企业信息安全建设与运维指南

（1）系统全面，讲述企业信息安全建设从0到1的全部过程。本书聚焦安全体系如何落地，从安全体系规划、方案设计、产品选型、产品开发、部署实施、日常运维等维度详细阐释，内容覆盖办公安全、IDC安全、产品安全、数据安全、安全管理、安全自动化系统开发和业务安全体系建设，基本满足大多数中小企业的安全建设需求。
（2）结合作者实践经验，可操作性强。笔者有十多年信息安全从业经验，曾任职于国内知名网络安全厂商，为数十家企业和各类单位提供安全咨询和专业服务，熟悉企业的安全需求和痛点，本书将作者的实际工作经验总结为案例，具体实用。
（3）分析具体，深入浅出，易于理解。本书从与日常的生活与工作息息相关的安全问题着手，由浅入深循序渐进，讲解信息安全建设过程中的注意事项，便于读者理解安全架构的原理，进而使安全系统建设更加完备。

本书主要包括基础安全设施建设、安全自动化系统建设、业务安全体系建设３个部分。*部分介绍当进入一个安全建设空白或基本为零的企业时，如何着手规划并一步步建成较为完善的安全体系；第二部分主要介绍安全自动化，帮助大家掌握开源的二次开发思路，设计适合企业自身特点的安全系统；第三部分介绍业务安全体系建设，包括互联网黑产攻击手法、风控系统建设方案和业务安全风险防控体系建设实践。 

李斌，毕业于西安电子科技大学，拥有十年信息安全从业经验，先后担任知名企业安全顾问、安全架构师、安全总监，擅长安全体系与安全架构设计、安全系统开发、业务安全风险防控。曾为政府、金融、国内外知名企业设计安全解决方案，后专注于企业信息安全体系建设，担任互联网企业安全负责人并经历从0到1的安全体系建设过程。

第1章 从零开始建设企业信息安全体系

1.1 企业面临的安全风险2

1.2 企业安全建设需求 4

1.3 企业安全岗位简介 6

1.4 企业安全工作开展思路9

1.4.1 安全风险评估9

1.4.2 安全工作机制建立 12

1.4.3 安全工作规划13

1.5 本章小结 14

第2章 基础办公安全体系建设 15

2.1 终端基础安全 16

2.2 防火墙、VPN和上网行为管理 26

2.3 入侵检测/防御系统 32

2.4 邮件安全36

2.5 统一账号认证系统 42

2.6 本章小结 46

第3章 IDC基础安全体系建设47

3.1 安全域划分和访问控制策略 48

3.2 Web应用防火墙 55

3.3 DDOS攻击防护 62

3.4 运维堡垒机66

3.5 安全基线管理 72

3.6 本章小结 78  

第4 章 产品安全 79

4.1 SDL流程建立和实施  80

4.2 产品安全设计和评审  87

4.3 产品安全测试 96

4.4 安全漏洞管理和应急响应 104

4.5 App安全和加固  112

4.6 本章小结  117

第 5 章 数据安全 118

5.1 数据安全风险和生命周期保护  119

5.2 数据传输安全  121

5.3 数据存储安全   127

5.4 数据使用安全 134

5.5 数据交换安全  139

5.6 本章小结 140

第 6 章 安全管理 141

第 7 章 自动化漏洞扫描系统 158

第 8 章 安全风险感知和管理系统  213

第 9 章 运维安全管理和审计系统 264

第 10 章 业务安全风险 280

第 11 章 互联网安全风控系统介绍302

第 12 章 业务安全风控运营实践. 337

后记 关于安全落地的一点思考  348

前言

在互联网时代，越来越多的企业将信息系统开放到互联网，为用户或客户提供服务，在提供便利的同时，也面临着来自互联网的各种安全威胁。此外，随着一系列安全法律法规的发布和实施，国家和相关行业监管机构对企业信息安全的要求也越来越高，企业迫切需要建设和完善信息安全体系，以应对来自内部和外部的安全挑战。 
企业在信息安全体系建设中，往往都会投入不少资金和人力，但终的效果往往不尽如人意，这给企业管理者和安全管理员带来了很大的困扰。究其原因，企业信息安全体系建设固然需要管理层支持、资金投入和人员投入，但更需要有效的安全规划和落地方案。 
笔者有十多年信息安全从业经验，曾任职于国内知名网络安全厂商，为数十家企业和各类单位提供安全咨询和专业服务，熟悉企业的安全需求和痛点，在实践中发现，虽然厂商可以为企业提供专业的产品和服务，但如果缺少有效的运营，往往很难发挥应有的作用；之后笔者专注于企业安全体系建设并担任企业安全负责人，经历了数次从 0 到 1 的企业安全体系建设过程，负责企业安全体系和架构设计、安全自动化系统开发和业务安全风险防控，在不断“踩坑”的经历中积累了很多企业安全体系建设经验。在实践中，借助专业安全厂商的产品和服务、企业安全团队的有效运营和安全系统开发建设，将企业安全体系有效落地，并取得了一定的成效。 
笔者希望将这些经验和知识分享出来，帮助广大企业安全人员更好地开展信息安全体系建设。本书重点关注中小企业安全建设，提供通用的企业安全体系从 0 到 1 搭建指南，聚焦安全体系如何落地，从安全体系规划、方案设计、产品选型、产品开发、部署实施、日常运维等维度详细阐释，内容覆盖办公安全、IDC安全、产品安全、数据安全、安全管理、安全自动化系统开发和业务安全体系建设，基本满足大多数中小企业的安全建设需求。本书的内容包括以下3 个部分。 
第 1 章到第 6 章为“企业基础安全设施建设篇”，适合没有足够多的专业安全人员的企业进行安全建设，更多考虑如何借助外部专业安全厂商的力量，建设和运营信息安全体系。 
第 7 章到第 9 章为“企业安全自动化平台建设篇”，适合拥有专职安全人员的企业。此类企业可以建设并开发适合本企业需求的安全自动化系统，推动安全进入自动化阶段。 
第 10 章到第 12 章为“业务安全风险防控体系建设篇”，适合面临业务安全威胁的企业。企业可以通过风控系统来防范黑产团伙的恶意攻击，持续运营并终建成适合企业的业务安全风险防控体系。 
本书面向企业安全从业者、安全厂商、信息安全专业学生及各类信息安全爱好者。希望本书能为企业信息安全从业人员提供信息安全体系的落地参考，让安全厂商更了解企业的安全需求和痛点，为信息安全专业学生和其他感兴趣者普及企业信息安全基础知识。 
由于本书涉及的范围较广，在一些知识点和实践上存在盲区，在书籍编写过程中，笔者得到了领导、同事和业内安全专家的悉心指导与鼓励，在此表示衷心的感谢，同时也感谢家人的理解和付出。由于笔者自身经验和知识的局限，本书难免有不足之处，敬请读者指正。

