CISSP官方學習手冊（第9版）（上下）

涵蓋2021年CISSP所有考點，是您的一站式學習手冊，助您更靈活、更快捷地準備CISSP考試。本書編排得當，內容詳實，包含可供個人評估備考進展的測試、目標地圖、書面實驗題、關鍵考點以及富有挑戰的章節練習題。開始使用本手冊準備CISSP考試吧。

涵蓋全部考試目標
安全與風險管理
資產安全
安全架構與工程
通信與網路安全
身份和訪問管理
安全評估與測試
安全運營
軟體發展安全
 

第1章  實現安全治理的原則和策略   1
1.1  安全101   2
1.2  理解和應用安全概念   2
1.2.1  保密性   3
1.2.2  完整性   4
1.2.3  可用性   4
1.2.4  DAD、過度保護、真實性、不可否認性和AAA服務   5
1.2.5  保護機制   8
1.3  安全邊界   9
1.4  評估和應用安全治理原則   10
1.4.1  協力廠商治理   11
1.4.2  檔審查   11
1.5  管理安全功能   12
1.5.1  與業務戰略、目標、使命和宗旨相一致的安全功能   12
1.5.2  組織的流程   14
1.5.3  組織的角色與責任   15
1.5.4  安全控制框架   16
1.5.5  應盡關心和盡職審查   17
1.6  安全性原則、標準、程式和指南   17
1.6.1  安全性原則   17
1.6.2  安全標準、基線和指南   18
1.6.3  安全程式   18
1.7  威脅建模   19
1.7.1  識別威脅   19
1.7.2  確定和繪製潛在的攻擊   21
1.7.3  執行簡化分析   22
1.7.4  優先順序排序和回應   22
1.8  將基於風險的管理理念應用到供應鏈   23
1.9  本章小結   24
1.10  考試要點   25
1.11  書面實驗   27
1.12  複習題   27

第2章  人員安全和風險管理的概念   32
2.1  人員安全性原則和程式   33
2.1.1  崗位描述與職責   33
2.1.2  候選人篩選及招聘   33
2.1.3  入職：雇傭協議及策略   34
2.1.4  員工監管   35
2.1.5  離職、調動和解雇流程   36
2.1.6  供應商、顧問和承包商的協議和控制   38
2.1.7  合規策略要求   39
2.1.8  隱私權原則要求   39
2.2  理解並應用風險管理概念   40
2.2.1  風險術語和概念   41
2.2.2  資產估值   43
2.2.3  識別威脅和脆弱性   44
2.2.4  風險評估/分析   45
2.2.5  風險回應   50
2.2.6  安全控制的成本與收益   52
2.2.7  選擇與實施安全對策   54
2.2.8  適用的控制類型   56
2.2.9  安全控制評估   58
2.2.10  監視和測量   58
2.2.11  風險報告和文檔   58
2.2.12  持續改進   59
2.2.13  風險框架   60
2.3  社會工程   62
2.3.1  社會工程原理   63
2.3.2  獲取資訊   65
2.3.3  前置詞   65
2.3.4  網路釣魚   65
2.3.5  魚叉式網路釣魚   66
2.3.6  網路釣鯨   67
2.3.7  短信釣魚   67
2.3.8  語音網路釣魚   68
2.3.9  垃圾郵件   68
2.3.10  肩窺   69
2.3.11  發票詐騙   69
2.3.12  惡作劇   69
2.3.13  假冒和偽裝   70
2.3.14  尾隨和捎帶   70
2.3.15  垃圾箱搜尋   71
2.3.16  身份欺詐   71
2.3.17  誤植功能變數名稱   72
2.3.18  影響力運動   73
2.4  建立和維護安全意識、教育和培訓計畫   74
2.4.1  安全意識   74
2.4.2  培訓   75
2.4.3  教育   75
2.4.4  改進   75
2.4.5  有效性評估   76
2.5  本章小結   77
2.6  考試要點   78
2.7  書面實驗   81
2.8  複習題   81

