首页 > 图书中心 >图书详情

CISSP官方学习指南(第7版)

"100%覆盖所有考试目标,◆ 安全和风险管理 ◆ 资产安全 ◆ 安全工程 ◆ 通信和网络安全 ◆ 身份与访问管理 ◆ 安全评估和测试 ◆ 安全运营 ◆ 软件开发安全"

作者:[美]James M. Stewart, Mike Chapple, Darril Gibson 著,唐俊飞 译 北京汇哲信安科技有限公司 审稿
定价:128
印次:1-1
ISBN:9787302459330
出版日期:2017.04.01
印刷日期:2017.03.15

"准备CISSP认证的完全指南 全面更新至2015年CISSP CIB 《CISSP官方学习指南(第7版)》是完整涵盖2015年CISSP认证知识体系的一站式资源,100%覆盖了2015年CISSP CIB考点。可以通过本书更明智、更快捷地准备考试,包括检查备考情况的评估测试、目标地图、真实场景、实践练习、关键主题考试要点和有挑战的章末复习题。通过Sybex提供的独特的在线学习环境和测试题库(它们可以在多种设备上访问),进一步增强你的考试能力。开始使用本书准备CISSP考试吧! 100%覆盖所有考试目标 ◆ 安全和风险管理 ◆ 资产安全 ◆ 安全工程 ◆ 通信和网络安全 ◆ 身份与访问管理 ◆ 安全评估和测试 ◆ 安全运营 ◆ 软件开发安全"

