CISSP 信息系統安全專家認證 All-in-One, 9/e

[美] 費爾南多·梅米(Fernando Maymí)、肖恩·哈裡斯(Shon Harris) 著 欒浩 姚凱 王向宇 譯

  • CISSP 信息系統安全專家認證 All-in-One, 9/e-preview-1
  • CISSP 信息系統安全專家認證 All-in-One, 9/e-preview-2
  • CISSP 信息系統安全專家認證 All-in-One, 9/e-preview-3
CISSP 信息系統安全專家認證 All-in-One, 9/e-preview-1

買這商品的人也買了...

相關主題

商品描述

《CISSP信息系統安全專家認證All-in-One(第9版)》針對**發布的CISSP考試做了全面細致的修訂和更新,涵蓋(ISC)2新開發的2021 CISSP考試大綱的所有目標。這本綜合性**指南編排精當,每章開頭列出學習目標,正文中穿插考試提示,章末附有練習題和精闢解釋。本書由**的IT安全認證和培訓專家撰寫,將幫助你輕鬆通過考試;也可作為你工作中的一本重要參考書。

目錄大綱

 

目  錄

 

 

 

 

 

 

  第I部分  

安全和風險管理

第1章  網絡安全治理 2

1.1  網絡安全的基本概念和術語 3

1.1.1  機密性 3

1.1.2  完整性 4

1.1.3  可用性 4

1.1.4  真實性 5

1.1.5  不可否認性 5

1.1.6  平衡安全性 6

1.1.7  其他安全術語 7

1.2  安全治理原則 8

1.2.1  幫助安全性和業務戰略

保持一致 11

1.2.2  組織流程 14

1.2.3  組織角色和責任 15

1.3  安全策略、標準、工作程序和

準則 21

1.3.1  安全策略 22

1.3.2  標準 24

1.3.3  基線 25

1.3.4  準則 26

1.3.5  工作程序 26

1.3.6  實施 27

1.4  人員安全 27

1.4.1  候選人篩選和招聘 29

1.4.2  雇傭協議和策略 30

1.4.3  入職、調動和解聘流程 30

1.4.4  供應商、顧問和承包商 31

1.4.5  合規政策 32

1.4.6  隱私策略 32

1.4.7  安全意識宣貫、教育和

培訓計劃 32

1.4.8  學歷或證書? 33

1.4.9  意識建立和培訓的方法與

技巧 33

1.4.10  定期審查安全意識宣貫

內容 35

1.4.11 計劃有效性評價 35

1.5  職業道德 35

1.5.1  (ISC)2職業道德準則 36

1.5.2  組織道德準則 36

1.5.3  電腦道德協會 37

1.6  本章回顧 37

1.7  快速提示 37

1.8  問題 38

1.9  答案 40

第2章  風險管理 42

2.1  風險管理概念 42

2.1.1  全面風險管理 43

2.1.2  信息系統風險管理策略 44

2.1.3  風險管理團隊 45

2.1.4  風險管理流程 45

2.1.5  漏洞和威脅概述 46

2.1.6  識別威脅和漏洞 50

2.2  評估風險 51

2.2.1  資產評估 52

2.2.2  風險評估團隊 53

2.2.3  風險評估方法論 54

2.2.4  風險分析方法 58

2.2.5  定性風險分析 61

2.3  應對風險 64

2.3.1  總體風險與殘餘風險的

對比 65

2.3.2  安全對策選擇及實施 66

2.3.3  控制措施類型 68

2.3.4  控制措施評估 73

2.4  監測風險 74

2.4.1  有效性監測 75

2.4.2  變更監測 75

2.4.3  合規性監測 76

2.4.4  風險報告 77

2.5  供應鏈風險管理 79

2.5.1  上下游供應商 80

2.5.2  硬件、軟件、服務的風險

評估 80

2.5.3  其他第三方風險 81

2.5.4  最低安全需求 82

2.5.5  服務水平協議 82

2.6  業務持續 83

2.6.1  標準和最佳實踐 85

2.6.2  將業務持續管理融入企業

安全計劃 87

2.6.3  業務影響分析 89

2.7 本章回顧 95

2.8  快速提示 95

2.9  問題 97

2.10  答案 99

 

