CISSP信息系统安全专家认证All-in-One (第9版)

图书标准信息

• 作者 肖恩·哈里斯（Shon Harris） 著；栾浩 姚凯 王向宇 译；[美]费尔南多·梅米（Fernando Maymí）
• 出版社 清华大学出版社
• 出版时间 2023-02
• 版次 1
• ISBN 9787302623236
• 定价 228.00元
• 装帧 其他
• 开本 16开
• 纸张 胶版纸
• 页数 980页
• 字数 1533千字

【内容简介】

《CISSP信息系统安全专家认证All-in-One(第9版)》针对**发布的CISSP考试做了全面细致的修订和更新，涵盖(ISC)2新开发的2021 CISSP考试大纲的所有目标。这本综合性**指南编排精当，每章开头列出学习目标，正文中穿插考试提示，章末附有练习题和精辟解释。本书由**的IT安全认证和培训专家撰写，将帮助你轻松通过考试；也可作为你工作中的一本重要参考书。

【作者简介】

Fernando Maymí，博士，CISSP持证专家，目前是IronNet Cybersecurity公司的培训副总裁、安全顾问，曾任西点军校陆军网络研究所副所长。Fernando 28年来一直致力于满足五大洲学术、政府和企业研究等客户的安全需求。

Shon Harris，CISSP持证专家，Logical Security公司的创始人兼CEO、信息安全顾问、美国空军信息作战部门的前工程师、讲师和作家。Shon撰写了多本畅销全球的信息安全书籍，销量已超过一百万册，被翻译成六种文字。

