CISSP认证考试指南 第7版 网络从业人员工作参考书 CISSP认证学习指南 pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

图书标签:

• CISSP
• 信息安全
• 认证考试
• 网络安全
• 信息系统
• 安全管理
• 风险管理
• 密码学
• 安全架构
• 第七版

店铺： 布克专营店

出版社： 清华大学出版社

ISBN：9787302491491

商品编码：26114910819

包装：平装

开本：16

出版时间：2018-01-01

页数：980

字数：1686000

商品参数

CISSP认证考试指南(第7版)
	定价	158.00
	出版社	清华大学出版社
	版次	1
	出版时间	2018年01月
	开本	16开
	作者	Shon，Harris，Fernando，Maymi，唐俊 著
	装帧	平装
	页数	980
	字数	1686000
	ISBN编码	9787302491491
	重量	1434

内容介绍
　　如果你想成为一名经过(ISC)2认证的CISSP，那么在《CISSP认证考试指南(第7版)》里能找到需要了解的所有内容。《CISSP认证考试指南(第7版)》讲述企业如何制定和实现策略、措施、指导原则和标准及其原因；介绍网络、应用程序和系统的脆弱性，脆弱性的被利用情况以及如何应对这些威胁；解释物理安全、操作安全以及不同系统会采用不同安全机制的原因。此外，还回顾美国与国际上用于测试系统安全性的安全准则和评估体系，诠释这些准则的含义及其使用原因。zui后，《CISSP认证考试指南(第7版)》还将阐明与计算机系统及其数据相关的各种法律责任问题，例如计算机犯罪、法庭证物以及如何为出庭准备计算机证据。
　　尽管《CISSP认证考试指南(第7版)》主要是为CISSP考试撰写的学习指南，但在你通过认证后，它仍不失为一本不可替代的重要参考用书。




目录
*1章安全和风险管理1    
1.1安全基本原则2    
1.1.1可用性3    
1.1.2完整性3    
1.1.3机密性3    
1.1.4平衡安全4    
1.2安全定义5    
1.3控制类型6    
1.4安全框架10    
1.4.1ISO/IEC27000系列12    
1.4.2企业安全架构开发14    
1.4.3安全控制开发23    
1.4.4流程管理开发26    
1.4.5功能与安全性32    
1.5计算机犯罪法的难题32    
1.6网络犯罪的复杂性34    
1.6.1电子资产35    
1.6.2攻击的演变36    
1.6.3国际问题38    
1.6.4法律的类型41    
1.7知识产权法44    
1.7.1商业秘密44    
1.7.2版权45    
1.7.3商标45    
1.7.4专li46    
1.7.5知识产权的内部保护47    
1.7.6软件盗版48    
1.8隐私50    
1.8.1对隐私法不断增长的需求51    
1.8.2法律、指令和法规52    
1.8.3员工隐私问题58    
1.9数据泄露59    
1.9.1美国的数据泄露相关法律60    
1.9.2其他国家有关数据泄露的法律61    
1.10策略、标准、基线、指南和    
过程61    
1.10.1安全策略62    
1.10.2标准64    
1.10.3基线65    
1.10.4指南66    
1.10.5措施66    
1.10.6实施66    
1.11风险管理67    
1.11.1全面的风险管理68    
1.11.2信息系统风险管理策略68    
1.11.3风险管理团队69    
1.11.4风险管理过程69    
1.12威胁建模70    
1.12.1脆弱性70    
1.12.2威胁71    
1.12.3攻击71    
1.12.4消减分析72    
1.13风险评估和分析73    
1.13.1风险分析团队74    
1.13.2信息和资产的价值74    
1.13.3构成价值的成本75    
1.13.4识别脆弱性和威胁75    
1.13.5风险评估方法76    
1.13.6风险分析方法80    
1.13.7定性风险分析83    
1.13.8保护机制86    
1.13.9综合考虑88    
1.13.10总风险与剩余风险88    
1.13.11处理风险89    
1.13.12外包90    
1.14风险管理框架91    
1.14.1信息分类92    
1.14.2安全控制的选择92    
1.14.3安全控制的实现93    
1.14.4安全控制的评估93    
1.14.5信息系统的授权93    
1.14.6安全控制的监管93    
1.15业务连续性与灾难恢复94    
1.15.1标准和实践96    
1.15.2使BCM成为企业安全计划的    
一部分98    
1.15.3BCP项目的组成100    
1.16人员安全111    
1.16.1招聘实践112    
1.16.2解雇113    
1.16.3安全意识培训114    
1.16.4学位或证书115    
1.17安全治理115    
1.18道德120    
1.18.1计算机道德协会120    
1.18.2互联网架构研究委员会121    
1.18.3企业道德计划122    
1.19小结122    
1.20快速提示123    
1.21问题126    
1.22答案133    
*2章资产安全137    
2.1信息生命周期137    
2.1.1获取138    
2.1.2使用138    
2.1.3存档139    
2.1.4处置139    
2.2信息分类140    
2.2.1分类等级141    
2.2.2分类控制143    
2.3责任分层144    
2.3.1行政管理层144    
2.3.2数据所有者147    
2.3.3数据看管员147    
2.3.4系统所有者148    
2.3.5安全管理员148    
2.3.6主管148    
2.3.7变更控制分析员148    
2.3.8数据分析员149    
2.3.9用户149    
2.3.10审计员149    
2.3.11为何需要这么多角色149    
2.4保留策略149    
2.5保护隐私152    
2.5.1数据所有者153    
2.5.2数据处理者153    
2.5.3数据残留153    
2.5.4收集的限制156    
2.6保护资产156    
2.6.1数据安全控制157    
2.6.2介质控制159    
2.7数据泄露163    
2.8保护其他资产170    
2.8.1保护移动设备170    
2.8.2纸质记录171    
2.8.3保险箱171    
2.9小结172    
2.10快速提示172    
2.11问题173    
2.12答案176    
   
