کتاب CISSP

دانلود PDF ویرایش نهم نسخه رسمی کتاب CISSP

معرفی:

مدرک (CISSP (Certified Information Systems Security Professional اولین مدرک در زمینه امنیت اطلاعات بود که اعتبار آن در سازمان استانداردهای ملی آمریکا (ANSI) و سازمان استاندارهای جهانی (ISO) تصویب شد. همچنین در زمینه دانش فنی و مدیریتی تضمین اطلاعات، توسط وزارت دفاع آمریکا (DoD) تائید شده است، در این قصد داریم این دوره را به صورت کامل به شما معرفی کنیم و در نهایت ویرایش نهم کتاب CISSP را برای شما به صورت رایگان قرار دهیم.

نیاز به گواهینامه CISSP:

قبل از اینکه به CISSP بپردازیم، به درک اهمیت CISSP و چگونگی پیدایش آن می‌پردازیم.
با افزایش داده‌ ها، شرکت‌ ها در حال سرمایه‌ گذاری و تمرکز بر امنیت سایبری برای محافظت از تمام داده‌ های خود هستند.
در حال حاضر امنیت سایبری در سراسر جهان در حال رونق است. طبق مشاغل امنیت سایبری،
جرایم اینترنتی تا سال 2021 سالانه 6 تریلیون دلار هزینه برای جهان خواهد داشت، در حالی که در سال 2015 این میزان 3 تریلیون دلار بود.
این افزایش چشمگیر، گویای وضعیت فعلی امور است.
شرکت‌ها به دنبال افراد متخصص هستند که بتوانند از اطلاعات خود در برابر دسترسی غیر مجاز محافظت کنند.
گواهینامه‌ های امنیت سایبری در حرفه افراد اهمیت فوق العاده‌ای دارند.
برخی گواهینامه امنیت سایبری عبارتند از: CCNA ، CompTIA Security + ، CISM ، CISA ، CEH و CISSP. گواهینامه CISSP
یکی از سخت‌ ترین و پر تقاضا ترین گواهینامه‌ ها است.

آموزش حوزه‌ های CISSP:

گواهینامه CISSP در هشت حوزه گروه ‌بندی شده است. طیف گسترده‌ ای از موضوعات موجود در CISSP ارتباط آن را در همه
رشته‌ های امنیت اطلاعات تضمین می‌ کند. این هشت حوزه با جنبه‌ های مختلف امنیت اطلاعات سروکار دارند.
به صورت جداگانه نگاهی به هر یک از این موارد خواهیم انداخت و بیان می‌کنیم هر یک از این حوزه‌ ها نماد چیست.

1- امنیت و مدیریت ریسک

این حوزه عمدتا از اصول سیاست‌ های امنیتی، قانون و مقررات انطباق، اخلاق حرفه‌ ای، مدیریت ریسک و مدل‌ سازی تهدید تشکیل شده است.
رویکرد های زیر برای پیاده‌ سازی امنیت سایبری اتخاذ شده است:

  • مبتنی بر انطباق: در اینجا، اقدامات امنیتی براساس آیین‌ نامه تصمیم‌ گیری می‌ شود
  • Ad-hoc: اقدامات امنیتی براساس هیچ معیار خاصی انجام نمی‌شود
  • ریسک محور: اقدامات امنیتی بر اساس خطرات منحصر به فرد بسته به سازمان انجام می‌ شود

بخش حیاتی دیگر امنیت اطلاعات مدل سه گانه CIA است. برای محافظت از اطلاعات درون یک شرکت،
مدل امنیتی محرمانه بودن ، یکپارچگی و در دسترس بودن (CIA) طراحی شده است.

2- امنیت دارایی

دومین حوزه، امنیت دارایی CISSP ، مربوط به کار با جمع‌ آوری و محافظت از دارایی‌ هایی مانند داده‌ ها و دستگاه‌ ها است.امنیت دارایی شامل مراحل زیر است:

  • طبقه‌بندی داده‌ها – در اینجا، ابتدا صاحب داده، داده‌ها را طبقه‌ بندی می‌ کند.
    این طبقه‌ بندی براساس مجموعه‌ ای از معیار های از پیش تعیین شده انجام می‌ شود. پس از آن طبقه‌ بندی سالانه بررسی می‌ شود تا تغییرات بررسی شود.
  • مدیریت داده‌ها – نیازهای چرخه عمر اطلاعات شرکت را به طور موثر مدیریت می‌کند.
    از اعتبار، صحت داده اطمینان حاصل می‌ کند و همچنین از مطابقت داده‌ ها با استاندارد های تعیین شده اطمینان حاصل می‌ کند.
  • Data Remanence – اصطلاحی است که برای باقیمانده داده‌ های دیجیتالی استفاده می‌ شود.
    روش هایی مانند رونویسی و تخریب ، مقابله با ماندگاری مجدد داده ها.
  • جلوگیری از، از دست دادن داده‌ ها – در این مرحله، اقدامات متعدد و ارزیابی ریسک انجام می‌ شود
    تا اطمینان حاصل شود که داده فقط برای کاربران مجاز در دسترس است.