【目录】

第I部分  

安全和风险管理

第1章  网络安全治理 2

1.1  网络安全的基本概念和术语 3

1.1.1  机密性 3

1.1.2  完整性 4

1.1.3  可用性 4

1.1.4  真实性 5

1.1.5  不可否认性 5

1.1.6  平衡安全性 6

1.1.7  其他安全术语 7

1.2  安全治理原则 8

1.2.1  帮助安全性和业务战略

保持一致 11

1.2.2  组织流程 14

1.2.3  组织角色和责任 15

1.3  安全策略、标准、工作程序和

准则 21

1.3.1  安全策略 22

1.3.2  标准 24

1.3.3  基线 25

1.3.4  准则 26

1.3.5  工作程序 26

1.3.6  实施 27

1.4  人员安全 27

1.4.1  候选人筛选和招聘 29

1.4.2  雇佣协议和策略 30

1.4.3  入职、调动和解聘流程 30

1.4.4  供应商、顾问和承包商 31

1.4.5  合规政策 32

1.4.6  隐私策略 32

1.4.7  安全意识宣贯、教育和

培训计划 32

1.4.8  学历或证书？ 33

1.4.9  意识建立和培训的方法与

技巧 33

1.4.10  定期审查安全意识宣贯

内容 35

1.4.11 计划有效性评价 35

1.5  职业道德 35

1.5.1  (ISC)2职业道德准则 36

1.5.2  组织道德准则 36

1.5.3  计算机道德协会 37

1.6  本章回顾 37

1.7  快速提示 37

1.8  问题 38

1.9  答案 40

第2章  风险管理 42

2.1  风险管理概念 42

2.1.1  全面风险管理 43

2.1.2  信息系统风险管理策略 44

2.1.3  风险管理团队 45

2.1.4  风险管理流程 45

2.1.5  漏洞和威胁概述 46

2.1.6  识别威胁和漏洞 50

2.2  评估风险 51

2.2.1  资产评估 52

2.2.2  风险评估团队 53

2.2.3  风险评估方法论 54

2.2.4  风险分析方法 58

2.2.5  定性风险分析 61

2.3  应对风险 64

2.3.1  总体风险与残余风险的

对比 65

2.3.2  安全对策选择及实施 66

2.3.3  控制措施类型 68

2.3.4  控制措施评估 73

2.4  监测风险 74

2.4.1  有效性监测 75

2.4.2  变更监测 75

2.4.3  合规性监测 76

2.4.4  风险报告 77

2.5  供应链风险管理 79

2.5.1  上下游供应商 80

2.5.2  硬件、软件、服务的风险

评估 80

2.5.3  其他第三方风险 81

2.5.4  最低安全需求 82

2.5.5  服务水平协议 82

2.6  业务持续 83

2.6.1  标准和最佳实践 85

2.6.2  将业务持续管理融入企业

安全计划 87

2.6.3  业务影响分析 89

2.7　本章回顾 95

2.8  快速提示 95

2.9  问题 97

2.10  答案 99

第3章  合规 101

3.1  法律与法规 101

3.1.1  法律体系的类型 102

3.1.2  回顾普通法体系 104

3.2  网络犯罪与数据泄露 105

3.2.1  网络犯罪的复杂性 107

3.2.2  攻击的演变 108

3.2.3  国际化问题 112

3.2.4  数据泄露 112

3.2.5  跨境数据流 117

3.2.6  隐私 118

3.3  授权许可与知识产权要求 119

3.3.1  商业秘密 119

3.3.2  版权 120

3.3.3  商标 121

3.3.4  专利 121

3.3.5  内部知识产权保护 123

3.3.6  软件盗版 123

3.4  法律法规监管合规要求 125

3.4.1  合同、法律、行业标准和

监管要求 125

3.4.2  隐私要求 127

3.4.3  责任和后果 127

3.5  调查要求 130

3.5.1  行政调查 130

3.5.2  刑事调查 130

3.5.3  民事调查 130

3.5.4  监管调查 131

3.6  本章回顾 131

3.7  快速提示 131

3.8  问题 133

3.9  答案 135

第4章  框架 137

4.1  框架总览 137

4.2  风险框架 139

4.2.1  NIST风险管理框架 139

4.2.2  ISO/IEC 27005信息安全

风险管理指南 143

4.2.3  OCTAVE 144

4.2.4  信息风险要素分析 145

4.3  信息安全框架 145

4.3.1  安全计划框架 145

4.3.2  安全控制措施框架 148

4.4  企业架构框架 154

4.4.1  为何需要企业架构框架？ 156

4.4.2  Zachman框架 157

4.4.3  TOGAF 158

4.4.4  面向军事的架构框架 159

4.5  其他框架 159

4.5.1  ITIL 159

4.5.2  六西格玛 160

4.5.3  能力成熟度模型 160

4.6  各类框架的集成 162

4.7  本章回顾 165

4.8  快速提示 166

4.9  问题 167

4.10  答案 169

第II部分

资 产 安 全

第5章  资产 172

5.1  信息和资产 173

5.1.1  识别 173

5.1.2  分类分级 174

5.2  物理安全注意事项 178

5.2.1  移动设备安全保护 178

5.2.2  纸质记录 179

5.2.3  保险柜 179

