- 推荐0
- 收藏0
- 浏览24
企业信息安全落地实践指南
- 书 号:9787121460913
- 出版日期:2023-08-01
- 页 数:
- 开 本:
- 出版状态:上市销售
- 维护人:博文小编
《企业信息安全落地实践指南》主要聚焦信息安全领域,内容涵盖安全运营、应用安全、数据隐私安全、业务安全、信息安全管理体系建设,较为全面地概括了信息安全工作的主要模块,并详细介绍了各模块涉及的工作职责、工作思路及解决相关问题所运用的技术手段与工具。
《企业信息安全落地实践指南》适合中小型互联网公司信息安全主管、网络安全从业人员阅读。
《企业信息安全落地实践指南》适合中小型互联网公司信息安全主管、网络安全从业人员阅读。
中小型互联网企业信息安全建设落地实践指导手册
从我2008年踏入信息安全行业开始,已经十几个年头了。我先在乙方从事安全产品售后交付、安全渗透、安全产品售前工作,后来到甲方从事SDLC应用安全、安全运营、基础安全和安全技术管理工作,算得上一名信息安全老兵。在不短的工作时间内,有幸能和黄建斌、李锦辉、黄平在多家公司有共事的机会。
在我们四个人中,我大学学习的是软件工程专业,黄建斌和黄平学习的是信息安全专业,李锦辉在踏入信息安全行业之前是一名军人。黄建斌虽然是科班出身,但是他所在大学整个班级的同学真正从事信息安全工作的只有五个人。李锦辉是我们四个人中年纪最小的,虽然退伍多年,但依然保持着一股干劲,勤勤恳恳。黄平和我一样,在甲乙方都工作过,从事过渗透、开发、业务安全等方面的工作,是名副其实的多面手。
因工作需要和兴趣使然,我们四个人经常在一起就信息安全问题展开探讨。对我们而言,感谢命运的眷顾与安排,这是一段非常值得珍惜的美好经历。
在信息安全团队的建设过程和实际项目中,我们遇到了很多困扰。首先是安全理念的转变:从思考如何发现业务漏洞到琢磨如何体系化保护业务安全。其次是角色的转变:在乙方,安全渗透报告一提交,后面就基本是销售跟进的工作了,而在甲方,发现漏洞只是工作中的一环,还需要漏洞闭环修复,安全开发培训,安全基线制定等。最后是心智的转变:不再盲目选择“高大上”的商业解决方案,能结合实际情况解决自身痛点的产品方案才是好的产品方案。
在日常工作中,我们习惯做一些工作笔记,并进行知识分享。2022年1月的一天,在完成内部知识分享课后,HRBP悄悄告诉我,有一场安全知识分享课的评价特别好,这让我深有感触,让我回想起曾经踩过的大大小小的坑、在遇到困难却找不到更好的解决方案时的窘境。因此,我想:为何不将点点滴滴的甲方安全工作经验写成一本实践经验总结的书呢?提议之初,大家热情高涨,但没过几天就打起了退堂鼓,主要是顾虑书中分享的内容在技术专业性、前沿性方面是否足够好。经过集体思考和讨论,我们认为:安全技术日新月异,书中分享的内容可能在技术专业领域不是最新、最好的,但我们希望通过自己的知识分享、所付出的微薄之力,给更多尚处在迷茫或探索之中的安全同路人更多的参考。
在统一思想后,得益于彼此之间的默契,我们立即开始整理资料,充分利用周末和节假日时间,经过6个多月的努力,在2022年8月完成了这本书的写作。
除了四位主要作者,还有很多同学参与了本书的写作。唐大锦参与写作第2章有关资产自动化监控、资产自动化扫描、安全日志自动化采集、日志自动清洗加工、安全告警事件自动编排的内容。李灵、李晓森、况小荣参与写作第5章有关业务安全挑战、业务安全建设历程、业务安全对抗案例的内容。蔡木卢参与写作第6章有关业务红蓝对抗的内容。祝晓彤参与写作第7章有关信息安全管理体系落地实践的内容。林青楠、杨永源、林柯轩等参与了本书的前期筹备工作。
本书共7章,主要内容如下。
第1章介绍安全团队组织建设目标和发展阶段,并梳理不同时期安全重点建设任务。
第2章介绍安全运营资产自动化监控管理,资产发生变动时自动化安全扫描,安全日志的采集和清洗加工,以及如何结合工作流自动编排处理。
第3章介绍数据与隐私安全落地,分享了数据安全建设常用理论模型,描述了数据资产识别过程,以及数据安全能力支撑平台开发实现过程。
第4章介绍SDLC和DevSecOps的概念及区别,以及DevSecOps活动任务的拆解、安全工具链的搭建、安全测试自动化的实现。
第5章介绍业务安全的相关内容,梳理了业务安全挑战、业务安全建设历程和账户、营销活动对抗黑产分析案例。
第6章介绍网络红蓝对抗,包括常规红蓝对抗和业务红蓝对抗之间的区别和具体案例。
第7章介绍信息安全管理体系落地实践,分享了ISO/IEC27001:2013信息安全管理体系建设流程与步骤、企业信息安全文化氛围建设方法。
在本书完成之际,感谢我任职过的公司为我提供了不断学习、实践、成长的平台和机会。也感谢一直以来给予我提携和帮助的前辈、鞭策我成长的朋友,他们是胡博@AKULAKU、段钢@KanXue、方勇、吴昊@Tencent、付山阳、秦伟强@Pingan、陈伟洪@数广、张洪涛@Impreva、张小孟@安恒、邓海辉、许承、郑泽辉。