第3章  業務連續性計畫   86
3.1  業務連續性計畫概述   86
3.2  專案範圍和計畫   87
3.2.1  組織分析   88
3.2.2  選擇BCP團隊   88
3.2.3  資源需求   90
3.2.4  法律和法規要求   91
3.3  業務影響分析   92
3.3.1  確定優先順序   92
3.3.2  風險識別   93
3.3.3  可能性評估   95
3.3.4  影響分析   95
3.3.5  資源優先順序排序   96
3.4  連續性計畫   97
3.4.1  策略開發   97
3.4.2  預備和處理   97
3.5  計畫批准和實施   99
3.5.1  計畫批准   99
3.5.2  計畫實施   99
3.5.3  培訓和教育   99
3.5.4  BCP文檔化   100
3.6  本章小結   103
3.7  考試要點   103
3.8  書面實驗   104
3.9  複習題   104

第4章  法律、法規和合規   108
4.1  法律的分類   108
4.1.1  刑法   109
4.1.2  民法   110
4.1.3  行政法   110
4.2  法律   111
4.2.1  電腦犯罪   111
4.2.2  智慧財產權   114
4.2.3  許可   118
4.2.4  進口/出口控制   119
4.2.5  隱私   120
4.3  合規   127
4.4  合同和採購   128
4.5  本章小結   129
4.6  考試要點   129
4.7  書面實驗   130
4.8  複習題   130

第5章  保護資產安全   135
5.1  對資訊和資產進行識別和分類   136
5.1.1  定義敏感性資料   136
5.1.2  定義資料分類   137
5.1.3  定義資產分類   139
5.1.4  理解資料狀態   139
5.1.5  確定合規要求   140
5.1.6  確定資料安全控制   141
5.2  建立資訊和資產的處理要求   142
5.2.1  資料維護   143
5.2.2  資料丟失預防   143
5.2.3  標記敏感性資料和資產   144
5.2.4  處理敏感資訊和資產   145
5.2.5  資料收集限制   145
5.2.6  資料位置   146
5.2.7  存儲敏感性資料   146
5.2.8  資料銷毀   147
5.2.9  確保適當的資料和資產保留期   149
5.3  資料保護方法   150
5.3.1  數字版權管理   151
5.3.2  雲訪問安全代理   152
5.3.3  假名化   152
5.3.4  權杖化   153
5.3.5  匿名化   154
5.4  理解資料角色   155
5.4.1  數據所有者   155
5.4.2  資產所有者   156
5.4.3  業務/任務所有者   156
5.4.4  資料處理者和資料控制者   157
5.4.5  數據託管員   157
5.4.6  管理員   157
5.4.7  用戶和主體   158
5.5  使用安全基線   158
5.5.1  對比定制和範圍界定   159
5.5.2  選擇標準   160
5.6  本章小結   160
5.7  考試要點   161
5.8  書面實驗   162
5.9  複習題   162

第6章  密碼學和對稱金鑰演算法   167
6.1  密碼學基本知識   167
6.1.1  密碼學的目標   168
6.1.2  密碼學的概念   169
6.1.3  密碼數學   170
6.1.4  密碼   175
6.2  現代密碼學   181
6.2.1  密碼金鑰   182
6.2.2  對稱金鑰演算法   183
6.2.3  非對稱金鑰演算法   184
6.2.4  雜湊演算法   186
6.3  對稱密碼   187
6.3.1  密碼運行模式   187
6.3.2  資料加密標準   189
6.3.3  三重DES   189
6.3.4  國際資料加密演算法   190
6.3.5  Blowfish   190
6.3.6  Skipjack   191
6.3.7  Rivest Ciphers   191
6.3.8  高級加密標準   192
6.3.9  CAST   192
6.3.10  比較各種對稱加密演算法   192
6.3.11  對稱金鑰管理   193
6.4  密碼生命週期   195
6.5  本章小結   195
6.6  考試要點   196
6.7  書面實驗   197
6.8  複習題   197

第7章  PKI和密碼應用   201
7.1  非對稱密碼   202
7.1.1  公開金鑰和私密金鑰   202
7.1.2  RSA   203
7.1.3  ElGamal   204
7.1.4  橢圓曲線   205
7.1.5  Diffie-Hellman金鑰交換   205
7.1.6  量子密碼   206
7.2  雜湊函數   207
7.2.1  SHA   208
7.2.2  MD5   209
7.2.3  RIPEMD   209
7.2.4  各種雜湊演算法的雜湊值長度比較   209
7.3  數位簽章   210
7.3.1  HMAC   211
7.3.2  數位簽章標準   212
7.4  公開金鑰基礎設施   212
7.4.1  證書   212
7.4.2  發證機構   213
7.4.3  證書的生命週期   214
7.4.4  證書的格式   217
7.5  非對稱金鑰管理   217
7.6  混合加密法   218
7.7  應用密碼學   219
7.7.1  可攜式裝置   219
7.7.2  電子郵件   220
7.7.3  Web應用   222
7.7.4  隱寫術和浮水印   224
7.7.5  聯網   225
7.7.6  新興的應用   227
7.8  密碼攻擊   228
7.9  本章小結   231
7.10  考試要點   232
7.11  書面實驗   233
7.12  複習題   233

