基本信息
【插图】
编辑推荐
资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。
本书系统化介绍金融行业中企业信息安全的架构与技术实践,总结了作者在金融行业多年的信息安全实践经验,致力于解决金融企业信息安全“最后一公里”问题,内容丰富,实践性强。
内容简介
作译者
聂君 李燕 何扬军 编著:聂君,毕业于哈尔滨工业大学,安信证券信息技术中心安全总监,曾在招商银行总行安全团队工作9年。参与了多家大型金融企业网络安全建设,积累了丰富的实践经验,牵头起草了多项金融行业网络安全行业标准,主要研究兴趣是异常行为监测、SIEM/SOC、安全运营等。业务时间维护微信公众号“君哥的体历”,贡献了大量技术文章,广受好评。
李燕,某银行科技部门分管信息安全的总经理室成员,具有15年商业银行总行科技工作经验,曾主管全国性银行信息安全团队,主持过两家商业银行全行信息安全工作,包括信息安全管理和技术规划、ISO27001信息安全管理体系认证、信息安全团队建设、信息安全技术实施等,对信息安全管理相关的组织、架构、制度、流程,以及信息安全技术体系有全面深入的理解。
何扬军(xysky),某大型商业银行总行信息技术部数据安全团队负责人。曾在乙方安全公司和互联网安全团队工作,具有十余年安全工作经验,对Web安全、系统安全、数据安全以及安全运营等方面技术有深入全面的实践和理解,曾经在黑客防线等杂志发表数十篇文章,拥有CISSP、CEH、RHCE等证书。
李燕,某银行科技部门分管信息安全的总经理室成员,具有15年商业银行总行科技工作经验,曾主管全国性银行信息安全团队,主持过两家商业银行全行信息安全工作,包括信息安全管理和技术规划、ISO27001信息安全管理体系认证、信息安全团队建设、信息安全技术实施等,对信息安全管理相关的组织、架构、制度、流程,以及信息安全技术体系有全面深入的理解。
何扬军(xysky),某大型商业银行总行信息技术部数据安全团队负责人。曾在乙方安全公司和互联网安全团队工作,具有十余年安全工作经验,对Web安全、系统安全、数据安全以及安全运营等方面技术有深入全面的实践和理解,曾经在黑客防线等杂志发表数十篇文章,拥有CISSP、CEH、RHCE等证书。
目录
序一
序二
序三
前言
第一部分 安全架构
第1章 企业信息安全建设简介2
1.1 安全的本质2
1.2 安全原则2
1.3 安全世界观4
1.4 正确处理几个关系4
1.5 安全趋势6
1.6 小结7
第2章 金融行业的信息安全8
2.1 金融行业信息安全态势8
2.2 金融行业信息安全目标10
2.3 信息安全与业务的关系:矛盾与共赢12
2.4 信息安全与监管的关系:约束与保护13
2.5 监管科技14
2.6 小结16
第3章 安全规划17
序二
序三
前言
第一部分 安全架构
第1章 企业信息安全建设简介2
1.1 安全的本质2
1.2 安全原则2
1.3 安全世界观4
1.4 正确处理几个关系4
1.5 安全趋势6
1.6 小结7
第2章 金融行业的信息安全8
2.1 金融行业信息安全态势8
2.2 金融行业信息安全目标10
2.3 信息安全与业务的关系:矛盾与共赢12
2.4 信息安全与监管的关系:约束与保护13
2.5 监管科技14
2.6 小结16
第3章 安全规划17
前言
自从我从事信息安全职业以来,我一直在甲方从事企业安全建设工作。由于信息技术和安全技术日新月异地发展,我一直在学习之路上奔跑。看过很多书,听过很多演讲,其中大部分图书是零碎的技术点、工具使用和攻击过程演示,少数是属于理论性和学术性的教科书,很少有书籍介绍如何将安全技术更好地应用在不同规模、不同阶段的企业中,即企业安全最后一公里问题。在企业做安全、安全管理和安全技术,都需要通过安全实践去落地,并最终实现安全有效性的提升。
