中圖網小程序
一鍵登錄
更方便
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
企業信息安全落地實戰指南 版權信息
- ISBN:9787121460913
- 條形碼:9787121460913 ; 978-7-121-46091-3
- 裝幀:平塑
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
企業信息安全落地實戰指南 本書特色
本書為中小型企業信息安全建設工作提供了翔實的、可落地的實踐指南,突出的特色在于作者分享了企業信息安全管理平臺建設的具體步驟、過程、思考,是企業信息安全主管不可多得的工作參考書。 社會數字化進程全面普及,企業對安全建設越來越重視。本書結合網絡與信息安全相關的理論、技術、方法、案例,比較系統的介紹地企業信息安全建設,是一本很好的企業安全建設參考和實踐書籍。 看雪學苑創始人 段鋼 這是一本站在甲方視角,立體地介紹信息安全建設的實踐書籍,涵蓋基礎和業務安全范疇,既有豐富的理論又有實踐,值得一讀。 杭州安恒信息黨委書記、高級副總裁 張小孟 本書從多個維度介紹了企業信息安全建設面臨的的問題,并系統梳理了信息安全建設思路,既有充實的方法論,也有豐富的實踐案例,對企業信息安全從業者而言是一本很好的參考書。 深信服千里目安全技術中心負責人 周欣 源于實戰,面向實戰,不可多得的實操指南。 微步在線合伙人 方勇 本書作者拋棄了概念堆砌的文風——從實踐中來,到實踐中去——將十余年嘔心安全建設實踐的經驗無私分享給大家。 Impreva中國區戰略客戶總監 張洪濤 信息時代,數字化轉型已成為國內企業共識,信息安全更成為關乎企業生命的“達摩克利斯之劍”,其重要性不言而喻。本書作者將自己所學、所歷、所用與專業理論、具體實踐、企業需求高度結合,系統地闡述和指導企業信息安全建設,具有指導意義和實操價值。 西安四葉草安全聯合創始人 鄭瑋 本書從甲方視野的全局規劃,到乙方運營的實踐落地,涵蓋基礎安全、業務安全、數據安全、安全體系建設等方面。我曾與本書作者熊耀富共事,親身體會過作者兼顧理論和實踐,既有整體的戰略思考又有務實的工作態度。本書基于作者多年的安全實踐經驗,既可以作為安全從業者的學習資料,也可以作為安全技術主管的工作指南,是一本難得的好書! 騰訊基礎安全總監 吳昊 本書覆蓋安全領域的運營安全、數據安全和安全落地等方面,深入淺出,是國內安全人員不可多得的參考書。 威富通金融CTO 黃靈鵬 從信息化安全到數字化安全,不僅是安全范圍的變革,更是安全意識與理念的革命。作為數字原生企業,互聯網企業是企業數字化轉型的標桿和樣本。本書從實踐出發,總結了數字化安全的核心要務,以安全運營為核心,是一本統籌安全團隊構建、安全暴露面動態資產管理、應用研發運維一體化安全、數據安全與合規、業務安全、管理體系落地實踐等以場景為核心的數字化安全指南。推薦數字化原生和轉型企業安全團隊參考。 樂信集團信息安全總監 劉志誠 伴隨著互聯網爆發式發展,信息安全是企業的重大挑戰和核心課題之一,安全團隊不得不面對形態各異的業務場景以及復雜不確定性的網絡攻擊。此書提供了較為詳實的案例,在傳統攻防對抗基礎上,為尋找更有效、可落地的對抗方式提供了豐富的實踐經驗,是一本中小企業安全主管不可多得的參考書籍。 平安銀行應用安全負責人 秦偉強 本書作者熊耀富擁有豐富的甲乙方安全實戰經驗,帶領過多個團隊從0到1建設安全體系。本書從安全團隊建設、技術體系落地、*佳實踐等方面,將作者多年的經驗全盤托出,非常適合中小型企業安全負責人參考借鑒。 微眾銀行應用安全負責人 徐浩冬 近年來,隨著云上辦公的普及,勒索組織、灰黑產組織獲得了更多的機會,網絡勒索攻擊更加肆無忌憚,因此,如何確保企業的安全生產變得尤為重要。我有幸與本書作者熊耀富共同參與過企業安全從0到1的建設過程,他一直是我學習的對象,本書基于作者多年的甲方安全實踐經驗,由淺入深,娓娓道來,是中小型企業網絡安全主管及技術人員的**參考資料。 