《CISSP官方学习指南(第7版)》是完整涵盖2015年CISSP认证知识体系的一站式资源,100%覆盖了2015年CISSP CIB考点。可以通过本书更明智、更快捷地准备考试,包括检查备考情况的评估测试、目标地图、真实场景、实践练习、关键主题考试要点和有挑战的章末复习题。通过Sybex提供的独特的在线学习环境和测试题库(它们可以在多种设备上访问),进一步增强你的考试能力。开始使用本书准备CISSP考试吧!
目录
- 第1章 通过原则和策略的安全治理 1
- 1.1 理解和应用机密性、完整性
- 和可用性的概念 2
- 1.1.1 机密性 2
- 1.1.2 完整性 3
- 1.1.3 可用性 4
- 1.1.4 其他安全概念 5
- 1.1.5 保护机制 8
- 1.2 应用安全治理原则 9
- 1.2.1 安全功能战略、目标、
- 任务和愿景的一致 9
- 1.2.2 组织流程 11
- 1.2.3 安全角色和责任 15
- 1.2.4 控制架构 16
- 1.2.5 应尽关注和应尽职责 16
- 1.3 开发和文档化安全策略、
- 标准、指导方针和程序 17
- 1.3.1 安全策略 17
- 1.3.2 安全标准、基准及指南 18
- 1.3.3 安全程序 18
- 1.4 理解和应用威胁建模 19
- 1.4.1 识别威胁 20
- 1.4.2 确定和用图表示潜在攻击 22
- 1.4.3 执行降低分析 23
- 1.4.4 优先级和响应 23
- 1.5 把安全风险考虑到收购
- 策略和实践中 24
- 1.6 本章小结 25
- 1.7 考试要点 26
- 1.8 书面实验室 28
- 1.9 复习题 28
- 第2章 人员安全和风险管理概念 31
- 2.1 促进人员安全策略 32
- 2.1.1 筛选候选人 34
- 2.1.2 雇佣协议和策略 34
- 2.1.3 解雇员工的流程 35
- 2.1.4 供应商、顾问和承包商控制 37
- 2.1.5 合规性 38
- 2.1.6 隐私 38
- 2.2 安全治理 39
- 2.3 理解和应用风险管理概念 39
- 2.3.1 风险术语 40
- 2.3.2 识别威胁和脆弱性 42
- 2.3.3 风险评估/分析 43
- 2.3.4 风险分配/接受 48
- 2.3.5 对策的选择和评估 49
- 2.3.6 实施 50
- 2.3.7 控制的类型 51
- 2.3.8 监控和测量 52
- 2.3.9 资产评估 52
- 2.3.10 持续改进 53
- 2.3.11 风险框架 54
- 2.4 建立和管理信息安全教育、
- 培训和意识 55
- 2.5 管理安全功能 56
- 2.6 本章小结 57
- 2.7 考试要点 57
- 2.8 书面实验室 59
- 2.9 复习题 59
- 第3章 业务连续性计划 63
- 3.1 业务连续性计划 63
- 3.2 项目范围与计划 64
- 3.2.1 业务组织分析 65
- 3.2.2 BCP团队的选择 65
- 3.2.3 资源要求 66
- 3.2.4 法律和法规要求 67
- 3.3 业务影响评估 68
- 3.3.1 确定优先级 69
- 3.3.2 风险识别 69
- 3.3.3 可能性评估 70
- 3.3.4 影响评估 71
- 3.3.5 资源优先级划分 72
- 3.4 连续性计划 72
- 3.4.1 策略开发 73
- 3.4.2 预备和处理 73
- 3.4.3 计划批准和实现 74
- 3.4.4 计划实现 75
- 3.4.5 培训和教育 75
- 3.5 BCP文档化 75
- 3.5.1 连续性计划的目标 75
- 3.5.2 重要性声明 76
- 3.5.3 优先级声明 76
- 3.5.4 组织职责的声明 76
- 3.5.5 紧急程度和时限的声明 76
- 3.5.6 风险评估 76
- 3.5.7 可接受的风险/风险缓解 77
- 3.5.8 重大记录计划 77
- 3.5.9 响应紧急事件的指导原则 77
- 3.5.10 维护 78
- 3.5.11 测试和演习 78
- 3.6 本章小结 78
- 3.7 考试要点 79
- 3.8 书面实验室 79
- 3.9 复习题 79
- 第4章 法律、法规和合规性 83