more >

本书为你提供了CISSP认证考试的完备基础知识。购买本书表示你愿意学习和进一步通过完成CISSP认证要求技能的需求。本书前言为你概述了本书与CISSP考试的内容。 本书是专门为参加CISSP认证考试的读者和学生编写的。如果有志成为一名通过认证的安全专家,那么CISSP认证和这本学习指南就非常适合你。本书的目的就是要帮助你为通过CISSP认证考试做好充分准备。 在开始阅读本书之前,你需要先独自完成一些工作。你应当对IT及安全性有大致的了解。你应当在CISSP考试所覆盖的8个域中的某个域具有5 年的工作经历(或4 年的工作经历加上大学学位)。根据(ISC)2, 如果你具有参加CISSP考试的资格,那么可以使用本书充分地准备CISSP考试。接下来将介绍有关(ISC)2的更多信息。 (ISC)2 CISSP考试由国际信息系统安全认证协会((ISC)2)管理。(ISC)2是一个全球性的非营利性组织,该组织具有4个主要的目标: ● 为信息系统安全领域维护公共知识体系(CBK)。 ● 为信息系统安全专业人士和从业人员提供认证。 ● 指导认证培训和管理认证考试。 ● 通过连续的教育培训,对有资格的认证候选人的鉴定工作进行管理。 (ISC)2由董事会运作,董事会成员从通过认证的从业人员中按级别选举产生。 (ISC)2支持并提供多种认证,包括CISSP、SSCP、CAP、CSSLP、CCFP、HCISPP和CCSP。这些认证旨在验证所有行业的IT安全专业人员的知识和技能。可以从网站www.isc2.org获取有关(ISC)2及其他认证的更多信息。 CISSP认证适用于负责设计和维护组织内安全基础设施的安全专业人员。 专题域 CISSP认证考试涵盖了CBK 8个域的知识: ● 安全和风险管理 ● 资产安全 ● 安全工程 ● 通信与网络安全 ● 身份和访问管理 ● 安全评估与测试 ● 安全运营 ● 软件开发安全 这8个域提供了通用安全框架并独立于供应商的观点。此框架是支持在全世界所有类型的组织中讨论安全实践的基础。 截至2015年4月,主题域进行了重大修订。域从10个减少到8个,并重新组织了许多主题和概念。有关这8个新域名分组在CISSP考试中涵盖的主题范围的完整视图,请访问(ISC)2网站www.isc2.org并索取候选信息公告的副本。本文档包括完整的考试大纲以及有关认证的其他相关事宜。 资格预审 (ISC)2定义了成为一名CISSP所必须满足的几项资格。首先,必须具有至少5 年的安全从业经历,或者具有至少4年的安全从业经历加上近期的IT或IS学位。专业经历的定义是:在CBK 8个域中的一个或多个域从事有工资收入的安全工作。 其次,必须认可遵守相关的道德规范。CISSP的道德规范是(ISC)2希望所有CISSP候选人都要遵守的一套准则,目的是为了维护信息系统安全领域的职业道德。可以在(ISC)2的Web站点www.isc2.org的Information部分找到这些准则。 (ISC)2还提供了一个被称为Associate of (ISC)2的报名程序,这个程序允许由于没有安全从业经历或从业经历不足而未获得CISSP资格的任何人都能够先参加CISSP考试,随后再获取所要求的经历。Associate of (ISC)2的资格能够保留6 年,以便相关人员获得5 年的安全从业经历。只有在提供安全从业证明(通常采用提交书面证明和简历的方式)之后,(ISC)2才会为其授予CISSP认证证明。 CISSP考试概述 CISSP考试的重点是从三万英尺高的安全角度,涉及更多的理论和概念而不是实施和程序。虽然非常宽泛,但不是很深。要成功完成此考试,需要熟悉每个域,但不必成为每个域的专家。 CISSP考试由250个问题组成,要在6个小时内完成。考试可以采用PBT(基于纸质的测试)形式或CBT(基于计算机的测试)形式。需要通过(ISC)2网站www.isc2.org注册参加PBT形式的考试,或通过www.pearsonvue.com/isc2参加CBT形式的考试。CBT形式的考试由Pearson Vue测试机构(www.pearsonvue.com/isc2)进行管理。 PBT形式的考试是使用纸质小册子和答卷来管理的。这意味着将使用铅笔填写答案。如果参加PBT考试,请务必在上午8点左右到达考试中心,并记住在8:30前进入考点。一旦所有考生都登录并参加考试,考官将会分发测试材料和几页说明页。这可能需要30分钟或更长时间。一旦完成该过程,将开启6小时的测试窗口。 CISSP考试的题型 CISSP考试的每一道题都有4个选项,但是其中只有一个选项是正确答案。有些问题非常简单,如选择正确的定义;有些问题较为复杂,如选择适当的概念或最优方法;另外一些问题则描述某个场景或环境,考生需要选择最佳的解决方案。下面给出了一道例题: 安全解决方案的最重要目标和最高优先级是什么? A. 防止泄露 B. 保护完整性 C. 保护人身安全 D. 维持可用性 必须选择一个正确的或是最合适的答案,并且标记在答案纸上。某些情况下,正确答案显而易见。另外一些情况下,可能会有几个答案看上去都是正确的。遇到这种情况时,必须选择最适合这道问题的答案。要留意那些一般性的、明确的、全面的、扩展集和子集选项。在某些情况下,似乎没有一个答案是正确的,那么就要选择错误可能性最小的答案。 注意: 此题的答案为C。保护人身安全应当始终是首先考虑的问题。 