 

《CISSP认证考试指南 第7版 网络从业人员工作参考书 CISSP认证学习指南》是一本专为有志于获得信息系统安全认证专家（CISSP）认证的专业人士设计的Comprehensive指南。本书旨在全面覆盖CISSP考试的八大知识域，为考生提供深入、系统化的学习材料，帮助其构建坚实的信息安全知识体系，并最终成功通过考试。 本书并非对CISSP考试内容的简单罗列，而是以一种高度结构化、逻辑清晰的方式，深入浅出地讲解了信息安全领域的核心概念、技术和实践。它不仅仅是一本备考手册，更是一本能够提升从业人员专业技能、拓宽安全视野的实战工具书。 核心内容概览： 本书的内容紧密围绕CISSP考试的八大知识域展开，每一个知识域都进行了详尽的阐述和分析。 域1：安全与风险管理（Security and Risk Management） 本域是整个CISSP知识体系的基石，强调安全策略、标准、流程和控制的制定与实施。书中将深入探讨信息安全治理、法律法规遵从性（如GDPR、HIPAA、PCI DSS等）、风险评估方法（如定性、定量分析）、资产管理、安全意识培训的重要性，以及如何建立和维护一个有效的安全管理框架。考生将学习如何识别、评估和应对信息安全风险，并理解安全在组织中的战略地位。 域2：资产安全（Asset Security） 本域关注信息和数据资产的保护。书中将详细介绍数据分类、所有权、数据生命周期管理，以及不同类型数据的安全处理措施。此外，还将探讨数据销毁、数据丢失防护（DLP）策略、以及加密技术在保护静态和传输中数据方面的应用。了解如何保护组织最宝贵的数字财富是此域的关键。 域3：安全架构与工程（Security Architecture and Engineering） 这是技术性最强的知识域之一，涵盖了安全系统设计的原则和实践。书中将深入讲解安全模型（如Bell-LaPadula、Biba）、安全设计原则（如最小权限、纵深防御）、加密技术（对称、非对称、公钥基础设施PKI）、密码学原理（哈希、数字签名）、安全控制（访问控制、入侵检测/防御系统IDS/IPS）、以及物理安全设计。它将帮助读者理解如何构建一个强大且具有韧性的安全架构。 域4：通信与网络安全（Communication and Network Security） 本域专注于保护网络基础设施和通信渠道的安全。书中将详细阐述TCP/IP协议栈的安全、网络分段、防火墙、VPN、无线网络安全（Wi-Fi安全标准）、网络攻击类型（如DDoS、中间人攻击），以及如何实施有效的网络监控和流量分析。理解网络边界和内部的安全是这一域的核心。 域5：身份与访问管理（Identity and Access Management, IAM） IAM是确保正确的人员在正确的时间拥有正确的访问权限的关键。本书将详细介绍身份管理、身份验证（多因素认证MFA、生物识别）、授权模型（RBAC、ABAC）、单点登录（SSO）、身份提供者（IdP）和服务提供者（SP）的角色，以及账户管理的最佳实践。 域6：安全评估与测试（Security Assessment and Testing） 本域强调持续的安全评估和验证。书中将涵盖漏洞扫描、渗透测试、安全审计、安全审计日志的分析、以及代码审查等技术。考生将学习如何主动发现系统中的弱点，并如何制定和执行有效的安全测试计划。 