3.2 Web 应用防火墙 
企业主要通过网站、App或微信生态（公众号、小程序等）给用户或客户提供服务，这些都是Web应用。 
Web应用开放在互联网上，会面临各种黑客发起的攻击和探测。要应对这些威胁，除保障应用系统自身的安全性外，还要能有效防范Web攻击，其安全基础为Web应用防火墙（Web Application Firewall，WAF），本节介绍WAF的基本功能和应用实践。 
3.2.1 Web 应用安全威胁 
Web应用非常容易遭受攻击，主要有以下几个方面的原因。 
Web应用系统是对外开放的，正常用户和黑客均可以访问。 
开发人员重视功能和性能实现，忽略了系统安全性设计。 
虽然知道Web应用系统存在安全漏洞，但由于各种原因，应用系统改造难度大，暂时无法修复。 
大量的中间件或组件存在高危漏洞，利用难度低，危害巨大。 
比较典型的Web应用安全风险为OWASP TOP 10，即开放式Web应用安全项目（OWASP）定 期发布的 10 个Web应用安全威胁，本书编写时，版本为 2017 版，10 个安全风险如下。 
A1. Injection（注入攻击漏洞） 
如SQL、NoSQL、OS及LDAP注入，攻击者发送恶意攻击数据或脚本给解析器时，不可信的 
数据被当成命令成功欺骗解释器，使得其可以执行计划外的命令或在未被恰当授权时访问数据。 
典型的攻击案例是SQL注入攻击。 
A2. Broken Authentication（失效的认证） 
与身份认证和会话管理相关的应用程序功能得不到正确的实现，导致攻击者通过破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份（暂时或永久）。 
典型攻击案例是用户Cookie或访问令牌被盗取或劫持，冒充用户身份成功访问网站或应用。 
A3. Sensitive Data Exposure（敏感信息泄露） 
许多Web应用程序和API没有正确保护敏感数据，如身份证号码、手机号等信息，攻击者可以窃取或修改未加密的敏感数据。因此，需要对敏感数据加密，这些需要加密的敏感数据包括传输过程中的数据和存储在数据器中的交互数据。 
典型的案例是用户的密码没有使用加盐的哈希算法保护，导致黑客通过彩虹表碰撞出真实的 
密码。 
A4. XXE XML External Entities (XXE，XML 外部处理漏洞 ) 
XXE是XML外部实体注入，当允许引用外部实体时，攻击者可以利用外部实体窃取使用URI 
文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码、实施拒绝服务攻击。
典型的案例是通过该漏洞执行系统命令，如利用“fifile:///etc/passwd”获取密码文件。 
A5. Broken Access Control（失效的访问控制） 
对未通过身份验证的用户实施恰当的访问控制，攻击者可以利用这些缺陷访问未经授权的功能或数据。例如，访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。 
典型案例是未授权访问漏洞、越权访问漏洞。 
A6. Security Misconfiguration（安全配置错误） 
安全配置错误是常见的安全问题，这通常是不安全的默认配置、不完整的临时配置和开源 
云、错误的 HTTP 报头配置及包含敏感信息的详细错误信息造成的。因此，安全人员不仅需要对所有操作系统、框架、库和应用程序进行安全配置，而且必须及时对其进修补和升级。 
典型案例是未关闭调试或测试信息，导致攻击者可以通过报错信息获取服务器或组件的版本信息，利用版本漏洞发起攻击，如Nginx、Tomcat等。 
A7. Cross-Site Scripting（XSS，跨站脚本攻击） 
当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 
HTML或JavaScript 的浏览器 API 更新现有的网页时，就会出现XSS漏洞。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。 
典型案例是攻击者利用XSS漏洞获取用户Cookie信息并发送到攻击者服务器上。 
A8. Insecure Deserialization（不安全的反序列化） 
不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行，攻击者也可以利用它们来进行攻击，包括重播攻击、注入攻击和特权升级攻击。 
典型的案例是攻击者利用Weblogic反序列化漏洞进行远程系统命令执行，控制用户服务器。 
A9. Using Components with Known Vulnerabilities（使用含有已知漏洞的组件） 
组件（如库、框架和其他软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器被接管。同时，使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御系统、造成各种攻击并产生严重危害。 
典型的案例是使用含有漏洞的Struts 2 框架，可能被执行远程命令控制服务器。 
A10. Insufficient Logging&Monitoring（日志记录和监控不足） 
日志记录和监控不足，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持续性攻击或转向攻击更多系统，以及篡改、提取或销毁数据。 
典型案例是未记录登录尝试失败记录，没有进行暴力破解防护导致系统被入侵后未及时发现。