新書推薦:
《
大家译丛:欧洲哲学史(1850—1930)
》
售價:HK$
74.8
《
政制秩序原理:转型
》
售價:HK$
140.8
《
远见:如何摆脱短期主义
》
售價:HK$
85.8
《
无人公司:打造未来超级商业体
》
售價:HK$
76.8
《
精神障碍模型:一个精神病学教授的批判性反思
》
售價:HK$
107.8
《
图解大模型:生成式AI原理与实战(全彩)
》
售價:HK$
175.8
《
日耳曼尼亚:德意志的千年之旅
》
售價:HK$
184.8
《
让DeepSeek成为你的心理咨询师
》
售價:HK$
60.5
|
| 編輯推薦: |
近年来,随着数字化社会的快速发展和云计算技术的普及,云计算的安全问题日益突出,各类云平台遭受的入侵事故频繁发生,给个人、企业乃至整个社会带来了严重的威胁。在这样的背景下,云计算安全技术逐渐成为各界关注的焦点,CCSP云安全专家认证作为云安全领域的权威认证,其作用日益突出。
有鉴于此,清华大学出版社引进并主持翻译了《CCSP云安全专家认证All-in-One》(第3版)。通过引进本书,希望能够帮助读者和考生深入掌握云安全各领域管理和技术的相关知识,为自身的职业发展和组织的安全保障提供强有力的支持。希望本书能够成为广大读者在实务工作中的参考书,并成为CCSP考生在云安全认证考试中的引路人。愿诸君共同努力,推动我国云计算安全事业的蓬勃发展。
|
| 內容簡介: |
《CCSP云安全专家认证A11-in-0ne》(第3版)是一本高效的自学指南,涵盖了2022年发布的具有挑战性的CCSP考试的所有六个知识域,以及由国际信息系统安全认证联盟(ISC)2研发的CCSP通用知识体系。本书讲解清晰,习题丰富,列举了多个实际案例,相关内容、语气和格式与实际考试保持一致。为了帮助考生记忆,所有章节都包含了强调关键信息的考试提示、作为快速复习要点的总结,以及用于测试理解力的练习题。贯穿全书的“注意”“提示”和“警告”将为考生提供更多的独到见解。
來源:香港大書城megBookStore,http://www.megbook.com.hk
?完全涵盖2022年CCSP考试大纲的所有知识域
?理想的学习工具和工作参考
?呈现习题和精辟解释
?涵盖信息安全、软件安全和云计算安全
|
| 關於作者: |
|
丹尼尔·卡特(Daniel Carter),持有CISSP、CCSP、CISM和CISA资格认证,拥有20多年有关信息技术和安全领域的经验,曾就职于高等教育和医疗健康行业。Daniel曾在美国州级政府和联邦政府担任要职,目前是约翰斯·霍普金斯大学医学院的高级系统工程师。
|
| 目錄:
|
第1章 获得CCSP认证的途径及安全概念介绍 1
1.1 为什么CCSP认证的价值如此之高 1
1.2 如何获取CCSP认证证书 2
1.3 CCSP六大知识域介绍 3
1.3.1 知识域1:云概念、架构与设计 3
1.3.2 知识域2:云数据安全 5
1.3.3 知识域3:云平台与基础架构安全 7
1.3.4 知识域4:云应用程序安全 8
1.3.5 知识域5:云安全运营 9
1.3.6 知识域6:法律、风险与合规 10
1.4 IT安全简介 11
1.4.1 基础安全概念 11
1.4.2 风险管理 15
1.4.3 业务持续和灾难恢复(BCDR) 15
1.5 本章小结 16
第2章 云概念、架构与设计 17
2.1 理解云计算概念 18
2.1.1 云计算定义 18
2.1.2 云计算角色 19
2.1.3 云计算关键特性 20
2.1.4 构建块技术 22
2.2 描述云参考架构 23
2.2.1 云计算活动 23
2.2.2 云服务能力 24
2.2.3 云服务类别 25
2.2.4 云部署模型 29
2.2.5 云共享注意事项 32
2.2.6 相关技术影响 36
2.3 理解与云计算相关的安全概念 40
2.3.1 密码术 40
2.3.2 身份和访问控制 43
2.3.3 数据和介质脱敏 45
2.3.4 网络安全 47
2.3.5 虚拟化安全 48
2.3.6 常见威胁 50
2.3.7 安全的健康因素 54