- 4.1 法律的分类 84
- 4.1.1 刑法 84
- 4.1.2 民法 85
- 4.1.3 行政法 85
- 4.2 法律 86
- 4.2.1 计算机犯罪 86
- 4.2.2 知识产权 89
- 4.2.3 进口/出口 94
- 4.2.4 隐私 95
- 4.3 合规性 99
- 4.4 合同与采购 100
- 4.5 本章小结 101
- 4.6 考试要点 101
- 4.7 书面实验室 102
- 4.8 复习题 102
- 第5章 保护资产的安全 107
- 5.1 对资产进行分类和标记 107
- 5.1.1 定义敏感数据 108
- 5.1.2 定义分类 109
- 5.1.3 定义数据安全要求 111
- 5.1.4 理解数据状态 112
- 5.1.5 管理敏感数据 112
- 5.1.6 应用密码学保护机密文件 117
- 5.2 定义数据角色 119
- 5.2.1 数据所有者 119
- 5.2.2 系统所有者 120
- 5.2.3 业务/任务所有者 120
- 5.2.4 数据处理者 121
- 5.2.5 管理员 121
- 5.2.6 保管者 121
- 5.2.7 用户 122
- 5.3 保护隐私 122
- 5.3.1 使用安全基线 122
- 5.3.2 审视和定制 123
- 5.3.3 选择标准 123
- 5.4 本章小结 124
- 5.5 考试要点 124
- 5.6 书面实验室 125
- 5.7 复习题 125
- 第6章 密码学与对称加密算法 129
- 6.1 密码学历史上的里程碑 129
- 6.1.1 凯撒密码 129
- 6.1.2 美国内战 130
- 6.1.3 Ultra与Enigma 130
- 6.2 密码学基础 131
- 6.2.1 密码学的目标 131
- 6.2.2 密码学概念 132
- 6.2.3 密码学的数学原理 133
- 6.2.4 密码 138
- 6.3 现代密码学 143
- 6.3.1 密钥 143
- 6.3.2 对称密钥算法 144
- 6.3.3 非对称密钥算法 145
- 6.3.4 散列算法 147
- 6.4 对称密码 147
- 6.4.1 数据加密标准 148
- 6.4.2 三重数据加密算法(3DES) 149
- 6.4.3 国际数据加密算法(IDEA) 150
- 6.4.4 Blowfish 150
- 6.4.5 Skipjack 151
- 6.4.6 高级加密标准(AES) 151
- 6.4.7 对称密钥管理 152
- 6.4.8 密码生命周期 154
- 6.5 本章小结 154
- 6.6 考试要点 154
- 6.7 书面实验室 155
- 6.8 复习题 156
- 第7章 PKI和密码学应用 159
- 7.1 非对称密码学 159
- 7.1.1 公钥与私钥 160
- 7.1.2 RSA 160
- 7.1.3 El Gamal 161
- 7.1.4 椭圆曲线密码系统(ECC) 162
- 7.2 散列函数 162
- 7.2.1 SHA 163
- 7.2.2 MD2 164
- 7.2.3 MD4 164
- 7.2.4 MD5 165
- 7.3 数字签名 165
- 7.3.1 HMAC 166
- 7.3.2 数字签名标准 167
- 7.4 公钥基础设施(PKI) 167
- 7.4.1 证书 167
- 7.4.2 证书授权机构 168
- 7.4.3 证书的生成与撤消 169
- 7.4.4 非对称密钥的管理 170
- 7.5 密码学的应用 171
- 7.5.1 便携式设备 171
- 7.5.2 电子邮件 171
- 7.5.3 Web应用 172
- 7.5.4 数字版权管理(DRM) 174
- 7.5.5 网络连接 176
- 7.6 密码学攻击 179
- 7.7 本章小结 181
- 7.8 考试要点 181
- 7.9 书面实验室 182
- 7.10 复习题 183
- 第8章 安全模型的原则、
- 设计和功能 187
- 8.1 使用安全设计原则实施和
- 管理工程过程 187
- 8.1.1 客体和主体 188
- 8.1.2 封闭式系统和开放式系统 188
- 8.1.3 用于确保机密性、完整性和