5.3  管理资产的生命周期 180

5.3.1  所有权 181

5.3.2  库存 181

5.3.3  安全资源调配 184

5.3.4  资产留存 185

5.4  数据生命周期 186

5.4.1  数据采集 187

5.4.2  数据存储 188

5.4.3  数据使用 192

5.4.4  数据共享 193

5.4.5  数据归档 194

5.4.6  数据销毁 194

5.4.7  数据角色 198

5.5  本章回顾 199

5.6  快速提示 199

5.7  问题 200

5.8  答案 202

第6章  数据安全 204

6.1  数据安全控制措施 204

6.1.1  数据状态 205

6.1.2  安全标准 208

6.2  数据保护措施 209

6.2.1  数字资产管理 210

6.2.2  数字版权管理 212

6.2.3  数据防泄露 214

6.2.4  云访问安全代理 222

6.3  本章回顾 223

6.4  快速提示 223

6.5  问题 224

6.6  答案 225

第III部分

安全架构与工程

第7章  系统架构 228

7.1  通用系统架构 228

7.1.1  客户端系统 229

7.1.2  服务端系统 229

7.1.3  数据库系统 230

7.1.4  高性能计算系统 233

7.2  工业控制体系 234

7.2.1  设备 235

7.2.2  可编程逻辑控制器 235

7.2.3  人机界面 236

7.2.4  历史数据系统 237

7.2.5  分布式控制体系 237

7.2.6  SCADA 237

7.2.7  ICS安全 238

7.3  虚拟化系统 239

7.3.1  虚拟机 240

7.3.2  容器化 241

7.3.3  微服务 242

7.3.4  无服务器架构 242

7.4  云计算系统 244

7.4.1  软件即服务 245

7.4.2  平台即服务 245

7.4.3  基础架构即服务 246

7.4.4  一切皆服务 246

7.4.5  云部署模型 247

7.5  普适系统 247

7.5.1  嵌入式系统 247

7.5.2  物联网 248

7.6  分布式系统 249

7.7  本章回顾 251

7.8  快速提示 251

7.9  问题 252

7.10  答案 254

第8章  密码学 256

8.1  密码术的历史 257

8.2  密码术的定义与概念 260

8.2.1  密码体系 262

8.2.2  Kerckhoffs原则 263

8.2.3  密码体系的强度 263

8.2.4  一次性密码本 264

8.2.5  密码生命周期 266

8.2.6  加密方法 266

8.3  对称密钥密码术 267

8.3.1  分组密码 268

8.3.2  流密码 270

8.3.3  初始化向量 271

8.4  非对称密钥密码术 272

8.4.1  Diffie-Hellman算法 274

8.4.2  RSA 276

8.4.3  椭圆曲线密码体系 278

8.4.4  量子加密 279

8.4.5  混合加密方法 281

8.5  完整性 285

8.5.1  哈希函数 285

8.5.2  消息完整性确认 288

8.6  公钥基础架构 292

8.6.1  数字证书 293

8.6.2  证书颁发机构 293

8.6.3  注册机构 295

8.6.4  PKI步骤 295

8.6.5  密钥管理 297

8.7  密码攻击技术 299

8.7.1  密钥和算法攻击 300

8.7.2  实施攻击 302

8.7.3  其他攻击 304

8.8  本章回顾 307

8.9  快速提示 307

8.10  问题 309

8.11  答案 311

第9章  安全架构 313

9.1  威胁建模 313

9.1.1  攻击树 314

9.1.2  MITRE ATT&CK框架 316

9.1.3  为什么使用威胁建模 316

9.2  安全设计原则 317

9.2.1  深度防御 318

9.2.2  零信任 319

9.2.3  信任但要验证 319

9.2.4  责任共担 319

9.2.5  职责分离 320

9.2.6  最小特权 321

9.2.7  最简法则 321

9.2.8  默认安全 322

9.2.9  失效关闭 322

9.2.10  隐私设计 323

9.3  安全模型 323

9.3.1  Bell-LaPadula模型 323

9.3.2  Biba模型 324

9.3.3  Clark-Wilson 模型 325

9.3.4  非干扰模型 326

9.3.5  Brewer-Nash模型 327

9.3.6  Graham-Denning模型 327

9.3.7  Harrison-Ruzzo-Ullman

模型 327

9.4  安全需求 328

9.5  信息系统的安全能力 329

9.5.1  可信平台模块 329

9.5.2  硬件安全模块 330

9.5.3  自加密驱动器 331

9.5.4  总线加密 331

9.5.5  安全处理 332

9.6  本章回顾 335

9.7  快速提示 335

9.8  问题 336

9.9  答案 338

第10章  场所和基础设施安全 339

10.1  场所和基础设施安全 339

10.1.1  安全原则 340

10.1.2  场所规划流程 344

10.1.3  通过环境设计预防犯罪 347

10.1.4  设计一个物理安全计划 352

10.2  场所和基础设施控制措施 358

10.2.1  工作区安全 358

