DanielCarter,持有CISSP、CCSP、CISM和CISA等证书,是约翰斯·霍普金斯大学医学院的高级系统工程师。作为一名IT安全和系统专家,Daniel在基于Web的应用程序和基础架构,以及LDAP、PKI、SIEM、Linux/UNIX系统、SAML和联合身份系统等领域拥有丰富的工作经验。Daniel拥有美国马里兰大学的犯罪学和刑事司法学位,以及技术管理硕士学位,研究方向是国土安全管理。
译者简介
栾浩,获得美国天普大学IT审计与网络安全专业理学硕士学位,持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等认证。现任CTO职务,负责金融科技研发、数据安全、云计算安全和信息科技审计和风控等工作。担任(ISC)2上海分会理事。栾浩先生担任本书的总技术负责人,并承担第1章、第3~5章的翻译工作,以及全书的校对和定稿工作。
陈英杰,获得北京交通大学海滨学院计算机科学与应用专业工学学士学位,持有国家互联网应急中心“网络安全能力认证(CCSC)”培训讲师、高级网络安全等级测评师等认证。现任河北翎贺计算机信息技术有限公司总经理,负责公司运营和安全技术管理工作。陈英杰女士承担全书的校对和定稿工作。
姚凯,获得中欧国际工商学院工商管理硕士学位,持有CISSP、CCSP、CISA和CEH等认证。现任CIO职务,负责IT战略规划、策略程序制定、IT架构设计及应用部署、系统取证和应急响应、数据安全、灾难恢复演练及复盘等工作。姚凯先生承担本书前言、第7章的翻译工作,以及全书校对工作。姚凯先生为本书撰写了译者序。
王向宇,获得安徽科技学院网络工程专业工学学士学位,持有CISP、CISP-A等认证。负责数据安全运营、安全工具研发、信息系统审计和软件研发安全等工作。王向宇先生承担本书第6章和附录的翻译工作,以及全书校对工作。
吕丽,获得吉林大学文秘专业文学学士学位,持有CISSP、CISA、CISM和CISP-PTE等证书。现任中银金融商务有限公司信息安全经理,负责信息科技风险管理、网络安全技术评估、信息安全体系制度管理、业务持续及灾难恢复体系管理、安全合规与审计等工作。吕丽女士承担全书术语校对工作,并担任本书项目经理,统筹各项事务。
张瑞恒,毕业于防灾科技学院计算机网络技术与信息处理专业,持有CISSP、CISA和Prince2等认证。负责IT内控、云计算安全运营企业SOC建设以及数据安全等工作。张瑞恒先生担任本书的云计算运营与技术顾问。
徐坦,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP等认证。现任安全渗透测试工程师职务,负责数据安全渗透测试、安全工具研发和企业安全攻防等工作。徐坦先生承担本书部分章节的校对工作。
李浩轩,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP等认证。现任安全渗透测试工程师职务,负责安全工具研发、应用安全检测、异常流量分析、攻击事件研判和网络攻击溯源等工作。李浩轩先生承担本书部分章节的校对工作。
陈阳,获得哈尔滨工程大学计算机软件工程硕士学位,持有CISSP、CISA等认证,现任高级技术经理职务,负责信息安全管理、信息风险管理、应急与灾备管理、事件管理、信息科技监管合规等工作。陈阳女士承担本书第2章翻译工作以及部分章节的校对工作。
任寅,毕业于河北工业大学计算机科学与技术专业,持有注册信息安全讲师(CISI)、国家互联网应急中心“网络安全能力认证(CCSC)”讲师等认证。现任河北翎贺计算机信息技术有限公司技术经理职务,负责网络安全等级测评、风险评估、商用密码应用安全性评估、信息安全审计等工作。任寅女士承担本书部分章节的校对工作。
