CCSP雲安全專家認證All-in-One（第2版）

《CCSP雲安全專家認證All-in-One(第2版)》是一份高效的自學指南，涵蓋2019年發布的具有挑戰性的CCSP考試的所有六個知識域，以及由(ISC)開發的CCSP通用知識體系。本書講解清晰，列舉多個示例，練習題與實際考試的內容和風格完全匹配:正文穿插的“注意”和“警告”提供獨到見解，“考試提示”傳授考試經驗。每章開頭列出關鍵信息，章末附有“練習”“小結”“問題”以及“答案”，以幫助學員回顧重點並紮實掌握知識點。涵蓋所有六個知識域:雲概念、架構與設計;雲數據安全;雲平台與基礎架構安全;雲應用程序安全;雲運營安全;法律、風險與合規。



Daniel Carter，持有CISSP、CCSP、CISM和CISA等證書，是約翰斯·霍普金斯大學醫學院的高級系統工程師。作為一名IT安全和系統專家，Daniel在基於Web的應用程序和基礎架構，以及LDAP、PKI、SIEM、Linux/UNIX系統、SAML和聯合身份系統等領域擁有豐富的工作經驗。Daniel擁有美國馬里蘭大學的犯罪學和刑事司法學位，以及技術管理碩士學位，研究方向是國土安全管理。



譯者簡介

：欒浩，獲得美國天普大學IT審計與網絡安全專業理學碩士學位，持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等認證。現任CTO職務，負責金融科技研發、數據安全、雲計算安全和信息科技審計和風控等工作。擔任(ISC)2上海分會理事。欒浩先生擔任本書的總技術負責人，並承擔第1章、第3~5章的翻譯工作，以及全書的校對和定稿工作。

陳英傑，獲得北京交通大學海濱學院計算機科學與應用專業工學學士學位，持有國家互聯網應急中心“網絡安全能力認證(CCSC)”培訓講師、高級網絡安全等級測評師等認證。現任河北翎賀計算機信息技術有限公司總經理，負責公司運營和安全技術管理工作。陳英傑女士承擔全書的校對和定稿工作。

姚凱，獲得中歐國際工商學院工商管理碩士學位，持有CISSP、CCSP、CISA和CEH等認證。現任CIO職務，負責IT戰略規劃、策略程序制定、IT架構設計及應用部署、系統取證和應急響應、數據安全、災難恢復演練及復盤等工作。姚凱先生承擔本書前言、第7章的翻譯工作，以及全書校對工作。姚凱先生為本書撰寫了譯者序。……

第1章  獲得CCSP認證的途徑及
安全概念簡介   1
1.1  為什麼CCSP認證的價值如此之高   1
1.2  如何獲取CCSP認證   2
1.3  CCSP六大知識域簡介   3
1.3.1  知識域1：雲概念、架構與設計   3
1.3.2  知識域2：雲資料安全   5
1.3.3  知識域3：雲平臺與基礎架構安全   6
1.3.4  知識域4：雲應用程式安全   7
1.3.5  知識域5：雲安全運營   8
1.3.6  知識域6：法律、風險與合規   9
1.4  IT安全簡介   10
1.4.1  基礎安全概念   10
1.4.2  風險管理   14
1.4.3  業務持續性和災難恢復(BCDR)   14
1.5  本章小結   15

