企业信息安全体系建设之道网络安全技术丛书 pdf下载

^_^:bc921d1074f1719ef676169f90961200

编辑推荐

适读人群 ：本书适用于安全从业人员、初学者、普通工程师、安全负责人或者对企业安全体系化建设有兴趣的人。

1.本书通过四大板块全面解读企业信息安全体系建设的方法论，通过对安全基础知识、安全管理知识、安全技术知识、安全运营知识的讲解，帮助读者充分了解信息安全领域的核心要点，并将它们逐步应用到企业信息安全体系建设实践当中。2.本书整合了作者 10 多年来在信息安全体系建设及安全治理方面的经验，得到了业界人士的广泛认可。无论是在校学生，还是信息安全领域的从业者，若想全面地学习和理解信息安全，本书都是不错的选择。3.书中内容深入浅出，图文并茂，以案例和实际应用为背景，帮助您更好地理解和掌握信息安全体系建设的方法和技巧。

内容简介

企业信息安全体系建设是为了保护企业的信息资产和确保其信息安全而构建的一系列组织和管理措施，旨在建立一个全面、系统、可持续的信息安全管理框架，以应对不断变化的威胁和风险。本书通过四部分（安全基础知识、安全管理知识、安全技术知识和安全运营知识）介绍企业信息安全体系建设的相关知识，涉及安全理论、可信计算、信息安全体系、组织与策略、需求与规划、风险管理、合规与认证、人员管理与安全意识培训、访问控制与身份管理、物理环境安全、安全域边界、安全计算环境、应用安全防护、数据安全保护、确认安全防护目标、保持防护状态、异常情况处置、业务持续运营、安全运营中心等主题。本书内容深入浅出，图文并茂，能够帮助大家更好地厘清知识脉络，非常适合信息安全领域的从业者阅读参考。此外，关注企业信息安全体系建设的读者，也可以通过本书了解具体的方法论。

作者简介

马金龙,持有CIW Security Analyst证书和CISSP证书，就职于新浪公司，拥有超过 15 年的信息安全管理经验，擅长领域信息安全体系建设及实践。此外，他还是FREEBUF智库安全专家成员、ISC2 北京分会会员和 OWASP中国分会会员，运营自媒体账号“安全管理杂谈”.