第8章  安全模型、設計和能力的原則   237
8.1  安全設計原則   238
8.1.1  客體和主體   238
8.1.2  封閉系統和開放系統   239
8.1.3  預設安全配置   240
8.1.4  失效安全   241
8.1.5  保持簡單   243
8.1.6  零信任   243
8.1.7  通過設計保護隱私   244
8.1.8  信任但要驗證   245
8.2  用於確保保密性、完整性和可用性的技術   245
8.2.1  限定   246
8.2.2  界限   246
8.2.3  隔離   246
8.2.4  存取控制   247
8.2.5  信任與保證   247
8.3  理解安全模型的基本概念   247
8.3.1  可信計算基   248
8.3.2  狀態機模型   249
8.3.3  資訊流模型   250
8.3.4  無幹擾模型   250
8.3.5  獲取-授予模型   251
8.3.6  存取控制矩陣   252
8.3.7  Bell-LaPadula模型   252
8.3.8  Biba模型   254
8.3.9  Clark-Wilson模型   256
8.3.10  Brewer and Nash模型   257
8.3.11  Goguen-Meseguer模型   258
8.3.12  Sutherland模型   258
8.3.13  Graham-Denning模型   258
8.3.14  Harrison-Ruzzo-Ullman模型   259
8.4  根據系統安全要求挑選控制   259
8.4.1  通用準則   260
8.4.2  操作授權   262
8.5  理解資訊系統的安全能力   263
8.5.1  記憶體保護   263
8.5.2  虛擬化   264
8.5.3  可信平臺模組   264
8.5.4  介面   264
8.5.5  容錯   264
8.5.6  加密/解密   264
8.6  本章小結   265
8.7  考試要點   265
8.8  書面實驗   267
8.9  複習題   267

第9章  安全性漏洞、威脅和對策   272
9.1  共擔責任   273
9.2  評價和彌補安全架構、設計和解決方案元素的漏洞   274
9.2.1  硬體   274
9.2.2  固件   286
9.3  基於用戶端的系統   287
9.3.1  移動代碼   287
9.3.2  本地緩存   289
9.4  基於伺服器端的系統   290
9.4.1  大規模並行資料系統   290
9.4.2  網格計算   291
9.4.3  對等網路   292
9.5  工業控制系統   292
9.6  分散式系統   293
9.7  高性能計算系統   295
9.8  物聯網   296
9.9  邊緣和霧計算   298
9.10  嵌入式設備和資訊物理融合系統   299
9.10.1  靜態系統   300
9.10.2  可聯網設備   300
9.10.3  資訊物理融合系統   301
9.10.4  與嵌入式和靜態系統相關的元素   301
9.10.5  嵌入式和靜態系統的安全問題   302
9.11  專用設備   304
9.12  微服務   305
9.13  基礎設施即代碼   306
9.14  虛擬化系統   307
9.14.1  虛擬軟體   310
9.14.2  虛擬化網路   310
9.14.3  軟體定義一切   310
9.14.4  虛擬化的安全管理   312
9.15  容器化   314
9.16  無伺服器架構   315
9.17  移動設備   315
9.17.1  移動設備的安全性能   317
9.17.2  移動設備的部署策略   327
9.18  基本安全保護機制   332
9.18.1  進程隔離   333
9.18.2  硬體分隔   333
9.18.3  系統安全性原則   333
9.19  常見的安全架構缺陷和問題   334
9.19.1  隱蔽通道   334
9.19.2  基於設計或編碼缺陷的攻擊   335
9.19.3  rootkit   336
9.19.4  增量攻擊   337
9.20  本章小結   337
9.21  考試要點   338
9.22  書面實驗   343
9.23  複習題   343