第2章  雲概念、架構與設計   17
2.1  雲計算概念   18
2.1.1  雲計算定義   18
2.1.2　雲計算角色   19
2.1.3  雲計算的關鍵特性   20
2.1.4  構建塊技術   22
2.2  雲參考架構   22
2.2.1  雲計算活動   23
2.2.2  雲服務能力   24
2.2.3  雲服務類別   24
2.2.4  雲部署模型   28
2.2.5  雲共用注意事項   31
2.2.6  相關技術的影響   34
2.3 與雲計算相關的安全概念   38
2.3.1  密碼術   38
2.3.2  存取控制   40
2.3.3  數據和介質脫敏   42
2.3.4  網路安全   44
2.3.5  虛擬化技術安全   44
2.3.6  常見威脅   45
2.3.7  不同雲類別的安全考慮   49
2.4  雲計算的安全設計原則   53
2.4.1  雲安全資料生命週期   53
2.4.2  基於雲環境的業務持續性和災難恢復規劃   54
2.4.3  成本效益分析   55
2.5  識別可信雲服務   56
2.5.1  認證與準則   56
2.5.2  系統/子系統產品認證   56
2.6  雲架構模型   60
2.6.1  舍伍德業務應用安全架構
(SABSA)   61
2.6.2  IT基礎架構庫(ITIL)   61
2.6.3  The Open Group架構框架(TOGAF)   61
2.6.4  NIST雲技術路線圖   62
2.7  練習   62
2.8  本章小結   62
2.9  問題   63
2.10  答案   65

第3章  雲資料安全   69
3.1  描述雲資料概念   69
3.1.1  雲資料生命週期的各階段   69
3.1.2  資料分散   72
3.2  設計和實施雲資料存儲架構   72
3.2.1  存儲類型   72
3.2.2  雲存儲的威脅   74
3.3  設計並實施資料安全戰略   74
3.3.1  加密技術   75
3.3.2  雜湊技術   76
3.3.3  金鑰管理   77
3.3.4  標記化技術   78
3.3.5  資料防洩露   78
3.3.6  資料去標識化技術   79
3.3.7  匹配應用程式與資料安全技術   80
3.3.8  新興技術   81
3.4  實施資料探查   82
3.4.1  結構化資料   83
3.4.2  非結構化資料   83
3.5  資料分類的實施   83
3.5.1  映射   84
3.5.2  標籤   84
3.5.3  敏感性資料   85
3.6  個人身份資訊的相關資料保護司法管轄權   85
3.6.1  數據隱私法案   86
3.6.2  隱私角色和責任   87
3.6.3  實施資料探查   87
3.6.4  對探查出的敏感性資料執行分類   87
3.6.5  控制措施的映射和定義   88
3.6.6  使用已定義的控制措施   88
3.7  資料版權管理   89
3.7.1  資料版權目標   89
3.7.2  常見工具   89
3.8  資料留存、刪除和歸檔策略   90
3.8.1  數據留存   90
3.8.2  資料刪除   91
3.8.3  資料歸檔   92
3.8.4  法定保留   93
3.9  數據事件的可審計性可追溯性和可問責性   93
3.9.1  事件源定義   94
3.9.2  身份屬性要求   95
3.9.3  資料事件日誌   97
3.9.4  資料事件的存儲和分析   98
3.9.5  持續優化   100
3.9.6  證據保管鏈和抗抵賴性   101
3.10  練習   101
3.11  本章小結   101
3.12  問題   102
3.13  答案   104

第4章  雲平臺與基礎架構安全   107
4.1 理解雲基礎架構組件   107
4.1.1  物理環境   107
4.1.2  網路與通信   109
4.1.3  計算   110
4.1.4  存儲   110
4.1.5  虛擬化技術   111
4.1.6  管理平面   113
4.2  分析與雲基礎架構相關的風險   113
4.2.1  風險評估與分析   113
4.2.2  虛擬化風險   114
4.2.3  安全對策戰略   115
4.3  設計和規劃安全控制措施   116
4.3.1  物理和環境保護   116
4.3.2  系統和通信保護   117
4.3.3  保護虛擬化系統   117
4.3.4  雲基礎架構中的標識、身份驗證和授權   119
4.3.5  審計機制   121
4.4  災難恢復和業務持續管理規劃   122
4.4.1  瞭解雲環境   122
4.4.2  瞭解業務需求   124
4.4.3  瞭解風險   124
4.4.4  災難恢復/業務持續戰略   126
4.5  練習   129
4.6  本章小結   129
4.7  問題   129
4.8  答案   132