第3章  合規 101

3.1  法律與法規 101

3.1.1  法律體系的類型 102

3.1.2  回顧普通法體系 104

3.2  網絡犯罪與數據泄露 105

3.2.1  網絡犯罪的復雜性 107

3.2.2  攻擊的演變 108

3.2.3  國際化問題 112

3.2.4  數據泄露 112

3.2.5  跨境數據流 117

3.2.6  隱私 118

3.3  授權許可與知識產權要求 119

3.3.1  商業秘密 119

3.3.2  版權 120

3.3.3  商標 121

3.3.4  專利 121

3.3.5  內部知識產權保護 123

3.3.6  軟件盜版 123

3.4  法律法規監管合規要求 125

3.4.1  合同、法律、行業標準和

監管要求 125

3.4.2  隱私要求 127

3.4.3  責任和後果 127

3.5  調查要求 130

3.5.1  行政調查 130

3.5.2  刑事調查 130

3.5.3  民事調查 130

3.5.4  監管調查 131

3.6  本章回顧 131

3.7  快速提示 131

3.8  問題 133

3.9  答案 135

第4章  框架 137

4.1  框架總覽 137

4.2  風險框架 139

4.2.1  NIST風險管理框架 139

4.2.2  ISO/IEC 27005信息安全

風險管理指南 143

4.2.3  OCTAVE 144

4.2.4  信息風險要素分析 145

4.3  信息安全框架 145

4.3.1  安全計劃框架 145

4.3.2  安全控制措施框架 148

4.4  企業架構框架 154

4.4.1  為何需要企業架構框架? 156

4.4.2  Zachman框架 157

4.4.3  TOGAF 158

4.4.4  面向軍事的架構框架 159

4.5  其他框架 159

4.5.1  ITIL 159

4.5.2  六西格瑪 160

4.5.3  能力成熟度模型 160

4.6  各類框架的集成 162

4.7  本章回顧 165

4.8  快速提示 166

4.9  問題 167

4.10  答案 169

 

第II部分

資 產 安 全

第5章  資產 172

5.1  信息和資產 173

5.1.1  識別 173

5.1.2  分類分級 174

5.2  物理安全註意事項 178

5.2.1  移動設備安全保護 178

5.2.2  紙質記錄 179

5.2.3  保險櫃 179

5.3  管理資產的生命周期 180

5.3.1  所有權 181

5.3.2  庫存 181

5.3.3  安全資源調配 184

5.3.4  資產留存 185

5.4  數據生命周期 186

5.4.1  數據採集 187

5.4.2  數據存儲 188

5.4.3  數據使用 192

5.4.4  數據共享 193

5.4.5  數據歸檔 194

5.4.6  數據銷毀 194

5.4.7  數據角色 198

5.5  本章回顧 199

5.6  快速提示 199

5.7  問題 200

5.8  答案 202

第6章  數據安全 204

6.1  數據安全控制措施 204

6.1.1  數據狀態 205

6.1.2  安全標準 208

6.2  數據保護措施 209

6.2.1  數字資產管理 210

6.2.2  數字版權管理 212

6.2.3  數據防泄露 214

6.2.4  雲訪問安全代理 222

6.3  本章回顧 223

6.4  快速提示 223

6.5  問題 224

6.6  答案 225

 

