基本信息
编辑推荐
资深数据安全专家十年磨一剑的成果,多位专家联袂推荐。
本书以数据安全为线索,透视整个安全体系,将安全架构理念融入产品开发、安全体系建设中。
内容简介
书籍
计算机书籍
本书系统性地介绍数据安全架构的设计与实践,融入了作者多年在安全领域积累的实践经验。全书分四大部分,共20章。第一部分介绍安全架构的基础知识,内容包括安全、数据安全、安全架构、5A方法论、CIA等基本概念,为后续论述奠定基础。第二部分介绍产品安全架构,内容包括:身份认证、授权、访问控制、审计、资产保护等,讲解如何从源头设计来保障数据安全和隐私安全,防患于未然。第三部分介绍安全技术体系架构,内容包括:安全技术架构、网络和通信层安全架构、设备和主机层安全架构、应用和数据层安全架构、安全架构案例分析等。第四部分介绍数据安全与隐私保护治理,内容包括:数据安全治理、数据安全政策文件体系、隐私保护基础与增强技术、GRC方案、数据安全与隐私保护的统一等。
计算机书籍
本书系统性地介绍数据安全架构的设计与实践,融入了作者多年在安全领域积累的实践经验。全书分四大部分,共20章。第一部分介绍安全架构的基础知识,内容包括安全、数据安全、安全架构、5A方法论、CIA等基本概念,为后续论述奠定基础。第二部分介绍产品安全架构,内容包括:身份认证、授权、访问控制、审计、资产保护等,讲解如何从源头设计来保障数据安全和隐私安全,防患于未然。第三部分介绍安全技术体系架构,内容包括:安全技术架构、网络和通信层安全架构、设备和主机层安全架构、应用和数据层安全架构、安全架构案例分析等。第四部分介绍数据安全与隐私保护治理,内容包括:数据安全治理、数据安全政策文件体系、隐私保护基础与增强技术、GRC方案、数据安全与隐私保护的统一等。
目录
对本书的赞誉
序 一
序 二
前 言
第一部分 安全架构基础
第1章 架构 2
1.1 什么是架构 2
1.2 架构关注的问题 4
第2章 安全架构 5
2.1 什么是安全 5
2.2 为什么使用“数据安全”这个术语 7
2.3 什么是安全架构 10
2.4 安全架构5A方法论 11
2.5 安全架构5A与CIA的关系 13
第二部分 产品安全架构
第3章 产品安全架构简介 16
3.1 产品安全架构 16
3.2 典型的产品架构与框架 17
3.2.1 三层架构 17
3.2.2 B/S架构 18
序 一
序 二
前 言
第一部分 安全架构基础
第1章 架构 2
1.1 什么是架构 2
1.2 架构关注的问题 4
第2章 安全架构 5
2.1 什么是安全 5
2.2 为什么使用“数据安全”这个术语 7
2.3 什么是安全架构 10
2.4 安全架构5A方法论 11
2.5 安全架构5A与CIA的关系 13
第二部分 产品安全架构
第3章 产品安全架构简介 16
3.1 产品安全架构 16
3.2 典型的产品架构与框架 17
3.2.1 三层架构 17
3.2.2 B/S架构 18
前言
你一定听说过非常厉害的黑客,各种奇技淫巧,分分钟拖走大量数据!或入侵到目标内网,Get Shell、提升权限、拖走数据库!抑或根本不用进入内网,直接远程操作一番,就能窃取到大量数据,犹如探囊取物一般容易。
可是,站在黑客的对立面,作为防御的一方,公司频频遭遇入侵、网络攻击或数据泄露事件,一方面会面临巨大的业务损失,另一方面也会面临来自用户、媒体、监管层面的重重压力。
数据安全这是一个非常严峻的问题。数据泄露事件层出不穷,就算是安全建设得比较好的企业,也不能保证自己不出问题,况且在日常安全工作中,还面临着三大困境—资源有限、时间不够、能力不足,使得我们距离数据安全的目标还有不小的差距。