綠盟科技梅花K戰隊負責人 李子奇 本書從甲方信息安全建設實戰角度出發,分享了作者多年的安全*佳實踐與寶貴經驗,干貨滿滿,誠意十足,值得一讀。 華為云安全專家 王加鵬 甲方企業安全要做好,不在于方案有多“高大上”、技術有多先進——能落地并持續優化、取得正反饋的就是適合企業安全的*佳實踐。甲方企業安全是一項體系化的工程,本書闡述了企業在安全目標與團隊建設、安全運營、數據與隱私安全、應用安全、業務安全、紅藍對抗、信息安全管理體系等方面落地實踐的關鍵要點,涵蓋了甲方企業安全工作的重點領域,既有安全專業理論知識的講解,也沉淀了作者多年的工作實踐經驗。本書作者還分享了可落地的安全工具自研教程。本書是一本很好的信息安全專業書籍,推薦大家閱讀。 數字廣東網絡建設有限公司安全運營中心總監 陳偉洪
企業信息安全落地實戰指南 內容簡介
本書聚焦企業信息安全領域,內容涵蓋安全運營、應用安全、數據隱私安全、業務安全、信息安全管理體系建設,較為全面地概括了企業信息安全工作的主要模塊,并詳細介紹了各模塊涉及的工作職責、工作思路及解決相關問題所運用的技術手段與工具。本書適合中小型互聯網企業信息安全主管、網絡安全從業人員閱讀。
企業信息安全落地實戰指南 目錄
第1章 安全目標與團隊建設 1
1.1 團隊建設階段 1
1.2 團隊組織建設 3
1.3 不同時期的重點工作 4
1.4 小結 9
第2章 安全運營落地實踐 11
2.1 資產自動化監控 11
2.1.1 阿里云資產自動監控 12
2.1.2 騰訊云資產自動監控 17
2.1.3 AWS云資產自動監控 21
2.1.4 DNS域名自動監控 24
2.1.5 仿冒域名自動監控 26
2.1.6 VPN賬號自動監控 27
2.2 資產變動自動化掃描 30
2.2.1 Nessus漏洞掃描API 30
2.2.2 AWVS漏洞掃描API 32
2.2.3 端口目錄掃描API 35
2.2.4 微信告警API 38
2.2.5 新增IP地址自動掃描 39
2.2.6 新增DNS域名漏洞掃描 40
2.3 安全日志自動化采集 42
2.3.1 日志數據持久存儲 42
2.3.2 日志自動采集工具 51
2.4 日志的加工與清洗 70
2.4.1 Grok匹配 71
2.4.2 Mutate的使用 77
2.4.3 Process的使用 79
2.4.4 GeoIP 81
2.5 安全告警事件自動編排 83
2.5.1 n8n 83
2.5.2 Node-RED 94
2.6 安全運營平臺集成化管理 105
2.7 小結 109
第3章 數據與隱私安全落地實踐 110
3.1 企業數據安全建設挑戰 110
3.1.1 法規條例監管要求 111
3.1.2 數據丟失泄露風險 112
3.2 數據安全建設理論模型 114
3.2.1 安全能力成熟度模型 114
3.2.2 IPDRR能力框架模型 116
3.3 數據資產盤點三步曲 117
3.3.1 數據使用人員盤點 118
3.3.2 數據訪問方式盤點 119
3.3.3 數據自助分類分級 120
3.4 數據安全保護實踐歷程 122
3.4.1 數據分級保護 122
3.4.2 策略支撐平臺 125
3.4.3 數據安全態勢分析 159
3.4.4 隱私合規建設 162
3.5 小結 170
第4章 應用安全落地實踐 171
4.1 應用安全實踐方案 171
4.1.1 S-SDLC介紹 171
4.1.2 DevSecOps介紹 173
4.2 DEVSECOPS落地實踐 175
4.2.1 DevSecOps活動拆解 175
4.2.2 搭建安全工具鏈 178
4.2.3 安全測試自動化 196
4.2.4 應用安全質量管理 204
4.3 小結 209
第5章 業務安全落地實踐 210
5.1 業務安全概述 211
5.2 業務安全挑戰 211
5.2.1 業務安全風險 212
5.2.2 黑產多樣化手法 216
5.3 業務安全對抗手段 222
5.3.1 反欺詐作弊 223
5.3.2 風險團管控 225
