描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787111622031
本书是金融行业资深信安专家十余年实战经验的结晶,从安全世界观到安全方法论,从安全合规管理到安全技术实践,从移动应用安全、企业内网安全到金融数据安全,全方位介绍如何打造企业安全管理机制和安全技术架构。
本书全面、系统地介绍企业信息安全的技术架构与实践,总结了作者在金融行业多年的信息安全实践经验,内容丰富,实践性强。本书分为两大部分,共24章。*部分“安全架构”主要内容有:信息安全观、金融行业信息安全的特点、安全规划、内控合规管理、信息安全团队建设、安全培训规划、外包安全管理、安全考核、安全认证等。第二部分“安全技术实战”主要内容有:互联网应用安全、移动应用安全、企业内网安全、数据安全、业务安全、邮件安全、活动目录安全、安全检测、安全运营、安全资产管理和矩阵式监控、应急响应、信息安全趋势和安全从业者的未来等。
序一
序二
序三
前言
第一部分 安全架构
第1章 企业信息安全建设简介2
1.1 安全的本质2
1.2 安全原则2
1.3 安全世界观4
1.4 正确处理几个关系4
1.5 安全趋势6
1.6 小结7
第2章 金融行业的信息安全8
2.1 金融行业信息安全态势8
2.2 金融行业信息安全目标10
2.3 信息安全与业务的关系:矛盾与共赢12
2.4 信息安全与监管的关系:约束与保护13
2.5 监管科技14
2.6 小结16
第3章 安全规划17
3.1 规划前的思考17
3.2 规划框架18
3.3 制订步骤19
3.3.1 调研19
3.3.2 目标、现状和差距20
3.3.3 制订解决方案22
3.3.4 定稿23
3.3.5 上层汇报23
3.3.6 执行与回顾23
3.4 注意事项24
3.5 小结24
第4章 内控合规管理25
4.1 概述25
4.1.1 合规、内控、风险管理的关系25
4.1.2 目标及领域25
4.1.3 落地方法26
4.2 信息科技风险管理26
4.2.1 原则27
4.2.2 组织架构和职责27
4.2.3 管理内容28
4.2.4 管理手段和流程29
4.2.5 报告机制30
4.2.6 信息科技风险监控指标32
4.3 监督检查34
4.4 制度管理36
4.5 业务连续性管理38
4.5.1 定义和标准38
4.5.2 监管要求39
4.5.3 BCM实施过程40
4.5.4 业务影响分析和风险评估40
4.5.5 BCP、演练和改进43
4.5.6 DRI组织及认证45
4.6 信息科技外包管理46
4.7 分支机构管理46
4.8 信息科技风险库示例47
4.9 小结49
第5章 安全团队建设50
5.1 安全团队建设的“痛点”50
5.2 安全团队面临的宏观环境54
5.3 安全团队文化建设56
5.4 安全团队意识建设63
5.5 安全团队能力建设67
5.5.1 确定目标,找准主要矛盾68
5.5.2 梳理和细分团队职能69
5.5.3 建立学习框架,提升知识和
技能水平71
5.5.4 掌握学习方法,实现事半功倍
的效果78
5.6 安全团队建设路径80
5.7 安全人员职业规划84
5.8 安全团队与其他团队的关系处理85
5.9 小结88
第6章 安全培训89
6.1 安全培训的问题与“痛点”89
6.1.1 信息安全意识不足的真实案例89
6.1.2 信息安全培训的必要性90
6.1.3 信息安全培训的“痛点”92
6.2 信息安全培训关联方93
6.3 信息安全培训“百宝箱”96
6.4 面向对象的信息安全培训矩阵105
6.5 培训体系实施的效果衡量107
6.6 小结108
第7章 外包安全管理109
7.1 外包安全管理的问题与“痛点”109
7.1.1 几个教训深刻的外包风险事件109
7.1.2 外包安全管理的必要性110
7.1.3 外包管理中的常见问题112
7.2 外包战略体系113