“资源有限”体现在企业在安全方面的投入往往不足,特别是在预防性安全建设、从源头开始安全建设的投入方面,更加缺乏。在有的产品团队,人力几乎全部投在业务方面,没有人对安全负责,产品发布上线后,也缺乏统一的安全增强基础设施(例如在统一的接入网关上实施强制身份认证),导致产品基本没有安全性可言。
“时间不够”是因为业务开发忙得不可开交,完成业务功能的时间都不够,哪里还有时间考虑安全呢?这也是为什么我们经常会发现有的JSON API接口根本就没有身份认证、授权、访问控制等机制,只要请求过来就返回数据。
“能力不足”体现在具备良好安全设计能力和良好开发能力的人员太少,基层开发人员普遍缺乏良好的安全实践和意识,写出来的应用频频出现高危漏洞。就算能够事先意识到安全问题,在实现上,安全解决方案也是五花八门,重复造轮子,且互不通用,往往问题多多,效率低下;就算发现了安全问题,然而牵一发而动全身,修改了问题还担心业务服务是否正常运转。
在几大困境面前,各产品团队往往寄希望于企业内安全团队的事后防御。殊不知,事后解决问题,也有诸多局限:
时间不等人,险情就是命令!当漏洞或事件报告过来的时候,无论是节假日,还是半夜时分,都需要立即启动应急响应,“三更起四更眠”屡见不鲜。数量不多时还可以承受,但长此以往,负责应急的同学身体也吃不消,需要不断招聘新人及启用岗位轮换机制。
依赖各种安全防御系统,没有从根本上解决问题,属于治标不治本,黑客经常能找到绕过安全防御系统的方法,就如同羸弱的身体失去了铠甲的保护。
事后修复很可能会影响业务连续性,即便产品团队已经知道问题出在哪里了,但是由于业务不能停,风险迟迟得不到修复,因此还可能引发更大的问题。
安全不是喊口号就能做好的。实际上,安全是一项系统性工程,需要方法论的指导,也需要实践的参考。
我们如何才能克服上述三大困境,更好地保护业务,防止数据泄露呢?本书尝试通过一套组合拳逐一化解:
通过安全架构方法论的引入,探讨如何从源头开始设计产品自身的安全架构,快速提升产品自身的安全能力,让产品(网络服务等)天然就具有免疫力,构建安全能力的第一道防线。
梳理安全技术体系架构,建立并完善安全领域的基础设施及各种支撑系统,让产品与安全基础设施分工协作,并对协作进行疏导(即“哪些应该交给产品自身来实现,哪些交给安全基础设施进行落地”),减少各业务在安全上的重复性建设和资源投入,避免重复造轮子,让业务聚焦到业务上去,节省业务团队在安全方面投入的时间。产品外部的安全能力,构成了第二道防线。
以数据安全的视角,一览企业数据安全治理的全貌,协助提升大家的架构性思维,站在全局看问题,了解数据安全与隐私保护治理实践。
总的来说,这是一本有关数据安全架构的技术性书籍,但也会涉猎数据安全治理的内容,目的在于让大家了解数据安全的全局,培养架构性思维模式,希望能给企业安全建设团队或有志于从事安全体系建设的读者一些建设性的参考。
内容简介
随着数据时代的到来,安全体系架构逐步由之前的“以网络为中心”(称之为网络安全)过渡到“以数据为中心”(称之为数据安全)。本书将使用数据安全这一概念,并以数据的安全收集或生成、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪、安全销毁为目标,透视整个安全体系,进而将安全架构理念融入产品开发过程、安全技术体系及流程体系中,更好地为企业的安全目标服务。
我们将站在黑客的对立面,以防御的视角,系统性地介绍安全架构实践,共包含四个部分。
第一部分为安全架构的基础知识,为后续章节打好基础。
