企业安全建设指南金融行业安全架构与技术实践聂君李燕何扬军编著信息安全网络安全CSOpdf下载pdf下载

企业安全建设指南金融行业安全架构与技术实践聂君李燕何扬军编著信息安全网络安全CSO百度网盘pdf下载

作者:
简介:本篇主要提供企业安全建设指南金融行业安全架构与技术实践聂君李燕何扬军编著信息安全网络安全CSOpdf下载
出版社:机械工业出版社官方旗舰店
出版时间:2019-04
pdf下载价格:0.00¥

免费下载

前去下载

书籍下载

下载地址

内容介绍



商品参数

  商品基本信息
商品名称:   企业安全建设指南:金融行业安全架构与技术实践
作者:   聂君 李燕 何扬军
市场价:   119.00
ISBN号:   9787111622031
版次:   1-2
出版日期:   1900-01
页数:   414
字数:   400
出版社:   机械工业出版社


内容介绍

   内容简介
    本书全面、系统地介绍企业信息安全的技术架构与实践,总结了作者在金融行业多年的信息安全实践经验,内容丰富,实践性强。本书分为两大部分,共24章。*一部分“安全架构”主要内容有:信息安全观、金融行业信息安全的特点、安全规划、内控合规管理、信息安全团队建设、安全培训规划、外包安全管理、安全考核、安全认证等。*二部分“安全技术实战”主要内容有:互联网应用安全、移动应用安全、企业内网安全、数据安全、业务安全、邮件安全、活动目录安全、安全检测、安全运营、SOC、安全资产管理和矩阵式监控、信息安全趋势和安全从业者的未来等。
    