- 可用性的技术 189
- 8.1.4 控制 190
- 8.1.5 信任与保证 190
- 8.2 理解安全模型的基本概念 191
- 8.2.1 可信计算基 192
- 8.2.2 状态机模型 193
- 8.2.3 信息流模型 193
- 8.2.4 无干扰模型 194
- 8.2.5 Take-Grant 模型 194
- 8.2.6 访问控制矩阵 195
- 8.2.7 Bell-LaPadula模型 196
- 8.2.8 Biba模型 197
- 8.2.9 Clark-Wilson模型 199
- 8.2.10 Brewer and Nash模型
- (也叫作Chinese Wall) 200
- 8.2.11 Goguen-Meseguer模型 200
- 8.2.12 Sutherland模型 200
- 8.2.13 Graham-Denning模型 200
- 8.3 基于系统安全评估模型
- 选择控制和对策 201
- 8.3.1 彩虹系列 201
- 8.3.2 TCSEC分类和所需功能 202
- 8.3.3 彩虹系列中的其他颜色 203
- 8.3.4 ITSEC类别与所需的
- 保证和功能性 205
- 8.3.5 通用准则 206
- 8.3.6 认证和鉴定 208
- 8.4 理解信息系统的安全功能 210
- 8.4.1 内存保护 210
- 8.4.2 虚拟化 210
- 8.4.3 可信平台模块 211
- 8.4.4 接口 211
- 8.4.5 容错 211
- 8.5 本章小结 212
- 8.6 考试要点 212
- 8.7 书面实验室 213
- 8.8 复习题 213
- 第9章 安全脆弱性、威胁和对施 217
- 9.1 评估和缓解安全脆弱性 218
- 9.1.1 硬件 218
- 9.1.2 存储器 226
- 9.1.3 存储设备 230
- 9.1.4 存储介质的安全性 231
- 9.1.5 输入和输出设备 231
- 9.1.6 固件 233
- 9.2 基于客户端 234
- 9.2.1 applet 234
- 9.2.2 本地缓存 235
- 9.3 基于服务端 237
- 9.4 数据库安全 237
- 9.4.1 聚合 237
- 9.4.2 推理 238
- 9.4.3 数据挖掘和数据仓库 238
- 9.4.4 数据分析 239
- 9.4.5 大规模并行数据系统 239
- 9.5 分布式系统 239
- 9.5.1 云计算 241
- 9.5.2 网格计算 241
- 9.5.3 点对点 242
- 9.6 工业控制系统 242
- 9.7 评估和缓解基于Web系统的
- 脆弱性 243
- 9.8 评估和缓解移动系统的
- 脆弱性 243
- 9.8.1 设备安全 244
- 9.8.2 应用安全 247
- 9.8.3 BYOD关注点 248
- 9.9 评估和缓解嵌入式设备和
- 物联网系统的脆弱性 251
- 9.9.1 嵌入式系统和静态
- 系统的示例 251
- 9.9.2 安全方法 252
- 9.10 基本安全保护机制 253
- 9.10.1 技术机制 254
- 9.10.2 安全策略与计算机
- 体系结构 256
- 9.10.3 策略机制 256
- 9.11 常见的缺陷和安全问题 257
- 9.11.1 隐蔽通道 257
- 9.11.2 基于设计或编码缺陷的
- 攻击和安全问题 258
- 9.11.3 编程 260
- 9.11.4 计时、状态改变和
- 通信中断 260
- 9.11.5 技术和过程完整性 261
- 9.11.6 电磁辐射 261
- 9.12 本章小结 262
- 9.13 考试要点 262
- 9.14 书面实验室 264
- 9.15 复习题 264
- 第10章 物理安全需求 269
- 10.1 应用安全原则到选址和
- 设施设计 270
- 10.1.1 安全设施计划 270
- 10.1.2 场所选择 270
- 10.1.3 可视性 271
- 10.1.4 自然灾害 271
- 10.1.5 设施的设计 271
- 10.2 设计和实施物理安全 272
- 10.2.1 设备故障 273
- 10.2.2 配线间 273