第III部分

安全架構與工程

第7章  系統架構 228

7.1  通用系統架構 228

7.1.1  客戶端系統 229

7.1.2  服務端系統 229

7.1.3  數據庫系統 230

7.1.4  高性能計算系統 233

7.2  工業控制體系 234

7.2.1  設備 235

7.2.2  可編程邏輯控制器 235

7.2.3  人機界面 236

7.2.4  歷史數據系統 237

7.2.5  分佈式控制體系 237

7.2.6  SCADA 237

7.2.7  ICS安全 238

7.3  虛擬化系統 239

7.3.1  虛擬機 240

7.3.2  容器化 241

7.3.3  微服務 242

7.3.4  無服務器架構 242

7.4  雲計算系統 244

7.4.1  軟件即服務 245

7.4.2  平臺即服務 245

7.4.3  基礎架構即服務 246

7.4.4  一切皆服務 246

7.4.5  雲部署模型 247

7.5  普適系統 247

7.5.1  嵌入式系統 247

7.5.2  物聯網 248

7.6  分佈式系統 249

7.7  本章回顧 251

7.8  快速提示 251

7.9  問題 252

7.10  答案 254

第8章  密碼學 256

8.1  密碼術的歷史 257

8.2  密碼術的定義與概念 260

8.2.1  密碼體系 262

8.2.2  Kerckhoffs原則 263

8.2.3  密碼體系的強度 263

8.2.4  一次性密碼本 264

8.2.5  密碼生命周期 266

8.2.6  加密方法 266

8.3  對稱密鑰密碼術 267

8.3.1  分組密碼 268

8.3.2  流密碼 270

8.3.3  初始化向量 271

8.4  非對稱密鑰密碼術 272

8.4.1  Diffie-Hellman算法 274

8.4.2  RSA 276

8.4.3  橢圓曲線密碼體系 278

8.4.4  量子加密 279

8.4.5  混合加密方法 281

8.5  完整性 285

8.5.1  哈希函數 285

8.5.2  消息完整性確認 288

8.6  公鑰基礎架構 292

8.6.1  數字證書 293

8.6.2  證書頒發機構 293

8.6.3  註冊機構 295

8.6.4  PKI步驟 295

8.6.5  密鑰管理 297

8.7  密碼攻擊技術 299

8.7.1  密鑰和算法攻擊 300

8.7.2  實施攻擊 302

8.7.3  其他攻擊 304

8.8  本章回顧 307

8.9  快速提示 307

8.10  問題 309

8.11  答案 311

第9章  安全架構 313

9.1  威脅建模 313

9.1.1  攻擊樹 314

9.1.2  MITRE ATT&CK框架 316

9.1.3  為什麽使用威脅建模 316

9.2  安全設計原則 317

9.2.1  深度防禦 318

9.2.2  零信任 319

9.2.3  信任但要驗證 319

9.2.4  責任共擔 319

9.2.5  職責分離 320

9.2.6  最小特權 321

9.2.7  最簡法則 321

9.2.8  默認安全 322

9.2.9  失效關閉 322

9.2.10  隱私設計 323

9.3  安全模型 323

9.3.1  Bell-LaPadula模型 323

9.3.2  Biba模型 324

9.3.3  Clark-Wilson 模型 325

9.3.4  非乾擾模型 326

9.3.5  Brewer-Nash模型 327

9.3.6  Graham-Denning模型 327

9.3.7  Harrison-Ruzzo-Ullman

模型 327

9.4  安全需求 328

9.5  信息系統的安全能力 329

9.5.1  可信平臺模塊 329

9.5.2  硬件安全模塊 330

9.5.3  自加密驅動器 331

9.5.4  總線加密 331

9.5.5  安全處理 332

9.6  本章回顧 335

9.7  快速提示 335

9.8  問題 336

9.9  答案 338

第10章  場所和基礎設施安全 339

10.1  場所和基礎設施安全 339

10.1.1  安全原則 340

10.1.2  場所規劃流程 344

10.1.3  通過環境設計預防犯罪 347

10.1.4  設計一個物理安全計劃 352

10.2  場所和基礎設施控制措施 358

10.2.1  工作區安全 358

10.2.2  數據處理設施 360

10.2.3  配線器 362

10.2.4  存儲基礎設施 363

10.2.5  公共設施 363

10.2.6  消防安全 368

10.2.7  環境問題 373

10.3  本章回顧 373

10.4  快速提示 374

10.5  問題 375

10.6  答案 376

 