第10章  物理安全要求   348
10.1  網站與設施設計的安全原則   349
10.1.1  安全設施計畫   349
10.1.2  網站選擇   349
10.1.3  設施設計   350
10.2  實現網站與設施安全控制   351
10.2.1  設備故障   352
10.2.2  配線間   353
10.2.3  伺服器間與資料中心   354
10.2.4  入侵偵測系統   356
10.2.5  攝像頭   358
10.2.6  訪問濫用   359
10.2.7  介質存儲設施   359
10.2.8  證據存儲   360
10.2.9  受限區與工作區安全   360
10.2.10  基礎設施關注點   361
10.2.11  火災預防、探測與消防   365
10.3  物理安全的實現與管理   370
10.3.1  邊界安全控制   370
10.3.2  內部安全控制   373
10.3.3  物理安全的關鍵性能指標   375
10.4  本章小結   376
10.5  考試要點   376
10.6  書面實驗   379
10.7  複習題   379

第11章  安全網路架構和元件   384
11.1  OSI模型   385
11.1.1  OSI模型的歷史   385
11.1.2  OSI功能   385
11.1.3  封裝/解封   386
11.1.4  OSI模型層次   387
11.2  TCP/IP模型   390
11.3  網路流量分析   391
11.4  通用應用層協定   391
11.5  傳輸層協議   392
11.6  網功能變數名稱稱系統   393
11.6.1  DNS中毒   395
11.6.2  功能變數名稱劫持   398
11.7  互聯網協定網路   399
11.7.1  IPv4與IPv6   399
11.7.2  IP分類   400
11.7.3  ICMP   401
11.7.4  IGMP   401
11.8  ARP關注點   402
11.9  安全通信協議   403
11.10  多層協議的含義   403
11.10.1  融合協議   404
11.10.2  網路電話   405
11.10.3  軟體定義網路   406
11.11  微分網段   407
11.12  無線網路   408
11.12.1  保護SSID   409
11.12.2  無線通道   409
11.12.3  進行現場調查   410
11.12.4  無線安全   410
11.12.5  Wi-Fi保護設置   413
11.12.6  無線 MAC篩檢程式   413
11.12.7  無線天線管理   413
11.12.8  使用強制門戶   414
11.12.9  一般Wi-Fi安全程式   414
11.12.10  無線通訊   415
11.12.11  無線攻擊   417
11.13  其他通信協議   420
11.14  蜂窩網路   421
11.15  內容分發網路   421
11.16  安全網路元件   422
11.16.1  硬體的安全操作   422
11.16.2  常用網路設備   423
11.16.3  網路存取控制   425
11.16.4  防火牆   425
11.16.5  端點安全   430
11.16.6  佈線、拓撲和傳輸介質技術   432
11.16.7  傳輸介質   433
11.16.8  網路拓撲   435
11.16.9  乙太網   437
11.16.10  子技術   438
11.17  本章小結   440
11.18  考試要點   441
11.19  書面實驗   444
11.20  複習題   444

第12章  安全通信與網路攻擊   449
12.1  協議安全機制   449
12.1.1  身份認證協定   450
12.1.2  埠安全   451
12.1.3  服務品質   452
12.2  語音通信的安全   452
12.2.1  公共交換電話網   452
12.2.2  VoIP   453
12.2.3  語音釣魚和電話飛客   454
12.2.4  PBX欺騙與濫用   455
12.3  遠端存取安全管理   456
12.3.1  遠端存取與遠端辦公技術   456
12.3.2  遠端連接安全   457
12.3.3  規劃遠端存取安全性原則   457
12.4  多媒體協作   458
12.4.1  遠端會議   458
12.4.2  即時通信和聊天   459
12.5  負載均衡   459
12.5.1  虛擬IP和負載持久性   460
12.5.2  主動-主動與主動-被動   460
12.6  管理電子郵件安全   461
12.6.1  電子郵件安全目標   461
12.6.2  理解電子郵件安全問題   462
12.6.3  電子郵件安全解決方案   463
12.7  虛擬私人網路   465
12.7.1  隧道技術   466
12.7.2  VPN的工作機理   467
12.7.3  始終線上VPN   469
12.7.4  分割隧道與全隧道   469
12.7.5  常用的VPN協議   469
12.8  交換與虛擬區域網路   471
12.9  網路位址轉譯   475
12.9.1  私有IP地址   476
12.9.2  狀態NAT   477
12.9.3  自動私有IP分配   477
12.10  協力廠商連接   478
12.11  交換技術   479
12.11.1  電路交換   479
12.11.2  封包交換   480
12.11.3  虛電路   480
12.12  WAN技術   481
12.13  光纖鏈路   482
12.14  安全控制特徵   483
12.14.1  透明性   483
12.14.2  傳輸管理機制   483
12.15  防止或減輕網路攻擊   483
12.15.1  竊聽   484
12.15.2  篡改攻擊   484
12.16  本章小結   484
12.17  考試要點   485
12.18  書面實驗   487
12.19  複習題   487