除了标准的多选题以外,(ISC)2还增加了一些新的问题形式。这些包括拖曳和热点题。拖曳问题要求测试者移动标签或图标以标记图像上的项。热点题要求测试者用十字准线标记图像上的位置。这两个问题都很容易使用和理解,但要小心拖曳或标记的准确性。 注意: 要查看这些新问题类型的实例,请访问考试大纲:候选信息公告。在后面的“示例考试问题”部分,提供了一个网址,其中提供了这些问题格式的教程。 答题建议 参加CISSP考试时有两个关键要素。首先,必须了解CBK 8个域所涉及的内容。其次,一定要有良好的考试技巧。要想在6个小时内完成250个问题的考试,每道题的平均答题时间不能超过90秒。因此,快速答题十分重要,虽然考生不能过于仓促,但也不能拖拖拉拉,浪费时间。 需要记住的一个关键因素是,猜测答案总比不回答问题强。如果你跳过某个问题,那么该题将不得分。但是,如果猜测一个答案,那么你至少有机会得分。答案错误并不扣分,对你来说也不会造成任何损失。因此,在6个小时的考试时间即将结束之前,请确认答题纸上的每道题都标记了答案。 在PBT形式的考试中,可以在考试小册子上写字,但是写在上面的任何东西都不会用来计算得分。可以使用小册子做笔记与掌握考试进度。我们建议你在将答案标记到答案纸上之前,再仔细看一下所选择的每一个答案。 在CBT形式的考试中,你将获得一个干擦板和一个记号笔,用于记下想法和做笔记。但是写在板上的任何东西将不会用来改变你的分数。并且在离开考试场所之前,该板必须上交。为了激发你参加考试的最大潜能,下面给出了一些一般性的指导原则: ● 首先回答简单的问题。 ● 跳过较难的问题,稍后再返回思考。为了记住被跳过的问题,可以在考试小册子的封面上记下它们的题号。 ● 在选择正确的答案之前,先排除错误的答案。 ● 注意双重否定的问题。 ● 务必了解问题的含义。 合理安排考试时间。你应当在一个小时内完成大约50个问题,这样才能在留下的时间内重新考虑被跳过的问题并重新检查一遍。记着携带食物和饮料进入考场。你不得离开考场就餐。你的食物和饮料将存放在远离测试的区域。你可以随时补充食物和饮料,但休息时间将计入你的总时间限制。还应当携带药品或其他必要的物品,但是把所有电子用品都放在家里或你的车上。考生可以戴手表,但是绝对不能使用可编程的手表。如果参加的是PBT,需携带铅笔、人工刨笔刀以及橡皮擦。我们还建议你带上泡沫耳塞、穿舒适的衣服和轻夹克(有些测试地点有点冷)。 如果英语不是你的母语或第一外语,那么可以注册使用CISSP考试允许的某种语言。否则,如果选择使用英语参加考试,可以携带翻译字典。你必须能够证明自己需要使用字典,通常提供出生证明或护照就可以解决这个问题。 注意: 偶尔,会对考试或考试对象进行小的更改。当发生这种情况时,Sybex会将更新发布到其网站。请在参加考试之前访问www.sybex.com/go/cissp7e,以确保掌握最新的信息。 学习和备考要领 在CISSP考试的准备过程中,我们建议安排一个月左右的时间进行学习或者每晚进行强化学习。下面提供了几个建议,能够帮助你充分地利用学习时间;你也可以根据自己的学习习惯进行一些调整: ● 每一章的内容要花一两个晚上阅读并进行复习。 ● 完成本书与考试引擎中提供的所有考试练习。完成每章的书面练习与自测题,这有助于明确需要通过认真学习和花费时间才能掌握的关键概念与策略。 ● 查阅(ISC)2的考试大纲:www.isc2.org上的考生信息公告。 ● 使用闪视卡(包括学习工具)以强化对概念的理解。 提示: 我们建议读者将一半的学习时间用于阅读和复习各种概念,将另一半时间用于完成考试练习。学生们反映:投入考试练习的时间越多,就更容易记住考点。此外,还需要经常访问诸如www.cccure.org以及其他关注CISSP的Web站点。 认证过程的完成 一旦接到成功通过CISSP认证的通知,还剩下最后一步就能够真正获得CISSP认证资格。这个最后步骤被称为背书(endorsement)。从根本上说,这需要获得CISSP证书的某个熟悉你工作经历的人为你签字并提交背书。背书文件会作为通知你已经通过认证考试的电子邮件的附件发送给你。你只需将书面证明文件和自己的履历发送给某位声誉良好的CISSP即可。证明人必须查看你的履历,确认你在8个CISSP域中具有足够的从业经历,随后他会通过传真或邮寄方式向(ISC)2提交有自己签名的背书文件。在接到考试通过的确认邮件之后,你必须在90天之内向(ISC)2提交背书文件。一旦(ISC)2收到已签名的背书文件,认证过程就会结束,并且会通过USPS向你邮寄一个欢迎成为CISSP的包裹。 如果没有通过考试,可以再次参加考试,但必须等待30天。如果需要第3次尝试,必须等待90天。如果需要第4次尝试,必须等待180天。仅可以在任何一年尝试三次考试。需要为每次额外考试尝试支付全额费用。 CISSP继续认证 (ISC)2提供了3种继续认证,这些认证只针对具有CISSP认证资格的人员。在3 个继续认证中,(ISC)2应用CISSP考试所涉及的概念并侧重于特定的领域,也就是体系结构、管理和工程。下面讲述了这三种认证: 信息系统安全体系结构专家(Information Systems Security Architecture Professional,ISSAP)认证:针对从事信息安全体系结构工作的人员。这个认证涉及的主要领域包括:访问控制系统和方法学;密码学;物理安全集成;需求分析和安全规范、指导原则与标准;业务连续性计划和灾难恢复计划的技术方面;以及电信和网络安全。