第IV部分

通信與網絡安全

第11章  網絡基礎 380

11.1  數據通信基礎 380

11.1.1  網絡參考模型 381

11.1.2  協議 382

11.1.3  應用層 384

11.1.4  表示層 385

11.1.5  會話層 386

11.1.6  傳輸層 388

11.1.7  網絡層 389

11.1.8  數據鏈路層 389

11.1.9  物理層 391

11.1.10  OSI 模型中的功能和

協議 392

11.1.11  OSI各層綜述 393

11.2  局域網 395

11.2.1  網絡拓撲 395

11.2.2  介質訪問控制機制 397

11.2.3  第 2 層協議 401

11.2.4  傳輸方式 405

11.2.5  第2層安全標準 406

11.3  Internet協議網絡 408

11.3.1  TCP 409

11.3.2  IP尋址 414

11.3.3  IPv6 416

11.3.4  地址解析協議 419

11.3.5  動態主機配置協議 420

11.3.6  Internet控制報文協議 422

11.3.7  簡單網絡管理協議 424

11.3.8  域名服務 426

11.3.9  網絡地址轉換 432

11.3.10  路由協議 434

11.4  內聯網和外聯網 437

11.5  城域網 438

11.6  廣域網 440

11.6.1  專用鏈路 440

11.6.2  廣域網技術 443

11.7  本章回顧 450

11.8  快速提示 451

11.9  問題 452

11.10  答案 454

第12章  無線網絡 456

12.1  無線通信技術 456

12.1.1  擴頻 457

12.1.2  正交頻分復用 460

12.2  無線網絡基礎 460

12.2.1  WLAN組件 460

12.2.2  WLAN標準 462

12.2.3  其他無線網絡標準 464

12.2.4  其他重要標準 468

12.3  無線網絡安全的演化 469

12.3.1  802.11 470

12.3.2  802.11i 471

12.3.3  802.11w 472

12.3.4  WPA3 473

12.3.5  802.1X 473

12.4  無線網絡安全最佳實踐 475

12.5  移動無線通信 476

12.5.1  多址技術 477

12.5.2  歷代移動技術 478

12.6  衛星 481

12.7  本章回顧 482

12.8  快速提示 482

12.9  問題 484

12.10  答案 485

第13章  網絡安全 487

13.1  安全設計原則運用於網絡

架構 487

13.2  安全網絡 489

13.2.1  鏈路加密與端到端加密 489

13.2.2  傳輸層安全 491

13.2.3  虛擬私有網絡 493

13.3  安全協議 498

13.3.1  Web 服務 498

13.3.2  域名系統 502

13.3.3  電子郵件 507

13.4  多層協議 511

13.4.1  分佈式網絡協議3 511

13.4.2  CAN總線 511

13.4.3  Modbus 512

13.5  聚合協議 512

13.5.1  封裝 512

13.5.2  以太網光纖通道 513

13.5.3  Internet小型電腦系統

接口 513

13.6  網絡分段 513

13.6.1  虛擬局域網 514

13.6.2  虛擬可擴展局域網 516

13.6.3  軟件定義網絡 516

13.6.4  軟件定義廣域網 518

13.7  本章回顧 518

13.8  快速提示 519

13.9  問題 521

13.10  答案 522

第14章  網絡組件 524

14.1  傳輸介質 524

14.1.1  傳輸類型 525

14.1.2  帶寬和吞吐量 533

14.2  網絡設備 534

14.2.1  中繼器 534

14.2.2  交換機 536

14.2.3  網絡訪問控制設備 544

14.3  終端安全 549

14.4  內容分發網絡 550

14.5  本章回顧 550

14.6  快速提示 551

14.7  問題 552

14.8  答案 553

第15章  安全通信通道 555

15.1  語音通信 555

15.1.1  公共交換電話網 556

15.1.2  DSL 557

15.1.3  ISDN 558

15.1.4  有線調制解調器 560

15.1.5  IP電話 560

15.2  多媒體協同 566

15.2.1  會議程序 566

15.2.2  統一通信 567

15.3  遠程訪問 568

15.3.1  VPN 569

15.3.2  VPN驗證協議 569

15.3.3  桌面虛擬化 571

15.3.4  安全外殼 573

15.4  數據通信 574

15.4.1  網絡套接字 574

15.4.2  遠程過程調用 575

15.5  虛擬網絡 575

15.6  第三方接入 576

15.7  本章回顧 578

15.8  快速提示 578

15.9  問題 579

15.10  答案 581

 