- 10.2.3 服务器机房 274
- 10.2.4 介质存储设施 275
- 10.2.5 证据存储 276
- 10.2.6 受限的和工作区域安全
- (例如,运营中心) 276
- 10.2.7 数据中心安全 277
- 10.2.8 基础设施和HVAC
- 注意事项 279
- 10.2.9 水的问题(例如,漏水
- 和水灾) 281
- 10.2.10 火灾的预防、检测和
- 抑制 281
- 10.3 实施和管理物理安全 285
- 10.3.1 周边(例如,访问控制
- 和监控) 285
- 10.3.2 内部安全(例如,陪同要求/
- 访问者控制、钥匙和锁) 287
- 10.4 本章小结 291
- 10.5 考试要点 292
- 10.6 书面实验室 293
- 10.7 复习题 294
- 第11章 网络安全架构与保护
- 网络组件 297
- 11.1 OSI模型 298
- 11.1.1 OSI模型的历史 298
- 11.1.2 OSI功能 298
- 11.1.3 封装/解封装 299
- 11.1.4 OSI分层 300
- 11.2 TCP/IP模型 305
- 11.2.1 TCP/IP协议族概述 306
- 11.2.2 分层协议的应用 313
- 11.2.3 TCP/IP的脆弱性 314
- 11.2.4 域名解析 315
- 11.3 汇聚协议 315
- 11.4 内容分发网络 317
- 11.5 无线网络 317
- 11.5.1 保护无线接入点 317
- 11.5.2 保护SSID 319
- 11.5.3 执行现场勘测 319
- 11.5.4 使用加密协议 320
- 11.5.5 天线位置的确定 322
- 11.5.6 天线类型 322
- 11.5.7 调整功率水平控制 323
- 11.5.8 使用强制门户 323
- 11.5.9 一般的Wi-Fi安全措施 323
- 11.6 保护网络组件 324
- 11.6.1 网络接入控制 325
- 11.6.2 防火墙 325
- 11.6.3 终端安全 328
- 11.6.4 其他网络设备 328
- 11.7 布线、无线、拓扑和
- 通信技术 330
- 11.7.1 网络布线 331
- 11.7.2 网络拓扑 334
- 11.7.3 无线通信与安全性 335
- 11.7.4 LAN技术 339
- 11.8 本章小结 342
- 11.9 考试要点 343
- 11.10 书面实验室 344
- 11.11 复习题 345
- 第12章 安全通信和网络攻击 349
- 12.1 网络与协议安全机制 350
- 12.1.1 安全通信协议 350
- 12.1.2 身份认证协议 351
- 12.2 安全的语音通信 351
- 12.2.1 互联网语音协议(VoIP) 352
- 12.2.2 社会工程学 352
- 12.2.3 伪造与滥用 353
- 12.3 多媒体协作 354
- 12.3.1 远程会议 355
- 12.3.2 即时消息 355
- 12.4 管理电子邮件的安全性 355
- 12.4.1 电子邮件安全性的目标 356
- 12.4.2 理解电子邮件的安全性
- 问题 356
- 12.4.3 电子邮件安全性
- 解决方案 357
- 12.5 远程接入安全管理 359
- 12.5.1 计划远程接入安全 360
- 12.5.2 拨号协议 361
- 12.5.3 集中化的远程身份
- 认证服务 361
- 12.6 虚拟专用网络 362
- 12.6.1 隧道技术 362
- 12.6.2 VPN的工作原理 363
- 12.6.3 常用VPN协议 363
- 12.6.4 虚拟局域网 365
- 12.7 虚拟化 365
- 12.7.1 虚拟化软件 366
- 12.7.2 虚拟化网络 366
- 12.8 网络地址转换 367
- 12.8.1 专用IP地址 368
- 12.8.2 状态NAT 369
- 12.8.3 静态NAT与动态NAT 369
- 12.8.4 自动私有IP地址寻址 370
- 12.9 交换技术 371
- 12.9.1 电路交换 371
- 12.9.2 分组交换 371
- 12.9.3 虚电路 372