第13章  管理身份和認證   492
13.1  控制對資產的訪問   493
13.1.1  控制物理和邏輯訪問   493
13.1.2  CIA三性和存取控制   494
13.2  管理身份標識和認證   494
13.2.1  比較主體和客體   495
13.2.2  身份註冊、證明和創建   496
13.2.3  授權和問責   497
13.2.4  身份認證因素概述   498
13.2.5  你知道什麼   499
13.2.6  你擁有什麼   501
13.2.7  你是什麼   502
13.2.8  多因素身份認證   505
13.2.9  使用身份認證應用程式進行雙因素身份認證   505
13.2.10  無口令身份認證   506
13.2.11  設備身份認證   507
13.2.12  服務身份認證   508
13.2.13  雙向身份認證   508
13.3  實施身份管理   508
13.3.1  單點登錄   509
13.3.2  SSO與聯合身份標識   510
13.3.3  憑證管理系統   511
13.3.4  憑證管理器應用程式   512
13.3.5  腳本訪問   512
13.3.6  會話管理   512
13.4  管理身份和訪問配置生命週期   513
13.4.1  配置和入職   513
13.4.2  取消配置和離職   514
13.4.3  定義新角色   515
13.4.4  帳戶維護   515
13.4.5  帳戶訪問審查   516
13.5  本章小結   516
13.6  考試要點   517
13.7  書面實驗   518
13.8  複習題   518

第14章  控制和監控訪問   522
14.1  比較存取控制模型   523
14.1.1  比較許可權、權利和特權   523
14.1.2  理解授權機制   523
14.1.3  使用安全性原則定義需求   525
14.1.4  介紹存取控制模型   525
14.1.5  自主存取控制   526
14.1.6  非自主存取控制   526
14.2  實現認證系統   532
14.2.1  互聯網上實現SSO   532
14.2.2  在內部網路上實現SSO   536
14.3  瞭解存取控制攻擊   540
14.3.1  常見存取控制攻擊   540
14.3.2  權限提高   541
14.3.3  核心保護方法   552
14.4  本章小結   553
14.5  考試要點   553
14.6  書面實驗   555
14.7  複習題   555

第15章  安全評估與測試   559
15.1  構建安全評估和測試方案   560
15.1.1  安全測試   560
15.1.2  安全評估   561
15.1.3  安全審計   562
15.2  開展漏洞評估   565
15.2.1  漏洞描述   565
15.2.2  漏洞掃描   565
15.2.3  滲透測試   574
15.2.4  合規性檢查   576
15.3  測試軟體   576
15.3.1  代碼審查與測試   577
15.3.2  介面測試   580
15.3.3  誤用案例測試   581
15.3.4  測試覆蓋率分析   581
15.3.5  網站監測   581
15.4  實施安全管理流程   582
15.4.1  日誌審查   582
15.4.2  帳戶管理   583
15.4.3  災難恢復和業務連續性   583
15.4.4  培訓和意識   584
15.4.5  關鍵績效和風險指標   584
15.5  本章小結   584
15.6  考試要點   585
15.7  書面實驗   586
15.8  複習題   586