精彩书评

作者基于多年在甲方企业从事信息安全体系建设的经验写作了本书。如果你想要了解企业安全防御策略，或者有一点甲方企业信息安全体系建设经验，想要更全面地学习信息安全体系建设，那么本书是很好的选择。——魏兴国（云舒）网络安全研究人员，默安科技创始人兼CTO本书全面介绍信息安全相关体系，可以帮助读者充分了解信息安全领域的知识要点，以及如何将它们应用到企业信息安全体系建设中。本书适合网络工程师、系统管理员、信息安全专业人员及其他对信息安全感兴趣的人士阅读。通过阅读本书，读者可以充分了解信息安全的架构和体系，从而更好地进行企业信息安全体系建设，提升企业信息安全水平。——董志强（Killer）腾讯安全副总裁，腾讯安全云鼎实验室负责人本书凝结了作者多年的企业信息安全建设、管理和运营的经验，深入浅出地探讨了企业信息安全方面的工作要点。作为我的好友，马金龙（吗啡）多年在甲方一线负责安全，有非常丰富的实战经验。在本书中，他除了把在企业的工作经验进行了体系化的梳理，还从安全建设角度提出了很多安全理念方面的思考，涉及多个方面的复杂问题，相信对于技术人员和安全业务整改都有比较好的借鉴。——马坤（cnfjhh）四叶草安全创始人兼董事长安全虽然包罗万象，但无论如何演变都没脱离内核——保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），也可简称CIA。马金龙（吗啡）是行业老兵，他把自己多年的工作经验及自己所了解的关键技术和管理思路集结成册，为广大读者提供了一本难得的案头好书。——秦波（大波哥）京东高级安全总监这是一本综合性的信息安全技术与安全管理理论的参考书，全面论述了信息安全体系的建设步骤、信息安全技术、管理策略等内容，详细地分析了各种安全威胁及其处理方式，并给出了有效的安全管理策略，内容实用、新颖、丰富，是企业信息安全体系建设方面必不可少的参考指南。——凌云（linkboy）携程高级安全总监本书用言简意赅、通俗易懂的方式介绍了信息安全的基本概念、企业信息安全运行的核心逻辑，以及不少安全概念背后的来龙去脉，可以快速帮助读者厘清宏观脉络，方便大家在日常工作学习中展开全局视角，达到事半功倍的效果。无论是对企业信息安全感兴趣的新人，还是已经在某个垂直领域深耕并希望一窥全貌的“老兵”，这本书都能帮到大家。——赵弼政（职业欠钱）美团基础安全负责人我非常高兴向大家推荐马金龙（吗啡）的新书。我和作者相识于2013年的一个CISSP学习群，我们一起学习、交流，受益良多。吗啡自2011年起就在新浪工作，一直从事企业信息安全建设工作，有丰富的企业信息安全建设的实践经验，这使本书的内容非常实用，让读者能够从中获得很多有价值的建议和方法。我强烈推荐本书，希望更多的人能够读到它，从中获得启示和思路，提升自己的信息安全能力，为行业的信息安全发展贡献力量。——卢佐华，CISSP-ISSAP，ISC2北京分会主席梆梆安全研究院院长随着整个社会的数字化程度越来越高，攻击方式也在快速迭代更新，企业面临的安全威胁和压力与日俱增。对于完成了基础合规建设，更加注重安全效果和能力的企业，本书提供了一个完整的框架和best实践，非常值得参考。——薛锋微步在线创始人兼CEO随着企业数字化转型的快速推进，企业所容纳的数据量呈爆发式增长，企业对信息安全的重视程度也达到了新的高度。如何搭建高效的信息安全体系，降低信息安全风险是企业关注的重要议题。本书的内容结构符合信息安全的全局观，从安全基础概念入手，涉及安全技术、安全管理、安全运营等主题，作者结合自身经验和具体实践全面讲述了信息安全体系建设的思路。无论是在校学生，还是信息安全领域的从业者，若想全面地学习和理解信息安全，本书都是不错的选择。——王彬华住集团信息安全副总裁作者马金龙（吗啡）有非常丰富的网络安全从业经验。本书从管理和技术层面做了阐述，并融入了目前较新的安全运营理念，具备很好的实战效果。我强烈推荐大家阅读。——张百川（网路游侠）游侠安全网站长这本书是关于网络安全的全面性读物，旨在帮助读者了解网络安全的新发展和最佳实践。