域7：安全运营（Security Operations） 这一域聚焦于在日常运营中维持组织的安全态势。书中将深入探讨事件响应流程、灾难恢复（DR）和业务连续性计划（BCP）、日志管理和安全信息与事件管理（SIEM）系统、补丁管理、配置管理、以及物理安全运营。 域8：软件开发安全（Software Development Security） 随着软件在现代业务中的核心地位日益凸显，确保软件开发过程的安全性至关重要。本书将讲解安全开发生命周期（SDLC）、代码审查、常见软件漏洞（OWASP Top 10）、安全编码实践、以及数据库安全。 本书的独特价值与优势： 结构化学习路径： 本书采用清晰的章节划分，每个章节都围绕一个或多个CISSP知识域展开，逻辑严谨，易于读者跟随。每个知识点都进行了深入讲解，并辅以实际案例分析，帮助读者理解理论知识的应用。 实战导向： 书中不仅仅是理论的堆砌，更强调知识在实际工作场景中的应用。它将安全概念与网络从业人员日常面临的挑战相结合，为读者提供了切实可行的解决方案和安全实践建议。 权威性与全面性： 作为一本“考试指南”和“工作参考书”，本书力求涵盖CISSP考试的所有核心内容，并提供比考试要求更广泛的深度和广度，确保读者在备考的同时，能够真正提升自己的专业能力，成为一名合格的信息安全专家。 易于理解的语言： 尽管涉及大量专业术语，本书在编写时力求使用清晰、简洁的语言，避免过度的技术行话，使得非技术背景或初入信息安全领域的专业人士也能轻松掌握。 提升职业竞争力： 获得CISSP认证是信息安全领域的一项重要里程碑，它证明了持证者在信息安全领域的专业知识和实践能力。本书将为所有希望提升自身在信息安全领域竞争力，寻求更高级别职位或承担更多安全责任的专业人士提供坚实的基础。 动态更新的视角： 随着信息安全形势的不断发展，本书在内容上也力求反映最新的安全威胁、技术和最佳实践，确保读者学习到的知识是最具时效性的。 《CISSP认证考试指南 第7版 网络从业人员工作参考书 CISSP认证学习指南》是一本集理论深度、实践指导、全面覆盖和易读性于一体的权威参考书。它将成为每一位信息安全专业人士在学习CISSP认证、提升专业技能、应对日益复杂的安全挑战过程中的得力助手。无论您是刚刚踏入信息安全领域，还是希望在职业生涯中更进一步，本书都将是您不可或缺的学习资源。它不仅是通往CISSP认证的必经之路，更是您在信息安全领域深耕细作、不断进取的坚实基石。

评分☆☆☆☆☆

坦白讲，市场上的安全书籍汗牛充栋，但真正能让人在阅读后产生“豁然开朗”感觉的凤毛麟角。这本指南的语言风格非常成熟和内敛，没有夸张的宣传辞藻，却处处透露着权威性。它对安全治理（Governance）的解读，尤其值得称道。很多书籍只是将治理视为合规性的附属品，但作者清晰地阐述了治理在驱动安全战略和文化建设中的核心作用。读完相关章节，我才真正理解，安全不仅仅是技术团队的事情，更是高层决策和组织文化的问题。书中对风险管理的阐述，也是我从业以来遇到的最全面、最贴近实际的论述。它不再是那种抽象的“识别-评估-处理”的流程图，而是深入到了如何量化风险、如何与业务目标对齐的实战层面。我甚至将书中提到的风险量化模型在最近一次部门内部的风险评审会议上进行了尝试和推广，效果立竿见影。这本书的每一页，都像是经过了无数次实战检验的磨刀石，锋利而实用，让我的安全思维得到了质的飞跃。

