CISSP认证考试指南(第7版)/安全技术经典译丛

作者简介

Shon Harris，CISSP，是Shon Harris安全有限责任公司和逻辑安全有限责任公司的创始人兼首席执行官，她是一名安全顾问，是美国空军信息作战部门的前任工程师，也是一名教师和作家。在2014年去世前，Shon拥有并运营自己的培训和咨询公司13年。她为财富100 强公司和政府机构广泛的安全问题提供咨询服务。她撰写了3 本最畅销的CISSP 图书，也曾参与撰写Gray Hat Hacking: The Ethical Hacker’s Handbook和Security Information and Event Management(SIEM) Implementation，并担任Information Security Magazine的技术编辑。 Fernando Maymí, 博士，CISSP，拥有逾25年的安全领域工作经验。他目前领导一个多学科小组，负责网络空间操作的颠覆性创新，并试图通过加强公共部门与私企的合作关系来更好地保护网络空间。Fernando曾在美国和其他国家担任政府和私营部门组织的顾问。在美国和拉丁美洲，他为学术、政府和专业机构讲授了数十门网络安全课程。Fernando曾发表十几篇技术文章，并拥有三项专利。Fernando曾荣获美国陆军研究与发展成就奖，被评为HENAAC杰出人物。他与Shon Harris密切合作，并为包括《CISSP认证考试指南(第6版)》在内的诸多项目提供建议。Fernando还是一名志愿者，致力于盲人导盲，养着两只导盲犬：Trinket和Virgo。

