与实际工作紧密结合，通过大量的案例分析，让我体会到安全不仅仅是部署防火墙和杀毒软件，更是一种组织文化和管理策略。阅读过程中，我常常会停下来思考，如何将书中的理念应用到我目前的工作中，如何识别和评估潜在的风险，如何制定更有效的安全策略。这种思考过程，比单纯的记忆知识点更有价值，也让我对信息安全有了更深层次的理解。它为我打开了一扇新的大门，让我看到了安全防护的全局观。

评分☆☆☆☆☆

这本《CISSP认证考试指南（第7版）》简直是我的救星！在备考CISSP的漫漫长路上，我尝试过好几本不同的资料，但总觉得差了点什么。直到我翻开这本，那种豁然开朗的感觉至今难忘。书中的编排逻辑非常清晰，从宏观的安全概念到具体的安全控制措施，层层递进，让人很容易理解。尤其是那些复杂的安全模型和理论，作者用非常生动的语言和贴切的比喻来解释，哪怕是像我这样之前对某些概念一知半解的读者，也能迅速抓住重点。而且，本书不仅仅是理论的堆砌，它还非常注重实操性，书中大量的案例分析和习题，让我有机会将学到的知识应用到实际场景中。我特别喜欢其中的一些场景题，它们模拟了真实的网络安全挑战，迫使我跳出书本的框架，进行独立思考和分析。每一次完成练习，都感觉自己的思维又拓展了一层。这本书的翻译质量也令人称道，语言流畅自然，一点都没有生硬的译本感，读起来就像母语书籍一样舒服。我常常在工作之余，捧着这本书，沉浸在信息安全的知识海洋里，感觉自己正在一步步向着CISSP认证迈进。

评分☆☆☆☆☆

这本书的价值，远不止于它为我指明了CISSP考试的方向。更重要的是，它重塑了我对于信息安全的整体认知。在阅读的过程中，我开始意识到，信息安全并非是一个孤立的技术领域，而是与业务发展、组织管理、法律法规等方方面面都息息相关。书中对于安全治理、合规性要求、业务连续性等方面的阐述，让我对信息安全工作有了更宏观的认识。我不再仅仅关注于如何加固某一台服务器，而是开始思考，如何建立一个能够抵御各种威胁的整体安全体系。书中大量的参考资料和建议，也为我提供了进一步学习和探索的方向。我常常在读完一个章节后，会主动去查找相关的行业标准和最佳实践，将书中的知识与现实世界相结合。这本书就像一个知识的“搜索引擎”，它不仅提供了答案，更激发了我不断提问和探索的欲望。我深信，凭借这本书打下的坚实基础，我将会在信息安全领域走得更远。

评分☆☆☆☆☆

书不错，很厚，看不完可以用来垫桌子，擦屁股，点烟等，总之，功能多多！

评分☆☆☆☆☆

考试必备神器，为了目标不需要过啊，书质量一般，没发现有问题

评分☆☆☆☆☆

还没开始，看应该是一本不错的书。

评分☆☆☆☆☆

准备报考cissp认证，先买来学习了解一下，书的内容很不错，好评如潮

评分☆☆☆☆☆

书不错，价格优惠。

评分☆☆☆☆☆

书不错，价格优惠。