- 12.10 WAN技术 372
- 12.10.1 WAN连接技术 374
- 12.10.2 X.25 WAN连接 374
- 12.10.3 帧中继连接 374
- 12.10.4 ATM 375
- 12.10.5 SMDS 375
- 12.10.6 专门的协议 375
- 12.10.7 拨号封装协议 375
- 12.11 各种安全控制特性 376
- 12.11.1 透明性 376
- 12.11.2 验证完整性 376
- 12.11.3 传输机制 377
- 12.12 安全边界 377
- 12.13 网络攻击与对策 378
- 12.13.1 DoS和DDoS 378
- 12.13.2 偷听 379
- 12.13.3 假冒/伪装 379
- 12.13.4 重放攻击 380
- 12.13.5 修改攻击 380
- 12.13.6 地址解析协议欺骗 380
- 12.13.7 DNS 投毒、 欺骗和
- 劫持 381
- 12.13.8 超链接欺骗 381
- 12.14 本章小结 382
- 12.15 考试要点 383
- 12.16 书面实验室 384
- 12.17 复习题 385
- 第13章 管理身份与认证 389
- 13.1 控制对资产的访问 389
- 13.1.1 主体与客体的对比 390
- 13.1.2 访问控制的类型 391
- 13.1.3 CIA三要素 392
- 13.2 比较身份标识与认证 393
- 13.2.1 身份的注册和证明 393
- 13.2.2 授权与可问责性 393
- 13.2.3 认证因素 394
- 13.2.4 密码 395
- 13.2.5 智能卡和令牌 397
- 13.2.6 生物识别 398
- 13.2.7 多因素身份认证 401
- 13.2.8 设备认证 401
- 13.3 实施身份管理 402
- 13.3.1 单点登录 402
- 13.3.2 LDAP和集中式访问
- 控制 402
- 13.3.3 LDAP和PKI 402
- 13.3.4 Kerberos 403
- 13.3.5 联合身份管理和SSO 404
- 13.3.6 其他单点登录的例子 405
- 13.3.7 证书管理系统 406
- 13.3.8 整合身份服务 406
- 13.3.9 管理会话 406
- 13.3.10 AAA 协议 407
- 13.4 管理标识和访问开通
- 生命周期 408
- 13.4.1 开通 408
- 13.4.2 账号审核 409
- 13.4.3 账号撤消 410
- 13.5 本章小结 410
- 13.6 考试要点 411
- 13.7 书面实验室 412
- 13.8 复习题 412
- 第14章 控制和监控访问 417
- 14.1 对比访问控制模型 417
- 14.1.1 对比许可、权限和特权 418
- 14.1.2 理解授权机制 418
- 14.1.3 用安全策略定义需求 419
- 14.1.4 部署深度防御 419
- 14.1.5 自主访问控制 420
- 14.1.6 非自主访问控制 421
- 14.2 理解访问控制攻击方式 425
- 14.2.1 风险元素 425
- 14.2.2 常见的访问控制攻击 428
- 14.3 本章小结 436
- 14.4 考试要点 437
- 14.5 书面实验室 438
- 14.6 复习题 438
- 第15章 安全评估和测试 441
- 15.1 创建安全评估和测试程序 442
- 15.1.1 安全测试 442
- 15.1.2 安全评估 443
- 15.1.3 安全审计 443
- 15.2 执行漏洞评估 444
- 15.2.1 漏洞扫描 444
- 15.2.2 渗透测试 451
- 15.3 测试你的软件 452
- 15.3.1 代码审查和测试 452
- 15.3.2 接口测试 455
- 15.3.3 误用案例测试 455
- 15.3.4 测试覆盖率分析 456
- 15.4 实现安全管理过程 456
- 15.4.1 日志审核 456
- 15.4.2 账户管理 456
- 15.4.3 备份验证 457
- 15.4.4 关键性能指标和
- 风险指标 457
- 15.5 本章小结 457
