CISSP信息系统安全专家认证All-in-One (第9版)

译者序

(ISC)2的CISSP认证是目前世界上全面的、权威的国际化信息系统安全方面的认证，CISSP认证证书可证明证书持有者具备符合国际标准要求的信息安全知识水平和能力，提升持证专家的专业可信度，目前，CISSP认证证书已得到全球的广泛认可。在安全行业中，能否取得CISSP认证证书，已成为表明专家是否具备完善的信息安全知识体系和丰富的行业经验的佐证之一。对于立志扎根于网络安全行业的网络安全专家而言，CISSP认证应该是职业生涯中有价值、值得追求的职业认证之一。
《CISSP信息系统安全专家认证All-in-One(第9版)》是备考CISSP认证证书的宝典，在所有CISSP认证证书备考资料中享有极高声誉。本书内容全面、专业、通俗易懂，是一本享誉全球、畅销超过15年的安全经典教材，曾帮助包括译者团队在内的全球无数网络安全专家通过CISSP认证考试。
数字经济被誉为第四次工业革命的“钥匙”，已成为全球经济复苏的新引擎，成为国家发展新征程的助推器和战略。《“十四五”数字经济发展规划》指出：2025年数字经济将进入全面扩展期，2035年数字经济将进入繁荣成熟期。数字化技术已渗透到社会生活的方方面面。新兴技术的日趋普及，对企业运营模式产生了重大影响，而2019年开始的新冠疫情，对社会生产生活方式带来了巨大影响。
近年来，随着社会数字化程度的提升，数字化安全的风险也日益突出，国内外都发生了多起网络安全和数据安全事件，导致数据泄露或服务终止。初创公司Socialarks由于ElasticSearch数据库设置错误，泄露了近400GB数据(超过3.18亿条用户记录)。美国燃油管道运营商Colonial Pipeline于2021年5月7日遭受网络犯罪团伙DarkSide的勒索软件攻击，导致该公司被迫关停其主要输油管道。而巴基斯坦国民银行(NBP)于当地时间2021年10月30日发布的一份声明称，已检测到敌对方对NBP的网络攻击。2021年10月4日，Facebook及其旗下Instagram和WhatsApp等应用程序全网宕机，停机时间近7小时。宕机期间，Facebook在欧洲、美洲和大洋洲几乎完全下线，在亚洲的日本、韩国和印度等国也无法访问。由此可见，如果没有数字安全、数据安全和网络安全技术保驾护航，数字化发展的程度越高，其背后隐藏的风险就越大。
与此同时，我国日益关注网络安全、数据安全和个人信息安全，2021年密集发布了《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等一系列网络安全相关的法律法规，进一步完善了我国网络安全相关规章制度。网络安全已成为企业合规的必选项。今天，已有越来越多的组织机构将数字安全、数据安全和网络安全工作放在数字技术工作的首要位置。数字安全、数据安全和网络安全不再是数字技术工作中一个可有可无的选项，而成为不可或缺的部分；能帮助企业和机构提高数字安全防护水平的人才也日益紧俏，形成巨大的岗位需求。
本书第9版本得到全面更新，涵盖CISSP认证考试的所有八大知识域，即安全和风险管理、资产安全、安全架构与工程、通信与网络安全、身份和访问管理、安全评估与测试、安全运营、软件研发安全。本书由安全认证和培训领域的专家Fernando Maymí和Shon Harris撰写，用通俗易懂的语言，介绍了安全知识体系的方方面面，并通过丰富的案例加深考生对重要知识点的理解、激发考生的阅读兴趣，帮助考生在较短时间内吸取网络安全知识体系的精髓。本书不仅是准备CISSP认证考试的学习指南，也是安全专家提高业务水平、拓宽职业视野及建立完整知识体系的经典书籍。全球每一名安全专家的案头都应常备本书。
在本书的译校过程中，诸位译者力求忠于原著，尽可能传达作者的原意。在此，感谢栾浩先生，正是在他的努力下，多位译者才能聚集到一起，共同完成这项工作。栾浩先生投入了大量时间和精力，组织翻译工作，把控进度和质量，没有栾浩先生的辛勤付出，翻译工作不可能如此顺利地完成。
同时，要感谢本书的审校单位北京谷安天下科技有限公司(简称“谷安天下”)。谷安天下是国内中立的网络安全与数字风险服务机构，以成就更高的社会价值为目标，专注于网络安全与数字风险管理领域的研究与实践，致力于全面提升中国企业的安全能力与风险管控能力，依靠严谨的专业团队、全方位的网络安全保障体系、良好的沟通能力，为政府部门、大型国有企业、银行保险、大型民营企业等客户提供网络安全规划、信息系统审计、数据安全咨询等以实现管理目标和数字资产价值交付为核心的，全方位、定制化的专业服务。在本书的译校过程中，谷安天下作为(ISC)2中国的OTP授权培训机构，投入了多位专家、讲师和技术人员以及大量时间支持本书译校工作，进而保证了全书的质量。
此外，感谢本书的技术支持单位上海珪梵科技有限公司(简称“上海珪梵”)。上海珪梵是一家集数字化软件技术与数字安全于一体的专业服务机构，专注于数字化软件技术和数字安全领域的研究与实践，并提供数字科技建设、数字安全规划与建设、网络安全技术支持、数据安全治理、软件项目造价、数据安全审计和信息系统审计等服务。在本书译校过程中，上海珪梵投入了多名人员以支持本书的译校工作。
后，再次感谢清华大学出版社，感谢王军等编辑的严格把关，悉心指导。正是有了这些编辑的辛勤努力和付出，才有了本书中文译稿的出版发行。
本书涉及内容广泛，立意精深。因译者能力局限，在翻译中难免有错误或不妥之处，恳请广大考生朋友指正。

业界推荐
Fernando对本书的更新延续了过去与Shon Harris的合作传统，分解了关键概念和技能。再次证明了本书是重要的备考资料。即便通过考试后，本书也是工作中宝贵的参考资料。
——Stefanie Keuser
CISSP，美国军官协会首席信息官

本书是通过CISSP考试所需的书籍。Fernando Maymí不仅是一名作家，还是网络安全行业的领导者。Fernando的洞察力、知识和专长体现在本书的内容中。本书不仅为考生提供通过考试所需的知识，还可帮助考生在网络安全领域取得进一步的发展。
——Marc Coady
CISSP，Costco Wholesale公司合规分析师

本书是网络安全专家的参考资料，介绍了宝贵的实践知识，列出当今世界开展业务需要了解的日益复杂的安全概念、控制措施及实践。
——Steve Zalewski
Levi Strauss公司前首席信息安全官

Shon Harris将这本经典的CISSP书籍引入安全行业，Fernando Maymí用清晰、准确和客观的行文完美传承了Shon Harris的精神，我相信Shon会对此深感欣慰和自豪。
——David R. Miller
CISSP、CCSP、GIAC GISP GSEC GISF、PCI QSA、LPT、ECSA、CEH、CWNA、CCNA、SME、MCT、MCIT Pro EA、MCSE:Security、CNE、Security 

一本经典的参考资料，内容清晰明了，对考生、教育工作者和安全专家而言，都堪称无价之宝。
—— Joe Adams博士
密歇根赛博系列创始人兼执行董事

本书由安全领域的两位大师Maymí和Shon撰写，内容通俗易懂，极具启发性，将一幅网络安全的全景图在考生面前徐徐展开。
——Greg Conti博士
Kopidion公司创始人

多么希望在职业生涯早期就能阅读到本书！不可否认，本书是助我通过CISSP考试的工具。更重要的是，本书传授了许多我以前完全不了解的安全知识。从本书中学到的知识将在今后多年对我的职业生涯起到帮助作用。非常棒的书籍！
——Janet Robinson
首席安全官

译者介绍

栾浩，获得美国天普大学IT审计与网络安全专业理学硕士学位，持有CISSP、CISA、CISP、CISP-A和TOGAF 9等认证。负责金融科技研发、数据安全、云计算安全和信息科技审计及内部风险控制等工作。担任中国计算机行业协会数据安全产业专家委员会委员、(ISC)2上海分会理事。栾浩先生担任本书翻译的总技术负责人，并承担全书的校对和定稿工作。
姚凯，获得中欧国际工商学院工商管理专业管理学硕士学位，持有CISA、CISM、CGEIT、CRISC、CISSP、CCSP、CSSLP和CEH等认证，现任CIO职务，负责IT战略规划、策略制定、数字化转型、IT架构设计和应用部署、系统取证和应急响应、数据安全备份策略规划制定、数据保护、灾难恢复演练和复盘等工作。姚凯先生承担本书第24章和第25章的翻译工作，并承担全书的校对和定稿工作，同时为本书撰写译者序。
王向宇，获得安徽科技学院网络工程专业工学学士学位，持有CISSP、CISP、CISP-A和软件研发安全师等认证。现任资深安全工程师职务，负责安全事件处置与应急、数据安全治理、安全监测平台研发与运营、云平台安全和软件研发安全等工作。王向宇先生担任本书项目经理，负责本书第5章和第6章的翻译工作，并承担全书的校对和定稿工作。
曹洪泽，获得哈尔滨工程大学通信与信息系统专业工学博士学位，正高级工程师职称。现任审计署计算中心审计技术服务处处长职务，负责中央部门、中央企业、金融机构等多领域审计工作以及金审工程建设和运营。持有CISA、审计师等认证。担任中国审计学会计算机审计分会副秘书长。曹洪泽女士作为本书信息系统审计领域特邀专家，承担本书通读工作。
李杺恬，获得北京理工大学软件工程专业工程硕士学位，持有CISSP、CISP和CISA等认证。现任中国计算机行业协会数据安全产业专家委员会委员，负责人才培养、能力评定和成果转化等工作。李杺恬女士作为本书数据安全领域特邀专家，承担本书通读工作。
徐坦，获得河北科技大学理工学院网络工程专业工学学士学位，持有CISP、CISP-A等认证。现任安全技术经理职务，负责数据安全、渗透测试、安全工具研发、代码审计、安全教育培训、IT审计和企业安全攻防等工作。徐坦先生承担本书全书的校对、通读工作。
李浩轩，获得河北科技大学理工学院网络工程专业工学学士学位，持有CISP-A、CISP等认证。现任安全技术经理职务，负责数据安全、IT审计、网络安全、平台研发和企业安全攻防等工作。李浩轩先生承担本书全书的校对、通读工作。
高峡，获得西安科技大学计算机及应用专业工学学士学位，持有CISSP、CISA和CISP等认证。现任网络安全教学质量总监职务，负责网络安全相关课程体系设计、网络安全相关课程研发、课程讲授和课程管理等工作。高峡女士负责本书第1章和第2章，附录A、B、C的翻译工作。
戴贇，获得上海大学通信工程专业工学学士学位，持有CISSP和CCSP等认证。现任云安全专家职务，负责云计算安全架构设计、项目实施、方案优化和日常运维管理等工作。戴贇先生负责本书第3章和第4章的翻译工作。
伏伟任，获得东华理工大学环境工程专业工学学士学位，持有CISSP和CCSP等认证。现任IT经理和信息安全负责人职务，负责IT运维、信息安全相关工作，伏伟任先生负责本书第7章和第8章的翻译工作。
郑伟，获得华中科技大学计算机科学与技术专业工学学士学位，持有CISSP等认证。现任诺基亚通信无线基站安全技术专家职务，负责产品安全需求分析、系统规范制定等工作。郑伟先生负责本书第9章和第10章的翻译工作。
梁龙亭，获得北京理工大学计算机科学与技术专业工学学士学位，持有CISSP和ISO/IEC27001等认证。现任信息安全&合规职务，负责安全技术架构设计、安全攻防、安全技术实施、安全合规等工作。梁龙亭先生负责本书第11章的翻译工作。
万雪莲，获得武汉大学计算机技术专业工程硕士学位，持有CISSP、CISM和CISA等认证。现任网络安全与隐私保护高级安全咨询顾问职务，负责数据安全、隐私保护、云安全、安全分析和安全管理等工作。万雪莲女士负责本书前言、第12章和第13章的翻译工作。
张帆，获得上海交通大学工商管理专业管理学硕士学位，持有CISSP和CISA认证。现任信息安全负责人职务，负责IT安全策略和制度制定、IT安全架构及应用安全风险评估、数据跨境传输安全评估、灾难恢复演练等工作。张帆先生负责本书第14章和第15章的翻译工作。
周可政，获得上海交通大学电子与通信工程专业工学硕士学位，持有CISSP、CISA等认证。现任资深安全工程师职务，负责数据安全、SIEM平台规划建设和企业安全防护体系建设等工作。周可政先生负责本书第16章和第17章的翻译工作。
许琛超，获得上海交通大学计算机科学与技术专业工学学士学位，持有CISSP、CCSP和CISA等认证。现任信息安全高级经理职务，负责数据安全治理、个人信息保护、信息安全管理体系、信息安全评估等工作。许琛超先生承担本书第18章和第19章的翻译工作。
吕丽，获得吉林大学文秘专业文学学士学位，持有CISSP、CISA和CISP-PTE等认证。现任中银金融商务有限公司信息安全经理职务，负责信息科技风险管理、网络安全技术架构评估和规划、数据安全治理、信息安全管理体系制度管理、信息科技外包风险管理、安全合规与审计等工作。吕丽女士承担本书第20章和第21章翻译工作。
汤国洪，获得电子科技大学电子材料与元器件专业工学学士学位，持有CISSP、CISA和ISO/IEC27001等认证。现任IT经理与信息安全负责人职务，负责IT运维、基础架构安全、网络安全和隐私合规等工作。汤国洪先生承担第22章及第23章的翻译工作。
牛承伟，获得中南大学工商管理专业管理学硕士学位，持有CISP等认证。现任广州越秀企业集团股份有限公司IT经理职务，负责云安全、基础设施安全、数据安全和资产安全等工作。牛承伟先生承担本书全书的通读工作。
朱思奇，获得上海交通大学通信与信息系统专业工学硕士学位，持有CISA和CISSP等认证。现任中国银行江苏省分行科技经理职务，负责信息科技风险管理、信息科技审计、信息安全意识培训等工作。朱思奇先生承担本书的校对、通读工作。
陈伟，获得中国石油大学工业管理工程专业管理学硕士学位，持有CISA等认证。现任谷安天下研究院院长职务，负责IT治理、网络安全、数字风险管理及IT审计、咨询等工作。陈伟先生负责本书部分章节的校对工作。
方乐，获得复旦大学计算机专业理学硕士学位，持有CISSP、CISA等认证。现任谷安天下咨询顾问职务，负责IT管理、IT治理、信息安全管理、IT风险管理、信息系统审计、数据治理咨询及培训等工作。方乐先生承担本书部分章节的校对工作。

以下专家参加本书各章节的校对、通读等工作，在此一并感谢：
刘竞雄先生，获得长春工业大学计算机技术专业工学硕士学位。
赵晨明先生，获得西安交通大学工商管理专业管理学硕士学位。
马洪晓先生，获得北京邮电大学计算机科学与技术专业工学硕士学位。
王厚奎先生，获得南宁师范大学教育技术学(网络信息安全方向)专业工学硕士学位。
邢海韬先生，获得北京工业大学软件工程专业工学硕士学位。
罗进先生，获得澳大利亚南昆士兰大学信息技术专业工学硕士学位。
刘海先生，获得华东师范大学软件工程专业工学硕士学位。
张锋先生，获得郑州大学计算机科学与技术专业工学学士学位、北京工业大学工商管理专业管理学硕士学位。
李海霞女士，获得对外经贸大学公共管理专业管理学硕士学位。
陈欣炜先生，获得同济大学工程管理专业本科学历。
王伏彧女士，获得吉林大学电子信息科学与技术专业理学学士学位、法学学士学位。
朱建滨先生，获得香港大学工商管理专业管理学硕士学位。
刘北水先生，获得西安电子科技大学工学硕士学位。
王涛女士，获得新疆财经大学工商管理专业管理学硕士学位、电子科技大学软件工程专业工程硕士学位。
张亭亭先生，获得哈尔滨商业大学工学学士学位。
张士莹先生，获得中北大学网络工程专业工学学士学位。
张晓飞先生，获得内蒙古大学理工学院应用物理学专业理学学士学位。
陈岳林女士，获得香港浸会大学资讯科技管理专业理学硕士学位。
陈峻先生，获得同济大学软件工程专业工学硕士学位。
马春燕女士，获得挪威商学院工商管理专业管理学硕士学位。
 
贡献者/技术编辑简介
Bobby E. Rogers是一名信息安全工程师，在美国国防部工作，职责包括信息系统安全工程、风险管理以及认证和认可工作。Bobby在美国空军服役21年后退休，担任网络安全工程师和指导者，保护全球各地的网络。Bobby拥有信息保障(InformationAssurance，IA)硕士学位，目前，正在美国马里兰州国会科技大学攻读网络安全博士学位。Bobby获得的认证包括CISSP-ISSEP、CEH和MCSE: Security，以及CompTIA A 、Network 、Security 和Mobility 。

 
自序

感谢诸位考生在《CISSP信息系统安全专家认证All-in-One(第9版)》中投入学习精力，我相信你会发现本书不仅对准备CISSP考试很有帮助，而且对未来职业生涯也很有帮助。这是Shon Harris撰写前六版时的首要目标之一，也是我在近三版CISSP中努力追求的目标。这个目标并不那么容易，但我希望考生会对我们如何平衡这两个需求感到满意。
(ISC)2在实际应用中为CISSP通用知识体系(Common Body of Knowledge，CBK)打下了良好基础，但仍有很多讨论和分歧。与几乎任何其他领域一样，在网络安全领域，很少有主题可达成普遍共识。本书内容为了平衡备考和现实应用的模糊性，从我们的经验中总结了大量的评论和示例。
特意说“我们的经验”，因为即使Shon去世多年，她的见解在这一版本中仍然充满活力、信息丰富和富有娱乐性。本书尽可能多地保留了她的见解，同时确保相关内容是的，也尽量保持Shon作品特有的行文风格。其结果是我希望本书读起来更像是一篇文章，甚至是一个故事，而不是一本教科书，但本书是以优良的教学作为基础。本书应易于阅读，同时帮助考生准备考试。
说到考试，2021年(ISC)2对 CBK 所做的变化并不显著，但意义重大。每个知识域都以某种方式做出了调整，八个知识域中有七个添加了多个主题(知识域1除外)。这些变化以及本书第8版中的大量主题，促使我对这一版内容进行了彻底重组。我将每个知识域和主题分解为原子粒度，然后重新设计整本书，以整合下表中列出的CBK 2021新目标(注意，方括号中的内容供参考，并非新增目标)。
知识域2：资产安全2.4管理数据生命周期2.4.1数据角色(例如，所有方、控制方、托管方、处理方和用户/数据主体)2.4.3数据物理位置2.4.4数据维护2.5确保适当的资产留存，如生命周期终止(End-of-Life，EOL)、支持终止(End-of-Support，EOS)
知识域3：安全架构与工程[3.7理解密码攻击方法]3.7.1暴力破解3.7.4频率分析3.7.6实施攻击3.7.8故障注入3.7.9时序3.7.10中间人攻击(Man-in-the-Middle，MITM)3.7.11传递哈希3.7.12 Kerberos 攻击3.7.13勒索软件[3.9设计现场和设施安全控制措施]3.9.9电源(如冗余、备用)
知识域4：通信与网络安全[4.1评估并实施网络架构中的安全设计原则]4.1.3安全协议4.1.6微分段，如软件定义网络(Software Defined Networks，SDN)、虚拟可扩展局域网(Virtual eXtensible Local Area Network ，VXLAN)、封装和软件定义广域网(Software-Defined Wide Area Network，SD-WAN)4.1.8 蜂窝网络(如 4G、5G)[4.3根据设计实施安全通信通道]4.3.6第三方连接
知识域5：身份和访问管理(IAM)[5.1控制对资产的物理和逻辑访问]5.1.5应用程序[5.2管理人员、设备和服务的标识和身份认证]5.2.8单点登录(SSO)5.2.9 准时制(Just-In-Time，JIT)[5.4实施和管理授权机制]5.4.6基于风险的访问控制[5.5管理身份和访问资源调配生命周期]5.5.3角色定义(如分配了新角色的人员)5.5.4权限提升(如托管服务账户、使用sudo和尽量减少使用)5.6实施身份验证系统5.6.1 OpenID Connect(OIDC)/Open Authorization(OAuth)5.6.2安全声明标记语言(SAML)5.6.3 Kerberos5.6.4远程用户拨号认证服务(RADIUS)/终端访问控制器访问控制系统升级版(TACACS )
知识域6：安全评估与测试[6.2实施安全控制测试]6.2.9漏洞攻击模拟6.2.10合规检查[6.3收集安全流程数据(如技术和行政)]6.3.6灾难恢复(DR)和业务持续(BC)[6.4分析测试输出并生成报告]6.4.1补救措施6.4.2异常处理6.4.3道德披露
知识域7：安全运营[7.1理解并遵守调查]7.1.5制品(如计算机、网络和移动设备)[7.2实施记录和持续监测活动]7.2.5日志管理7.2.6 威胁情报(如威胁源、威胁狩猎)7.2.7用户和实体行为分析(UEBA)[7.7操作和维护检测和预防措施]7.7.8基于机器学习和人工智能(AI)的工具[7.11实施灾难恢复(DR)流程]7.11.7经验教训
知识域8：软件研发安全[8.2在软件研发生态系统中识别并实施安全控制措施]8.2.1编程语言8.2.2库8.2.3工具集8.2.5运行时间8.2.6持续集成和持续交付(CI/CD)8.2.7安全编排、自动化和响应(SOAR)8.2.10应用程序安全测试，如静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)[8.4评估收购软件的安全影响]8.4.1商用现货(COTS)8.4.2开源8.4.3第三方8.4.4托管服务，如软件即服务(SaaS)、基础架构即服务(IaaS)和平台即服务(PaaS)[8.5定义并实施安全编码指南和标准]8.5.4软件定义安全

注意，这些目标中的部分内容在之前(2018年)版本的CBK中是隐性的，在第8版中已有所涉及。事实上，这些目标现在是明确的，这表明在考试和实践中都变得越来越重要(在准备考试时，请特别注意这些)。总之，与上一版相比，第9版有显著不同且有所改进，相信考生会表示认同。再次感谢考生对CISSP第9版书籍的关注。

《CISSP信息系统安全专家认证All-in-O