5.3.3 名單管控 226
5.3.4 活動門檻 227
5.3.5 風險評分卡 228
5.3.6 情報監控 228
5.4 業務安全建設過程 230
5.4.1 雛形期業務安全建設 230
5.4.2 成長期業務安全建設 232
5.4.3 成熟期業務安全建設 237
5.5 業務安全對抗案例 238
5.5.1 識別惡意注冊行為 238
5.5.2 識別裂變拉新“薅羊毛”行為 242
5.5.3 識別團伙作弊行為 250
5.5.4 識別KYC欺詐行為 253
5.6 小結 254
第6章 紅藍對抗活動實踐 256
6.1 紅藍對抗簡介 256
6.2 常規紅藍對抗 257
6.2.1 社會工程學 257
6.2.2 郵件釣魚 258
6.2.3 互聯網水坑攻擊 275
6.2.4 近源攻擊 277
6.2.5 供應鏈攻擊 283
6.3 業務紅藍對抗 287
6.3.1 人臉識別繞過測試 288
6.3.2 滑塊驗證碼繞過測試 292
6.3.3 設備指紋篡改測試 295
6.4 小結 299
第7章 信息安全管理體系落地實踐 300
7.1 安全體系建設流程與步驟 300
7.1.1 項目啟動 301
7.1.2 現狀評估 302
7.1.3 風險評估 303
7.1.4 體系文件編寫 317
7.1.5 內部審核 323
7.1.6 有效性測量 328
7.1.7 管理評審 332
7.1.8 認證年審 334
7.1.9 安全培訓 337
7.1.10 典型記錄文檔模板 339
7.2 企業信息安全文化建設 344
7.2.1 全員參與 345
7.2.2 賞罰分明 348
7.2.3 預知風險 350
7.2.4 安全就是生產力 351
7.3 小結 353
附錄A 管理評審報告 354
參考文獻 357
1.1 團隊建設階段 1
1.2 團隊組織建設 3
1.3 不同時期的重點工作 4
1.4 小結 9
第2章 安全運營落地實踐 11
2.1 資產自動化監控 11
2.1.1 阿里云資產自動監控 12
2.1.2 騰訊云資產自動監控 17
2.1.3 AWS云資產自動監控 21
2.1.4 DNS域名自動監控 24
2.1.5 仿冒域名自動監控 26
2.1.6 VPN賬號自動監控 27
2.2 資產變動自動化掃描 30
2.2.1 Nessus漏洞掃描API 30
2.2.2 AWVS漏洞掃描API 32
2.2.3 端口目錄掃描API 35
2.2.4 微信告警API 38
2.2.5 新增IP地址自動掃描 39
2.2.6 新增DNS域名漏洞掃描 40
2.3 安全日志自動化采集 42
2.3.1 日志數據持久存儲 42
2.3.2 日志自動采集工具 51
2.4 日志的加工與清洗 70
2.4.1 Grok匹配 71
2.4.2 Mutate的使用 77
2.4.3 Process的使用 79
2.4.4 GeoIP 81
2.5 安全告警事件自動編排 83
2.5.1 n8n 83
2.5.2 Node-RED 94
2.6 安全運營平臺集成化管理 105
2.7 小結 109
第3章 數據與隱私安全落地實踐 110
3.1 企業數據安全建設挑戰 110
3.1.1 法規條例監管要求 111
3.1.2 數據丟失泄露風險 112
3.2 數據安全建設理論模型 114
3.2.1 安全能力成熟度模型 114
3.2.2 IPDRR能力框架模型 116
3.3 數據資產盤點三步曲 117
3.3.1 數據使用人員盤點 118
3.3.2 數據訪問方式盤點 119
3.3.3 數據自助分類分級 120
3.4 數據安全保護實踐歷程 122
3.4.1 數據分級保護 122
3.4.2 策略支撐平臺 125
3.4.3 數據安全態勢分析 159
3.4.4 隱私合規建設 162
3.5 小結 170
第4章 應用安全落地實踐 171
4.1 應用安全實踐方案 171
4.1.1 S-SDLC介紹 171
4.1.2 DevSecOps介紹 173