- 15.6 考试要点 458
- 15.7 书面实验室 458
- 15.8 复习题 459
- 第16章 管理安全运营 463
- 16.1 应用安全运营的概念 464
- 16.1.1 知其所需和最小特权 464
- 16.1.2 职责和责任分离 465
- 16.1.3 岗位轮换 467
- 16.1.4 强制休假 468
- 16.1.5 监控特殊的特权 468
- 16.1.6 管理信息生命周期 469
- 16.1.7 服务级别协议 470
- 16.1.8 关注人员安全 470
- 16.2 提供和管理资源 471
- 16.2.1 管理硬件和软件资产 471
- 16.2.2 保护物理资产 472
- 16.2.3 管理虚拟资产 472
- 16.2.4 管理基于云的资产 472
- 16.2.5 介质管理 473
- 16.2.6 管理介质的生命周期 475
- 16.3 配置管理 476
- 16.3.1 基线 476
- 16.3.2 用镜像创建基线 476
- 16.4 变更管理 478
- 16.4.1 安全影响分析 479
- 16.4.2 版本控制 479
- 16.4.3 配置文档 480
- 16.5 补丁管理和减少漏洞 480
- 16.5.1 补丁管理 480
- 16.5.2 漏洞管理 481
- 16.5.3 漏洞扫描 481
- 16.5.4 漏洞评估 482
- 16.5.5 常见漏洞和披露 483
- 16.6 本章小结 483
- 16.7 考试要点 484
- 16.8 书面实验室 485
- 16.9 复习题 485
- 第17章 事件预防和响应 489
- 17.1 管理事件响应 490
- 17.1.1 事件界定 490
- 17.1.2 事件响应步骤 491
- 17.1.3 检测 491
- 17.1.4 响应 492
- 17.1.5 缓解 492
- 17.1.6 报告 492
- 17.1.7 恢复 493
- 17.1.8 修复 493
- 17.1.9 经验教训 494
- 17.2 部署预防措施 494
- 17.2.1 基本的预防措施 495
- 17.2.2 理解攻击 495
- 17.2.3 入侵检测和防御系统 502
- 17.2.4 特殊的防御措施 507
- 17.3 日志、监控和审计 513
- 17.3.1 日志和监控 513
- 17.3.2 出口监控 520
- 17.3.4 审计和评估有效性 521
- 17.4 本章小结 525
- 17.5 考试要点 527
- 17.6 书面实验室 529
- 17.7 复习题 529
- 第18章 灾难恢复计划 533
- 18.1 灾难的本质 534
- 18.1.1 自然灾难 534
- 18.1.2 人为灾难 538
- 18.1.3 其他公共设施和基础
- 设施故障 539
- 18.2 理解系统恢复和容错能力 541
- 18.2.1 保护硬盘驱动器 542
- 18.2.2 保护服务器 542
- 18.2.3 保护电源 543
- 18.2.4 受信恢复 544
- 18.2.5 服务质量 545
- 18.3 恢复策略 545
- 18.3.1 确定业务单元的
- 优先顺序 546
- 18.3.2 危机管理 546
- 18.3.3 应急通信 547
- 18.3.4 工作组恢复 547
- 18.3.5 可替代的工作站点 547
- 18.3.6 相互援助协议 550
- 18.3.7 数据库恢复 551
- 18.4 恢复计划开发 552
- 18.4.1 紧急事件响应 552
- 18.4.2 人员通知 553
- 18.4.3 评估 553
- 18.4.4 备份和离站存储 553
- 18.4.5 软件托管协议 556
- 18.4.6 外部通信 556
- 18.4.7 公用设施 557
- 18.4.8 物流和供应 557
- 18.4.9 恢复与还原的比较 557
- 18.5 培训、意识与文档记录 558
- 18.6 测试与维护 558
- 18.6.1 通读测试 558
- 18.6.2 结构化演练 559
- 18.6.3 模拟测试 559
- 18.6.4 并行测试 559
- 18.6.5 完全中断测试 559