评分☆☆☆☆☆

说实话，刚翻开这本巨著的时候，我心里是有点犯怵的，感觉像是在攀登一座信息技术的珠穆朗玛峰。但随着阅读的深入，那种压迫感逐渐被一种掌控一切的自信感所取代。这本书的结构设计非常合理，知识点的层层递进，逻辑链条清晰得让人叹服。最让我惊喜的是，它对于技术实现细节的把握恰到好处，既没有陷入过分底层的代码冗余，也没有流于表面的口号式描述。例如，在深入探讨访问控制模型时，它不仅解释了RBAC、MAC的理论基础，还巧妙地穿插了实际企业环境中可能遇到的权限冲突案例，这种学以致用的设计，极大地提升了我的学习兴趣和效率。我发现自己不再是被动地接受知识，而是在积极地与书中的论点进行辩论和思考。这种启发式的学习体验，是许多其他考试复习材料所无法比拟的。我甚至会特意放慢阅读速度，去细细品味那些关于安全架构设计（Security Architecture and Engineering）的章节，因为其中的设计原则和权衡取舍，是未来几年职业发展中都需要反复引用的基石。这本书真正做到了“授人以渔”，而不仅仅是“授人以鱼”。

评分☆☆☆☆☆

这本书简直是网络安全从业者的救星，内容之详尽、覆盖面之广，让我这个准备考取CISSP的老鸟都感到震撼。特别是它对各种安全框架和最佳实践的深入剖析，简直是教科书级别的存在。我尤其欣赏作者在讲解复杂概念时所采用的类比和实例，使得那些晦涩难懂的治理、风险与合规（GRC）部分变得异常清晰。阅读过程中，我深刻体会到作者的匠心独运，他似乎将自己多年积累的实战经验毫无保留地倾注在了这本书里。比如，在描述安全运营（Security Operations）时，对事件响应流程的细化程度，远超我之前看过的任何资料，从最初的准备到最终的经验教训总结，每一步都标注得清清楚楚，仿佛作者就在我身边手把手指导一般。对于初次接触安全领域的人来说，这本书可能略显厚重，但对于追求专业深度和系统知识体系的专业人士而言，它无疑是一份无价的宝藏。它不仅仅是一本应试手册，更像是一部随时可以查阅的安全百科全书，指导着我在日常工作中如何做出更明智、更符合行业标准的决策。这本书的价值，绝不仅仅体现在那张证书上，更在于它所构建起来的、坚如磐石的知识体系。

评分☆☆☆☆☆

这本书的阅读体验，更像是一场与一位经验丰富、逻辑缜密的前辈进行的一对一深度交流。它绝不是那种读完一遍就能束之高阁的教材，而是需要反复研读、时常翻阅的工具书。我发现自己会时不时地合上书本，花大量时间思考书中提出的某个安全原则在当前项目中的具体应用场景。尤其是在安全审计和业务连续性规划（BCP/DR）的部分，作者给出的建议不仅符合最新的行业规范，更充满了实用的“陷阱规避”智慧。比如，在阐述灾难恢复时，它强调了对“非技术性恢复”的重视，这往往是许多技术人员容易忽略的盲点。这种对细节的关注和对全局的掌控，使得这本书的含金量极高。我甚至在准备公司内部技术分享时，直接引用了书中关于安全控制有效性评估的框架，听众的反馈非常好，认为讲解非常到位且专业。毫无疑问，这本书已经成为了我工具箱里最可靠、最权威的那一把瑞士军刀。

评分☆☆☆☆☆

作为一名已经工作多年、但总感觉知识体系存在断层的资深工程师，我一直在寻找一本能帮助我整合碎片化知识的“总纲”。这本指南的出现，完美填补了这一空白。它的广博性体现在，你可以在里面找到从加密算法基础到云安全合规的完整路线图。最让我赞叹的是，它对于安全开发生命周期（SDLC）的整合论述。不同于市面上偏重某一方面（如渗透测试或纯代码安全）的书籍，它将安全活动自然地融入到敏捷开发和DevOps的流程中，提出的安全左移策略极具前瞻性和可操作性。我发现，以前我工作中那些零散的安全控制点，现在都被有机地串联成了一个完整的、可审计的安全链条。这种系统性的视角，极大地提升了我对整个信息安全领域的宏观把握能力。它迫使我跳出日常的技术细节，以战略家的眼光去看待安全防护的整体布局。如果你也和我一样，渴望将多年的实践经验提升到理论的高度，这本书绝对是你的首选投资，其带来的思维升级远超其定价本身。