企业安全建设指南:金融行业安全架构与技术实践pdf下载

企业安全建设指南:金融行业安全架构与技术实践百度网盘pdf下载

作者:
简介:企业安全建设指南:金融行业安全架构与技术实践
出版社:机械工业出版社
出版时间:2019-03-01
pdf下载价格:0.00¥

免费下载


书籍下载


内容介绍

编辑推荐
  本书是金融行业资深信安专家十余年实战经验的结晶,从安全世界观到安全方法论,从安全合规管理到安全技术实践,从移动应用安全、企业内网安全到金融数据安全,全方位介绍如何打造企业安全管理机制和安全技术架构。
内容简介
  本书全面、系统地介绍企业信息安全的技术架构与实践,总结了作者在金融行业多年的信息安全实践经验,内容丰富,实践性强。本书分为两大部分,共24章。第一部分“安全架构”主要内容有:信息安全观、金融行业信息安全的特点、安全规划、内控合规管理、信息安全团队建设、安全培训规划、外包安全管理、安全考核、安全认证等。第二部分“安全技术实战”主要内容有:互联网应用安全、移动应用安全、企业内网安全、数据安全、业务安全、邮件安全、活动目录安全、安全检测、安全运营、SOC、安全资产管理和矩阵式监控、信息安全趋势和安全从业者的未来等。
作者简介
  聂君 毕业于哈尔滨工业大学,安信证券信息技术中心安全总监,曾在招商银行总行安全团队工作9年。参与了多家大型金融企业网络安全建设,积累了丰富的实践经验,牵头起草了多项金融行业网络安全行业标准,主要研究兴趣是异常行为监测、SIEM/SOC、安全运营等。业务时间维护微信公众号“君哥的体历”,贡献了大量技术文章,广受好评。
  李燕 某银行科技部门分管信息安全的总经理室成员,具有15年商业银行总行科技工作经验,曾主管全国性银行信息安全团队,主持过两家商业银行全行信息安全工作,包括信息安全管理和技术规划、ISO27001信息安全管理体系认证、信息安全团队建设、信息安全技术实施等,对信息安全管理相关的组织、架构、制度、流程,以及信息安全技术体系有全面深入的理解。
  何扬军(xysky) 某大型商业银行总行信息技术部数据安全团队负责人。曾在乙方安全公司和互联网安全团队工作,具有十余年安全工作经验,对Web安全、系统安全、数据安全以及安全运营等方面技术有深入全面的实践和理解,曾经在黑客防线等杂志发表数十篇文章,拥有CISSP、CEH、RHCE等证书。
目录
对本书的赞誉
序一
序二
序三
前言
第一部分 安全架构
第1章 企业信息安全建设简介
1.1 安全的本质
1.2 安全原则
1.3 安全世界观
1.4 正确处理几个关系
1.5 安全趋势
1.6 小结
第2章 金融行业的信息安全
2.1 金融行业信息安全态势
2.2 金融行业信息安全目标
2.3 信息安全与业务的关系:矛盾与共赢
2.4 信息安全与监管的关系:约束与保护
2.5 监管科技
2.6 小结
第3章 安全规划
3.1 规划前的思考
3.2 规划框架
3.3 制订步骤
3.4 注意事项
3.5 小结
第4章 内控合规管理
4.1 概述
4.2 信息科技风险管理
4.3 监督检查
4.4 制度管理
4.5 业务连续性管理
4.6 信息科技外包管理
4.7 分支机构管理
4.8 信息科技风险库示例
4.9 小结
第5章 安全团队建设
5.1 安全团队建设的“痛点”
5.2 安全团队面临的宏观环境
5.3 安全团队文化建设
5.4 安全团队意识建设
5.5 安全团队能力建设
5.6 安全团队建设路径
5.7 安全人员职业规划
5.8 安全团队与其他团队的关系处理
5.9 小结
第6章 安全培训
6.1 安全培训的问题与“痛点”
6.2 信息安全培训关联方
6.3 信息安全培训“百宝箱”
6.4 面向对象的信息安全培训矩阵
6.5 培训体系实施的效果衡量
6.6 小结
第7章 外包安全管理
7.1 外包安全管理的问题与“痛点”
7.2 外包战略体系
7.3 外包战术体系
7.4 金融科技时代的外包安全管理