- 18.6.6 维护 559
- 18.7 总结 560
- 18.8 考试要点 560
- 18.9 书面实验 561
- 18.10 复习题 561
- 第19章 事件与道德规范 565
- 19.1 调查 565
- 19.1.1 调查的类型 566
- 19.1.2 证据 567
- 19.1.3 调查过程 570
- 19.2 计算机犯罪的主要类别 571
- 19.2.1 军事和情报攻击 571
- 19.2.2 商业攻击 572
- 19.2.3 财务攻击 572
- 19.2.4 恐怖攻击 573
- 19.2.5 恶意攻击 573
- 19.2.6 兴奋攻击 574
- 19.3 事故处理 575
- 19.3.1 常见的事故类型 575
- 19.3.2 响应团队 576
- 19.3.3 事故响应过程 578
- 19.3.4 约谈个人 580
- 19.3.5 事故数据的完整性和
- 保存 580
- 19.3.6 事故报告 580
- 19.4 道德规范 581
- 19.4.1 (ISC)2的道德规范 582
- 19.4.2 道德规范和互联网 582
- 19.5 本章小结 583
- 19.6 考试要点 584
- 19.7 书面实验室 585
- 19.8 复习题 585
- 第20章 软件开发安全 589
- 20.1 系统开发控制概述 589
- 20.1.1 软件开发 590
- 20.1.2 系统开发生命周期 593
- 20.1.3 生命周期模型 595
- 20.1.4 甘特图与PERT 600
- 20.1.5 变更和配置管理 600
- 20.1.6 DevOps方法 601
- 20.1.7 应用编程接口 602
- 20.1.8 软件测试 603
- 20.1.9 代码仓库 604
- 20.1.10 服务等级协议 604
- 20.1.11 软件采购 605
- 20.2 创建数据库和数据仓储 605
- 20.2.1 数据库管理系统的
- 体系结构 605
- 20.2.2 数据库事务 608
- 20.2.3 多级数据库的安全性 609
- 20.2.4 ODBC 610
- 20.3 存储数据和信息 611
- 20.3.1 存储器的类型 611
- 20.3.2 存储器威胁 612
- 20.4 理解基于知识的系统 612
- 20.4.1 专家系统 612
- 20.4.2 神经网络 613
- 20.4.3 决策支持系统 613
- 20.4.4 安全性应用 614
- 20.5 本章小结 614
- 20.6 考试要点 614
- 20.7 书面实验室 615
- 20.8 复习题 615
- 第21章 恶意代码与应用攻击 619
- 21.1 恶意代码 619
- 21.1.1 恶意代码的来源 620
- 21.1.2 病毒 620
- 21.1.3 逻辑炸弹 624
- 21.1.4 特洛伊木马 624
- 21.1.5 蠕虫 625
- 21.1.6 间谍软件与广告软件 627
- 21.1.7 对策 628
- 21.2 密码攻击 629
- 21.2.1 密码猜测攻击 629
- 21.2.2 字典攻击 630
- 21.2.3 社会工程学攻击 630
- 21.2.4 对策 631
- 21.3 应用程序攻击 631
- 21.3.1 缓冲区溢出 632
- 21.3.2 检验时间到使用时间 632
- 21.3.3 后门 632
- 21.3.4 权限提升和rootkit 633
- 21.4 Web应用的安全性 633
- 21.4.1 跨站脚本(XSS)攻击 633
- 21.4.2 SQL注入攻击 634
- 21.5 侦察攻击 636
- 21.5.1 IP探测 636
- 21.5.2 端口扫描 637
- 21.5.3 漏洞扫描 637
- 21.5.4 垃圾搜寻 637
- 21.6 伪装攻击 638
- 21.6.1 IP欺骗 638
- 21.6.2 会话劫持 638
- 21.7 本章小结 639
- 21.8 考试要点 639
- 21.9 书面实验室 640
- 21.10 复习题 640
- 附录A 复习题答案 643
- 附录B 书面实验室答案 667
- 术语表 677