7.3 外包战术体系118
7.3.1 事前预防118
7.3.2 事中控制123
7.3.3 事后处置132
7.4 金融科技时代的外包安全管理133
7.5 小结135
第8章 安全考核136
8.1 考核评价体系与原则136
8.2 安全考核对象137
8.3 考核方案140
8.3.1 考核方案设计原则140
8.3.2 总部IT部门安全团队141
8.3.3 总部IT部门非安全团队
(平行团队)142
8.3.4 个人考核143
8.3.5 一些细节144
8.4 与考核相关的其他几个问题144
8.5 安全考核示例146
8.6 小结150
第9章 安全认证151
9.1 为什么要获得认证151
9.2 认证概述152
9.2.1 认证分类152
9.2.2 认证机构154
9.3 选择什么样的认证157
9.4 如何通过认证159
9.5 小结162
第10章 安全预算、总结与汇报163
10.1 安全预算163
10.2 安全总结166
10.3 安全汇报167
10.4 小结168
第二部分 安全技术实战
第11章 互联网应用安全170
11.1 端口管控170
11.2 Web应用安全172
11.3 系统安全173
11.4 网络安全175
11.5 数据安全175
11.6 业务安全176
11.7 互联网DMZ区安全管控标准176
11.8 小结178
第12章 移动应用安全179
12.1 概述179
12.2 APP开发安全180
12.2.1 AndroidManifest配置安全180
12.2.2 Activity组件安全181
12.2.3 Service组件安全181
12.2.4 Provider组件安全182
12.2.5 BroadcastReceiver组件安全183
12.2.6 WebView组件安全183
12.3 APP业务安全186
12.3.1 代码安全186
12.3.2 数据安全188
12.3.3 其他话题190
12.4 小结191
第13章 企业内网安全192
13.1 安全域192
13.2 终端安全193
13.3 网络安全195
13.3.1 网络入侵检测系统196
13.3.2 异常访问检测系统196
13.3.3 隐蔽信道检测系统197
13.4 服务器安全200
13.5 重点应用安全203
13.6 漏洞战争206
13.6.1 弱口令206
13.6.2 漏洞发现208
13.6.3 SDL210
13.7 蜜罐体系建设213
13.8 小结220
第14章 数据安全221
14.1 数据安全治理221
14.2 终端数据安全222
14.2.1 加密类222
14.2.2 权限控制类225
14.2.3 终端DLP类228
14.2.4 桌面虚拟化228
14.2.5 安全桌面230
14.3 网络数据安全230
14.4 存储数据安全234
14.5 应用数据安全235
14.6 其他话题237
14.6.1 数据脱敏237
14.6.2 水印与溯源237
14.6.3 UEBA240
14.6.4 CASB241
14.7 小结241
第15章 业务安全242
15.1 账号安全242
15.1.1 撞库242
15.1.2 账户盗用247
15.2 爬虫与反爬虫247
15.2.1 爬虫247
15.2.2 反爬虫249
15.3 API网关防护252
15.4 钓鱼与反制252
15.4.1 钓鱼发现252
15.4.2 钓鱼处置254
15.5 大数据风控255
15.5.1 基础知识255
15.5.2 风控介绍256
15.5.3 企业落地259
15.6 小结259
第16章 邮件安全261
16.1 背景261
16.2 入站安全防护262
16.2.1 邮箱账号暴力破解262
16.2.2 邮箱账号密码泄露264
16.2.3 垃圾邮件264
16.2.4 邮件钓鱼269
16.2.5 恶意附件攻击269