作者以专业的知识和丰富的经验，详细阐述了网络安全的基本原理，并深入讲解了各种安全技术和实践。如果你是网络安全领域的从业人员或者对网络安全感兴趣，这本书将为你提供有价值的信息和宝贵的指导。——杨大路天际友盟创始人兼CEO，中国威胁情报和数字风险管理的先行者作者马金龙（吗啡）有着10多年的网络安全体系建设与安全治理经验，他把这些经验毫无保留地写到了书中，读者可以通过本书快速了解这些内容。我强烈推荐大家阅读本书！——林鹏（lion_00）CCIE-security，《互联网安全建设从0到1》作者，猎豹移动高级总监很荣幸为本书写下几句推荐语，作为入行十多年的安全人员，对图书的要求不可谓不挑剔，本书既总结了过往的技术，也引入了一些新概念，全面贴合行业现状和需求。感谢作者的用心良苦，也期待本书能成为口碑之作。——张坤OWASP北京分会负责人，脑动极光医疗科技信息安全官越来越多的企业开始关注信息安全体系的建设，安全人员面临的挑战也变得越来越多，不仅要关注攻防对抗、安全漏洞，而且还要懂得如何构建系统化的安全治理体系。本书从安全基础、安全管理、安全技术、安全运营四个方面深入浅出地介绍了一个成熟的安全治理体系所需要的知识和实践经验，帮助安全人员从全局视角探索安全治理体系的奥秘。——王任飞（Avfisher）华为云资深云安全专家有幸拜读了马金龙（吗啡）的作品，即使从业多年，读来也是获益颇多。本书从甲方安全的视角，结合本身的安全从业经验和实践，从基础安全理论到安全管理要求，从安全技术布防到安全运营落地，全方位地介绍了企业信息安全体系建设的各个要素。既有高屋建瓴的体系化视角，也有贴近实战的技术细节，适合公司CIO、CTO、CISO、信息安全相关从业者阅读参考。——沈明星某公司资深安全专家本书以企业安全建设为导向，以保护企业的资产和数据为目的，详细介绍了企业安全的各个方面，包括数据安全、网络安全、应用安全、访问控制等。马金龙（吗啡）是安全领域的专家，写作生动有趣，使读者可以轻松理解复杂的企业信息安全体系建设的知识。如果你是一位企业信息安全从业者，那么本书就是你的不二之选！——郑歆炜（cnhawk）国内安全专家马金龙（吗啡）是我认识多年的好友，一直在互联网企业中负责网络安全工作，具备相当多的实战经验。在本书中，他不但谈到了网络安全领域比较新的概念和框架，同时结合实战深入浅出地讲解了如何建立完整的企业网络安全体系、如何确保长期运营，并为读者提供了很多实际的案例和技巧。我认为这本书是企业安全管理人员和技术人员的实用指南，能够帮助读者轻松掌握企业网络安全和信息安全的知识和技能，应对安全挑战，保护公司的信息资产。无论你是刚刚涉足这一领域的新手，还是已经成为行业专家的老手，如果希望了解企业网络安全和信息安全的更多知识和经验，那么本书就是非常好的选择。——李钠奇安信合伙人各行各业的数字化转型都在快速推进，面临的数据安全和网络安全风险陡增，企业对信息安全工作的需求也越来越高。然而大部分企业信息安全从业人员是从安全攻防技术研究逐步积累经验并转型为企业安全从业者的，可系统性学习与参考的企业信息安全体系建设领域的图书比较少，尤其缺少关于实践落地经验的体系化的总结。本书内容覆盖面广并与实践紧密结合，相信企业信息安全从业者阅读本书将会有所收获。——张园超（张欧）网商银行信息安全官龙哥是安全行业的资深从业者，也是我认识多年的老朋友。这本书是对龙哥多年安全从业经验的系统性总结，很多观点背后都有深入的思考和丰富的实践经验。所谓“有麝自来香，无须大风扬”，不需要我写更多的溢美之词，大家可以自行阅读体会。——马传雷（Flyh4t）《风控要略：互联网业务反欺诈之路》作者之一，资深安全专家随着攻防实战化的普及和大众安全意识的提高，企业安全保护水平也需要不断提升。企业安全主题的热点和重心，包括安全运营，以及围绕信息安全体系建设的安全架构和组织架构变革，这是甲方安全的内生需求。此外，随着基础安全能力的不断完善，企业安全体系和架构的不足随之显现。正是在此大背景下，本书提供了有益的视角和参考。——聂君（君哥）《企业安全建设指南》作者，知其安有限公司CEO“君哥的体历”账号主理人

