互联网企业安全高级指南

编辑推荐

《互联网企业安全高级指南》由机械工业出版社出版。

名人推荐

作为网络安全主管，如何满足互联网场景下的快速开发、部署、运营的安全是一件很棘手的事情。本书作者根据自己的实际工作经验，对此进行了比较全面的总结，内容详实，值得参考。 
——杨勇 华为安全能力中心部长 
本书内容来源于实践，经过了深入的分析和提炼，升华成为有益的指导和参考，相信不论是CSO还是刚入行的从业者，不论是安全专业人员还是想了解安全的业务人员，都会从本书中获益良多。 
——李雨航教授 华为首席科学家（网络安全技术专家），CSA大中华区主席 
此书凝结了赵彦对互联网企业安全体系建设的思考和经验提炼，覆盖了管理和解决方案，在宏观面阐述了自己的理解和安全观，对安全领域从业者是—份很好的参考资料。 
———杨勇（Coolc） 腾讯云副总裁，腾讯安全平台部负责人 
本书作者赵彦是安全圈老前辈，在甲方乙方都工作过，有丰富的经验：江虎过去有五年时间是我的同事，为腾讯的安全体系建设做出了重要贡献。本书从理论、技术、实践三个部分入手，基本涵盖了互联网企业安全的方方面面，是企业安全人员的案头必备参考书籍。强力推荐。 
——期珀（lake2） 腾讯安全平台部总监 
这本书是我见过的国内第壹本系统化的剖析整个互联网企业安全的书籍，如果早几年出这样的书籍，一定可以让我少走几年弯路，期待这本书能够让更多的安全领域同行罩日找到属于自己的答案。 
——黄眉 阿里巴巴安全部安全总监

作者简介

赵彦（ayazero），华为高端专家，互联网安全领域带头人，目前负责消费者BG云安全整体建设。前奇虎360企业安全技术总监、久游网安全总监、绿盟科技资深安全专家。白帽子时代是Ph4ntom的核心成员，知名技术社区ChinaUnixt首代安全版版主，国内屈指可数的拥有大型互联网整体安全架构和企业安全管理经验的资深从业者，10年技术管理和团队管理经验，培养的下属遍布互联网行业TOP10公司，且都是安全部门独当一面的骨干。 
江虎（xti9er），阿里巴巴集团高级安全专家，目前负责集团生产网安全系统架构相关工作。曾在腾讯、久游等公司任高级安全工程师，主要从事入侵检测、反黑客相关的安全体系建设。近十年的安全工作，是国内少数较完整参与经历了一线互联网公司的安全体系建设历程的资深从业者，并知名品牌了其中重点项目，实战经验丰富。 
胡乾威（rayxcp），拥有超过10年的安全研究工作经历，曾就职于绿盟、百度等公司。主要工作涉及各类型产品的安全分析和评估，覆盖从设计阶段到二进制分析等各方面，独立发现的安全漏洞涉及各类操作系统、客户端软件和智能设备等。