2.4 理解云计算的安全设计原则 54
2.4.1 云安全数据生命周期 55
2.4.2 基于云端的业务持续和灾难恢复规划 56
2.4.3 业务影响分析 56
2.4.4 功能安全需求 58
2.4.5 不同云类别的安全考虑 58
2.4.6 云设计模式 62
2.4.7 DevOps安全 66
2.5 评价云服务提供方 66
2.5.1 基于标准验证 66
2.5.2 系统/子系统产品认证 70
2.6 练习 71
2.7 本章小结 72
第3章 云数据安全 73
3.1 描述云数据概念 73
3.1.1 云数据生命周期的各阶段 73
3.1.2 数据分散 76
3.1.3 数据流 76
3.2 设计并实现云数据存储架构 77
3.2.1 存储类型 77
3.2.2 云存储类型的威胁 79
3.3 设计并实施数据安全战略 80
3.3.1 加密技术 80
3.3.2 哈希技术 82
3.3.3 密钥管理 82
3.3.4 数据标记化技术 83
3.3.5 数据防丢失 84
3.3.6 数据去标识化技术 85
3.3.7 技术应用场景 86
3.3.8 新兴技术 87
3.4 实施数据探查 88
3.4.1 结构化数据 89
3.4.2 非结构化数据 89
3.4.3 隐私角色与责任 89
3.4.4 实施数据探查 90
3.4.5 对已探查的敏感数据执行分类分级活动 90
3.4.6 控制措施的映射与定义 90
3.4.7 使用已定义的控制措施 91
3.5 实施数据分类分级 92
3.5.1 映射 92
3.5.2 标签 93
3.5.3 敏感数据 93
3.6 设计与实现信息版权管理(IRM) 94
3.6.1 数据版权目标 94
3.6.2 常见工具 94
3.7 规划与实施数据留存、删除和归档策略 95
3.7.1 数据留存策略 95
3.7.2 数据删除工作程序和机制 96
3.7.3 数据归档工作程序和机制 97
3.7.4 法定保留 99
3.8 设计与实现数据事件的可审计性、可追溯性和可问责性 99
3.8.1 事件源(Event Source)的定义 99
3.8.2 身份属性要求 101
3.8.3 数据事件日志 103
3.8.4 数据事件的存储与分析 103
3.8.5 持续优化 106
3.8.6 证据保管链和抗抵赖性 106
3.9 练习 107
3.10 本章小结 107
第4章 云平台与基础架构安全 109
4.1 理解云基础架构和平台组件 109
4.1.1 物理硬件和环境 110
4.1.2 网络 111
4.1.3 计算 112
4.1.4 存储 113
4.1.5 虚拟化技术 114
4.1.6 管理平面 115
4.2 设计安全的数据中心 116
4.2.1 逻辑设计 116
4.2.2 物理设计 118
4.2.3 环境设计 120
4.2.4 设计韧性 121
4.3 分析云基础架构和平台的相关风险 122
4.3.1 风险评估和分析 122
4.3.2 虚拟化技术风险 123
4.3.3 风险缓解策略 124
4.4 规划和实施安全控制措施 125
4.4.1 物理和环境保护 125
4.4.2 系统、存储和通信保护 126
4.4.3 虚拟化系统保护 126
4.4.4 云基础架构的身份标识、身份验证和授权 128
4.4.5 审计机制 130
4.5 规划业务持续和灾难恢复 132
4.5.1 理解云环境 132
4.5.2 理解业务需求 133
4.5.3 理解风险 134
4.5.4 灾难恢复/业务持续策略 135
4.6 练习 138
4.7 本章小结 139
第5章 云应用程序安全 141
5.1 倡导应用程序安全培训和安全意识宣贯教育 141
5.1.1 云研发基础知识 142
5.1.2 常见隐患 142
5.1.3 云环境中的常见漏洞 144
5.2 安全软件研发生命周期流程 150
5.2.1 业务需求 150
5.2.2 研发的各个阶段 151
5.2.3 研发方法论 152
5.3 运用安全软件研发生命周期 153
5.3.1 云环境的特定风险 153