10.2.2  数据处理设施 360

10.2.3  配线器 362

10.2.4  存储基础设施 363

10.2.5  公共设施 363

10.2.6  消防安全 368

10.2.7  环境问题 373

10.3  本章回顾 373

10.4  快速提示 374

10.5  问题 375

10.6  答案 376

第IV部分

通信与网络安全

第11章  网络基础 380

11.1  数据通信基础 380

11.1.1  网络参考模型 381

11.1.2  协议 382

11.1.3  应用层 384

11.1.4  表示层 385

11.1.5  会话层 386

11.1.6  传输层 388

11.1.7  网络层 389

11.1.8  数据链路层 389

11.1.9  物理层 391

11.1.10  OSI 模型中的功能和

协议 392

11.1.11  OSI各层综述 393

11.2  局域网 395

11.2.1  网络拓扑 395

11.2.2  介质访问控制机制 397

11.2.3  第 2 层协议 401

11.2.4  传输方式 405

11.2.5  第2层安全标准 406

11.3  Internet协议网络 408

11.3.1  TCP 409

11.3.2  IP寻址 414

11.3.3  IPv6 416

11.3.4  地址解析协议 419

11.3.5  动态主机配置协议 420

11.3.6  Internet控制报文协议 422

11.3.7  简单网络管理协议 424

11.3.8  域名服务 426

11.3.9  网络地址转换 432

11.3.10  路由协议 434

11.4  内联网和外联网 437

11.5  城域网 438

11.6  广域网 440

11.6.1  专用链路 440

11.6.2  广域网技术 443

11.7  本章回顾 450

11.8  快速提示 451

11.9  问题 452

11.10  答案 454

第12章  无线网络 456

12.1  无线通信技术 456

12.1.1  扩频 457

12.1.2  正交频分复用 460

12.2  无线网络基础 460

12.2.1  WLAN组件 460

12.2.2  WLAN标准 462

12.2.3  其他无线网络标准 464

12.2.4  其他重要标准 468

12.3  无线网络安全的演化 469

12.3.1  802.11 470

12.3.2  802.11i 471

12.3.3  802.11w 472

12.3.4  WPA3 473

12.3.5  802.1X 473

12.4  无线网络安全最佳实践 475

12.5  移动无线通信 476

12.5.1  多址技术 477

12.5.2  历代移动技术 478

12.6  卫星 481

12.7  本章回顾 482

12.8  快速提示 482

12.9  问题 484

12.10  答案 485

第13章  网络安全 487

13.1  安全设计原则运用于网络

架构 487

13.2  安全网络 489

13.2.1  链路加密与端到端加密 489

13.2.2  传输层安全 491

13.2.3  虚拟私有网络 493

13.3  安全协议 498

13.3.1  Web 服务 498

13.3.2  域名系统 502

13.3.3  电子邮件 507

13.4  多层协议 511

13.4.1  分布式网络协议3 511

13.4.2  CAN总线 511

13.4.3  Modbus 512

13.5  聚合协议 512

13.5.1  封装 512

13.5.2  以太网光纤通道 513

13.5.3  Internet小型计算机系统

接口 513

13.6  网络分段 513

13.6.1  虚拟局域网 514

13.6.2  虚拟可扩展局域网 516

13.6.3  软件定义网络 516

13.6.4  软件定义广域网 518

13.7  本章回顾 518

13.8  快速提示 519

13.9  问题 521

13.10  答案 522

第14章  网络组件 524

14.1  传输介质 524

14.1.1  传输类型 525

14.1.2  带宽和吞吐量 533

14.2  网络设备 534

14.2.1  中继器 534

14.2.2  交换机 536

14.2.3  网络访问控制设备 544

14.3  终端安全 549

14.4  内容分发网络 550

14.5  本章回顾 550

14.6  快速提示 551

14.7  问题 552

14.8  答案 553

第15章  安全通信信道 555

15.1  语音通信 555

15.1.1  公共交换电话网 556

15.1.2  DSL 557

15.1.3  ISDN 558

15.1.4  有线调制解调器 560

15.1.5  IP电话 560

15.2  多媒体协同 566

15.2.1  会议程序 566

15.2.2  统一通信 567

15.3  远程访问 568

15.3.1  VPN 569

15.3.2  VPN验证协议 569

15.3.3  桌面虚拟化 571

15.3.4  安全外壳 573

15.4  数据通信 574

15.4.1  网络套接字 574

15.4.2  远程过程调用 575

15.5  虚拟网络 575

15.6  第三方接入 576

15.7  本章回顾 578

15.8  快速提示 578

15.9  问题 579

15.10  答案 581

第V部分

身份和访问管理