16.2.6 入站防护体系小结276
16.3 出站安全防护278
16.4 整体安全防护体系281
16.5 小结283
第17章 活动目录安全284
17.1 背景284
17.2 常见攻击方式285
17.2.1 SYSVOL与GPP漏洞285
17.2.2 MS14-068漏洞287
17.2.3 Kerberoast攻击289
17.2.4 内网横移抓取管理员凭证290
17.2.5 内网钓鱼与欺骗292
17.2.6 用户密码猜解293
17.2.7 获取AD数据库文件294
17.3 维持权限的各种方式295
17.3.1 krbtgt账号与黄金票据295
17.3.2 服务账号与白银票据296
17.3.3 利用DSRM账号297
17.3.4 利用SID History属性298
17.3.5 利用组策略299
17.3.6 利用AdminSDHolder300
17.3.7 利用SSP301
17.3.8 利用Skeleton Key303
17.3.9 利用PasswordChangeNofity304
17.4 安全解决方案304
17.4.1 活动目录整体架构及相关规范305
17.4.2 技术体系运营309
17.4.3 外围平台安全310
17.4.4 被渗透后的注意事项311
17.5 小结311
第18章 安全热点解决方案312
18.1 DDoS攻击与对策312
18.1.1 DDoS防御常规套路312
18.1.2 一些经验314
18.2 勒索软件应对316
18.3 补丁管理317
18.3.1 Windows318
18.3.2 Linux319
18.4 堡垒机管理319
18.5 加密机管理321
18.5.1 选型322
18.5.2 高可用架构与监控322
18.5.3 应用梳理324
18.5.4 上下线与应急324
18.6 情报利用324
18.7 网络攻防大赛与CTF325
18.8 小结329
第19章 安全检测330
19.1 安全检测方法330
19.2 检测工具331
19.3 安全检测思路和流程332
19.4 安全检测案例334
19.4.1 收集信息334
19.4.2 暴力破解335
19.4.3 XSS检测343
19.4.4 OS命令执行检测344
19.4.5 SQL注入检测345
19.4.6 XML实体注入检测346
19.4.7 代码注入346
19.4.8 文件上传漏洞检测347
19.4.9 支付漏洞检测348
19.4.10 密码找回漏洞349
19.4.11 文件包含漏洞350
19.5 红蓝对抗350
19.6 小结352
第20章 安全运营353
20.1 安全运营概述353
20.2 架构354
20.3 工具357
20.4 所需资源359
20.5 安全运营的思考361
20.6 小结364
第21章 安全运营中心365
21.1 安全运营中心概述365
21.2 ArcSight简介365
21.3 SOC实施规划和架构设计369
21.3.1 明确需求370
21.3.2 架构环境370
21.3.3 硬件规格372
21.3.4 日志管理策略373
21.3.5 应用的资产和架构信息373
21.3.6 外部信息集成策略374
21.3.7 开发方法及方式374
21.3.8 工作流规划374
21.3.9 成果度量375
21.4 ArcSight安装配置375
21.4.1 安装前准备376
21.4.2 初始化安装376
21.4.3 安装后验证377
21.4.4 性能调优377
21.4.5 初始备份377
21.4.6 压力测试377
21.4.7 其他参数调整377
21.5 小结378
第22章 安全资产管理和矩阵式监控379
22.1 安全资产管理379
22.1.1 面临的问题379
22.1.2 解决思路和方案383
22.1.3 几点思考387
22.2 矩阵式监控388