5.3.2 威胁建模 155
5.3.3 安全编码 158
5.3.4 软件配置管理和版本控制 158
5.4 云软件保证和验证 159
5.4.1 基于云平台的功能测试 159
5.4.2 云安全研发生命周期(CSDLC) 160
5.4.3 安全测试 160
5.4.4 服务质量 162
5.5 使用经验证的安全软件 162
5.5.1 经批准的API 162
5.5.2 供应链管理 163
5.5.3 社区知识 163
5.6 理解云应用程序架构的细节 164
5.6.1 辅助安全设备 164
5.6.2 密码术 166
5.6.3 沙盒 166
5.6.4 应用程序虚拟化技术 167
5.7 设计适当的身份和访问管理(IAM)解决方案 168
5.7.1 联合身份 168
5.7.2 身份提供方 169
5.7.3 单点登录 170
5.7.4 多因素身份验证 170
5.7.5 云访问安全代理 171
5.8 练习 171
5.9 本章小结 171
第6章 云安全运营 173
6.1 为云环境实施和构建物理基础架构 173
6.1.1 硬件的安全配置要求 174
6.1.2 安装与配置管理工具 174
6.1.3 虚拟化硬件特定的安全配置要求 175
6.1.4 安装访客操作系统虚拟化工具包 179
6.2 云环境的物理和逻辑基础架构运营 179
6.2.1 本地和远程访问的访问控制措施 180
6.2.2 网络配置安全 182
6.2.3 网络安全控制措施 185
6.2.4 通过应用程序基线加固操作系统 189
6.2.5 补丁管理 191
6.2.6 基础架构即代码策略 193
6.2.7 独立主机的可用性 193
6.2.8 集群主机的可用性 193
6.2.9 访客操作系统的可用性 195
6.2.10 性能持续监测 195
6.2.11 硬件持续监测 195
6.2.12 备份和恢复功能 196
6.2.13 管理平面 196
6.3 实施运营控制措施和标准 197
6.3.1 变更管理 198
6.3.2 持续管理 199
6.3.3 信息安全管理 200
6.3.4 持续服务改进管理 200
6.3.5 事故管理 200
6.3.6 问题管理 201
6.3.7 发布和部署管理 201
6.3.8 配置管理 201
6.3.9 服务水平管理 202
6.3.10 可用性管理 202
6.3.11 能力管理 202
6.4 支持数字取证 202
6.4.1 取证收集数据的适当方法 203
6.4.2 证据管理 204
6.5 管理与相关方的沟通 204
6.5.1 供应方 204
6.5.2 客户 205
6.5.3 合作伙伴 205
6.5.4 监管机构 205
6.5.5 其他利益相关方 205
6.6 安全运营管理 205
6.6.1 安全运营中心 206
6.6.2 安全控制措施的持续监测 206
6.6.3 捕获并分析日志 206
6.7 练习 207
6.8 本章小结 208
第7章 法律、风险与合规 209
7.1 云环境中的法律法规监管合规要求和独特风险 209
7.1.1 相互冲突的国际立法 210
7.1.2 评价云计算特有的法律风险 210
7.1.3 法律框架和指南 211
7.1.4 电子取证 211
7.1.5 取证要求 215
7.2 了解隐私问题 215
7.2.1 合同个人身份信息和受监管个人身份信息之间的区别 216
7.2.2 个人身份信息和数据隐私相关的国家特定法律 216
7.2.3 机密性、完整性、可用性和隐私之间的差异 218
7.2.4 隐私要求标准 220
7.2.5 隐私影响评估 222
7.3 理解云环境的审计流程、方法和所需的调整 222
7.3.1 内部和外部审计控制措施 223
7.3.2 审计需求的影响 223
7.3.3 识别虚拟化和云环境的安全挑战 223
7.3.4 审计报告的类型 224
7.3.5 审计范围限制声明 227
7.3.6 差距分析 228
7.3.7 审计规划 229
7.3.8 内部信息安全管理体系 233