第16章  身份和访问基础 584

16.1  身份标识、身份验证、

授权与可问责性 584

16.1.1  身份标识和身份验证 586

16.1.2  基于知识的身份验证 588

16.1.3  生物识别身份验证技术 591

16.1.4  基于所有权的身份验证 596

16.2  凭证管理 602

16.2.1  口令管理器 602

16.2.2  口令同步 603

16.2.3  自助式口令重置 603

16.2.4  辅助式口令重置 604

16.2.5  即时访问 604

16.2.6  注册与身份证明 604

16.2.7  用户配置文件更新 605

16.2.8  会话管理 606

16.2.9  可问责性 607

16.2.10  审查审计信息 608

16.3  身份管理 610

16.3.1  目录服务 612

16.3.2  目录在身份管理中的

角色 613

16.3.3  单点登录 614

16.3.4  联合身份管理 616

16.4  使用第三方服务的联合

身份 618

16.5  本章回顾 620

16.6  快速提示 620

16.7  问题 622

16.8  答案 625

第17章  管理身份和访问 626

17.1  授权机制 626

17.1.1  自主访问控制 627

17.1.2  强制访问控制 629

17.1.3  基于角色的访问控制 631

17.1.4  基于规则的访问控制 633

17.1.5  基于属性的访问控制 634

17.1.6  基于风险的访问控制 634

17.2  身份验证和授权系统实施 635

17.2.1  访问控制和标记语言 635

17.2.2  OAuth 640

17.2.3  OpenID连接 641

17.2.4  Kerberos 642

17.2.5  远程访问控制技术 646

17.3  管理身份和访问配置生命

周期 652

17.3.1  配置 652

17.3.2  访问控制 653

17.3.3  合规 653

17.3.4  配置管理 655

17.3.5  撤销 656

17.4  控制物理与逻辑访问 657

17.4.1  信息访问控制 657

17.4.2  系统和应用程序访问

控制 658

17.4.3  对设备的访问控制 658

17.4.4  基础设施访问控制 658

17.5  本章回顾 659

17.6  快速提示 659

17.7  问题 661

17.8  答案 663

第VI部分

安全评估与测试

第18章  安全评估 666

18.1  测试、评估和审计战略 666

18.1.1  评估设计 667

18.1.2  评估验证 668

18.2  测试技术性控制分类 669

18.2.1  漏洞测试 670

18.2.2  其他漏洞类型 673

18.2.3  渗透测试 674

18.2.4  红队测试 678

18.2.5  模拟入侵攻击 679

18.2.6  日志审查 679

18.2.7  合成交易 682

18.2.8  代码审查 683

18.2.9  代码测试 684

18.2.10  误用案例测试 685

18.2.11  测试覆盖率 686

18.2.12  接口测试 687

18.2.13  合规检查 687

18.3  实施安全审计 688

18.3.1  内部审计 689

18.3.2  外部审计 691

18.3.3  第三方审计 691

18.4  本章回顾 693

18.5  快速提示 693

18.6  问题 694

18.7  答案 696

第19章  安全度量 697

19.1  量化安全 697

19.1.1  安全度量 699

19.1.2  关键绩效和风险指标 701

19.2  安全流程数据 703

19.2.1  账户管理 703

19.2.2  备份确认 705

19.2.3  安全培训和安全意识

宣贯培训 708

19.2.4  灾难恢复和业务持续 711

19.3  报告 713

19.3.1  分析结果 713

19.3.2  技术报告编写 715

19.3.3  执行摘要 716

19.4  管理评审和批准 717

19.4.1  管理评审之前 718

19.4.2  评审的输入 719

19.4.3  管理层批准 719

19.5  本章回顾 720

19.6  快速提示 720

19.7  问题 721

19.8  答案 722

第VII部分

安全运营

第20章  安全运营管理 726

20.1  安全运营基础概念 726

20.1.1  可问责性 728

20.1.2  最小特权/知必所需 728

20.1.3  职责分离和责任 729

20.1.4  特权账户管理 729

20.1.5  职责轮换 730

20.1.6  服务水平协议 730

20.2  变更管理 731

20.2.1  变更管理实践 731

20.2.2  变更管理文档 732

20.3  配置管理 733

20.3.1  基线 733

20.3.2  资源调配 734

20.3.3  自动化 734

20.4  资源保护 735

20.4.1  系统镜像 735

20.4.2  源文件 735

20.4.3  备份 736

20.5  漏洞和补丁管理 738

20.5.1  漏洞管理 739

20.5.2  补丁管理 741

20.6  物理安全 744

20.6.1  外部边界安全控制措施 744

20.6.2  基础设施访问控制 752

20.6.3  内部安全控制措施 759

20.6.4  人员访问控制措施 759

20.6.5  入侵检测系统 760

20.6.6  物理访问的审计 763