3- مهندسی امنیت

حوزه سوم مهندسی امنیت است. این دامنه بر معماری امنیتی، مدل‌ های امنیتی، رمزنگاری و امنیت فیزیکی تمرکز دارد.
دامنه مهندسی امنیت یک روش معمول برای ایجاد، تجزیه و تحلیل و استفاده از توصیفات معماری در یک دامنه خاص ایجاد می‌ کند.
برای پیاده‌ سازی امنیت، معماری امنیتی از محاسبات قابل اعتماد، محیط امنیتی و مدل‌ های مرجع کمک می‌ گیرد.

رمزنگاری همچنین بخشی از مهندسی امنیت است. رمزنگاری با تبدیل داده‌ ها از قالب قابل خواندن به قالب غیرقابل خواندن و بالعکس، اطلاعات را ایمن می‌ کند.

4- ارتباطات و امنیت شبکه

این دامنه همه چیز در مورد ساختار های شبکه، روش‌ های انتقال و اقدامات امنیتی مورد استفاده
برای دستیابی به CIA در یک سازمان است. برخی از این اقدامات را با هم مرور کنیم:

  • مدل OSI – پایه و اساس شبکه است. اتصال سیستم های باز (Open Systems Interconnection) که به عنوان مدل OSI شناخته می‌ شود، نحوه انتقال داده‌ ها از یک رایانه به رایانه دیگر را توصیف می‌ کند.
  • فایروال – فایروال یک سخت‌ افزار یا نرم‌ افزار است که برای فیلتر کردن ترافیک مخرب از اینترنت به رایانه شما استفاده می‌ شود.
  • سیستم تشخیص نفوذ – IDS برای شناسایی دسترسی غیر مجاز به سیستم طراحی شده است که بهتر است همراه با فایروال و روتر استفاده شود.

5- هویت و مدیریت دسترسی

این حوزه CISSP همه چیز در مورد کنترل دسترسی، شناسایی، مجوز و حمله به کنترل دسترسی و اقدامات متقابل آن است.
برای دسترسی به یک مجموعه داده یا منبع، باید یک موضوع شناسایی، تایید اعتبار و مجاز شود.

در ادامه نگاهی به برخی از زمینه‌ های مهم در این حوزه بیندازیم:

  • مدیریت هویت – در اینجا، از طریق روش‌ های مختلف خودکار، کاربران شناسایی و احراز هویت می‌ شوند.
  • Kerberos – پروتکل احراز هویت مبتنی بر رمزنگاری کلید متقارن است که امنیت پایان به پایان را فراهم می‌کند.
  • معیارهای دسترسی – دسترسی به داده‌ ها نباید به همه داده شود.
    باید براساس سطح اعتماد و نقش شغلی در سازمان صادر شود. همچنین اگر براساس مکان و زمان ارائه شود بهتر است.

6- ارزیابی و آزمایش امنیت:

مانند سایر حوزه‌ها، شما باید ارزیابی‌ های منظم را حتی در این زمینه نیز انجام دهید. بنابراین در این حوزه، به بررسی ممیزی‌ ها، ارزیابی کنترل امنیت و گزارش‌ های آزمایش خواهیم پرداخت.

  • ممیزی‌ها – ارزیابی چیزی نیست جز فرایندی مکرر که در آن یک متخصص مستقل شواهد را ارزیابی و تحلیل می کند.
  • ارزیابی آسیب‌پذیری – در اینجا، خطرات IT، شناسایی و ارزیابی می‌ شوند. در شناسایی، تعیین کمیت و اولویت‌ بندی آسیب‌ پذیری‌ ها کمک می‌ کند.
  • آزمایش کردن – ارزیابی و برنامه‌ ریزی استراتژی آزمایش می‌ تواند اطلاعات ارزشمندی در مورد خطر و کاهش خطر ارائه دهد.
    ارزیابی و آزمون توسط یک گروه کاری به نام تیم محصول یکپارچه انجام می‌ شود. آزمایش برای بررسی جریان داده بین برنامه و سیستم انجام می‌ شود.