ISSAP既可以为设计安全系统或基础架构的人员提供认证,也可以为审计和分析这些安全体系结构的人员提供认证。 信息系统安全管理专家(Information Systems Security Management Professional,ISSMP)认证:针对管理信息安全策略、实践、准则与过程的人员。这个认证涉及的主要领域包括:企业安全管理实践;整个企业的系统开发安全性;法律、犯罪调查、法庭辩论与道德规范;监督操作安全合规性;理解业务连续性计划、灾难恢复计划以及操作计划的连续性。这是对负责安全基础设施的专业人员的一项认证,特别是在强制遵守法规的情况下。 信息系统安全工程专家(Information Systems Security Engineering Professional,ISSEP)认证:针对安全硬件和软件信息系统、组件或应用程序的设计与工程人员。这个认证涉及的主要领域包括:认证和鉴定;系统安全工程;技术管理;美国政府信息保障规则和规章制度。绝大多数ISSEP为美国政府或某个管理政府安全检查的政府承包商工作。 要了解这些继续认证的更多信息,请访问(ISC)2的Web站点www.isc2.org。 本书的组织结构 本书涵盖了CISSP公共知识体系(CBK)的8个域,并且对每个域都进行了深入充分的讨论,从而使你能够清楚地理解这些内容。本书的主体由21章组成。下面列出了各域对应的章: 第1~第4章:安全和风险管理 第5章:资产安全 第6~第10章:安全工程 第11和第12章:通信和网络安全 第13和第14章:身份和访问管理 第15章:安全评估和测试 第16~第19章:安全运营 第20和第21章:软件开发安全 每章包含的一些要素有助于你强化学习重点和测试掌握知识的程度,接下来我们将详细介绍这些要素。注意参阅目录和每章开头的介绍,里面涵盖域中主题的详细列表。 特殊段落 阅读本书时,你会发现许多重复出现的要素。下面描述了其中一些要素: 总结 总结简要回顾了每一章所涵盖的内容。 考试要点 考试要点中指出的要点会在考试中以某种形式出现。虽然我们不可能知道某次考试中会出现哪些考点,但是这部分强化了重要的概念,这对于你理解知识域以及CISSP考试的范围十分重要。 章末练习题 每章都包含一些练习题,这些练习题被用来测试你对相应章节所讲述知识的掌握程度。阅读每章之后,完成练习题。如果不能正确回答某些问题,那么就表明需要重新学习相关的知识。本书的最后会给出练习题的答案。 书面实验室 每章都包含综合了相应章节的各种概念与主题的书面实验室。这些问题的意图是帮助你将零散知识点综合在一起,从而建议或描述潜在的安全策略或解决方案。 真实场景 在阅读每一章时,将发现典型的、贴近现实的工作环境描述。如果理解了相应章节内容涉及的安全策略和方法,将能够解决现实问题或避开潜在的困难。这使读者有机会看到具体的安全策略、指南或实践应该或可以怎样应用于工作场所。 额外的学习工具还有什么 本书的读者可以访问一些额外的学习工具。我们非常努力地提供一些先进的工具来帮助参加认证的过程。学习测试时,应在计算机上装载以下所有工具: 注意: 读者可以通过访问以下网址获得工具:sybextestbanks.wiley.com。 Sybex备考软件 由Sybex公司专家编制的备考软件能够帮助你准备CISSP考试。在这个考试引擎中,你会找到本书中的所有复习题和评估题。此外,还会专门给出5套额外的考题。可以进行评估测试,可以逐章进行测试,可以进行模拟考试,可以完成包括所有问题的随机考试。 电子闪读卡 Sybex的电子闪读卡包括数百个问题,旨在进一步提升应对CISSP考试的能力。在审查问题、练习考试和电子闪读卡之间,你将拥有足够的考试练习! PDF中的术语表 Sybex以PDF格式提供了强大的术语表。这个全面的术语表包括你应该理解的CISSP所有关键术语,并含有可搜索的格式。 额外练习考试 Sybex包括额外的练习考试,每个考试包括调查你对CISSP CBK中关键要素的理解的问题。这本书有4套额外的考题,每套考题包括250个完整的问题。这些考试可以在网上找到:http://sybextestbanks.wiley.com。 如何使用本书的学习工具 本书设计了许多能够指导准备CISSP认证考试的细节。每章开头都会开宗明义地列出相应章节将会详细讨论的CISSP知识点,每章结尾都提供了许多复习题和模拟考试,能够帮助你测试对各种知识的记忆以及发现自己需要继续学习的内容。这里给出了一些使用本书与学习工具的建议(可以在sybextestbanks.wiley.com上找到): ● 阅读本书前先完成评估测试。这样你会了解自己需要多花些时间学习的内容以及只需快速浏览的内容。 ● 阅读完每章后,完成相应章节的复习题。如果答案出错,就重新阅读本章的相关内容并分析相应的主题,在需要了解更多信息时还可以利用其他资源。 ● 将闪视卡下载至你的移动设备,每天抽空进行复习。 ● 利用一切机会进行自测。除了评估测试和复习题之外,额外学习工具还提供额外的考试。在不查阅本书的情况下完成这些额外考试,根据考试结果复习还未掌握的知识,直至能够完全理解和应用相关概念为止。 最后,尽可能找到学习伙伴。与他人一起学习和参加考试,会使你的认证考试过程更为愉快,并且在遇到难以理解之处可以寻求伙伴的帮助。此外,通过帮助别人克服学习障碍,也可以巩固自己的知识。