第5章  雲應用程式安全   135
5.1  應用程式安全培訓和意識宣貫教育   135
5.1.1  雲研發基礎知識   136
5.1.2  常見隱患   136
5.2  安全軟體研發生命週期流程   138
5.2.1  業務需求   138
5.2.2  研發的各階段和方法論   138
5.3  運用安全軟體研發生命週期   140
5.3.1  避免研發流程中的常見漏洞   140
5.3.2  雲環境的特定風險   142
5.3.3  服務品質   144
5.3.4  威脅建模   144
5.3.5  軟體配置管理和版本控制   147
5.4  雲軟體保證和驗證   148
5.4.1  基於雲的功能測試   148
5.4.2  雲安全研發生命週期(CSDLC)   148
5.4.3  安全測試   148
5.5  經驗證的安全軟體   150
5.5.1  批准的API   150
5.5.2  供應鏈管理   150
5.5.3  社區知識   150
5.6  雲應用程式架構   151
5.6.1  輔助安全裝置   151
5.6.2  密碼術   153
5.6.3  沙箱   153
5.6.4  應用程式虛擬化技術   154
5.7  身份和訪問管理(IAM)解決方案   154
5.7.1  聯合身份   155
5.7.2  身份提供方   156
5.7.3  單點登錄   157
5.7.4  多因素身份驗證   157
5.8  練習   158
5.9  本章小結   158
5.10  問題   158
5.11  答案   160

第6章  雲運營安全   163
6.1  支持資料中心設計的規劃
流程   163
6.1.1  邏輯設計   164
6.1.2  物理設計   165
6.1.3  環境設計   168
6.2  為雲環境實施和構建物理基礎架構   168
6.2.1  硬體的安全配置   169
6.2.2  安裝和配置虛擬化管理工具   172
6.2.3  虛擬硬體特定的安全配置要求   173
6.2.4  安裝訪客作業系統虛擬化專用工具包   173
6.3  雲環境的物理和邏輯基礎架構運營   174
6.3.1  本地和遠端存取的訪問控制配置   174
6.3.2  網路配置安全   175
6.3.3  通過基線應用程式加固作業系統   178
6.3.4  獨立主機的可用性   179
6.3.5  集群主機的可用性   179
6.3.6  訪客作業系統的可用性   181
6.4  管理雲環境的物理和邏輯基礎架構   181
6.4.1  遠端存取的存取控制措施   181
6.4.2  作業系統基線合規的持續監測和補救   182
6.4.3  補丁管理   182
6.4.4  性能持續監測   184
6.4.5  硬體持續監測   184
6.4.6  備份和恢復功能   185
6.4.7  網路安全控制措施   185
6.4.8  管理方案   189
6.5  實施運營控制措施和標準   190
6.5.1  變更管理   190
6.5.2  業務持續管理   192
6.5.3  資訊安全管理   192
6.5.4  持續服務改進管理   192
6.5.5  事故管理   193
6.5.6  問題管理   193
6.5.7  發佈和部署管理   194
6.5.8  配置管理   194
6.5.9  服務水準管理   194
6.5.10  可用性管理   194
6.5.11  容量管理   195
6.6  支援數字取證   195
6.6.1  取證收集資料的適當方法   195
6.6.2  證據管理   196
6.7  管理與相關方的溝通   197
6.7.1  供應商   197
6.7.2  客戶   197
6.7.3  合作夥伴   197
6.7.4  監管機構   197
6.7.5  其他利益相關方   198
6.8  安全運營管理   198
6.8.1  安全運營中心   198
6.8.2  安全控制措施的持續監測   198
6.8.3  捕獲並分析日誌   198
6.9  練習   200
6.10  本章小結   200
6.11  問題   200
6.12  答案   202