感谢电子工业出版社的潘昕老师,在写作过程中给予大量帮助和建议。
最后,感谢购买本书的读者朋友,希望阅读本书能让您有所收获。
特别声明:由于传播、利用本书内容造成的任何直接或者间接的后果及损失,均由使用者本人负责,本书作者不为此承担任何责任。
由于作者水平有限,书中难免有些疏漏和不足,恳请读者批评指正。
熊耀富 duke
2023年1月
在我们四个人中,我大学学习的是软件工程专业,黄建斌和黄平学习的是信息安全专业,李锦辉在踏入信息安全行业之前是一名军人。黄建斌虽然是科班出身,但是他所在大学整个班级的同学真正从事信息安全工作的只有五个人。李锦辉是我们四个人中年纪最小的,虽然退伍多年,但依然保持着一股干劲,勤勤恳恳。黄平和我一样,在甲乙方都工作过,从事过渗透、开发、业务安全等方面的工作,是名副其实的多面手。
因工作需要和兴趣使然,我们四个人经常在一起就信息安全问题展开探讨。对我们而言,感谢命运的眷顾与安排,这是一段非常值得珍惜的美好经历。
在信息安全团队的建设过程和实际项目中,我们遇到了很多困扰。首先是安全理念的转变:从思考如何发现业务漏洞到琢磨如何体系化保护业务安全。其次是角色的转变:在乙方,安全渗透报告一提交,后面就基本是销售跟进的工作了,而在甲方,发现漏洞只是工作中的一环,还需要漏洞闭环修复,安全开发培训,安全基线制定等。最后是心智的转变:不再盲目选择“高大上”的商业解决方案,能结合实际情况解决自身痛点的产品方案才是好的产品方案。
在日常工作中,我们习惯做一些工作笔记,并进行知识分享。2022年1月的一天,在完成内部知识分享课后,HRBP悄悄告诉我,有一场安全知识分享课的评价特别好,这让我深有感触,让我回想起曾经踩过的大大小小的坑、在遇到困难却找不到更好的解决方案时的窘境。因此,我想:为何不将点点滴滴的甲方安全工作经验写成一本实践经验总结的书呢?提议之初,大家热情高涨,但没过几天就打起了退堂鼓,主要是顾虑书中分享的内容在技术专业性、前沿性方面是否足够好。经过集体思考和讨论,我们认为:安全技术日新月异,书中分享的内容可能在技术专业领域不是最新、最好的,但我们希望通过自己的知识分享、所付出的微薄之力,给更多尚处在迷茫或探索之中的安全同路人更多的参考。
在统一思想后,得益于彼此之间的默契,我们立即开始整理资料,充分利用周末和节假日时间,经过6个多月的努力,在2022年8月完成了这本书的写作。
除了四位主要作者,还有很多同学参与了本书的写作。唐大锦参与写作第2章有关资产自动化监控、资产自动化扫描、安全日志自动化采集、日志自动清洗加工、安全告警事件自动编排的内容。李灵、李晓森、况小荣参与写作第5章有关业务安全挑战、业务安全建设历程、业务安全对抗案例的内容。蔡木卢参与写作第6章有关业务红蓝对抗的内容。祝晓彤参与写作第7章有关信息安全管理体系落地实践的内容。林青楠、杨永源、林柯轩等参与了本书的前期筹备工作。
本书共7章,主要内容如下。
第1章介绍安全团队组织建设目标和发展阶段,并梳理不同时期安全重点建设任务。
第2章介绍安全运营资产自动化监控管理,资产发生变动时自动化安全扫描,安全日志的采集和清洗加工,以及如何结合工作流自动编排处理。
第3章介绍数据与隐私安全落地,分享了数据安全建设常用理论模型,描述了数据资产识别过程,以及数据安全能力支撑平台开发实现过程。
第4章介绍SDLC和DevSecOps的概念及区别,以及DevSecOps活动任务的拆解、安全工具链的搭建、安全测试自动化的实现。
第5章介绍业务安全的相关内容,梳理了业务安全挑战、业务安全建设历程和账户、营销活动对抗黑产分析案例。
第6章介绍网络红蓝对抗,包括常规红蓝对抗和业务红蓝对抗之间的区别和具体案例。
第7章介绍信息安全管理体系落地实践,分享了ISO/IEC27001:2013信息安全管理体系建设流程与步骤、企业信息安全文化氛围建设方法。
在本书完成之际,感谢我任职过的公司为我提供了不断学习、实践、成长的平台和机会。也感谢一直以来给予我提携和帮助的前辈、鞭策我成长的朋友,他们是胡博@AKULAKU、段钢@KanXue、方勇、吴昊@Tencent、付山阳、秦伟强@Pingan、陈伟洪@数广、张洪涛@Impreva、张小孟@安恒、邓海辉、许承、郑泽辉。
感谢电子工业出版社的潘昕老师,在写作过程中给予大量帮助和建议。
最后,感谢购买本书的读者朋友,希望阅读本书能让您有所收获。
特别声明:由于传播、利用本书内容造成的任何直接或者间接的后果及损失,均由使用者本人负责,本书作者不为此承担任何责任。
由于作者水平有限,书中难免有些疏漏和不足,恳请读者批评指正。
熊耀富 duke
2023年1月