可是,站在黑客的对立面,作为防御的一方,公司频频遭遇入侵、网络攻击或数据泄露事件,一方面会面临巨大的业务损失,另一方面也会面临来自用户、媒体、监管层面的重重压力。
数据安全这是一个非常严峻的问题。数据泄露事件层出不穷,就算是安全建设得比较好的企业,也不能保证自己不出问题,况且在日常安全工作中,还面临着三大困境—资源有限、时间不够、能力不足,使得我们距离数据安全的目标还有不小的差距。
“资源有限”体现在企业在安全方面的投入往往不足,特别是在预防性安全建设、从源头开始安全建设的投入方面,更加缺乏。在有的产品团队,人力几乎全部投在业务方面,没有人对安全负责,产品发布上线后,也缺乏统一的安全增强基础设施(例如在统一的接入网关上实施强制身份认证),导致产品基本没有安全性可言。
“时间不够”是因为业务开发忙得不可开交,完成业务功能的时间都不够,哪里还有时间考虑安全呢?这也是为什么我们经常会发现有的JSON API接口根本就没有身份认证、授权、访问控制等机制,只要请求过来就返回数据。
“能力不足”体现在具备良好安全设计能力和良好开发能力的人员太少,基层开发人员普遍缺乏良好的安全实践和意识,写出来的应用频频出现高危漏洞。就算能够事先意识到安全问题,在实现上,安全解决方案也是五花八门,重复造轮子,且互不通用,往往问题多多,效率低下;就算发现了安全问题,然而牵一发而动全身,修改了问题还担心业务服务是否正常运转。
在几大困境面前,各产品团队往往寄希望于企业内安全团队的事后防御。殊不知,事后解决问题,也有诸多局限:
时间不等人,险情就是命令!当漏洞或事件报告过来的时候,无论是节假日,还是半夜时分,都需要立即启动应急响应,“三更起四更眠”屡见不鲜。数量不多时还可以承受,但长此以往,负责应急的同学身体也吃不消,需要不断招聘新人及启用岗位轮换机制。
依赖各种安全防御系统,没有从根本上解决问题,属于治标不治本,黑客经常能找到绕过安全防御系统的方法,就如同羸弱的身体失去了铠甲的保护。
事后修复很可能会影响业务连续性,即便产品团队已经知道问题出在哪里了,但是由于业务不能停,风险迟迟得不到修复,因此还可能引发更大的问题。
安全不是喊口号就能做好的。实际上,安全是一项系统性工程,需要方法论的指导,也需要实践的参考。
我们如何才能克服上述三大困境,更好地保护业务,防止数据泄露呢?本书尝试通过一套组合拳逐一化解:
通过安全架构方法论的引入,探讨如何从源头开始设计产品自身的安全架构,快速提升产品自身的安全能力,让产品(网络服务等)天然就具有免疫力,构建安全能力的第一道防线。
梳理安全技术体系架构,建立并完善安全领域的基础设施及各种支撑系统,让产品与安全基础设施分工协作,并对协作进行疏导(即“哪些应该交给产品自身来实现,哪些交给安全基础设施进行落地”),减少各业务在安全上的重复性建设和资源投入,避免重复造轮子,让业务聚焦到业务上去,节省业务团队在安全方面投入的时间。产品外部的安全能力,构成了第二道防线。
以数据安全的视角,一览企业数据安全治理的全貌,协助提升大家的架构性思维,站在全局看问题,了解数据安全与隐私保护治理实践。
总的来说,这是一本有关数据安全架构的技术性书籍,但也会涉猎数据安全治理的内容,目的在于让大家了解数据安全的全局,培养架构性思维模式,希望能给企业安全建设团队或有志于从事安全体系建设的读者一些建设性的参考。
内容简介
随着数据时代的到来,安全体系架构逐步由之前的“以网络为中心”(称之为网络安全)过渡到“以数据为中心”(称之为数据安全)。本书将使用数据安全这一概念,并以数据的安全收集或生成、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪、安全销毁为目标,透视整个安全体系,进而将安全架构理念融入产品开发过程、安全技术体系及流程体系中,更好地为企业的安全目标服务。