7.5 小结
第8章 安全考核
8.1 考核评价体系与原则
8.2 安全考核对象
8.3 考核方案
8.4 与考核相关的其他几个问题
8.5 安全考核示例
8.6 小结
第9章 安全认证
9.1 为什么要获得认证
9.2 认证概述
9.3 选择什么样的认证
9.4 如何通过认证
9.5 小结
第10章 安全预算、总结与汇报
10.1 安全预算
10.2 安全总结
10.3 安全汇报
10.4 小结
第二部分 安全技术实战
第11章 互联网应用安全
11.1 端口管控
11.2 Web应用安全
11.3 系统安全
11.4 网络安全
11.5 数据安全
11.6 业务安全
11.7 互联网DMZ区安全管控标准
11.8 小结
第12章 移动应用安全
12.1 概述
12.2 APP开发安全
12.3 APP业务安全
12.4 小结
第13章 企业内网安全
13.1 安全域
13.2 终端安全
13.3 网络安全
13.4 服务器安全
13.5 重点应用安全
13.6 漏洞战争
13.7 蜜罐体系建设
13.8 小结
第14章 数据安全
14.1 数据安全治理
14.2 终端数据安全
14.3 网络数据安全
14.4 存储数据安全
14.5 应用数据安全
14.6 其他话题
14.7 小结
第15章 业务安全
15.1 账号安全
15.2 爬虫与反爬虫
15.3 API网关防护
15.4 钓鱼与反制
15.5 大数据风控
15.6 小结
第16章 邮件安全
16.1 背景
16.2 入站安全防护
16.3 出站安全防护
16.4 整体安全防护体系
16.5 小结
第17章 活动目录安全
17.1 背景
17.2 常见攻击方式
17.3 维持权限的各种方式
17.4 安全解决方案
17.5 小结
第18章 安全热点解决方案
18.1 DDoS攻击与对策
18.2 勒索软件应对
18.3 补丁管理
18.4 堡垒机管理
18.5 加密机管理
18.6 情报利用
18.7 网络攻防大赛与CTF
18.8 小结
第19章 安全检测
19.1 安全检测方法
19.2 检测工具
19.3 安全检测思路和流程
19.4 安全检测案例
19.5 红蓝对抗
19.6 小结
第20章 安全运营
20.1 安全运营概述
20.2 架构
20.3 工具
20.4 所需资源
20.5 安全运营的思考
20.6 小结
第21章 安全运营中心
21.1 安全运营中心概述
21.2 ArcSight简介
21.3 SOC实施规划和架构设计
21.4 ArcSight安装配置
21.5 小结
第22章 安全资产管理和矩阵式监控
22.1 安全资产管理
22.2 矩阵式监控
22.3 小结
第23章 应急响应
23.1 概述
23.2 事件分类
23.3 事件分级
23.4 PDCERF模型
23.5 其他话题
23.6 小结
第24章 安全趋势和安全从业者的未来
24.1 职业规划方法论
24.2 安全环境趋势和安全从业趋势
24.3 安全从业指南
24.4 安全从业注意事项
24.5 小结
附录
附录A 我的CISSP之路
附录B 企业安全技能树
前言
  前言
  自从我从事信息安全职业以来,我一直在甲方从事企业安全建设工作。由于信息技术和安全技术日新月异地发展,我一直在学习之路上奔跑。看过很多书,听过很多演讲,其中大部分图书是零碎的技术点、工具使用和攻击过程演示,少数是属于理论性和学术性的教科书,很少有书籍介绍如何将安全技术更好地应用在不同规模、不同阶段的企业中,即企业安全最后一公里问题。在企业做安全、安全管理和安全技术,都需要通过安全实践去落地,并最终实现安全有效性的提升。
  企业的安全负责人关注的重点是如何使企业的安全建设更加有效,以及如何落地,例如安全价值、安全如何保障业务、安全合规、安全总结汇报、安全考核、安全度量、资产管理等。企业安全建设的很多话题和讨论,看起来并不高大上,但却能够解决实际问题,给实际工作带来更大帮助,甚至很多属于“保命”的知识和技能。可是,安全实践这部分很有价值的内容却被市场选择性地忽略了。