7- عملیات امنیتی:

نظارت و ورود به سیستم، بازیابی بلایا و مدیریت تغییر است. دامنه عملیات امنیتی این آموزش CISSP بر پزشکی قانونی دیجیتال، مدیریت حادثه و امنیت محیط متمرکز است:

  • پزشکی قانونی دیجیتال – در اینجا، داده‌های دیجیتال برای شناسایی، بازیابی و تجزیه و تحلیل نظرات در مورد اطلاعات دیجیتال مورد بررسی قرار می‌ گیرند.
  • مدیریت حوادث – مدیریت حوادث در جهت بازگرداندن خدمات به حالت عادی، در اسرع وقت کار می‌ کند.
    تیمی به نام تیم پاسخگوی حوادث برای رسیدگی به شرایط اضطراری اعزام شده‌ اند. پاسخ بروز به عنوان تشخیص یک مشکل، تعیین علت آن، به حداقل رساندن آسیب، حل مسئله و مستند‌ سازی هر مرحله تعریف می‌شود. این تیم اطلاعات کافی در اختیار مدیریت قرار داده و از شرکت در برابر حملات آینده دفاع می‌ کند.
  • امنیت محیط – دفاع محیطی به ما امکان می‌ دهد دسترسی فیزیکی غیر مجاز را شناسایی و کنترل کنیم.
    این قسمت همچنین دسترسی به تاسیسات را کنترل می‌ کند. با این کار، عملیات امنیتی را به عنوان یک دامنه بررسی کرده‌ ایم.

8- امنیت توسعه نرم‌ افزار:

همانطور که از نام آن پیداست، این دامنه درباره امنیت در چرخه حیات توسعه نرم‌ افزار صحبت می‌ کند.
ما به دنبال موضوعاتی مانند API ، Malware ، Spyware ، Adware حملات مهندسی اجتماعی و حملات تزریق SQL خواهیم بود.

  • Application Program Interface (API) – API مجموعه‌ ای از پروتکل‌ ها و توابع است که برای ایجاد برنامه‌ ها استفاده می‌ شود.
    این برنامه از فرمت‌هایی مانند نمایندگی انتقال دولت (REST) و پروتکل دسترسی ساده به اشیا (SOAP) پشتیبانی می‌ کند.
  • بدافزار – اصطلاحی است که به نرم‌ افزارهای مخرب، ویروس‌ ها، باج‌ افزارها و کرم‌ ها اشاره دارد.
    همچنین می توانیم ویروس تروجان را نوعی بدافزار بنامیم که می‌ تواند خود را به عنوان یک نرم‌ افزار قانونی مبدل کند.
  • نرم‌افزارهای جاسوسی – نوعی بدافزار است که برای جمع‌ آوری مخفیانه اطلاعات قربانی مورد استفاده قرار می‌ گیرد.
  • Adware – همانطور که از نامش پیداست، نوعی بدافزار است که به طور مداوم تبلیغات و پنجره‌ های بازشو را نمایش می‌ دهد. این‌ ها قادر به جمع آوری اطلاعات شما هستند.
  • حمله مهندسی اجتماعی – هنر دستکاری افراد برای دادن اطلاعات محرمانه آن‌ ها است.
  • SQL Injection – در یک وب سایت مبتنی بر پایگاه داده ، هکر یک کوئری استاندارد SQL را دستکاری می‌ کند و کد های مخرب را برای به دست آوردن اطلاعات در سرور SQL قرار می‌ دهد. مثلا در این نوع حمله هدف تنها پایگاه داده نیست بلکه اگر هکر زیرک باشد متوجه ارزش باگ میشود چرا که این حمله میتواند برای سرور هم مورد نظر باشد ، در نتیجه سرور میتواند بسیار ارزشمند باشد در این نوع حمله هکر اقدام به ارسال کد خود برای بدست آوردن اطلاعات دیتابیس میکند و سپس با بدست آوردن پسورد ادمین میتواند وارد پنل ادمین شود و پس از آن اقدام به ارسال شل که دسترسی تقریبا کلی را خواهد گرفت و تنها یک قدم با در اختیار گرفتن سرور فاصله دارد، میکند.

دانلود فایل آموزشی

اشتراک گذاری

دیدگاهتان را بنویسید

لطفا امتیاز دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *