企业信息安全建设之道

《企业信息安全建设之道》能够让你轻松、快速地了解企业信息安全的诸多“内幕”，通过多维度的分析和案例实现授人以渔，帮助读者在信息安全领域建立自己的思维框架，在千企千面的企业安全需求中建设属于自己的安全体系。

 

《企业信息安全建设之道》凝结了作者多年的企业安全建设、管理和运营的经验，深入浅出地探讨了企业信息安全方面的工作。全书分三部分：思路篇从认识安全团队自身价值入手，切入企业安全工作的视角问题；技术篇从攻击面管理、漏洞管理、主机安全、威胁管理、应急响应、安全服务管理、重要保障期和业务安全等方面展开讨论，从而让读者了解各项工作的具体方法；运营篇从更高的视角重新审视企业安全工作，利用定量和定性分析方法，客观评价各项安全工作。
《企业信息安全建设之道》采用浅显易懂的语言，使读者可以轻松了解企业信息安全工作的思考方式和可选择的手段，既适合初入安全行业的新人，又可以给行业老兵带来一些思考和启发。

黄乐 曾任央视网网络安全部副总监，清流派企业安全沙龙创始人，公众号企业安全工作实录主理人。曾在央视网负责网络安全架构的设计和建设。主要包括攻防对抗技术研究、安全检测及防御体系建设、安全播出管理平台建设、漏洞治理平台研发、威胁感知平台研发、应急响应系统研发等工作。同时，提出了“重检测，轻防御”的安全架构设计理念，并通过“快速及格、逐步迭代”的思路快速落地了安全播出管理平台。2018年起组织清流派企业安全沙龙，是企业安全行业的闭门沙龙，每月邀请各企业安全部门负责人从多个方面探讨企业安全建设及管理的思路和经验。

序一

序二

序三

推荐语

前言

思路篇

第1章基本思路

1.1安全团队的价值

1.2企业安全管理是“二级混沌系统”

1.3企业安全是“复杂问题”

1.4如何引起重视？

1.5谁是我们的甲方？

1.6谁是我们的乙方？

1.7小结

第2章企业安全工作的着眼点

2.1解决实际问题

2.2标准的意义

2.2.1风险评估

2.2.2ISO 27000

2.2.3等级保护

2.2.4如何面对合规？

2.3如何协调资源

2.3.1要什么？

2.3.2怎么要？

2.4安全团队在企业中的几个身份

2.4.1能力的提供者

2.4.2一类问题的解决者

2.4.3服务 协作者

2.5小结

ⅩⅦ技术篇

第3章攻击面管理

3.1什么是攻击面？

3.2为什么攻击面管理很重要？

3.3发现攻击面

3.4管理攻击面

3.5小结

第4章漏洞管理

4.1漏洞管理和漏洞扫描的区别

4.2漏洞扫描产品现状

4.2.1开源

4.2.2商用

4.2.3自主研发

4.2.4漏报和误报的选择

4.3漏洞扫描、渗透测试、攻防演练

4.3.1三者的区别

4.3.2攻防演练

4.4漏洞管理体系的设计与实现

4.4.1资产发现

4.4.2漏洞发现

4.4.3漏洞处理

4.4.4数据分析

4.5漏洞管理的进阶玩法

4.6软件安全开发周期

4.6.1培训

4.6.2要求与设计

4.6.3实施与验证

4.6.4发布与响应

4.7小结

第5章主机安全

5.1基线管理

5.1.1基线治理过程

5.1.2常见基线要求

5.2主机安全类产品

5.2.1OSSEC介绍

5.2.2商业产品

5.2.3企业的选择

5.3小结

ⅩⅧ第6章威胁管理

6.1威胁检测产品现状

6.2威胁感知系统建设思路

6.2.1数据获取

6.2.2策略集

6.2.3能力输出

6.3小结

第7章应急响应

7.1准备阶段

7.1.1应急预案

7.1.2应急工具

7.1.3内部资料/数据

7.1.4情报

7.2执行阶段

7.2.1有思路

7.2.2有办法

7.3收尾（复盘）阶段

7.4建设阶段

7.5一些思考

7.6小结

第8章安全服务

8.1常见问题

8.2对甲方的要求

8.3常见的安全服务

8.3.1脆弱性治理类

8.3.2威胁检测类

8.3.3培训类

8.4安全服务的成熟度模型

8.5安全外包管理

8.6小结

第9章重要保障期

9.1重保的几种类型

9.2重保的常规姿势

9.3其他需要注意的问题

9.4小结

第10章业务安全

10.1内容安全

10.1.1内容异常的几种情况和面临的问题

10.1.2内容安全的整体思路

ⅩⅨ10.1.3内容安全面临的一些问题

10.2数据安全

10.3风控

10.4办公安全

10.5小结

运营篇

第11章安全运营综述

11.1安全技术落地及顺利运转

11.2纵向与横向沟通

11.3安全团队建设

11.4小结

第12章安全技术运营

12.1安全技术运营的五个关键指标

12.2脆弱性治理

12.2.1覆盖率

12.2.2准召率

12.2.3复发率

12.2.4时效性

12.3威胁检测

12.3.1覆盖率

12.3.2准召率

12.3.3时效性

12.4防御能力

12.4.1覆盖率

12.4.2召回率

12.4.3时效性

12.5安全技术运营指标的应用

12.6小结

第13章非技术运营

13.1员工态势

13.1.1入职前：筛选与背景调查

13.1.2在职期间：安全教育

13.1.3在职期间：员工安全监测

13.1.4离职脱敏

13.1.5外包人员管理

13.2合规管理

13.3SRC运营

13.4安全情报

13.5小结

ⅩⅩ第14章其他问题

14.1常规安全产品

14.1.1边界防御（FW/NGFW/IPS/WAF）

14.1.2DDoS防御

14.1.3安全检测

14.1.4安全云

14.1.5EDR

14.1.6微隔离

14.1.7身份认证

14.2常见安全岗位和知识体系

14.3常见安全框架/模型

14.3.1纵深防御

14.3.2安全滑动标尺

14.3.3零信任网络

14.3.4ISMS、ISO 27001与PDCA

14.3.5重检测，轻防御

14.4经常遇到的问题

14.4.1ACL与流量镜像的关系

14.4.2漏洞扫描避开特殊系统

14.4.3小团队，大梦想

14.4.4如何汇报工作

14.4.5发现入侵事件如何处理

14.4.6AI与安全如何结合

14.4.7量子计算是否需要担心

14.5推荐书籍

前言