  企业安全建设中另一个重点是安全运营。企业负责人和IT部总经理经常会问:什么样的安全是安全的?我见过一些企业做安全的过程,部署了各种安全设备,设计了各种安全管理措施和流程,领导也很支持,安全预算和安全人员也都给足,结果还是出了问题,归根结底是安全有效性出了问题。设备部署了,异常告警规则做好了吗?告警正常吗?设备依赖的条件,比如镜像的流量一直正常吗?了解安全保护的业务吗?能看懂告警日志的人有吗……
  要将安全性当作可用性来运营,安全才是有效的。目前制约安全运营发展的最大因素有两点:一是缺少特别好的商业化工具,能够结合企业内部的流程和人员,提高安全运营效率;二是一万个安全负责人心中有一万个安全运营思路,没有形成统一的安全运营标准。安全运营这部分很有价值的内容,很遗憾和安全实践一样,也被市场选择性地忽略了。
  书本和市场提供不了这些知识和技能,我只能求教于同行。我的从业经历主要在银行和证券,因此每年我都会和行业同仁进行学习交流。除了金融业,我们也向互联网行业公司学习,从中确实获益良多。不同的行业、企业的规模、面临的风险威胁、企业文化和实际需求、安全投入等,其安全建设之路也风格迥异,但做得好的企业都侧重解决实际安全问题,日拱一卒,积极实践,因此愈发坚定我对安全实践和安全运营的探索。
  利用工作之余的闲暇时间,我维护了“君哥的体历”公众号和“金融业企业安全建设实践”微信群,将我从业十余年的一些体验和经历分享出来,抛砖引玉,启发更多企业安全负责人的思考和分享讨论,并将有价值的内容沉淀在知识星球(公众号、微信群、知识星球联系方式见文末),为越来越多的人带来一些价值和帮助。
  这种分享,我理解为另一种“开源”精神。代码和项目开源很常见,体验和经历开源不多见,尤其是比较体系化地将如何在企业做安全建设的思路和实践开源,需要静下心来归纳总结提炼,在平常繁重的工作任务和需要全身心投入陪伴两个娃的同时,要做好“企业安全建设”这个开源项目,难度和挑战更大。在这个过程中,有如西湖惬意的微风,也有如沙漠般的烈日当头。不忘初心,方得始终。初心易得,始终难守。幸好我遇到了两位志同道合的伙伴,我们彼此共同努力和坚持,克服了各种困难,才有此书的面世。
  在某个年纪之前,你可以靠透支身体、小聪明和老天给你的运气,一直取巧地活着。然而到了某个年纪之后,真正能让你走远的是自律、积极和勤奋。人生最美好的莫过于各种经历和难忘的体验,过程虽然比较痛苦,结果都还比较好。如果大家和我一样,在企业做安全中遇到各种颇为“痛苦”的经历,过后你一定会感谢和怀念这份经历的。
  本书结构
  本书分两部分共24章,读者可以通过浏览目录进一步了解各章的内容。本书介绍了企业安全建设的方方面面,可以当作一本安全工作参考书,遇到问题时,也可以挑选任何所需要章节进行阅读。
  第一部分“安全架构”,主要介绍了企业安全建设涉及的领域,金融行业安全建设的一些特点,重点安全管理领域如内控合规管理、外包安全管理等,对安全团队建设、安全培训、安全考核、安全认证、安全预算等进行了深入探讨,有助于读者从企业安全建设者的角度了解企业安全的视角和解决问题的思路。
  第二部分“安全技术实战”,主要介绍企业安全建设中的一些安全技术应用实践,包括应用安全、内网安全、数据安全和业务安全等,对一些防护重点如邮件、活动目录、补丁管理、抗DDoS攻击等进行了深入探讨,对安全运营、应急响应和安全趋势以及从业者的未来做了一些开放式探讨。这些有助于企业安全负责人更好地掌握全局,顺势而为。附录中介绍了企业安全技能树等内容,还在持续更新中,有兴趣的读者可以和我们互动反馈。联系方式如下:
  邮箱:niejun2002@gmail.com
  GitHub:https://github.com/jun1010/secbuild
  微信公众号:君哥的体历(jungedetili)
  知识星球:金融企业安全建设实践