目录

前言 
理论篇 
第1章安全大环境与背景2 
1.1切入“企业安全”的视角2 
1.2企业安全包括哪些事情5 
1.3互联网企业和传统企业在安全建设中的区别9 
1.4不同规模企业的安全管理12 
1.5生态级企业vs平台级企业安全建设的需求13 
1.6云环境下的安全变迁16 
第2章安全的组织17 
2.1创业型企业一定需要CSO吗17 
2.2如何建立一支安全团队19 
第3章甲方安全建设方法论22 
3.1从零开始22 
3.2不同阶段的安全建设重点24 
3.3如何推动安全策略26 
3.4安全需要向业务妥协吗28 
3.5选择在不同的维度做防御29 
3.6需要自己发明安全机制吗33 
3.7如何看待SDL34 
3.7.1攻防驱动修改36 
3.7.2SDL落地率低的原因37 
3.7.3因地制宜的SDL实践38 
3.7.4SDL在互联网企业的发展39 
3.8STRIDE威胁建模40 
3.9关于ISO2700142 
3.10流程与“反流程”43 
3.11业务持续性管理45 
3.12关于应急响应47 
3.13安全建设的“马斯洛需求”层次48 
3.14TCO和ROI50 
第4章业界的模糊地带52 
4.1关于大数据安全52 
4.2解决方案的争议55 
技术篇 
第5章防御架构原则60 
5.1防守体系建设三部曲60 
5.2大规模生产网络的纵深防御架构62 
5.2.1互联网安全理念62 
5.2.2攻击者视角63 
5.2.3防御者模型63 
5.2.4互联网安全架构设计原则66 
第6章基础安全措施70 
6.1安全域划分70 
6.1.1传统的安全域划分70 
6.1.2典型的Web服务71 
6.1.3大型系统安全域划分72 
6.1.4生产网络和办公网络74 
6.2系统安全加固75 
6.2.1Linux加固75 
6.2.2应用配置加固81 
6.2.3远程访问83 
6.2.4账号密码83 
6.2.5网络访问控制84 
6.2.6补丁管理86 
6.2.7日志审计86 
6.3服务器4A87 
第7章网络安全89 
7.1网络入侵检测89 
7.2T级DDoS防御95 
7.2.1DDoS分类95 
7.2.2多层防御结构100 
7.2.3不同类型的企业108 
7.2.4不同类型的业务109 
7.2.5服务策略109 
7.2.6NIPS场景110 
7.2.7破防和反制111 
7.2.8立案和追踪112 
7.3链路劫持113 
7.4应用防火墙WAF117 
7.4.1WAF架构分类117 
7.4.2WAF安全策略建设118 
7.4.3WAF性能优化121 
第8章入侵感知体系123 
8.1主机入侵检测123 
8.1.1开源产品OSSEC123 
8.1.2MIG129 
8.1.3OSquery131 
8.1.4自研LinuxHIDS系统135 
8.2检测webshell144 
8.3RASP149 
8.3.1PHPRASP149 
8.3.2JavaRASP153 
8.4数据库审计159 
8.5入侵检测数据分析平台162 
8.5.1架构选择162 
8.5.2功能模块163 
8.5.3分析能力164 
8.5.4实战演示167 
8.6入侵检测数据模型169 
8.7数据链生态—僵尸网络174 
8.7.1僵尸网络传播174 
8.7.2僵尸网络架构175 
8.7.3应对僵尸网络威胁179 
8.8安全运营181 
第9章漏洞扫描182 
9.1概述182 
9.2漏洞扫描的种类183 
9.2.1按漏洞类型分类183 
9.2.2按扫描器行为分类190 
9.3如何应对大规模的资产扫描197 
9.4小结198 
第10章移动应用安全200 
10.1背景200 
10.2业务架构分析200 
10.3移动操作系统安全简介201 
10.4签名管理202 
10.5应用沙盒及权限203 
10.6应用安全风险分析204 
10.7安全应对205 
10.8安全评估206 
10.9关于移动认证206 
第11章代码审计207 
11.1自动化审计产品207 
11.2Coverity208 
第12章办公网络安全216 
12.1文化问题216 
12.2安全域划分217 
12.3终端管理218 
12.4安全网关221 
12.5研发管理222 
12.6远程访问224 
12.7虚拟化桌面224 
12.8APT226 
12.9DLP数据防泄密227 
12.10移动办公和边界模糊化228 
12.11技术之外229 
第13章安全管理体系230 
13.1相对“全集”234 
13.2组织235 
13.3KPI236 
13.4外部评价指标239 
13.5最小集合240 
13.5.1资产管理240 
13.5.2发布和变更流程241 
13.5.3事件处理流程241 
13.6安全产品研发245 
13.7开放与合作246 
第14章隐私保护248 
14.1数据分类250 
14.2访问控制250 
14.3数据隔离251 
14.4数据加密253 
14.5密钥管理258 
14.6安全删除258 
14.7匿名化259 
14.8内容分级259 
实践篇 
第15章业务安全与风控264 
15.1对抗原则264 
15.2账号安全265 
15.3电商类270 
15.4广告类274 
15.5媒体类274 
15.6网游类274 
15.7云计算275 
第16章大规模纵深防御体系设计与实现276 
16.1设计方案的考虑276 
16.2不同场景下的裁剪281 
第17章分阶段的安全体系建设283 
17.1宏观过程283 
17.2清理灰色地带285 
17.3建立应急响应能力286 
17.4运营环节288 
附录信息安全行业从业指南2.0290