2017年6月13日，刚刚完成一次演讲，机械工业出版社的海霞编辑找到了我，说如果有出版的需求可以联系她。在礼貌地加了微信后，就准备把这件事抛之脑后了，因为那时候感觉写书离自己太遥远。但渐渐地，我发现这次短暂的会面后，“写点什么”竟成了脑中挥之不去的一个想法。于是在2018年3月，我申请了个人公众号（xiaohuangsec），希望用1~2年沉淀出的思路构建一本书，所以就用那一刻作为本书的开始！
2012年，在一个比较偶然的契机下，笔者开始接触网络安全工作，也是那一年开始了从一个网络工程师向安全工程师转变。那个时候企业的网络安全大多是运维几台防火墙和入侵检测系统（Intrusion Detection System，IDS），再买个漏洞扫描服务的事情。但经过多年的安全建设、攻防对抗，发现和解决了大量的实际问题，可谓是“逢山开路，遇水搭桥”。在此期间也看到了安全工作和运维工作的差别。与此同时当然也在学习，通过阅读大量专业的文章，笔者在受教于这些文章的同时，也在思考这样一些问题：
这些技术如何在我供职的企业中落地？
如何让技术充分为企业所用？
买了这么多安全产品，为什么还会发生安全事件？
安全服务团队应该如何管理？
甲方团队与安全服务团队应该如何协作？
技术层面，“拿来主义”和自主可控应该如何协调？
……
笔者所就职的企业是一家不太典型的国企，之所以说不太典型是指：公司体制确实是国企，但企业的技术架构完全是互联网化的。这意味着我们的技术是互联网的，机制是非互联网的。而且近年来，越来越多的非互联网企业拥有了庞大的互联网架构。如此看来，上述问题就不仅仅是我们自己的问题了。
试想，像BAT（百度、阿里、腾讯）这类大型互联网公司的安全工作非常规范，他们有队伍、有预算、有政策，在基础问题可以很好解决的基础上，关注点自然在的技术上。而很多非互联网公司在各种固有条件的约束下很难做到上述“三有”。而且这类企业的基数很大，如果我们从这个视角去看待安全问题，那么步要解决的一定不是挖0day漏洞，或者搞机器学习这一类的工作。面对着有一定体量，但安全面临很多初始问题的企业，我们该怎么办？
伴随着笔者多年来对上述问题的思考，就有了这本书。本书主要致力于解决企业网络安全团队的工作视角问题。通过总结笔者的工作经验和思考，给读者梳理安全工作的方式、方法和思路。本书不会像纯技术书籍那样阐述具体的技术知识点，但会从思路层面给读者带来一些启发，从而引发一些思考。所以，本书会采用尽量减少读者的阅读压力的表达方式，希望所有读者都能从轻松的氛围中理解书中所阐述的内容。本书会通过一些简单的推理和例子帮助读者理解相关概念和思路，引导读者更深入地自主学习相关内容。
思路篇首先从认识安全团队的价值入手，探讨如何让安全工作更多地引起高层重视，接着分析了安全团队和甲方与乙方之间的关系。然后从定义问题、执行标准、认清身份等几个方面探讨安全团队的着眼点。这一篇的目的是跟大家一起从基础的维度分析安全工作的思路，找到一些基本的思路。
技术篇从攻击面管理、漏洞管理、主机安全、威胁管理、应急响应、安全服务管理、重要保障期和业务安全等方面介绍安全工作的具体情况。需要强调的是，这几个方面我们都不会从具体的技术去展开，而是从甲方的需求、市场情况以及可能采取的策略等方面去探讨工作方法。本书的宗旨是，能在其他地方查到资料的内容尽量不去过多介绍，点到为止。安全技术非常宽泛，对于某些领域感兴趣的读者可以通过很多方式详细研究。
运营篇从技术运营和非技术运营两个方面阐述安全运营的重要性和基本方法。在运营篇的后，我们会整合一些经常用到的手段和经常遇到的问题。
如前文所说，本书会尽量营造轻松的氛围，以减少读者的阅读压力。所以，本书对读者的知识储备要求并不高，只需要了解安全工作的一些基本术语即可，比如：漏洞扫描、分布式拒绝服务（Distribution Denial of Service，DDoS），黑白名单、源码审核等。这类术语笔者都不会再进行过多介绍，就算对此不甚了解的读者，通过搜索引擎简单了解相关概念也不会影响阅读。所以，本书的适用范围还是比较广的。
安全团队的管理者可以通过本书了解自己企业之外的安全需求和想法，一方面可以印证自己以往的思路，另一方面可以填补一些思维盲区。
希望去甲方工作的安全从业者可以通过本书了解甲方工作的基本思路，使自己能尽快进入工作状态，也能让自己更好地融入团队。
希望更多了解甲方工作的乙方从业者可以通过本书对甲方的需求和视角进行梳理，减少交流障碍。
希望进入网络安全行业的初学者可以通过本书明确甲方的工作方向，帮助你选择学习方向，明确职业规划。
本书的阅读方法
本书不是技术书籍，相信网络安全从业者读起来还是比较轻松的。另外，笔者认为读书一定要带着自己的想法，能从书中得到启发，并对自己日后的行为产生积极影响是非常重要的，这也是本书的编写目的。
由于笔者视野和写作水平有限，书中表述难免存在谬误或狭隘之处，欢迎大家将问题通过我的公众号（xiaohuangsec）反馈给我，我会