more >
扫描二维码
下载APP了解更多

同系列产品more >

网络攻击与漏洞利用 安全攻防策略

[美] Matthew Monte 著
定 价:39.80元

查看详情
汽车黑客大曝光

[美]Craig Smith 著 杜
定 价:59.80元

查看详情
linux服务器安全攻防

[美]Chris Binnie著 田
定 价:39.80元

查看详情
灰帽黑客(第4版):正义黑客的道德...

[美] Daniel Regalado,
定 价:79.80元

查看详情
信息安全原理(第5版)

[美]Michael E. Whitman
定 价:79.80元

查看详情
图书分类全部图书
more >
  • James Michael Stewart,拥有CISSP、CEH、CHFI、Security+认证,致力于钻研安全、认证和各种操作系统20余年,他教授大量的就业技能和认证课程。
    Mike Chapple,博士,拥有 CISSP认证,在Notre Dame大学任职,担任IT服务部门资深总监,负责信息安全、数据治理、IT架构、项目管理、战略规划和产品管理功能。
    Darril Gibson,拥有CISSP认证,是YCDA有限公司的CEO。他定期撰写和咨询各种技术和安全主题,已经撰写或合著的图书超过35本。
  • 本书设计了许多能够指导准备CISSP认证考试的细节。每章开头都会开宗明义地列出相应章节将会详细讨论的CISSP知识点,每章结尾都提供了许多复习题和模拟考试,能够帮助你测试对各种知识的记忆以及发现自己需要继续学习的内容。这里给出了一些使用本书与学习工具的建议(可以在sybextestbanks.wiley.com上找到):
    ● 阅读本书前先完成评估测试。这样你会了解自己需要多花些时间学习的内容以及只需快速浏览的内容。
    ● 阅读完每章后,完成相应章节的复习题。如果答案出错,就重新阅读本章的相关内容并分析相应的主题,在需要了解更多信息时还可以利用其他资源。
    ● 将闪视卡下载至你的移动设备,每天抽空进行复习。
    ● 利用一切机会进行自测。除了评估测试和复习题之外,额外学习工具还提供额外的考试。
more >
  • 第1章 通过原则和策略的安全治理 1

    1.1 理解和应用机密性、完整性

    和可用性的概念 2

    1.1.1 机密性 2

    1.1.2 完整性 3

    1.1.3 可用性 4

    1.1.4 其他安全概念 5

    1.1.5 保护机制 8

    1.2 应用安全治理原则 9

    1.2.1 安全功能战略、目标、

    任务和愿景的一致 9

    1.2.2 组织流程 11

    1.2.3 安全角色和责任 15

    1.2.4 控制架构 16

    1.2.5 应尽关注和应尽职责 16

    1.3 开发和文档化安全策略、

    标准、指导方针和程序 17

    1.3.1 安全策略 17

    1.3.2 安全标准、基准及指南 18

    1.3.3 安全程序 18

    1.4 理解和应用威胁建模 19

    1.4.1 识别威胁 20

    1.4.2 确定和用图表示潜在攻击 22

    1.4.3 执行降低分析 23

    1.4.4 优先级和响应 23

    1.5 把安全风险考虑到收购

    策略和实践中 24

    1.6 本章小结 25

    1.7 考试要点 26

    1.8 书面实验室 28

    1.9 复习题 28

    第2章 人员安全和风险管理概念 31

    2.1 促进人员安全策略 32

    2.1.1 筛选候选人 34

    2.1.2 雇佣协议和策略 34

    2.1.3 解雇员工的流程 35

    2.1.4 供应商、顾问和承包商控制 37

    2.1.5 合规性 38

    2.1.6 隐私 38

    2.2 安全治理 39

    2.3 理解和应用风险管理概念 39

    2.3.1 风...

版本展示

精彩书评more >

标题

评论

版权所有(C)2014 清华大学出版社有限公司 京ICP备05029640号 京公网安备11010802013248号

联系我们 | 网站地图 | 法律声明 | 友情链接 | 盗版举报 | 人才招聘