  聂君致谢
  感谢我的妻子,在最美丽的时候与我相遇,我的人生才充满了甜蜜快乐和多姿多彩。感谢她在我遭遇挫折和失败的时候默默支持着我,使我在迷茫和困惑的时候仍然能够鼓起勇气,看清方向。感谢生命中最可爱的两个宝贝,让我每一天都充满快乐和希望。
  感谢我的父母,是他们养育了我。感谢我的父母和岳父岳母,帮忙照顾我的家庭,并一直支持我的事业,使我最终能有机会写下这些文字。
  感谢我任职过的公司,给予我实践的土壤,使我能够有今天的积累。感谢工作中一直给予我帮助和鼓励的领导、同事和朋友,他们包括但不限于:吴云坤、周天虹、许彦冰、周智坚、高旭磊、贾俊刚、代留虎、徐恒、张靓、万雪林、何扬军、丁一琼、诸葛建伟、吴翰清、杨勇(Coolc)@腾讯、赵彦@美团、董志强(killer)@腾讯、方小顿(剑心)、韦韬(Lenx)@百度、胡珀(Lakehu)@腾讯、吴树鹏@火币网、王宇@蚂蚁金服、赵弼政(职业欠钱)@美团、方勇@腾讯、李吉慧@民生银行、余弦@慢雾、刘焱(兜哥)@百度、郭亮@数字观星、顾孔希@滴滴、方兴@全知科技、Feei(止介)@美丽联合、shutgun@启明、薛锋@微步在线、陈纯。
  感谢许彦冰女士为本书作序,她是我非常敬佩的一位领导和学习楷模。
  感谢吴怡编辑以及机械工业出版社的编辑、排版、设计等人员,他们非常专业和敬业。
  最后感谢成长道路上给予我帮助的每一位朋友,感恩。
  李燕致谢
  在商业银行从事了多年的信息安全管理工作,几乎每天都在跟各种各样的报告打交道,监管报告、风险评估报告、安全检查报告、定期工作汇报……已经数不清楚写了多少份报告,感觉每天的工作,不是在写报告,就是在为了写报告而准备素材。但是在很多个失眠的夜晚,我不禁暗自思考:做了这么多项具体的工作,写了这么多份具体的报告,最终能留下的,到底还剩什么?报告本身已经完成了它短暂的使命,工作本身已经实现了它当时的价值。但是除了每天埋头完成这些来自各种不同渠道的任务以外,我可以给后面从事同类工作的小伙伴们留下些什么,能够积累、沉淀、传承些什么?一个人的力量是有限的,能直接管理和培养的团队也是有限的,如果能将个人的经历变成可以复制的经验,对于未来团队的培养,对于金融行业的信息安全工作,也许都可以是一个小小的贡献。
  作为建立起两个商业银行信息安全团队的人,我深深了解信息安全人员的辛苦忙碌和酸甜苦辣,深深体会到信息安全人员的远大抱负和对现实的无奈,深深感动于信息安全人员的顽强坚守和价值追求。特别是金融行业,信息安全工作要求极高,信息安全人员压力极大,他们凭着极度的责任感和敬业精神,捍卫着金融企业科技的合规发展,保护着客户的资金和信息不被侵犯。我一直希望自己能做些什么,可以帮助后来的伙伴们拓展一些思路,少走一些弯路,加快一点步伐。把自己想过的、做过的、错过的,都分享出来,也许是个办法。
  然而,事非经过不知难。信息安全永远没有最佳答案,只能动态平衡、不断调整。适合自己的就是最好的,但要找到适合的那个平衡点却是最难的。我们的书也给不出标准答案,只能给出一种思维、一套逻辑、一类方法和一些启迪,能保证的只是每一个字都来源于实际工作,都可以落地。如果本书能引起一些讨论,能像石头激起一些水花,或者能引发更多金融行业的同行们也将经验拿出来分享,那这件事情的意义就远远超出了文字本身;如果我们的分享和总结,能带给读者们一点点启发和改变,我们的方法和工具能在企业中有一点点的应用和推广,那么我们的工夫就没有白费。
  春节、清明、五一、端午、周末,已经记不清多少个假日在闭门码字,也记不清多少个晚上11:00以后在挑灯奋战。今天回首,很庆幸能够坚持不懈,很庆幸没有半途而废。工作是修行,写书是修行,人生是修行。修行,永远在路上。
  感谢全力支持我的家人,这么多个不能陪伴你们的日日夜夜,你们仍鼎力支持,毫无怨言;感谢聂君,对我们运筹帷幄、严控进度,自己则信手拈来、才思泉涌;感谢何扬军,虽至今未曾谋面,但字里行间体现出的专业、自信,跃然纸上。以文会友,不亦快哉!