目录

第 一部分　安全基础篇

第 1章 安全理论 2

1．1　信息安全的基本概念 3

1．2　攻击与防御 5

1．2．1　黑客攻击 6

1．2．2　防御策略 8

1．3　本章小结 9

第 2章 可信计算 10

2．1　可信计算机系统 10

2．2　可信计算技术 11

2．3　零信任理念 14

2．3．1　零信任架构 15

2．3．2　零信任技术 16

2．4　本章小结 17

第3章 信息安全体系 18

3．1　指导思想 19

3．2　建设步骤 21

3．3　建设方法 22

3．4　本章小结 22

第二部分　安全管理篇

第4章 组织与策略 24

4．1　安全组织 24

4．1．1　信息安全指导委员会 24

4．1．2　专职的安全团队 26

4．2　策略要求 26

4．2．1　策略文件 27

4．2．2　策略执行 28

4．3　本章小结 29

第5章 需求与规划 30

5．1　安全需求 30

5．2　安全规划 31

5．3　本章小结 33

第6章 风险管理 34

6．1　规划阶段 34

6．2　风险计算阶段 35

6．2．1　资产识别 35

6．2．2　威胁识别 36

6．2．3　脆弱性识别 38

6．2．4　风险分析方法 39

6．2．5　总风险及剩余风险 40

6．3　风险处置阶段 40

6．4　风险评估流程 41

6．5　本章小结 43

第7章 合规与认证 44

7．1　监管合规管理 45

7．2　合规事务 45

7．2．1　网络安全等级保护 45

7．2．2　增值电信业务经营许可证 47

7．2．3　SOX法案的404条款年审 48

7．2．4　重要法律法规 49

7．3　安全体系认证 50

7．4　本章小结 52

第8章 人员管理与安全意识培训 53

8．1　人员管理措施 53

8．2　角色责任 55

8．3　安全意识培训 56

8．4　本章小结 57

第三部分　安全技术篇

第9章 访问控制与身份管理 60

9．1　访问控制 60

9．1．1　访问控制的要素 60

9．1．2　访问控制的类型 61

9．1．3　访问控制的实现机制 62

9．2　身份管理 63

9．2．1　用户账号 64

9．2．2　用户认证 64

9．2．3　用户授权 68

9．2．4　用户审计 68

9．2．5　集中身份认证管理 69

9．3　本章小结 70

第 10章 物理环境安全 71

10．1　保护人员安全 73

10．2　保护数据中心及设备安全 74

10．3　本章小结 75

第 11章 安全域边界 76

11．1　安全域 76

11．2　网络隔离 77

11．3　网络准入 79

11．4　虚拟专用网络 80

11．5　防火墙 82

11．6　访问控制列表 84

11．7　本章小结 85

第 12章 安全计算环境 86

12．1　系统安全 86

12．1．1　主机安全 86

12．1．2　终端管理 87

12．2　加密技术 89

12．2．1　加密算法分类 90

12．2．2　密码技术的应用 92

12．2．3　国密算法 94

12．2．4　密码分析法 95

12．3　反恶意程序 96

12．3．1　恶意程序介绍 96

12．3．2　反恶意程序介绍 97

12．3．3　企业级防恶意措施 98

12．4　入侵检测技术 99

12．4．1　入侵检测系统 99

12．4．2　入侵防御系统 101

12．4．3　两者的区别 102

12．5　蜜罐技术 103

12．5．1　蜜罐分类 104

12．5．2　部署方式 104

12．6　安全审计 105

12．6．1　审计的级别 105

12．6．2　安全审计技术 106

12．7　本章小结 109

第 13章 应用安全防护 110

13．1　应用保护技术 110

13．1．1　Web应用安全防护 110

13．1．2　App安全防护 114

13．1．3　API安全防护 115

13．1．4　代码审计 116

13．1．5　Web应用防火墙 117

13．1．6　RASP技术 120

13．2　电子邮件保护技术 121

13．2．1　反垃圾邮件技术 121

13．2．2　反垃圾邮件网关 122

13．3　业务持续运行技术 123

13．3．1　高可用性相关技术 124

13．3．2　备份与恢复技术 131

13．3．3　防DDoS技术 132

13．4　本章小结 134

第 14章 数据安全保护 135

14．1　分类分级原则及方法 135

14．2　数据安全生命周期管理 135

14．3　数据防泄露 137

14．4　层级纵深防御机制 140

14．5　本章小结 143

第四部分　安全运营篇

第 15章 确认安全防护目标 146

15．1　资产管理 146

15．1．1　资产管理系统 146

15．1．2　CMDB系统 151

15．2　配置管理 152

15．2．1　配置管理的过程 152

15．2．2　基线标准化 154

15．2．3　安全配置管理 155

15．3　变更管理 157

15．3．1　变更管理流程 157

15．3．2　补丁管理 159

15．3．3　补丁服务器 160

15．4　本章小结 164

第 16章 保持防护状态 165

16．1　开发安全产品 165

16．1．1　安全开发生命周期 165

16．1．2　DevSecOps安全理念 170

16．2　供应链管理 172

16．2．1　第三方供应链管理 173

16．2．2　软件供应链管理 176

16．3　威胁情报 178

16．3．1　威胁情报平台 179

16．3．2　威胁情报格式 180

16．3．3　威胁情报分析模型 187

16．4　安全监控 193

16．4．1　监控系统 194

16．4．2　SIEM系统 195

16．4．3　UEBA系统 196

16．5　安全扫描 198

16．5．1　安全扫描流程 199

16．5．2　安全扫描器 200

16．6　本章小结 200

第 17章 异常情况处置 201

17．1　脆弱性管理 201

17．1．1　漏洞管理流程 201

17．1．2　漏洞评估方法 202

17．2　安全事件管理 210

17．2．1　事前准备阶段 211

17．2．2　事中处理阶段 212

17．2．3　事后反思阶段 213

17．2．4　安全事件处理策略 214

17．3　渗透测试 217

17．3．1　渗透的方法 218

17．3．2　渗透的流程 218

17．3．3　渗透的人员 219

17．3．4　攻防演练 219

17．4　本章小结 224

第 18章 业务持续运营 225

18．1　制定业务持续性计划 226

18．2　业务持续性计划的内容 227

18．2．1　组织与人员 227

18．2．2　威胁评估 227

18．2．3　业务影响分析 228

18．2．4　策略计划 229

18．2．5　计划测试及维护 231

18．3　本章小结 232

第 19章 安全运营中心 233

19．1　安全运营中心的功能 235

19．2　安全运营中心的建设步骤 237

19．3　XDR产品 238

19．3．1　XDR产品的实现方法 239

19．3．2　XDR产品的安全能力 239

19．4　本章小结 240

附录 241

结语 245