我们将站在黑客的对立面,以防御的视角,系统性地介绍安全架构实践,共包含四个部分。
第一部分为安全架构的基础知识,为后续章节打好基础。
媒体评论
数据安全问题其实一直存在,只是在大数据、基于大数据的人工智能时代变得更加重要。本书在覆盖信息安全、网络安全基础知识与最佳实践的基础上,对数据安全相关问题做了更深入的探讨……这本书非常适合软件开发型企业的开发主管、信息安全主管与开发工程师阅读,也适合高校信息安全专业的同学作为了解业界网络安全实践的参考书使用。
—— 谭晓生 北京赛博英杰科技有限公司创始人
本书站在企业的角度对安全架构设计给出了详尽的指导,从理论到实现,都沉淀自作者多年的工作实践经验,有着重要的参考意义。本书对数据安全建设给出了非常完整的框架,是当前企业接触互联网与大数据后所急需的工作手册。
—— 吴翰清 阿里云首席安全科学家
如何保障数据安全是目前各行业广泛面临的挑战,而保障好数据安全要涉及基础设施、系统架构、业务应用甚至生态链条的方方面面,做好、做扎实尤其不易。郑云文的这本书非常契合当前行业的需求,特别是对数据安全保障的关键环节有着翔实的实践经验分享,能够给安全从业者良好的借鉴。
—— 韦韬(Lenx) 百度首席安全科学家,北大客座教授
随着信息化社会的高速发展,安全问题越来越多地得到大家的关注。但安全是一个庞大的系统工程,而数据安全往往是贯穿整个工程的核心焦点。数据安全的难点不仅在于复杂多样的对抗技术,更在于如何进行工程落地,整合成适配的解决方案,并在业务成长的过程中同样完善发展,这一切都深深地困扰着安全从业者。本书作者结合在大型互联网企业的工作经验,针对上述难点,系统地讲述数据安全建设方法,并总结出一套保障数据安全的方法论。推荐从事安全工作的朋友们阅读此书。
—— 杨勇(Coolc) 腾讯安全平台部负责人,腾讯安全学院副院长
本书使用的源代码发布在:https://github.com/zhyale/book1
欢迎读者在此提交问题或反馈意见
—— 谭晓生 北京赛博英杰科技有限公司创始人
本书站在企业的角度对安全架构设计给出了详尽的指导,从理论到实现,都沉淀自作者多年的工作实践经验,有着重要的参考意义。本书对数据安全建设给出了非常完整的框架,是当前企业接触互联网与大数据后所急需的工作手册。
—— 吴翰清 阿里云首席安全科学家
如何保障数据安全是目前各行业广泛面临的挑战,而保障好数据安全要涉及基础设施、系统架构、业务应用甚至生态链条的方方面面,做好、做扎实尤其不易。郑云文的这本书非常契合当前行业的需求,特别是对数据安全保障的关键环节有着翔实的实践经验分享,能够给安全从业者良好的借鉴。
—— 韦韬(Lenx) 百度首席安全科学家,北大客座教授
随着信息化社会的高速发展,安全问题越来越多地得到大家的关注。但安全是一个庞大的系统工程,而数据安全往往是贯穿整个工程的核心焦点。数据安全的难点不仅在于复杂多样的对抗技术,更在于如何进行工程落地,整合成适配的解决方案,并在业务成长的过程中同样完善发展,这一切都深深地困扰着安全从业者。本书作者结合在大型互联网企业的工作经验,针对上述难点,系统地讲述数据安全建设方法,并总结出一套保障数据安全的方法论。推荐从事安全工作的朋友们阅读此书。
—— 杨勇(Coolc) 腾讯安全平台部负责人,腾讯安全学院副院长
本书使用的源代码发布在:https://github.com/zhyale/book1
欢迎读者在此提交问题或反馈意见
