CCSP雲安全專家認證All-in-One(第3版)

目    錄

第1章  獲得CCSP認證的途徑及安全概念介紹  1

1.1  為什麽CCSP認證的價值如此之高  1

1.2  如何獲取CCSP認證證書  2

1.3  CCSP六大知識域介紹  3

1.3.1  知識域1：雲概念、架構與設計  3

1.3.2  知識域2：雲數據安全  5

1.3.3  知識域3：雲平臺與基礎架構安全  7

1.3.4  知識域4：雲應用程序安全  8

1.3.5  知識域5：雲安全運營  9

1.3.6  知識域6：法律、風險與合規  10

1.4  IT安全簡介  11

1.4.1  基礎安全概念  11

1.4.2  風險管理  15

1.4.3  業務持續和災難恢復(BCDR)  15

1.5  本章小結  16

第2章  雲概念、架構與設計  17

2.1  理解雲計算概念  18

2.1.1  雲計算定義  18

2.1.2  雲計算角色  19

2.1.3  雲計算關鍵特性  20

2.1.4  構建塊技術  22

2.2  描述雲參考架構  23

2.2.1  雲計算活動  23

2.2.2  雲服務能力  24

2.2.3  雲服務類別  25

2.2.4  雲部署模型  29

2.2.5  雲共享註意事項  32

2.2.6  相關技術影響  36

2.3  理解與雲計算相關的安全概念  40

2.3.1  密碼術  40

2.3.2  身份和訪問控制  43

2.3.3  數據和介質脫敏  45

2.3.4  網絡安全  47

2.3.5  虛擬化安全  48

2.3.6  常見威脅  50

2.3.7  安全的健康因素  54

2.4  理解雲計算的安全設計原則  54

2.4.1  雲安全數據生命周期  55

2.4.2  基於雲端的業務持續和災難恢復規劃  56

2.4.3  業務影響分析  56

2.4.4  功能安全需求  58

2.4.5  不同雲類別的安全考慮  58

2.4.6  雲設計模式  62

2.4.7  DevOps安全  66

2.5  評價雲服務提供方  66

2.5.1  基於標準驗證  66

2.5.2  系統/子系統產品認證  70

2.6  練習  71

2.7  本章小結  72

第3章  雲數據安全  73

3.1  描述雲數據概念  73

3.1.1  雲數據生命周期的各階段  73

3.1.2  數據分散  76

3.1.3  數據流  76

3.2  設計並實現雲數據存儲架構  77

3.2.1  存儲類型  77

3.2.2  雲存儲類型的威脅  79

3.3  設計並實施數據安全戰略  80

3.3.1  加密技術  80

3.3.2  哈希技術  82

3.3.3  密鑰管理  82

3.3.4  數據標記化技術  83

3.3.5  數據防丟失  84

3.3.6  數據去標識化技術  85

3.3.7  技術應用場景  86

3.3.8  新興技術  87

3.4  實施數據探查  88

3.4.1  結構化數據  89

3.4.2  非結構化數據  89

3.4.3  隱私角色與責任  89

3.4.4  實施數據探查  90

3.4.5  對已探查的敏感數據執行分類分級活動  90

3.4.6  控制措施的映射與定義  90

3.4.7  使用已定義的控制措施  91

3.5  實施數據分類分級  92

3.5.1  映射  92

3.5.2  標簽  93

3.5.3  敏感數據  93

3.6  設計與實現信息版權管理(IRM)  94

3.6.1  數據版權目標  94

3.6.2  常見工具  94

3.7  規劃與實施數據留存、刪除和歸檔策略  95

3.7.1  數據留存策略  95

3.7.2  數據刪除工作程序和機制  96

3.7.3  數據歸檔工作程序和機制  97

3.7.4  法定保留  99

3.8  設計與實現數據事件的可審計性、可追溯性和可問責性  99

3.8.1  事件源(Event Source)的定義  99

3.8.2  身份屬性要求  101

3.8.3  數據事件日誌  103

3.8.4  數據事件的存儲與分析  103

3.8.5  持續優化  106

3.8.6  證據保管鏈和抗抵賴性  106

3.9  練習  107

3.10  本章小結  107

第4章  雲平臺與基礎架構安全  109

4.1  理解雲基礎架構和平臺組件  109

4.1.1  物理硬件和環境  110

4.1.2  網絡  111

4.1.3  計算  112

4.1.4  存儲  113

4.1.5  虛擬化技術  114

4.1.6  管理平面  115

4.2  設計安全的數據中心  116

4.2.1  邏輯設計  116

4.2.2  物理設計  118

4.2.3  環境設計  120

4.2.4  設計韌性  121

4.3  分析雲基礎架構和平臺的相關風險  122

4.3.1  風險評估和分析  122

4.3.2  虛擬化技術風險  123

4.3.3  風險緩解策略  124

4.4  規劃和實施安全控制措施  125

4.4.1  物理和環境保護  125

4.4.2  系統、存儲和通信保護  126

4.4.3  虛擬化系統保護  126

4.4.4  雲基礎架構的身份標識、身份驗證和授權  128

4.4.5  審計機制  130

4.5  規劃業務持續和災難恢復  132

4.5.1  理解雲環境  132

4.5.2  理解業務需求  133

4.5.3  理解風險  134

4.5.4  災難恢復/業務持續策略  135

4.6  練習  138

4.7  本章小結  139

第5章  雲應用程序安全  141

5.1  倡導應用程序安全培訓和安全意識宣貫教育  141

5.1.1  雲研發基礎知識  142