企业的安全负责人关注的重点是如何使企业的安全建设更加有效,以及如何落地,例如安全价值、安全如何保障业务、安全合规、安全总结汇报、安全考核、安全度量、资产管理等。企业安全建设的很多话题和讨论,看起来并不高大上,但却能够解决实际问题,给实际工作带来更大帮助,甚至很多属于“保命”的知识和技能。可是,安全实践这部分很有价值的内容却被市场选择性地忽略了。
企业安全建设中另一个重点是安全运营。企业负责人和IT部总经理经常会问:什么样的安全是安全的?我见过一些企业做安全的过程,部署了各种安全设备,设计了各种安全管理措施和流程,领导也很支持,安全预算和安全人员也都给足,结果还是出了问题,归根结底是安全有效性出了问题。设备部署了,异常告警规则做好了吗?告警正常吗?设备依赖的条件,比如镜像的流量一直正常吗?了解安全保护的业务吗?能看懂告警日志的人有吗……
要将安全性当作可用性来运营,安全才是有效的。目前制约安全运营发展的最大因素有两点:一是缺少特别好的商业化工具,能够结合企业内部的流程和人员,提高安全运营效率;二是一万个安全负责人心中有一万个安全运营思路,没有形成统一的安全运营标准。安全运营这部分很有价值的内容,很遗憾和安全实践一样,也被市场选择性地忽略了。
书本和市场提供不了这些知识和技能,我只能求教于同行。我的从业经历主要在银行和证券,因此每年我都会和行业同仁进行学习交流。除了金融业,我们也向互联网行业公司学习,从中确实获益良多。不同的行业、企业的规模、面临的风险威胁、企业文化和实际需求、安全投入等,其安全建设之路也风格迥异,但做得好的企业都侧重解决实际安全问题,日拱一卒,积极实践,因此愈发坚定我对安全实践和安全运营的探索。
利用工作之余的闲暇时间,我维护了“君哥的体历”公众号和“金融业企业安全建设实践”微信群,将我从业十余年的一些体验和经历分享出来,抛砖引玉,启发更多企业安全负责人的思考和分享讨论,并将有价值的内容沉淀在知识星球(公众号、微信群、知识星球联系方式见文末),为越来越多的人带来一些价值和帮助。
这种分享,我理解为另一种“开源”精神。代码和项目开源很常见,体验和经历开源不多见,尤其是比较体系化地将如何在企业做安全建设的思路和实践开源,需要静下心来归纳总结提炼,在平常繁重的工作任务和需要全身心投入陪伴两个娃的同时,要做好“企业安全建设”这个开源项目,难度和挑战更大。在这个过程中,有如西湖惬意的微风,也有如沙漠般的烈日当头。不忘初心,方得始终。初心易得,始终难守。幸好我遇到了两位志同道合的伙伴,我们彼此共同努力和坚持,克服了各种困难,才有此书的面世。
在某个年纪之前,你可以靠透支身体、小聪明和老天给你的运气,一直取巧地活着。然而到了某个年纪之后,真正能让你走远的是自律、积极和勤奋。人生最美好的莫过于各种经历和难忘的体验,过程虽然比较痛苦,结果都还比较好。如果大家和我一样,在企业做安全中遇到各种颇为“痛苦”的经历,过后你一定会感谢和怀念这份经历的。
本书结构
本书分两部分共24章,读者可以通过浏览目录进一步了解各章的内容。本书介绍了企业安全建设的方方面面,可以当作一本安全工作参考书,遇到问题时,也可以挑选任何所需要章节进行阅读。
第一部分“安全架构”,主要介绍了企业安全建设涉及的领域,金融行业安全建设的一些特点,重点安全管理领域如内控合规管理、外包安全管理等,对安全团队建设、安全培训、安全考核、安全认证、安全预算等进行了深入探讨,有助于读者从企业安全建设者的角度了解企业安全的视角和解决问题的思路。
第二部分“安全技术实战”,主要介绍企业安全建设中的一些安全技术应用实践,包括应用安全、内网安全、数据安全和业务安全等,对一些防护重点如邮件、活动目录、补丁管理、抗DDoS攻击等进行了深入探讨,对安全运营、应急响应和安全趋势以及从业者的未来做了一些开放式探讨。这些有助于企业安全负责人更好地掌握全局,顺势而为。附录中介绍了企业安全技能树等内容,还在持续更新中,有兴趣的读者可以和我们互动反馈。联系方式如下:
邮箱:niejun2002@gmail.com
GitHub:https://github.com/jun1010/secbuild
微信公众号:君哥的体历(jungedetili)
知识星球:金融企业安全建设实践
聂君致谢
感谢我的妻子,在最美丽的时候与我相遇,我的人生才充满了甜蜜快乐和多姿多彩。感谢她在我遭遇挫折和失败的时候默默支持着我,使我在迷茫和困惑的时候仍然能够鼓起勇气,看清方向。感谢生命中最可爱的两个宝贝,让我每一天都充满快乐和希望。
感谢我的父母,是他们养育了我。感谢我的父母和岳父岳母,帮忙照顾我的家庭,并一直支持我的事业,使我最终能有机会写下这些文字。
感谢我任职过的公司,给予我实践的土壤,使我能够有今天的积累。感谢工作中一直给予我帮助和鼓励的领导、同事和朋友,他们包括但不限于:吴云坤、周天虹、许彦冰、周智坚、高旭磊、贾俊刚、代留虎、徐恒、张靓、万雪林、何扬军、丁一琼、诸葛建伟、吴翰清、杨勇(Coolc)@腾讯、赵彦@美团、董志强(killer)@腾讯、方小顿(剑心)、韦韬(Lenx)@百度、胡珀(Lakehu)@腾讯、吴树鹏@火币网、王宇@蚂蚁金服、赵弼政(职业欠钱)@美团、方勇@腾讯、李吉慧@民生银行、余弦@慢雾、刘焱(兜哥)@百度、郭亮@数字观星、顾孔希@滴滴、方兴@全知科技、Feei(止介)@美丽联合、shutgun@启明、薛锋@微步在线、陈纯。
企业的安全负责人关注的重点是如何使企业的安全建设更加有效,以及如何落地,例如安全价值、安全如何保障业务、安全合规、安全总结汇报、安全考核、安全度量、资产管理等。企业安全建设的很多话题和讨论,看起来并不高大上,但却能够解决实际问题,给实际工作带来更大帮助,甚至很多属于“保命”的知识和技能。可是,安全实践这部分很有价值的内容却被市场选择性地忽略了。
企业安全建设中另一个重点是安全运营。企业负责人和IT部总经理经常会问:什么样的安全是安全的?我见过一些企业做安全的过程,部署了各种安全设备,设计了各种安全管理措施和流程,领导也很支持,安全预算和安全人员也都给足,结果还是出了问题,归根结底是安全有效性出了问题。设备部署了,异常告警规则做好了吗?告警正常吗?设备依赖的条件,比如镜像的流量一直正常吗?了解安全保护的业务吗?能看懂告警日志的人有吗……
要将安全性当作可用性来运营,安全才是有效的。目前制约安全运营发展的最大因素有两点:一是缺少特别好的商业化工具,能够结合企业内部的流程和人员,提高安全运营效率;二是一万个安全负责人心中有一万个安全运营思路,没有形成统一的安全运营标准。安全运营这部分很有价值的内容,很遗憾和安全实践一样,也被市场选择性地忽略了。
书本和市场提供不了这些知识和技能,我只能求教于同行。我的从业经历主要在银行和证券,因此每年我都会和行业同仁进行学习交流。除了金融业,我们也向互联网行业公司学习,从中确实获益良多。不同的行业、企业的规模、面临的风险威胁、企业文化和实际需求、安全投入等,其安全建设之路也风格迥异,但做得好的企业都侧重解决实际安全问题,日拱一卒,积极实践,因此愈发坚定我对安全实践和安全运营的探索。
利用工作之余的闲暇时间,我维护了“君哥的体历”公众号和“金融业企业安全建设实践”微信群,将我从业十余年的一些体验和经历分享出来,抛砖引玉,启发更多企业安全负责人的思考和分享讨论,并将有价值的内容沉淀在知识星球(公众号、微信群、知识星球联系方式见文末),为越来越多的人带来一些价值和帮助。
这种分享,我理解为另一种“开源”精神。代码和项目开源很常见,体验和经历开源不多见,尤其是比较体系化地将如何在企业做安全建设的思路和实践开源,需要静下心来归纳总结提炼,在平常繁重的工作任务和需要全身心投入陪伴两个娃的同时,要做好“企业安全建设”这个开源项目,难度和挑战更大。在这个过程中,有如西湖惬意的微风,也有如沙漠般的烈日当头。不忘初心,方得始终。初心易得,始终难守。幸好我遇到了两位志同道合的伙伴,我们彼此共同努力和坚持,克服了各种困难,才有此书的面世。