第V部分

身份和訪問管理

第16章  身份和訪問基礎 584

16.1  身份標識、身份驗證、

授權與可問責性 584

16.1.1  身份標識和身份驗證 586

16.1.2  基於知識的身份驗證 588

16.1.3  生物識別身份驗證技術 591

16.1.4  基於所有權的身份驗證 596

16.2  憑證管理 602

16.2.1  口令管理器 602

16.2.2  口令同步 603

16.2.3  自助式口令重置 603

16.2.4  輔助式口令重置 604

16.2.5  即時訪問 604

16.2.6  註冊與身份證明 604

16.2.7  用戶配置文件更新 605

16.2.8  會話管理 606

16.2.9  可問責性 607

16.2.10  審查審計信息 608

16.3  身份管理 610

16.3.1  目錄服務 612

16.3.2  目錄在身份管理中的

角色 613

16.3.3  單點登錄 614

16.3.4  聯合身份管理 616

16.4  使用第三方服務的聯合

身份 618

16.5  本章回顧 620

16.6  快速提示 620

16.7  問題 622

16.8  答案 625

第17章  管理身份和訪問 626

17.1  授權機制 626

17.1.1  自主訪問控制 627

17.1.2  強制訪問控制 629

17.1.3  基於角色的訪問控制 631

17.1.4  基於規則的訪問控制 633

17.1.5  基於屬性的訪問控制 634

17.1.6  基於風險的訪問控制 634

17.2  身份驗證和授權系統實施 635

17.2.1  訪問控制和標記語言 635

17.2.2  OAuth 640

17.2.3  OpenID連接 641

17.2.4  Kerberos 642

17.2.5  遠程訪問控制技術 646

17.3  管理身份和訪問配置生命

周期 652

17.3.1  配置 652

17.3.2  訪問控制 653

17.3.3  合規 653

17.3.4  配置管理 655

17.3.5  撤銷 656

17.4  控制物理與邏輯訪問 657

17.4.1  信息訪問控制 657

17.4.2  系統和應用程序訪問

控制 658

17.4.3  對設備的訪問控制 658

17.4.4  基礎設施訪問控制 658

17.5  本章回顧 659

17.6  快速提示 659

17.7  問題 661

17.8  答案 663

 

第VI部分

安全評估與測試

第18章  安全評估 666

18.1  測試、評估和審計戰略 666

18.1.1  評估設計 667

18.1.2  評估驗證 668

18.2  測試技術性控制分類 669

18.2.1  漏洞測試 670

18.2.2  其他漏洞類型 673

18.2.3  滲透測試 674

18.2.4  紅隊測試 678

18.2.5  模擬入侵攻擊 679

18.2.6  日誌審查 679

18.2.7  合成交易 682

18.2.8  代碼審查 683

18.2.9  代碼測試 684

18.2.10  誤用案例測試 685

18.2.11  測試覆蓋率 686

18.2.12  接口測試 687

18.2.13  合規檢查 687

18.3  實施安全審計 688

18.3.1  內部審計 689

18.3.2  外部審計 691

18.3.3  第三方審計 691

18.4  本章回顧 693

18.5  快速提示 693

18.6  問題 694

18.7  答案 696

第19章  安全度量 697

19.1  量化安全 697

19.1.1  安全度量 699

19.1.2  關鍵績效和風險指標 701

19.2  安全流程數據 703

19.2.1  賬戶管理 703

19.2.2  備份確認 705

19.2.3  安全培訓和安全意識

宣貫培訓 708

19.2.4  災難恢復和業務持續 711

19.3  報告 713

19.3.1  分析結果 713

19.3.2  技術報告編寫 715

19.3.3  執行摘要 716

19.4  管理評審和批準 717

19.4.1  管理評審之前 718

19.4.2  評審的輸入 719

19.4.3  管理層批準 719

19.5  本章回顧 720

19.6  快速提示 720

19.7  問題 721

19.8  答案 722

 