第16章  安全運營管理   590
16.1  應用基本的安全運營概念   591
16.1.1  因需可知和最小特權   591
16.1.2  職責分離和責任   592
16.1.3  雙人控制   593
16.1.4  崗位輪換   593
16.1.5  強制休假   594
16.1.6  特權帳戶管理   594
16.1.7  服務水準協定   595
16.2  解決人員安全和安保問題   596
16.2.1  脅迫   596
16.2.2  出差   596
16.2.3  應急管理   597
16.2.4  安全培訓和意識   597
16.3  安全配置資源   597
16.3.1  資訊和資產所有權   598
16.3.2  資產管理   598
16.4  實施資源保護   599
16.4.1  媒介管理   599
16.4.2  媒介保護技術   600
16.5  雲託管服務   602
16.5.1  使用雲服務模型分擔責任   602
16.5.2  可擴展性和彈性   604
16.6  開展配置管理   604
16.6.1  配置   604
16.6.2  基線   605
16.6.3  使用鏡像技術創建基線   605
16.6.4  自動化   606
16.7  管理變更   606
16.7.1  變更管理   608
16.7.2  版本控制   609
16.7.3  配置文檔   609
16.8  管理補丁和減少漏洞   609
16.8.1  系統管理   609
16.8.2  補丁管理   610
16.8.3  漏洞管理   611
16.8.4  漏洞掃描   611
16.8.5  常見漏洞和披露   612
16.9  本章小結   612
16.10  考試要點   613
16.11  書面實驗   614
16.12  複習題   615

第17章  事件的預防和回應   619
17.1  實施事件管理   620
17.1.1  事件的定義   620
17.1.2  事件管理步驟   621
17.2  實施檢測和預防措施   625
17.2.1  基本預防措施   626
17.2.2  瞭解攻擊   627
17.2.3  入侵偵測和預防系統   634
17.2.4  具體預防措施   641
17.3  日誌記錄和監測   646
17.3.1  日誌記錄技術   646
17.3.2  監測的作用   648
17.3.3  監測技術   651
17.3.4  日誌管理   654
17.3.5  出口監測   654
17.4  自動事件回應   655
17.4.1  瞭解SOAR   655
17.4.2  機器學習和AI工具   656
17.4.3  威脅情報   657
17.4.4  SOAR、機器學習、人工智慧和威脅饋送的交叉融匯   660
17.5  本章小結   660
17.6  考試要點   661
17.7  書面實驗   663
17.8  複習題   663

第18章  災難恢復計畫   667
18.1  災難的本質   668
18.1.1  自然災難   668
18.1.2  人為災難   672
18.2  理解系統韌性、高可用性和容錯能力   676
18.2.1  保護硬碟驅動器   677
18.2.2  保護伺服器   678
18.2.3  保護電源   679
18.2.4  可信恢復   680
18.2.5  服務品質   680
18.3  恢復策略   681
18.3.1  業務單元和功能優先順序   681
18.3.2  危機管理   682
18.3.3  應急溝通   683
18.3.4  工作組恢復   683
18.3.5  備用處理網站   683
18.3.6  資料庫恢復   687
18.4  恢復計畫開發   688
18.4.1  應急回應   689
18.4.2  職員和通信   689
18.4.3  評估   690
18.4.4  備份和離站存儲   690
18.4.5  軟體託管協定   693
18.4.6  公用設施   694
18.4.7  物流和供應   694
18.4.8  恢復與還原的比較   694
18.5  培訓、意識與文檔記錄   695
18.6  測試與維護   695
18.6.1  通讀測試   696
18.6.2  結構化演練   696
18.6.3  模擬測試   696
18.6.4  並行測試   696
18.6.5  完全中斷測試   696
18.6.6  經驗教訓   697
18.6.7  維護   697
18.7  本章小結   698
18.8  考試要點   698
18.9  書面實驗   699
18.10  複習題   699

第19章  調查和道德   703
19.1  調查   703
19.1.1  調查的類型   704
19.1.2  證據   705
19.1.3  調查過程   710
19.2  電腦犯罪的主要類別   713
19.2.1  軍事和情報攻擊   714
19.2.2  商業攻擊   714
19.2.3  財務攻擊   715
19.2.4  恐怖攻擊   715
19.2.5  惡意攻擊   716
19.2.6  興奮攻擊   717
19.2.7  駭客行動主義者   717
19.3  道德規範   717
19.3.1  組織道德規範   718
19.3.2  (ISC)2的道德規範   718
19.3.3  道德規範和互聯網   719
19.4  本章小結   721
19.5  考試要點   721
19.6  書面實驗   722
19.7  複習題   722