在某个年纪之前,你可以靠透支身体、小聪明和老天给你的运气,一直取巧地活着。然而到了某个年纪之后,真正能让你走远的是自律、积极和勤奋。人生最美好的莫过于各种经历和难忘的体验,过程虽然比较痛苦,结果都还比较好。如果大家和我一样,在企业做安全中遇到各种颇为“痛苦”的经历,过后你一定会感谢和怀念这份经历的。
本书结构
本书分两部分共24章,读者可以通过浏览目录进一步了解各章的内容。本书介绍了企业安全建设的方方面面,可以当作一本安全工作参考书,遇到问题时,也可以挑选任何所需要章节进行阅读。
第一部分“安全架构”,主要介绍了企业安全建设涉及的领域,金融行业安全建设的一些特点,重点安全管理领域如内控合规管理、外包安全管理等,对安全团队建设、安全培训、安全考核、安全认证、安全预算等进行了深入探讨,有助于读者从企业安全建设者的角度了解企业安全的视角和解决问题的思路。
第二部分“安全技术实战”,主要介绍企业安全建设中的一些安全技术应用实践,包括应用安全、内网安全、数据安全和业务安全等,对一些防护重点如邮件、活动目录、补丁管理、抗DDoS攻击等进行了深入探讨,对安全运营、应急响应和安全趋势以及从业者的未来做了一些开放式探讨。这些有助于企业安全负责人更好地掌握全局,顺势而为。附录中介绍了企业安全技能树等内容,还在持续更新中,有兴趣的读者可以和我们互动反馈。联系方式如下:
邮箱:niejun2002@gmail.com
GitHub:https://github.com/jun1010/secbuild
微信公众号:君哥的体历(jungedetili)
知识星球:金融企业安全建设实践
聂君致谢
感谢我的妻子,在最美丽的时候与我相遇,我的人生才充满了甜蜜快乐和多姿多彩。感谢她在我遭遇挫折和失败的时候默默支持着我,使我在迷茫和困惑的时候仍然能够鼓起勇气,看清方向。感谢生命中最可爱的两个宝贝,让我每一天都充满快乐和希望。
感谢我的父母,是他们养育了我。感谢我的父母和岳父岳母,帮忙照顾我的家庭,并一直支持我的事业,使我最终能有机会写下这些文字。
感谢我任职过的公司,给予我实践的土壤,使我能够有今天的积累。感谢工作中一直给予我帮助和鼓励的领导、同事和朋友,他们包括但不限于:吴云坤、周天虹、许彦冰、周智坚、高旭磊、贾俊刚、代留虎、徐恒、张靓、万雪林、何扬军、丁一琼、诸葛建伟、吴翰清、杨勇(Coolc)@腾讯、赵彦@美团、董志强(killer)@腾讯、方小顿(剑心)、韦韬(Lenx)@百度、胡珀(Lakehu)@腾讯、吴树鹏@火币网、王宇@蚂蚁金服、赵弼政(职业欠钱)@美团、方勇@腾讯、李吉慧@民生银行、余弦@慢雾、刘焱(兜哥)@百度、郭亮@数字观星、顾孔希@滴滴、方兴@全知科技、Feei(止介)@美丽联合、shutgun@启明、薛锋@微步在线、陈纯。
媒体评论
网络安全已经上升到国家战略,企业安全市场焕发新活力,整个安全生态正在发生深刻变革,对安全从业人员也提出了更高要求。对于如何构建一套适合不同体量、不同阶段的金融企业安全体系,本书提出了行之有效的实践方案和进阶之路,是市场上少有的上乘佳作。
—— 吴云坤360企业安全集团总裁
金融行业本质上是一个信息和数据驱动的行业,在当今信息爆炸和技术飞速发展的背景下,全行业正在加速迈向网络化、数据化和智能化。金融行业的科技工作纷繁复杂,信息安全是其中最基础和最重要的一个领域。本书围绕金融行业信息安全工作,全面分析了总体框架,深入剖析了网络安全、系统安全、数据安全、业务安全等主要安全工作实践。既讲授了安全技术,也涵盖了安全工作的组织管理,深入而全面,是指导金融行业信息安全工作难得的一本好书!