7.3.9 内部信息安全控制系统 234
7.3.10 策略 234
7.3.11 利益相关方的识别和参与 235
7.3.12 高度监管行业的特定合规要求 236
7.3.13 分布式IT模型的影响 237
7.4 理解云计算对企业风险管理的影响 238
7.4.1 评估提供方的风险管理态势 238
7.4.2 数据所有方/控制方与数据托管方/处理方之间的区别 239
7.4.3 风险处理 239
7.4.4 不同的风险框架 243
7.4.5 风险管理指标 244
7.4.6 风险环境评估 244
7.5 理解外包和云合同设计 244
7.5.1 业务需求 245
7.5.2 供应方管理 245
7.5.3 合同管理 247
7.6 履行供应方管理 248
7.7 练习 249
7.8 本章小结 249
附录A 课后练习题、综合练习题及答案解析(在线提供)
附录B 关于在线练习考试(在线提供)
|
| 內容試閱:
|
在过去的十年,“云”(Cloud)开始逐渐流行,即使是那些与IT行业没有直接联系、未经过培训或缺少专业知识的外界人士,也开始追逐于云计算领域。云计算开始不时地出现在面向普通大众的商业广告中,充当各类服务的主要卖点。即使那些不知道什么是云计算(Cloud Computing)或云计算工作原理的大众,很大程度上也认识到云计算是对产品或服务发挥主要作用的积极因素,普遍认为云计算意味着更高的可靠性(Reliability)、更快的速度和更加便捷的整体用户体验。基于云计算的诸多优势和特性,许多组织都在鼓足干劲、快马加鞭地拥抱云计算技术。
随着行业运营模式的巨大转变,各类组织对能够深入、娴熟掌握云计算技术的专家的需求以同样的速度激增,这种需求遍及各个计算领域。由于云计算的独特影响力和特征,相关组织为了全面保护组织的各类系统(System)、应用程序(Application)和数据(Data),对云计算安全专家的需求变得分外迫切。
云计算代表IT专家和安全专家就如何看待数据保护(Data Protection)以及各类可用技术和方法的思维范式的转变。在想要获得CCSP认证的考生中,一部分是经验丰富的安全专家,这些专家已持有CISSP认证等多项安全类证书。而对于另一部分考生而言,CCSP考试将成为其作为安全专家的首项认证证书。有些考生很早就开始使用云计算技术,而其他大部分考生则是第一次学习云计算技术的基础知识。本书旨在满足各类考生的需求,无论考生是否具有安全或通用计算方面的背景或具体经验。
本书将为CCSP考生提供通过考试所需的信息和知识,也将拓展考生对于云计算和安全技术的理解和认知,而绝非仅仅是应试和解题。希望考生能将本书视为案头 书籍,即使在通过考试后,也应继续通过本书更深入地掌握核心的云计算概念和方法。
本书的结构与(ISC)2官方考试大纲的主题密切呼应,涵盖考试大纲中的所有考点和知识域。在深入研究CCSP考试所涉及的六大知识域之前,本书为那些将CCSP作为第一项安全认证的考生提供了关于IT安全的 知识介绍。而那些经验丰富并已持有各类安全证书的考生也将发现研习本书是复习基本概念和术语的有效方法。
不论CCSP考生的背景和经验如何,也无论已持有多少认证证书,作者都希望考生能通过本书发现云计算领域独特而新奇的安全挑战,进而获得更多启发和顿悟。云计算技术代表计算领域的一个不断发展、令人向往的新方向,在可预见的未来,云计算技术将成为IT行业的一种主要范式(Major Paradigm)。
在此要说明的是,本书的附录A和附录B都采用在线形式提供,读者可通过扫描本书封底的二维码下载。附录A提供了大量的课后习题及综合练习题,并附上了对应的答案与解析,旨在多方面促进读者的学习效果,巩固所学的知识。由于这部分内容占用的篇幅较大,因此我们采用在线的方式提供。附录B提供了有关“在线练习考试”的信息和说明,以及有关如何使用考试工具的更多信息。其中在线练习考试包含了全部的考生在线考试测试引擎,允许考生生成完整的练习考试,或者按章节或知识域生成小测验。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