4.2 DEVSECOPS落地實踐 175
4.2.1 DevSecOps活動拆解 175
4.2.2 搭建安全工具鏈 178
4.2.3 安全測試自動化 196
4.2.4 應用安全質量管理 204
4.3 小結 209
第5章 業務安全落地實踐 210
5.1 業務安全概述 211
5.2 業務安全挑戰 211
5.2.1 業務安全風險 212
5.2.2 黑產多樣化手法 216
5.3 業務安全對抗手段 222
5.3.1 反欺詐作弊 223
5.3.2 風險團管控 225
5.3.3 名單管控 226
5.3.4 活動門檻 227
5.3.5 風險評分卡 228
5.3.6 情報監控 228
5.4 業務安全建設過程 230
5.4.1 雛形期業務安全建設 230
5.4.2 成長期業務安全建設 232
5.4.3 成熟期業務安全建設 237
5.5 業務安全對抗案例 238
5.5.1 識別惡意注冊行為 238
5.5.2 識別裂變拉新“薅羊毛”行為 242
5.5.3 識別團伙作弊行為 250
5.5.4 識別KYC欺詐行為 253
5.6 小結 254
第6章 紅藍對抗活動實踐 256
6.1 紅藍對抗簡介 256
6.2 常規紅藍對抗 257
6.2.1 社會工程學 257
6.2.2 郵件釣魚 258
6.2.3 互聯網水坑攻擊 275
6.2.4 近源攻擊 277
6.2.5 供應鏈攻擊 283
6.3 業務紅藍對抗 287
6.3.1 人臉識別繞過測試 288
6.3.2 滑塊驗證碼繞過測試 292
6.3.3 設備指紋篡改測試 295
6.4 小結 299
第7章 信息安全管理體系落地實踐 300
7.1 安全體系建設流程與步驟 300
7.1.1 項目啟動 301
7.1.2 現狀評估 302
7.1.3 風險評估 303
7.1.4 體系文件編寫 317
7.1.5 內部審核 323
7.1.6 有效性測量 328
7.1.7 管理評審 332
7.1.8 認證年審 334
7.1.9 安全培訓 337
7.1.10 典型記錄文檔模板 339
7.2 企業信息安全文化建設 344
7.2.1 全員參與 345
7.2.2 賞罰分明 348
7.2.3 預知風險 350
7.2.4 安全就是生產力 351
7.3 小結 353
附錄A 管理評審報告 354
參考文獻 357
展開全部
企業信息安全落地實戰指南 作者簡介
熊耀富資深信息安全專家/知名CSO,十余年信息安全從業經驗,參與過“粵省事”小程序、“平安一賬通”等重大安全項目建設,先后工作于安恒、深信服等知名安全企業及平安科技等世界500強金融公司。擔任過資深安全專家、安全運營負責人和信息安全總監等職務,既負責過千人規模的互聯網金融公司出海走向國際化的整體安全建設工作,也參與過從0建設萬人規模的金融公司應用安全體系任務。黃 平資深信息安全專家,十余年信息安全從業經驗,曾在深信服負責防火墻檢測能力建設和安全產品研發,也曾在小贏科技、巖心科技等知名互聯網金融公司承擔安全體系從0到1建設工作,擔任過安全運營負責人、業務安全負責人等。李錦輝資深信息安全專家,數年信息安全從業經驗,先后在物流、金融等行業從事安全運營、數據安全等重要工作,曾在萬人規模的企業完成ISO 27001、ISO 27701國際安全和隱私合規體系認證建設,牽頭主導數據安全產品的自主研發和推廣應用。黃建斌資深應用安全架構師,曾工作于平安科技、AKULAKU等知名企業,有近十年應用安全工作經驗,擔任過安全架構師、應用安全負責人等職務,曾負責千萬級用戶項目的應用安全從0建設工作。
書友推薦
- >
我與地壇
- >
企鵝口袋書系列·偉大的思想20:論自然選擇(英漢雙語)
- >
我從未如此眷戀人間
- >
中國人在烏蘇里邊疆區:歷史與人類學概述
- >
唐代進士錄
- >
上帝之肋:男人的真實旅程
- >
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
- >
姑媽的寶刀
本類暢銷