22.2.1 存在的问题388
22.2.2 解决方案388
22.2.3 收益和体会391
22.3 小结392
第23章 应急响应393
23.1 概述393
23.2 事件分类394
23.3 事件分级395
23.4 PDCERF模型395
23.5 其他话题396
23.6 小结397
第24章 安全趋势和安全从业者的未来398
24.1 职业规划方法论398
24.2 安全环境趋势和安全从业趋势402
24.3 安全从业指南404
24.4 安全从业注意事项408
24.5 小结410
附 录
附录A 我的CISSP之路412
附录B 企业安全技能树(插页)
◆前言◆
自从我从事信息安全职业以来,我一直在甲方从事企业安全建设工作。由于信息技术和安全技术日新月异地发展,我一直在学习之路上奔跑。看过很多书,听过很多演讲,其中大部分图书是零碎的技术点、工具使用和攻击过程演示,少数是属于理论性和学术性的教科书,很少有书籍介绍如何将安全技术更好地应用在不同规模、不同阶段的企业中,即企业安全最后一公里问题。在企业做安全、安全管理和安全技术,都需要通过安全实践去落地,并最终实现安全有效性的提升。
企业的安全负责人关注的重点是如何使企业的安全建设更加有效,以及如何落地,例如安全价值、安全如何保障业务、安全合规、安全总结汇报、安全考核、安全度量、资产管理等。企业安全建设的很多话题和讨论,看起来并不高大上,但却能够解决实际问题,给实际工作带来更大帮助,甚至很多属于“保命”的知识和技能。可是,安全实践这部分很有价值的内容却被市场选择性地忽略了。
企业安全建设中另一个重点是安全运营。企业负责人和IT部总经理经常会问:什么样的安全是安全的?我见过一些企业做安全的过程,部署了各种安全设备,设计了各种安全管理措施和流程,领导也很支持,安全预算和安全人员也都给足,结果还是出了问题,归根结底是安全有效性出了问题。设备部署了,异常告警规则做好了吗?告警正常吗?设备依赖的条件,比如镜像的流量一直正常吗?了解安全保护的业务吗?能看懂告警日志的人有吗……
要将安全性当作可用性来运营,安全才是有效的。目前制约安全运营发展的最大因素有两点:一是缺少特别好的商业化工具,能够结合企业内部的流程和人员,提高安全运营效率;二是一万个安全负责人心中有一万个安全运营思路,没有形成统一的安全运营标准。安全运营这部分很有价值的内容,很遗憾和安全实践一样,也被市场选择性地忽略了。
书本和市场提供不了这些知识和技能,我只能求教于同行。我的从业经历主要在银行和证券,因此每年我都会和行业同仁进行学习交流。除了金融业,我们也向互联网行业公司学习,从中确实获益良多。不同的行业、企业的规模、面临的风险威胁、企业文化和实际需求、安全投入等,其安全建设之路也风格迥异,但做得好的企业都侧重解决实际安全问题,日拱一卒,积极实践,因此愈发坚定我对安全实践和安全运营的探索。
利用工作之余的闲暇时间,我维护了“君哥的体历”公众号和“金融业企业安全建设实践”微信群,将我从业十余年的一些体验和经历分享出来,抛砖引玉,启发更多企业安全负责人的思考和分享讨论,并将有价值的内容沉淀在知识星球(公众号、微信群、知识星球联系方式见文末),为越来越多的人带来一些价值和帮助。
这种分享,我理解为另一种“开源”精神。代码和项目开源很常见,体验和经历开源不多见,尤其是比较体系化地将如何在企业做安全建设的思路和实践开源,需要静下心来归纳总结提炼,在平常繁重的工作任务和需要全身心投入陪伴两个娃的同时,要做好“企业安全建设”这个开源项目,难度和挑战更大。在这个过程中,有如西湖惬意的微风,也有如沙漠般的烈日当头。不忘初心,方得始终。初心易得,始终难守。幸好我遇到了两位志同道合的伙伴,我们彼此共同努力和坚持,克服了各种困难,才有此书的面世。
在某个年纪之前,你可以靠透支身体、小聪明和老天给你的运气,一直取巧地活着。然而到了某个年纪之后,真正能让你走远的是自律、积极和勤奋。人生最美好的莫过于各种经历和难忘的体验,过程虽然比较痛苦,结果都还比较好。如果大家和我一样,在企业做安全中遇到各种颇为“痛苦”的经历,过后你一定会感谢和怀念这份经历的。