第VII部分

安全運營

第20章  安全運營管理 726

20.1  安全運營基礎概念 726

20.1.1  可問責性 728

20.1.2  最小特權/知必所需 728

20.1.3  職責分離和責任 729

20.1.4  特權賬戶管理 729

20.1.5  職責輪換 730

20.1.6  服務水平協議 730

20.2  變更管理 731

20.2.1  變更管理實踐 731

20.2.2  變更管理文檔 732

20.3  配置管理 733

20.3.1  基線 733

20.3.2  資源調配 734

20.3.3  自動化 734

20.4  資源保護 735

20.4.1  系統鏡像 735

20.4.2  源文件 735

20.4.3  備份 736

20.5  漏洞和補丁管理 738

20.5.1  漏洞管理 739

20.5.2  補丁管理 741

20.6  物理安全 744

20.6.1  外部邊界安全控制措施 744

20.6.2  基礎設施訪問控制 752

20.6.3  內部安全控制措施 759

20.6.4  人員訪問控制措施 759

20.6.5  入侵檢測系統 760

20.6.6  物理訪問的審計 763

20.7  人員安全與保護措施 763

20.7.1  差旅 764

20.7.2  安全培訓和意識宣貫 764

20.7.3  應急管理 764

20.7.4  脅迫 765

20.8  本章回顧 765

20.9  快速提示 766

20.10  問題 767

20.11  答案 769

第21章  安全運營活動 771

21.1  安全運營中心 771

21.1.1  成熟SOC的要素 772

21.1.2  威脅情報 773

21.2  預防與檢測措施 775

21.2.1  防火牆 776

21.2.2  入侵檢測和防禦系統 794

21.2.3  反惡意軟件 795

21.2.4  沙箱 799

21.2.5  外包安全服務 799

21.2.6  蜜罐和蜜網 800

21.2.7  人工智能工具 802

21.3  持續記錄日誌和持續監測 803

21.3.1  日誌管理 804

21.3.2  安全信息和事件管理 805

21.3.3  出口流量持續監測 806

21.3.4  用戶和實體行為分析 806

21.3.5  不間斷監測 806

21.4  本章回顧 807

21.5  快速提示 807

21.6  問題 809

21.7  答案 810

第22章  安全事故 812

22.1  事故管理概述 812

22.1.1  檢測 816

22.1.2  響應 817

22.1.3  緩解 818

22.1.4  報告 818

22.1.5  恢復 819

22.1.6  修復 819

22.1.7  總結經驗教訓 820

22.2  事故響應規劃 820

22.2.1  角色和職責 821

22.2.2  事故分級 822

22.2.3  通知 823

22.2.4  運營任務 824

22.2.5  操作手冊 825

22.3  調查 826

22.3.1  動機、機會與手段 827

22.3.2  電腦犯罪行為 827

22.3.3  證據收集和處理 828

22.3.4  什麽是法庭上可

受理的? 831

22.3.5  數字取證工具、策略和

程序 833

22.3.6  取證調查技術 834

22.3.7  其他調查技術 835

22.3.8  司法證物 837

22.3.9  報告和記錄 838

22.4  本章回顧 838

22.5  快速提示 839

22.6  問題 840

22.7  答案 842

第23章  災難 843

23.1  恢復戰略 843

23.1.1  業務流程恢復 847

23.1.2  數據備份 847

23.1.3  文檔記錄 853

24.1.4  人力資源 854

23.1.5  恢復場所戰略 854

23.1.6  可用性 859

23.2  災難恢復流程 862

23.2.1  響應 863

23.2.2  人員 864

23.2.3  通信 865

23.2.4  評估 866

23.2.5  還原 866

23.2.6  培訓和意識 868

23.2.7  經驗教訓 868

23.2.8  測試災難恢復方案 869

23.3  業務持續 871

23.3.1  BCP生命周期 872

23.3.2  信息系統可用性 873

23.3.3  最終用戶環境 876

23.4  本章回顧 877

23.5  快速提示 877

23.6  問題 878

23.7  答案 880

 

第VIII部分

軟件研發安全

第24章  軟件研發 882

24.1  軟件研發生命周期 882

24.2  項目管理 883

24.2.1  需求收集階段 884

24.2.2  設計階段 886

24.2.3  研發階段 889

24.2.4  測試階段 891

24.2.5  運營維護階段 893

24.2.6  變更管理 893

24.2.7  變更控制 893

24.3  軟件研發方法論 895

24.3.1  瀑布模式 895

24.3.2  原型模式 896

24.3.3  增量模式 897

24.3.4  螺旋模式 898

24.3.5  快速應用程序研發 899

24.3.6  敏捷模式 900

24.4  成熟度模型 904

24.4.1  能力成熟度集成模型 905

24.4.2  軟件保障成熟度模型 907

24.5  本章回顧 907

24.6  快速提示 908

24.7  問題 909

24.8  答案 910

第25章  安全的軟件 913

25.1  編程語言與概念 913

25.1.1  匯編器、編譯器和

解釋器 915

25.1.2  運行時環境 917

25.1.3  面向對象的概念 919

25.1.4  內聚和耦合 924

25.1.5  應用程序編程接口 924

25.1.6  軟件庫 925

25.2  安全的軟件研發 925

25.2.1  源代碼漏洞 926

25.2.2  安全編碼實踐 926

25.2.3  軟件研發安全控制措施 928

25.2.4  應用程序安全測試 930

25.2.5  持續集成和交付 931

25.2.6  安全編排、自動化和

響應 932

25.2.7  軟件配置管理 932

25.2.8  代碼存儲庫 933

25.3  軟件安全評估 934

25.3.1  風險分析和緩解 934

25.3.2  變更管理 934

25.3.3  評估獲取軟件的安全性 935

25.4  本章回顧 937

25.5  快速提示 937

25.6  問題 939

25.7  答案 940

——以下內容可掃封底二維碼下載——

附錄A  完整的復習題 943

附錄B  知識點目標映射 983

附錄C  關於在線內容 998