5.1.2  常見隱患  142

5.1.3  雲環境中的常見漏洞  144

5.2  安全軟件研發生命周期流程  150

5.2.1  業務需求  150

5.2.2  研發的各個階段  151

5.2.3  研發方法論  152

5.3  運用安全軟件研發生命周期  153

5.3.1  雲環境的特定風險  153

5.3.2  威脅建模  155

5.3.3  安全編碼  158

5.3.4  軟件配置管理和版本控制  158

5.4  雲軟件保證和驗證  159

5.4.1  基於雲平臺的功能測試  159

5.4.2  雲安全研發生命周期(CSDLC)  160

5.4.3  安全測試  160

5.4.4  服務質量  162

5.5  使用經驗證的安全軟件  162

5.5.1  經批準的API  162

5.5.2  供應鏈管理  163

5.5.3  社區知識  163

5.6  理解雲應用程序架構的細節  164

5.6.1  輔助安全設備  164

5.6.2  密碼術  166

5.6.3  沙盒  166

5.6.4  應用程序虛擬化技術  167

5.7  設計適當的身份和訪問管理(IAM)解決方案  168

5.7.1  聯合身份  168

5.7.2  身份提供方  169

5.7.3  單點登錄  170

5.7.4  多因素身份驗證  170

5.7.5  雲訪問安全代理  171

5.8  練習  171

5.9  本章小結  171

第6章  雲安全運營  173

6.1  為雲環境實施和構建物理基礎架構  173

6.1.1  硬件的安全配置要求  174

6.1.2  安裝與配置管理工具  174

6.1.3  虛擬化硬件特定的安全配置要求  175

6.1.4  安裝訪客操作系統虛擬化工具包  179

6.2  雲環境的物理和邏輯基礎架構運營  179

6.2.1  本地和遠程訪問的訪問控制措施  180

6.2.2  網絡配置安全  182

6.2.3  網絡安全控制措施  185

6.2.4  通過應用程序基線加固操作系統  189

6.2.5  補丁管理  191

6.2.6  基礎架構即代碼策略  193

6.2.7  獨立主機的可用性  193

6.2.8  集群主機的可用性  193

6.2.9  訪客操作系統的可用性  195

6.2.10  性能持續監測  195

6.2.11  硬件持續監測  195

6.2.12  備份和恢復功能  196

6.2.13  管理平面  196

6.3  實施運營控制措施和標準  197

6.3.1  變更管理  198

6.3.2  持續管理  199

6.3.3  信息安全管理  200

6.3.4  持續服務改進管理  200

6.3.5  事故管理  200

6.3.6  問題管理  201

6.3.7  發布和部署管理  201

6.3.8  配置管理  201

6.3.9  服務水平管理  202

6.3.10  可用性管理  202

6.3.11  能力管理  202

6.4  支持數字取證  202

6.4.1  取證收集數據的適當方法  203

6.4.2  證據管理  204

6.5  管理與相關方的溝通  204

6.5.1  供應方  204

6.5.2  客戶  205

6.5.3  合作夥伴  205

6.5.4  監管機構  205

6.5.5  其他利益相關方  205

6.6  安全運營管理  205

6.6.1  安全運營中心  206

6.6.2  安全控制措施的持續監測  206

6.6.3  捕獲並分析日誌  206

6.7  練習  207

6.8  本章小結  208

第7章  法律、風險與合規  209

7.1  雲環境中的法律法規監管合規要求和獨特風險  209

7.1.1  相互沖突的國際立法  210

7.1.2  評價雲計算特有的法律風險  210

7.1.3  法律框架和指南  211

7.1.4  電子取證  211

7.1.5  取證要求  215

7.2  瞭解隱私問題  215

7.2.1  合同個人身份信息和受監管個人身份信息之間的區別  216

7.2.2  個人身份信息和數據隱私相關的國家特定法律  216

7.2.3  機密性、完整性、可用性和隱私之間的差異  218

7.2.4  隱私要求標準  220

7.2.5  隱私影響評估  222

7.3  理解雲環境的審計流程、方法和所需的調整  222

7.3.1  內部和外部審計控制措施  223

7.3.2  審計需求的影響  223

7.3.3  識別虛擬化和雲環境的安全挑戰  223

7.3.4  審計報告的類型  224

7.3.5  審計範圍限制聲明  227

7.3.6  差距分析  228

7.3.7  審計規劃  229

7.3.8  內部信息安全管理體系  233

7.3.9  內部信息安全控制系統  234

7.3.10  策略  234

7.3.11  利益相關方的識別和參與  235

7.3.12  高度監管行業的特定合規要求  236

7.3.13  分佈式IT模型的影響  237

7.4  理解雲計算對企業風險管理的影響  238

7.4.1  評估提供方的風險管理態勢  238

7.4.2  數據所有方/控制方與數據托管方/處理方之間的區別  239

7.4.3  風險處理  239

7.4.4  不同的風險框架  243

7.4.5  風險管理指標  244

7.4.6  風險環境評估  244

7.5  理解外包和雲合同設計  244

7.5.1  業務需求  245

7.5.2  供應方管理  245

7.5.3  合同管理  247

7.6  履行供應方管理  248

7.7  練習  249

7.8  本章小結  249

附錄A  課後練習題、綜合練習題及答案解析(在線提供)

附錄B  關於在線練習考試(在線提供)