—— 周天虹招商银行总行信息技术部总经理
本书为读者提供了一个精彩而详细的计划,可以引导读者系统而全面地构建一个企业的安全体系。作者在工作中一直秉承着进取和务实的态度,这次能将自己多年的经验凝练总结成册,是非常有参考价值的。推荐对企业安全建设有兴趣的读者阅读。
—— 杨勇(Coolc) 腾讯安全平台部负责人
本书是市场上罕见的较为系统化论述企业安全全局建设方法的书,对金融和其他行业的从业人员来说都是不错的专业参考读物。
—— 赵彦美团安全部高级总监
信息安全是悬在现代企业头顶的达摩克利斯之剑。信息安全涉及企业的各个犄角旮旯,一不小心就是大坑,不出事价值很难说清,出了事却要忙着“背锅”,要做好尤其不易。本书从金融行业的实践出发,通透地论述了企业信息安全的方方面面,在理念和方法上有着深入的思考和认知,在实战上有着丰富的结合国情的一手经验,为安全从业者理出了清晰的脉络,是一本行业急需的经验总结,也是一本非常好的工具书。
—— 韦韬(Lenx) 百度首席安全科学家,北大客座教授
—— 吴云坤360企业安全集团总裁
金融行业本质上是一个信息和数据驱动的行业,在当今信息爆炸和技术飞速发展的背景下,全行业正在加速迈向网络化、数据化和智能化。金融行业的科技工作纷繁复杂,信息安全是其中最基础和最重要的一个领域。本书围绕金融行业信息安全工作,全面分析了总体框架,深入剖析了网络安全、系统安全、数据安全、业务安全等主要安全工作实践。既讲授了安全技术,也涵盖了安全工作的组织管理,深入而全面,是指导金融行业信息安全工作难得的一本好书!
—— 周天虹招商银行总行信息技术部总经理
本书为读者提供了一个精彩而详细的计划,可以引导读者系统而全面地构建一个企业的安全体系。作者在工作中一直秉承着进取和务实的态度,这次能将自己多年的经验凝练总结成册,是非常有参考价值的。推荐对企业安全建设有兴趣的读者阅读。
—— 杨勇(Coolc) 腾讯安全平台部负责人
本书是市场上罕见的较为系统化论述企业安全全局建设方法的书,对金融和其他行业的从业人员来说都是不错的专业参考读物。
—— 赵彦美团安全部高级总监
信息安全是悬在现代企业头顶的达摩克利斯之剑。信息安全涉及企业的各个犄角旮旯,一不小心就是大坑,不出事价值很难说清,出了事却要忙着“背锅”,要做好尤其不易。本书从金融行业的实践出发,通透地论述了企业信息安全的方方面面,在理念和方法上有着深入的思考和认知,在实战上有着丰富的结合国情的一手经验,为安全从业者理出了清晰的脉络,是一本行业急需的经验总结,也是一本非常好的工具书。
—— 韦韬(Lenx) 百度首席安全科学家,北大客座教授