  聂君说,等书出版以后,我们几个要好好庆祝一下。我说,额手相庆,不醉无归。不出书本身,而是为努力的自己,为自律的自己,为更好的自己。我们等这一天,等很久了,幸好,它来了。
  何扬军致谢
  某日在朋友圈忍不住吐槽一本翻译过来的书,有个朋友在下面回复问我啥时候也出一本书。当时没有多想,一来平时工作确实忙,二来过往从事了很多具体的技术工作,杂乱且不方便透露细节。
  或许是深埋心底的文艺情结作怪,当2017年年底好友聂君说想合作写一本书时,我有点小兴奋并马上就答应了。心想凭着这些年工作经验积累以及曾经发表在外部或在内部分享的文章应该问题不大,实际上写起来却发现自己还是把事情想简单了。
  安全领域所涉及的面非常广,每个点深究下去又是一个专业领域。为了对得起自己也对得起读者,在接下来的半年时间里,我的身心状态总是在工作和写书之间进行切换,很多个晚上、几乎每个周末都在公司加班码字,好多个深夜保安来关灯了才发现整层楼只有我还在公司。有些技术虽然基本原理大家都懂,但真正要讲清楚来龙去脉还要查阅大量资料,有一些技术细节还需要反复在实验环境中测试确认,确保不犯错。所以进度也是相对较慢。好在最终坚持了下来,感谢聂君、李燕的鼓励,感谢公司领导和同事的支持,更感谢家人背后默默的付出。在写书过程中,还参考了不少网络资料,并与一些同事、朋友进行了讨论,在此一并表示感谢,他们是(排名不分先后):徐恒、李旬保、万雪林、黄炜程、王先伟、伍盛、魏强、王俊麟、许世杰、梁泉、李志强、万京平@神华信息、谭德飞@平安科技、黄启高@微软、顾孔希@滴滴出行、俞婷@中兴通讯、钱文斌@网联、唐勤@广发证券、廖位明@连连支付。
  初次写书,由于能力和精力所限,难免有错漏之处,恳请大家指出其中的错误与不足之处,谢谢!
精彩书摘
  1.1 安全的本质
  在企业做信息安全会遇到很多困惑,企业信息安全到底应该怎么做?管理、技术、流程和人员哪个更重要?安全团队和安全人才该怎么建设、培养和激励?笔者带着这些问题。
  与各种安全圈内各种安全人士交流过,笔者发现长期以来一直困扰的问题与信息安全的本质有关,或者说,需要了解信息安全问题的本质是什么?
  互联网本来是安全的,自从有了“研究安全”的人,就变得不安全了。比如SQL注入攻击,自从1999年首次出现后就成为互联网应用安全的头号大敌,SQL注入攻击的本质是把用户输入的数据当作代码执行,而开发人员设计用户输入的功能时,本意只是提供一个用户交互功能,根据用户的输入返回动态页面结果,以便提供更好的用户体验。这个好的出发点,很不幸被恶意的人滥用了。再比如,钓鱼网站目前已成为很多金融企业的首要安全威胁,而在2011年以前,很多金融企业的安全人员甚至都没有考虑过这个问题。时至今日,他们仍会觉得很无辜,因为企业的网站并没有任何安全漏洞,是钓鱼网站的“狡猾”和用户的“傻”,才让攻击者有机可乘。