20.7  人员安全与保护措施 763

20.7.1  差旅 764

20.7.2  安全培训和意识宣贯 764

20.7.3  应急管理 764

20.7.4  胁迫 765

20.8  本章回顾 765

20.9  快速提示 766

20.10  问题 767

20.11  答案 769

第21章  安全运营活动 771

21.1  安全运营中心 771

21.1.1  成熟SOC的要素 772

21.1.2  威胁情报 773

21.2  预防与检测措施 775

21.2.1  防火墙 776

21.2.2  入侵检测和防御系统 794

21.2.3  反恶意软件 795

21.2.4  沙箱 799

21.2.5  外包安全服务 799

21.2.6  蜜罐和蜜网 800

21.2.7  人工智能工具 802

21.3  持续记录日志和持续监测 803

21.3.1  日志管理 804

21.3.2  安全信息和事件管理 805

21.3.3  出口流量持续监测 806

21.3.4  用户和实体行为分析 806

21.3.5  不间断监测 806

21.4  本章回顾 807

21.5  快速提示 807

21.6  问题 809

21.7  答案 810

第22章  安全事故 812

22.1  事故管理概述 812

22.1.1  检测 816

22.1.2  响应 817

22.1.3  缓解 818

22.1.4  报告 818

22.1.5  恢复 819

22.1.6  修复 819

22.1.7  总结经验教训 820

22.2  事故响应规划 820

22.2.1  角色和职责 821

22.2.2  事故分级 822

22.2.3  通知 823

22.2.4  运营任务 824

22.2.5  操作手册 825

22.3  调查 826

22.3.1  动机、机会与手段 827

22.3.2  计算机犯罪行为 827

22.3.3  证据收集和处理 828

22.3.4  什么是法庭上可

受理的？ 831

22.3.5  数字取证工具、策略和

程序 833

22.3.6  取证调查技术 834

22.3.7  其他调查技术 835

22.3.8  司法证物 837

22.3.9  报告和记录 838

22.4  本章回顾 838

22.5  快速提示 839

22.6  问题 840

22.7  答案 842

第23章  灾难 843

23.1  恢复战略 843

23.1.1  业务流程恢复 847

23.1.2  数据备份 847

23.1.3  文档记录 853

24.1.4  人力资源 854

23.1.5  恢复场所战略 854

23.1.6  可用性 859

23.2  灾难恢复流程 862

23.2.1  响应 863

23.2.2  人员 864

23.2.3  通信 865

23.2.4  评估 866

23.2.5  还原 866

23.2.6  培训和意识 868

23.2.7  经验教训 868

23.2.8  测试灾难恢复方案 869

23.3  业务持续 871

23.3.1  BCP生命周期 872

23.3.2  信息系统可用性 873

23.3.3  最终用户环境 876

23.4  本章回顾 877

23.5  快速提示 877

23.6  问题 878

23.7  答案 880

第VIII部分

软件研发安全

第24章  软件研发 882

24.1  软件研发生命周期 882

24.2  项目管理 883

24.2.1  需求收集阶段 884

24.2.2  设计阶段 886

24.2.3  研发阶段 889

24.2.4  测试阶段 891

24.2.5  运营维护阶段 893

24.2.6  变更管理 893

24.2.7  变更控制 893

24.3  软件研发方法论 895

24.3.1  瀑布模式 895

24.3.2  原型模式 896

24.3.3  增量模式 897

24.3.4  螺旋模式 898

24.3.5  快速应用程序研发 899

24.3.6  敏捷模式 900

24.4  成熟度模型 904

24.4.1  能力成熟度集成模型 905

24.4.2  软件保障成熟度模型 907

24.5  本章回顾 907

24.6  快速提示 908

24.7  问题 909

24.8  答案 910

第25章  安全的软件 913

25.1  编程语言与概念 913

25.1.1  汇编器、编译器和

解释器 915

25.1.2  运行时环境 917

25.1.3  面向对象的概念 919

25.1.4  内聚和耦合 924

25.1.5  应用程序编程接口 924

25.1.6  软件库 925

25.2  安全的软件研发 925

25.2.1  源代码漏洞 926

25.2.2  安全编码实践 926

25.2.3  软件研发安全控制措施 928

25.2.4  应用程序安全测试 930

25.2.5  持续集成和交付 931

25.2.6  安全编排、自动化和

响应 932

25.2.7  软件配置管理 932

25.2.8  代码存储库 933

25.3  软件安全评估 934

25.3.1  风险分析和缓解 934

25.3.2  变更管理 934

25.3.3  评估获取软件的安全性 935

25.4  本章回顾 937

25.5  快速提示 937

25.6  问题 939

25.7  答案 940

——以下内容可扫封底二维码下载——

附录A  完整的复习题 943

附录B  知识点目标映射 983

附录C  关于在线内容 998