第7章  法律、風險與合規   205
7.1  雲計算相關的監管合規要求和特有風險   205
7.1.1  相互衝突的國際法律   206
7.1.2  雲計算特有法律風險評價   206
7.1.3  法律框架和指導原則   206
7.1.4  電子取證   207
7.1.5  取證要求   210
7.2  理解隱私問題   211
7.2.1  合同PII以及受監管PII的差異   211
7.2.2  PII和資料隱私相關的國家特定法律   212
7.2.3  機密性、完整性、可用性和隱私性之間的差異   213
7.2.4  隱私要求標準   215
7.3  理解審計流程、方法論和雲環境所需的調整   217
7.3.1  內外部審計控制體系   217
7.3.2  審計要求的影響   218
7.3.3  虛擬化和雲環境的保障挑戰   218
7.3.4  審計報告類型   219
7.3.5  審計範圍限制   221
7.3.6  差距分析   222
7.3.7  審計規劃   223
7.3.8  內部資訊安全管理體系   226
7.3.9  內部資訊安全控制系統   227
7.3.10  策略   228
7.3.11  利益相關方的識別和參與   228
7.3.12  高度監管行業的特殊合規要求   229
7.3.13  分散式IT模型的影響   229
7.4  理解雲對企業風險管理的影響   230
7.4.1  評估雲服務提供者的風險管理態勢   230
7.4.2  資料所有方/控制方與資料託管方/處理方之間的差異   231
7.4.3  風險處理   231
7.4.4  不同的風險框架   234
7.4.5  風險管理指標   235
7.4.6  風險環境評估   236
7.5  瞭解外包和雲合同設計   236
7.5.1  業務需求   236
7.5.2  供應商管理   237
7.5.3  合同管理   238
7.6  履行供應商管理   240
7.7  練習   240
7.8  本章小結   240
7.9  問題   241
7.10  答案   243

附錄A  備考習題(可從配套網站下載)
附錄B  關於線上內容(可從配套網站下載)

Daniel Carter，持有CISSP、CCSP、CISM和CISA等證書，是約翰斯·霍普金斯大學醫學院的高級系統工程師。
 
作為一名IT安全和系統專家，Daniel在基於Web的應用程式和基礎架構，以及LDAP、PKI、SIEM、Linux/UNIX系統、SAML和聯合身份系統等領域擁有豐富的工作經驗。
Daniel擁有美國馬里蘭大學的犯罪學和刑事司法學位，以及技術管理碩士學位，研究方向是國土安全管理。
 


譯者簡介


 
欒浩，獲得美國天普大學IT審計與網路安全專業理學碩士學位，持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等認證。現任CTO職務，負責金融科技研發、資料安全、雲計算安全和資訊科技審計和風控等工作。擔任(ISC)⊃2;上海分會理事。欒浩先生擔任本書的總技術負責人，並承擔第1章、第3~5章的翻譯工作，以及全書的校對和定稿工作。

陳英杰，獲得北京交通大學海濱學院電腦科學與應用專業工學學士學位，持有國家互聯網應急中心“網路安全能力認證(CCSC)”培訓講師、高級網路安全等級測評師等認證。現任河北翎賀電腦資訊技術有限公司總經理，負責公司運營和安全技術管理工作。陳英傑女士承擔全書的校對和定稿工作。

姚凱，獲得中歐國際工商學院工商管理碩士學位，持有CISSP、CCSP、CISA和CEH等認證。現任CIO職務，負責IT戰略規劃、策略程式制定、IT架構設計及應用部署、系統取證和應急回應、資料安全、災難恢復演練及複盤等工作。姚凱先生承擔本書前言、第7章的翻譯工作，以及全書校對工作。姚凱先生為本書撰寫了譯者序。

王向宇，獲得安徽科技學院網路工程專業工學學士學位，持有CISP、CISP-A等認證。負責資料安全運營、安全工具研發、資訊系統審計和軟體研發安全等工作。王向宇先生承擔本書第6章和附錄的翻譯工作，以及全書校對工作。