第20章  軟體發展安全   726
20.1  系統開發控制概述   727
20.1.1  軟體發展   727
20.1.2  系統開發生命週期   733
20.1.3  生命週期模型   736
20.1.4  甘特圖與PERT   742
20.1.5  變更和配置管理   743
20.1.6  DevOps方法   744
20.1.7  應用程式設計介面   745
20.1.8  軟體測試   746
20.1.9  代碼倉庫   747
20.1.10  服務水準協定   748
20.1.11  協力廠商軟體採購   749
20.2  創建資料庫和資料倉儲   749
20.2.1  資料庫管理系統的體系結構   750
20.2.2  資料庫事務   752
20.2.3  多級資料庫的安全性   753
20.2.4  開放資料庫互連   756
20.2.5  NoSQL   757
20.3  記憶體威脅   757
20.4  理解基於知識的系統   758
20.4.1  專家系統   758
20.4.2  機器學習   759
20.4.3  神經網路   759
20.5  本章小結   760
20.6  考試要點   760
20.7  書面實驗   761
20.8  複習題   761

第21章  惡意程式碼和應用攻擊   765
21.1  惡意軟體   766
21.1.1  惡意程式碼的來源   766
21.1.2  病毒   767
21.1.3  邏輯炸彈   770
21.1.4  特洛伊木馬   770
21.1.5  蠕蟲   771
21.1.6  間諜軟體與廣告軟體   773
21.1.7  勒索軟體   773
21.1.8  惡意腳本   774
21.1.9  零日攻擊   774
21.2  惡意軟體預防   775
21.2.1  易受惡意軟體攻擊的平臺   775
21.2.2  反惡意軟體   775
21.2.3  完整性監控   776
21.2.4  高級威脅保護   776
21.3  應用程式攻擊   777
21.3.1  緩衝區溢位   777
21.3.2  檢查時間到使用時間   778
21.3.3  後門   778
21.3.4  權限提高和rootkit   779
21.4  注入漏洞   779
21.4.1  SQL注入攻擊   779
21.4.2  代碼注入攻擊   782
21.4.3  命令注入攻擊   783
21.5  利用授權漏洞   783
21.5.1  不安全的直接物件引用   784
21.5.2  目錄遍歷   784
21.5.3  檔包含   785
21.6  利用Web應用程式漏洞   786
21.6.1  跨站腳本   786
21.6.2  請求偽造   789
21.6.3  會話劫持   789
21.7  應用程式安全控制   790
21.7.1  輸入驗證   790
21.7.2  Web應用程式防火牆   791
21.7.3  資料庫安全   792
21.7.4  代碼安全   793
21.8  安全編碼實踐   795
21.8.1  原始程式碼注釋   795
21.8.2  錯誤處理   795
21.8.3  硬編碼憑證   797
21.8.4  記憶體管理   797
21.9  本章小結   798
21.10  考試要點   798
21.11  書面實驗   799
21.12  複習題   799
附錄A  書面實驗答案   803
附錄B  複習題答案   815

Mike Chapple，博士、CISSP、Security、CySA、PenTest、CISA、CISM、CCSP、CIPP/US，聖母大學IT、分析學和運營學教授。曾任品牌研究所首席資訊官、美國國家安全局和美國空軍資訊安全研究員。他主攻網路入侵偵測和存取控制專業。Mike經常為TechTarget所屬的SearchSecurity網站撰稿，著書逾25本，其中包括《(ISC)2：CISSP官方習題集》《CompTIA CySA (CS0-001考試)學習指南》《CompTIA Security (SY0-601考試)學習指南》以及《網路空間戰：互聯世界的資訊作戰》。
 
James Michael Stewart，CISSP、CEH、CHFI、ECSA、CND、ECIH、CySA 、PenTest 、CASP 、Security 、Network 、A 、CISM和CFR，從事寫作和培訓工作超過25年，目前專注于安全領域。他自2002年起一直講授CISSP培訓課程，互聯網安全、道德駭客/滲透測試等內容更在他的授課範圍之內。他是超過75部著作的作者或撰稿者，其著作內容涉及安全認證、微軟主題和網路管理，其中包括《CompTIA Security (SY0-601考試)複習指南》。 
 
Darril Gibson，CISSP、Security 、CASP，YCDA有限責任公司首席執行官，是40多部著作的作者或合作作者。Darril持有多種專業證書，經常寫作，提供諮詢服務和開展教學，內容涉及各種技術和安全主題。