本书结构
本书分两部分共24章,读者可以通过浏览目录进一步了解各章的内容。本书介绍了企业安全建设的方方面面,可以当作一本安全工作参考书,遇到问题时,也可以挑选任何所需要章节进行阅读。
第一部分“安全架构”,主要介绍了企业安全建设涉及的领域,金融行业安全建设的一些特点,重点安全管理领域如内控合规管理、外包安全管理等,对安全团队建设、安全培训、安全考核、安全认证、安全预算等进行了深入探讨,有助于读者从企业安全建设者的角度了解企业安全的视角和解决问题的思路。
第二部分“安全技术实战”,主要介绍企业安全建设中的一些安全技术应用实践,包括应用安全、内网安全、数据安全和业务安全等,对一些防护重点如邮件、活动目录、补丁管理、抗DDoS攻击等进行了深入探讨,对安全运营、应急响应和安全趋势以及从业者的未来做了一些开放式探讨。这些有助于企业安全负责人更好地掌握全局,顺势而为。附录中介绍了企业安全技能树等内容,还在持续更新中,有兴趣的读者可以和我们互动反馈。联系方式如下:
GitHub:https://github.com/jun1010/secbuild
微信公众号:君哥的体历(jungedetili)
知识星球:金融企业安全建设实践
我从事金融行业已有三十多年,经历了我国金融lT技术的发展和变化全过程。“安全可靠”是银行业的永久命题,它保障了银行信用的基础,全体技术人员时时刻刻为之付出了巨大的努力。互联网和云计算、大数据、人工智能等新技术的发展更加扁平化和立体化,对网络安全提出了新的全面要求。几位作者在银行和证券行业的安全技术领域不断探索实践,后生可畏。出版此书,殊为不易。
—徐连峰,原招商银行技术总监
本书是作者在金融行业多年从事安全工作的总结和归纳,对企业信息安全架构设计和安全技术实践的方方面面做了系统的梳理,实操性很强,干货满满!可以说,本书对金融行业信息安全从业人员和安全负责人都提供了一本行之有效的指南,可为案头常备工具书之一!
—陈建,平安集团首席安全官
信息安全是一项非常复杂的工程,既要有仰望星空的情怀,又要有脚踏实地的力行,这本书的作者们用自己的思考和实践很好地诠释了这一理念。几位作者都有十年以上金融信息安全从业经验,都是各企业的核心骨干,这次能够利用业余时间将这些经验编制成书,非常的难能可贵,自己有幸提前拜读,感悟良多,借此感谢。
—代留虎,招商银行总行安全管理室主管
建设完善的企业安全架构是一个非常艰难的过程,安全从业者的价值观和技术实战水平与企业安全的前途命运是紧密联系的,从安全本质出发,如何树立正确的安全价值观,处理好安全建设过程中的关系,把控安全趋势的发展,本书给予了我们启发和帮助。
—李吉慧,中国民生银行信息科技部安全规划中心副处长
本书是作者基于多年在金融行业网络安全技术管理岗位上的工作经验,针对金融企业的实际信息安全需求编撰的一部极具行业特色的著作。金融是离钱*近的行业,很自然就成为了网络罪犯们实施网络攻击的首要目标,金融企业必须要加强企业信息安全体系建设,才可能在与网络犯罪的对抗中力保业务不受损失。与此同时,金融企业的IT安全团队又往往只能有少量的人员编制,在这种情况下,如何进行企业的信息安全体系架构与团队技术能力提升,往往是困扰团队领导的难题。而本书作者从安全架构出发首先讨论金融企业信息安全建设的一些策略性问题,然后深入到与金融企业业务紧密相关的安全技术实战,*后回到对金融行业安全趋势与安全从业者职业发展未来的分析上。全书内容深入浅出,语言流畅自然,特别推荐给金融行业网络安全从业者研读,可帮助其快速建立起对行业网络安全需求与安全策略的精准把握,以及对网络安全实战技术的全面了解。此外本书也适合其他行业网络安全从业者参考,毕竟金融行业在信息安全体系上的投入与建设理念可以作为其他行业的参照标杆。
—诸葛建伟,清华大学副研究员/蓝莲花战队联合创始人