呂麗，獲得吉林大學文秘專業文學學士學位，持有CISSP、CISA、CISM和CISP-PTE等證書。現任中銀金融商務有限公司資訊安全經理，負責資訊科技風險管理、網路安全技術評估、資訊安全體系制度管理、業務持續及災難恢復體系管理、安全合規與審計等工作。呂麗女士承擔全書術語校對工作，並擔任本書專案經理，統籌各項事務。

張瑞恒，畢業於防災科技學院電腦網路技術與資訊處理專業，持有CISSP、CISA和Prince2等認證。負責IT內控、雲計算安全運營企業SOC建設以及資料安全等工作。張瑞恒先生擔任本書的雲計算運營與技術顧問。

徐坦，獲得河北科技大學理工學院網路工程專業工學學士學位，持有CISP等認證。現任安全滲透測試工程師職務，負責資料安全滲透測試、安全工具研發和企業安全攻防等工作。徐坦先生承擔本書部分章節的校對工作。
 
李浩軒，獲得河北科技大學理工學院網路工程專業工學學士學位，持有CISP等認證。現任安全滲透測試工程師職務，負責安全工具研發、應用安全檢測、異常流量分析、攻擊事件研判和網路攻擊溯源等工作。李浩軒先生承擔本書部分章節的校對工作。

陳陽，獲得哈爾濱工程大學電腦軟體工程碩士學位，持有CISSP、CISA等認證，現任高級技術經理職務，負責資訊安全管理、資訊風險管理、應急與災備管理、事件管理、資訊科技監管合規等工作。陳陽女士承擔本書第2章翻譯工作以及部分章節的校對工作。

任寅，畢業于河北工業大學電腦科學與技術專業，持有註冊資訊安全講師(CISI)、國家互聯網應急中心“網路安全能力認證(CCSC)”講師等認證。現任河北翎賀電腦資訊技術有限公司技術經理職務，負責網路安全等級測評、風險評估、商用密碼應用安全性評估、資訊安全審計等工作。任寅女士承擔本書部分章節的校對工作。
 
沈鵬，畢業於西北工業大學網路工程專業，持有CISP-PTE、國家互聯網應急中心CCSC講師等認證。現任河北翎賀電腦資訊技術有限公司攻防實驗室負責人職務，負責網路安全攻防對抗、溯源取證、商用密碼應用安全性評估等工作。沈鵬先生承擔本書部分章節的校對工作。
 
任佩，獲得北京工業大學軟體工程專業碩士學位，持有CISP、資訊安全等級測評師證書(高級)、資訊系統專案管理師(高級)等認證。現任職於中國電科集團第十五研究所中電科認證測評中心網路安全測評部主管，負責網路安全等級測評、風險評估、商用密碼應用安全性評估、資訊安全審計等工作。任佩女士承擔本書部分章節校對工作。
 
李雅欣，獲得中南財經政法大學資訊安全專業工學學士學位。現任解決方案工程師職務，負責資料安全產品方案及內容輸出、安全工具產品說明和企業資料安全業務模型設計等工作。李雅欣女士承擔本書部分章節的校對工作。
 
劉波，畢業於西北工業大學電腦科學與技術專業，持有CISP、網路安全等級測評師中級證書、資訊安全保障人員認證安全運維(專業級)等認證。現任職于河北翎賀電腦資訊技術有限公司技術部，負責網路安全等級測評、風險評估、商用密碼應用安全性評估、資訊安全審計等工作。劉波先生承擔本書部分章節的校對工作。
 
何迎杰，獲得河北工業大學通信工程專業工學學士學位，持有國家互聯網應急中心CCSC講師認證等認證，中國電腦學會CCF會員，現任職于河北翎賀電腦資訊技術有限公司技術部，負責網路安全等級測評、風險評估、商用密碼應用安全性評估、資訊安全審計等工作。
 
何迎傑女士承擔本書部分章節的校對工作。