目录

  目录
序一
序二
序三
前言
*一部分 安全架构
*1章 企业信息安全建设简介2
1.1 安全的本质2
1.2 安全原则2
1.3 安全世界观4
1.4 正确处理几个关系4
1.5 安全趋势6
1.6 小结7
*2章 金融行业的信息安全8
2.1 金融行业信息安全态势8
2.2 金融行业信息安全目标10
2.3 信息安全与业务的关系:矛盾与共赢12
2.4 信息安全与监管的关系:约束与保护13
2.5 监管科技14
2.6 小结16
第3章 安全规划17
3.1 规划前的思考17
3.2 规划框架18
3.3 制订步骤19
3.3.1 调研19
3.3.2 目标、现状和差距20
3.3.3 制订解决方案22
3.3.4 定稿23
3.3.5 上层汇报23
3.3.6 执行与回顾23
3.4 注意事项24
3.5 小结24
第4章 内控合规管理25
4.1 概述25
4.1.1 合规、内控、风险管理的关系25
4.1.2 目标及领域25
4.1.3 落地方法26
4.2 信息科技风险管理26
4.2.1 原则27
4.2.2 组织架构和职责27
4.2.3 管理内容28
4.2.4 管理手段和流程29
4.2.5 报告机制30
4.2.6 信息科技风险监控指标32
4.3 监督检查34
4.4 制度管理36
4.5 业务连续性管理38
4.5.1 定义和标准38
4.5.2 监管要求39
4.5.3 BCM实施过程40
4.5.4 业务影响分析和风险评估40
4.5.5 BCP、演练和改进43
4.5.6 DRI组织及认证45
4.6 信息科技外包管理46
4.7 分支机构管理46
4.8 信息科技风险库示例47
4.9 小结49
第5章 安全团队建设50
5.1 安全团队建设的“痛点”50
5.2 安全团队面临的宏观环境54
5.3 安全团队文化建设56
5.4 安全团队意识建设63
5.5 安全团队能力建设67
5.5.1 确定目标,找准主要矛盾68
5.5.2 梳理和细分团队职能69
5.5.3 建立学习框架,提升知识和技能水平71
5.5.4 掌握学习方法,实现事半功倍的效果78
5.6 安全团队建设路径80
5.7 安全人员职业规划84
5.8 安全团队与其他团队的关系处理85
5.9 小结88
第6章 安全培训89
6.1 安全培训的问题与“痛点”89
6.1.1 信息安全意识不足的真实案例89
6.1.2 信息安全培训的必要性90
6.1.3 信息安全培训的“痛点”92
6.2 信息安全培训关联方93
6.3 信息安全培训“百宝箱”96
6.4 面向对象的信息安全培训矩阵105
6.5 培训体系实施的效果衡量107
6.6 小结108
第7章 外包安全管理109
7.1 外包安全管理的问题与“痛点”109
7.1.1 几个教训深刻的外包风险事件109
7.1.2 外包安全管理的必要性110
7.1.3 外包管理中的常见问题112
7.2 外包战略体系113
7.3 外包战术体系118
7.3.1 事前预防118
7.3.2 事中控制123
7.3.3 事后处置132
7.4 金融科技时代的外包安全管理133
7.5 小结135
第8章 安全考核136
8.1 考核评价体系与原则136
8.2  安全考核对象137
8.3 考核方案140
8.3.1 考核方案设计原则140
8.3.2 总部IT部门安全团队141
8.3.3 总部IT部门非安全团队(平行团队)142
8.3.4 个人考核143
8.3.5 一些细节144
8.4 与考核相关的其他几个问题144
8.5 安全考核示例146
8.6 小结150
第9章 安全认证151
9.1 为什么要获得认证151
9.2 认证概述152
9.2.1 认证分类152
9.2.2 认证机构154
9.3 选择什么样的认证157
9.4 如何通过认证159
9.5 小结162
*10章 安全预算、总结与汇报163
10.1 安全预算163
10.2 安全总结166
10.3 安全汇报167
10.4 小结168
*二部分 安全技术实战
*11章 互联网应用安全170
11.1 端口管控170
11.2 Web应用安全172
11.3 系统安全173
11.4 网络安全175
11.5 数据安全175
11.6 业务安全176
11.7 互联网DMZ区安全管控标准176
11.8 小结178
*12章 移动应用安全179
12.1 概述179
12.2 APP开发安全180
12.2.1 AndroidManifest配置安全180
12.2.2 Activity组件安全181
12.2.3 Service组件安全181
12.2.4 Provider组件安全182
12.2.5 BroadcastReceiver组件安全183
12.2.6 WebView组件安全183
12.3 APP业务安全186
12.3.1 代码安全186
12.3.2 数据安全188
12.3.3 其他话题190
12.4 小结191
*13章 企业内网安全192
13.1 安全域192
13.2 终端安全193
13.3 网络安全195
13.3.1 网络入侵检测系统196
13.3.2 异常访问检测系统196
13.3.3 隐蔽信道检测系统197
13.4 服务器安全200
13.5 重点应用安全203
13.6 漏洞战争206
13.6.1 弱口令206
13.6.2 漏洞发现208
13.6.3 SDL210
13.7 蜜罐体系建设213
13.8 小结220
*14章 数据安全221
14.1 数据安全治理221
14.2 终端数据安全222
14.2.1 加密类222
14.2.2 权限控制类225
14.2.3 终端DLP类228
14.2.4 桌面虚拟化228
14.2.5 安全桌面230
14.3 网络数据安全230
14.4 存储数据安全234
14.5 应用数据安全235
14.6 其他话题237
14.6.1 数据脱敏237
14.6.2 水印与溯源237
14.6.3 UEBA240
14.6.4 CASB241
14.7 小结241
*15章 业务安全242
15.1 账号安全242
15.1.1 撞库242
15.1.2 账户盗用247
15.2 爬虫与反爬虫247
15.2.1 爬虫247
15.2.2 反爬虫249
15.3 API网关防护252
15.4 钓鱼与反制252
15.4.1 钓鱼发现252
15.4.2 钓鱼处置254
15.5 大数据风控255
15.5.1 基础知识255
15.5.2 风控介绍256
15.5.3 企业落地259
15.6 小结259
*16章 邮件安全261
16.1 背景261
16.2 入站安全防护262
16.2.1 邮箱账号暴力破解262
16.2.2 邮箱账号密码泄露264
16.2.3 垃圾邮件264
16.2.4 邮件钓鱼269
16.2.5 恶意附件攻击269
16.2.6 入站防护体系小结276
16.3 出站安全防护278
16.4 整体安全防护体系281
16.5 小结283
*17章 活动目录安全284
17.1 背景284
17.2 常见攻击方式285
17.2.1 SYSVOL与GPP漏洞285
17.2.2 MS14-068漏洞287
17.2.3 Kerberoast攻击289
17.2.4 内网横移抓取管理员凭证290
17.2.5 内网钓鱼与欺骗292
17.2.6 用户密码猜解293
17.2.7 获取AD数据库文件294
17.3 维持权限的各种方式295
17.3.1 krbtgt账号与黄金票据295
17.3.2 服务账号与白银票据296
17.3.3 利用DSRM账号297
17.3.4 利用SID History属性