内容简介

真正安全的系统，是被关闭了电源，浇筑到水泥块中，然后被密封在一个配有武装警卫的铅衬 房间之中的，但是就算如此，我依然怀疑它能否做到绝对安全。 ——Eugene H. Spafford 其实, 除安全实践外，组织机构还有很多其他事情可做。毕竟，企业存在的目的是赚钱。只有 大部分非营利组织，如慈善机构、教育中心和宗教实体等，其存在的目的是提供某种类型的服务。 而多数组织存在的目的都不是要专门部署和维护防火墙、入侵检测系统、身份管理技术和加密设备。 没有企业真正愿意开发成百上千的安全策略、部署反恶意软件、维护脆弱性管理系统、不断更新事 件响应能力，以及不得不遵循各种令人眼花缭乱的安全法规，例如萨班斯-奥克斯利法案 SOX(Sarbanes-Oxley)、金融服务现代化法案GLBA (Gramm-Leach-Bliley Act)、支付卡行业数据安全 标准 PCI DSS(Payment Card Industry Data Security Standard)、健康保险携带和责任法案 HIPAA (Health Insurance Portability and Accountability Act)和美国联邦信息安全管理法案 FISMA (Federal Information Security Management Act)。企业主只愿意制造他们的产品，销售他们的产品，然后回家。 但是，这样简单的日子一去不复返了。现在组织机构面临着挑战：有人想要偷取企业顾客数据，从 而可以窃取身份以进行银行欺诈。公司机密不断被来自内部和外部的实体窃取，用于从事经济间谍 活动。系统被劫持和用于僵尸网络，来用于攻击其他组织或者传播垃圾邮件。公司资金被来自不同 国家的有组织的犯罪团伙通过复杂的、难以确认的数字方法秘密抽走。那些发现自己已经成为攻击 者目标的组织正在不断地遭受攻击，他们的系统和网站可能数小时或数日都不能运作。当今的企业需要践行大量安全规则才能维护市场份额、保护顾客和底线、远离牢狱之灾，以及销售产品。 本章将讨论组织为整体践行安全而必须遵循的诸多原则。每个组织机构都必须开发企业安全计 划，该计划中所包含的技术、措施和进程将贯穿整本书。在从事安全工作的整个职业生涯中，你会 发现，多数企业只践行了“企业安全计划”的一部分而不是全部。几乎每个组织都在处心积虑地考 虑如何评估公司所面临的风险以及如何分配资金和资源来遏制那些风险。可以说，当今企业所制定 的安全计划中有很多只是片面的和有缺失的。团队熟悉的领域，其安全计划也较为完善，而不熟悉 的领域，安全计划就匮乏。因此，你有责任尽可能全面地了解整个安全领域，只有这样，才能识别 安全计划中的不足之处，然后改进它们。这也是CISSP 考试覆盖技术、方法和程序等诸多领域的原 因所在。如果要帮助一个组织执行整体的安全任务，就必须从整体的角度来理解掌握它们。首先， 我们会从安全的基本内容入手，然后在此基础上展开本章甚至整本书的内容。构建知识基础就好比 盖房子：没有坚实的基础，房子就不坚固，后果就不可预料，不知什么时候就会倒塌。我们的目标 是确保你拥有扎实和牢固的根基，这样才能保护自己免受诸多威胁的伤害，保护那些依赖你和你的 技术的商业组织和政府组织免受损害。 作为信息安全专业人员，最本质的是理解两个关键概念：安全和风险。保护组织的信息安全是 我们的职责所在，所以很有必要花些时间定义信息安全及相关内容。在现实社会中要理解信息安全 的关键内容，可以去研究与其相关的法律和犯罪行为，以及我们在打击犯罪时要尽量减少隐私的泄 露以做好权衡。以此为基础，接下来我们把注意力转向风险的概念，因为在保护信息系统时，做出 的每个决定都应该考虑风险。风险的概念非常重要，所以不只本章将详细介绍，在其他章节还将提 到。我们的切入点较小，却关注组织面临的恶意威胁，由点及面，包含偶发的威胁和环境的威胁， 以及如何规划业务连续性和灾难恢复方案来防范这些风险。最后，我们将讨论人员、治理和道德。 随着世界不断改变，人们对增强安全、改进技术的需求愈加迫切。每个组织、政府机构、企业和军事单位都开始关注安全问题。几乎所有公司和组织机构都在积极寻求才华横溢、经验丰富的安全专业人员，因为只有这些专家才能保护公司赖以生存和保持竞争力的宝贵资源。而CISSP 认证能证明你已经成为一名拥有一定知识和经验的安全专业人员。当然，这些知识和经验是认证体系预先规定的，并得到了整个安全行业的理解和认可。通过持续地持有证书，就表明你保持与安全行业同步发展。 下面列出一些获取CISSP 认证资格的理由： ● 充实现有的关于安全概念和实际应用的知识。 ● 展示了你是一位拥有专业知识并且经验丰富的安全专家。 ● 让自己在这个竞争激烈的劳动力市场中占据优势。 ● 增加收入，并能得到更多工作机会。 ● 为你现在的工作带来更好的安全专业知识。 ● 表明对安全规则的贡献。 CISSP 认证能帮助公司确认某人是否具有相应的技术能力、知识和经验，从而能从事具体的安全工作，执行风险分析，谋划必要的对策，并可帮助整个组织机构保护其设施、网络、系统和信息。CISSP 认证还能担保通过认证的人员具备安全行业所需的熟练程度、专业技能和知识水平。安全对于成功企业的重要性在未来只可能不断增加，从而导致对技术熟练的安全专业人员的更大需求。CISSP 认证表明，可由被公众认可的第三方机构负责确定个人在技术和理论方面的安全专业知识，并将其与缺乏这种专业知识的普通人员区分开来。 对于优秀的网络管理员、编程人员或工程师来说，理解和实现安全应用是一项至关重要的内容。在大量并非针对安全专业人员的职位描述中，往往仍要求应聘人员正确理解安全概念及其实现方式。虽然许多组织机构由于职位和预算的限制而无法聘请单独的网络和安全人员，但都相信安全对于组织机构自身来说至关重要。因此，这些组织机构总是尝试将安全知识和其他技术知识合并在一个角色内。在这个问题上，如果具有CISSP 资格，那么你就会比其他应聘人员更有优势。