在国内,具备甲方经验、有防御体系建设能力和实战经验的人才非常稀缺,随着网络安全的重要性日益提升,安全人才市场缺口凸显。本书出版恰逢其时,不仅系统介绍了企业信息安全建设的方方面面,同时作者以多年金融行业的安全实战为背景,给读者带来大量精彩案例,是网络安全从业人员手头不可缺少参考手册。
—董志强,腾讯安全云鼎实验室负责人
本书具有大安全的视野与格局,内容深入浅出,结合实践经验的分享,对大安全的各个方面进行了体系化的总结,理论不散、实践不浮,体现了作者多年的积累与思考,为各类金融企业提供了可参考借鉴的安全框架与实务手册。
—吴树鹏,火币集团首席安全官
任何技术的落地都需要和场景结合起来,安全技术尤其如此。金融行业是对安全需求非常高的,内部的应用场景和需求如何与现有的技术结合非常有参考价值。作者们总结了他们十几年在金融甲方的安全实战经验,让我读后受益匪浅,强烈推荐为金融行业提供安全产品和服务的乙方,以及准备去金融企业做甲方的安全技术人员阅读。
—方兴(flashsky),全知科技CEO
金融行业的本质在经营风险,受到的监管合规管制也*严格。阅读本书,仿佛和作者们进行了一场酣畅淋漓的对话,又好像瞬间吸收了他们的功力,得以窥探金融领域安全实践的冰山一角。不论是大型互联网企业的安全管理者,还是初入行业的新人,本书都具有极大的参考意义,值得细细品读学习。
—赵弼政(职业欠钱),美团基础设施安全负责人
本书非常全面、系统、清晰地从多个维度介绍了企业信息安全建设的方方面面,对其中的主要场景的主要矛盾进行了深入浅出的剖析,既有适合安全管理者阅读的头脑激荡,也有适合安全工程师阅读的实操经验分享,实战价值极高。本书极为适合安全从业者和安全爱好者阅读。
—方勇,腾讯云安全总监
金融行业一直是IT高度发展的一个领域,同时也是数据资产高度集中的一个行业。在这种背景下,相对其他行业,金融行业对于安全的重视程度普遍较高,安全技术和管理能力都更胜一筹。本书系统介绍了金融企业安全建设的方方面面,既有对抗技术,也有管理运营,对于其他行业的安全从业者也具有很好的指导价值。
—兜哥,百度安全基础架构安全负责人,AI安全三部曲的作者
金融行业对于安全的认识相对较早,同时重视程度也较高。作者们将多年在金融企业安全建设上的实践经验抽象成理念和可落地的方式、方法,并对金融行业常见的一些风险场景进行了全面深入的讲解,且有很多可直接落地的干货,对于安全规划、安全团队建设以及安全人员发展等痛点都有独到见解,相信金融行业安全从业者阅读本书后会受益匪浅。
—Feei(止介),美丽联合集团网络信息安全总监
本书是一本兼具安全架构和实战经验的信息安全专业书籍。本书的*作者聂君先生在信息安全产业内工作多年,担任过知名金融机构的信息安全负责人,对甲方信息安全的需求,特别是金融行业信息安全的特点有着深厚的理解,在多年的信息安全管理工作中也积累了丰富的实战经验。本书的内容覆盖很广,从信息安全管理到*前沿的技术实战都有所涉猎,适合信息安全从业人员、金融行业IT从业人员等专业读者。
—萧德纲,启明星辰集团副总裁
本书是一本从甲方视角写的经验总结,读完后受益匪浅。今年上半年我们团队办了一场深度的 Red Team 闭门培训,本书*作者聂君是学员中*一个甲方安全人员,当时他说他希望多吸收攻击者视角的手法,进而促进他们的安全工作。而读了此书,对我来说是大量吸收了防御者视角的经验,对我们以攻促防的安全建设思路来说是一次绝佳的学习机会。再次感谢。
—余弦,Joinsec
Team &慢雾科技联合创始人
许多信息安全的从业者受限于学习和工作的经历,没有机会洞悉信息安全的全貌,对于职业的规划和方向感到迷茫。许多企业的CEO、CTO和信息化负责人重视信息安全但因缺少专业背景和知识,不知道企业安全岗位应该如何设置,安全建设应该如何开展。本书的几位作者在企业信息安全建设,尤其是金融企业安全建设方面有着丰富的实践经验,相信对于希望从事企业信息安全建设的朋友会有很大帮助。
—薛锋,微步在线CEO
评论
还没有评论。