沈鹏,毕业于西北工业大学网络工程专业,持有CISP-PTE、国家互联网应急中心CCSC讲师等认证。现任河北翎贺计算机信息技术有限公司攻防实验室负责人职务,负责网络安全攻防对抗、溯源取证、商用密码应用安全性评估等工作。沈鹏先生承担本书部分章节的校对工作。
任佩,获得北京工业大学软件工程专业硕士学位,持有CISP、信息安全等级测评师证书(高级)、信息系统项目管理师(高级)等认证。现任职于中国电科集团第十五研究所中电科认证测评中心网络安全测评部主管,负责网络安全等级测评、风险评估、商用密码应用安全性评估、信息安全审计等工作。任佩女士承担本书部分章节校对工作。
李雅欣,获得中南财经政法大学信息安全专业工学学士学位。现任解决方案工程师职务,负责数据安全产品方案及内容输出、安全工具产品说明和企业数据安全业务模型设计等工作。李雅欣女士承担本书部分章节的校对工作。
刘波,毕业于西北工业大学计算机科学与技术专业,持有CISP、网络安全等级测评师中级证书、信息安全保障人员认证安全运维(专业级)等认证。现任职于河北翎贺计算机信息技术有限公司技术部,负责网络安全等级测评、风险评估、商用密码应用安全性评估、信息安全审计等工作。刘波先生承担本书部分章节的校对工作。
何迎杰,获得河北工业大学通信工程专业工学学士学位,持有国家互联网应急中心CCSC讲师认证等认证,中国计算机学会CCF会员,现任职于河北翎贺计算机信息技术有限公司技术部,负责网络安全等级测评、风险评估、商用密码应用安全性评估、信息安全审计等工作。何迎杰女士承担本书部分章节的校对工作。
《CCSP云安全专家认证All-in-One(第2版)》是一份高效的自学指南,涵盖2019年发布的具有挑战性的CCSP考试的所有六个知识域,以及由(ISC)开发的CCSP通用知识体系。本书讲解清晰,列举多个示例,练习题与实际考试的内容和风格完全匹配:正文穿插的“注意”和“警告”提供独到见解,“考试提示”传授考试经验。每章开头列出关键信息,章末附有“练习”“小结”“问题”以及“答案”,以帮助学员回顾重点并扎实掌握知识点。
云计算代表IT专家和安全专家看待数据保护以及可用的各类技术和方法的范式转变。在想要获得CCSP认证的考生中,一部分是经验丰富的安全专家,并已持有多个安全类证书,如CISSP认证等。但对于其他读者而言,这将是成为安全专家的第一次认证考试历程。一些考生早先就开始使用云计算技术,而其他大部分考生则是第一次学习云计算技术的基础知识。本书旨在满足各类考生的需要,不论其是否具有安全或通用计算方面的背景或具体经验。
本书将为考生提供通过CCSP考试所需的信息和知识,也将扩展考生对云计算和安全技术的理解和认知,而非仅是应试和答题。希望考生能将本书作为一本案头必备书籍,即使在考试后也继续通过本书更深入地理解核心云计算概念和方法。
不论考生的背景、经验如何,也无论已持有多少证书,作者都希望考生能通过本书发现云计算领域独特的安全挑战,获得更多启发和顿悟。云计算技术代表计算领域的一个不断发展、令人兴奋的新方向,在可预见的未来,云计算技术将成为一种主要范式(MajorParadigm)。
第1章获得CCSP认证的途径及
安全概念简介1
1.1为什么CCSP认证的价值
如此之高1
1.2如何获取CCSP认证2
1.3CCSP六大知识域简介3
1.3.1知识域1:云概念、架构与
设计3
1.3.2知识域2:云数据安全5
1.3.3知识域3:云平台与基础架构
安全6
1.3.4知识域4:云应用程序安全7
1.3.5知识域5:云安全运营8
1.3.6知识域6:法律、风险与
合规9
1.4IT安全简介10
1.4.1基础安全概念10
1.4.2风险管理14
1.4.3业务持续性和灾难
恢复(BCDR)14
1.5本章小结15
第2章云概念、架构与设计17
2.1云计算概念18
2.1.1云计算定义18
2.1.2云计算角色19
2.1.3云计算的关键特性20
2.1.4构建块技术22
2.2云参考架构22
2.2.1云计算活动23
2.2.2云服务能力24
2.2.3云服务类别24
2.2.4云部署模型28
2.2.5云共享注意事项31
2.3.1密码术38
2.3.2访问控制40
2.3.3数据和介质脱敏42
2.3.4网络安全44
2.3.5虚拟化技术安全44
2.3.6常见威胁45
2.3.7不同云类别的安全考虑49
2.4云计算的安全设计原则53
2.4.1云安全数据生命周期53
2.4.2基于云环境的业务持续性和
灾难恢复规划54
2.4.3成本效益分析55
2.5识别可信云服务56
2.5.1认证与准则56
2.5.2系统/子系统产品认证56
2.6云架构模型60
2.6.1舍伍德业务应用安全架构
(SABSA)61
2.6.2IT基础架构库(ITIL)61
2.6.3TheOpenGroup架构框架
(TOGAF)61
2.6.4NIST云技术路线图62
2.7练习62
2.8本章小结62
2.9问题63
2.10答案65
第3章云数据安全69
3.1描述云数据概念69
3.1.1云数据生命周期的各阶段69
3.1.2数据分散72
3.2设计和实施云数据存储架构72
3.2.1存储类型72
3.2.2云存储的威胁74
3.3设计并实施数据安全战略74
3.3.1加密技术75
3.3.2哈希技术76
3.3.3密钥管理77
3.3.4标记化技术78
3.3.5数据防泄露78
3.3.6数据去标识化技术79
3.3.7匹配应用程序与数据
安全技术80
3.3.8新兴技术81
3.4实施数据探查82
3.4.1结构化数据83
3.4.2非结构化数据83
3.5数据分类的实施83
3.5.1映射84
3.5.2标签84
3.5.3敏感数据85
保护司法管辖权85
3.6.1数据隐私法案86
3.6.2隐私角色和责任87
3.6.3实施数据探查87
3.6.4对探查出的敏感数据执行
分类87
3.6.5控制措施的映射和定义88
3.6.6使用已定义的控制措施88
3.7.2常见工具89
3.8数据留存、删除和归档策略90
3.8.1数据留存90
3.8.2数据删除91
3.8.3数据归档92
3.8.4法定保留93
3.9数据事件的可审计性、
可追溯性和可问责性93
3.9.1事件源定义94
3.9.2身份属性要求95
3.9.3数据事件日志97
3.9.4数据事件的存储和分析98
3.9.5持续优化100
3.9.6证据保管链和抗抵赖性101
3.10练习101
3.11本章小结101
3.12问题102
3.13答案104
第4章云平台与基础架构安全107
第5章云应用程序安全135
第6章云运营安全163
第7章法律、风险与合规205
7.1.1相互冲突的国际法律206
7.1.2云计算特有法律风险评价206
7.1.3法律框架和指导原则206
7.1.4电子取证207
7.1.5取证要求210
7.2理解隐私问题211
7.2.1合同PII以及受监管PII的差异211
7.2.3机密性、完整性、可用性和隐私性之间的差异213
7.2.4隐私要求标准215
7.3理解审计流程、方法论和云环境所需的调整217
7.3.1内外部审计控制体系217
7.3.2审计要求的影响218
7.3.3虚拟化和云环境的保障挑战218
7.3.4审计报告类型219
7.3.5审计范围限制221
7.3.6差距分析222
7.3.7审计规划223
7.3.8内部信息安全管理体系226
7.3.9内部信息安全控制系统227
7.3.10策略228
7.3.12高度监管行业的特殊合规要求229
7.3.13分布式IT模型的影响229
7.4理解云对企业风险管理的影响230
7.4.1评估云服务提供商的风险管理态势230
7.4.2数据所有方/控制方与数据托管方/处理方之间的差异231