欢迎来到相识电子书!
互联网企业安全高级指南

互联网企业安全高级指南

作者:赵彦 / 江虎 / 胡乾威

分类:科技

ISBN:9787111543015

出版时间:2016-8-1

出版社:机械工业出版社

标签: 互联网 

章节目录

前言
理论篇
第1章 安全大环境与背景 2
1.1 切入“企业安全”的视角 2
1.2 企业安全包括哪些事情 5
1.3 互联网企业和传统企业在安全建设中的区别 9
1.4 不同规模企业的安全管理 12
1.5 生态级企业vs平台级企业安全建设的需求 13
1.6 云环境下的安全变迁 16
第2章 安全的组织 17
2.1 创业型企业一定需要CSO吗 17
2.2 如何建立一支安全团队 19
第3章 甲方安全建设方法论 22
3.1 从零开始 22
3.2 不同阶段的安全建设重点 24
3.3 如何推动安全策略 26
3.4 安全需要向业务妥协吗 28
3.5 选择在不同的维度做防御 29
3.6 需要自己发明安全机制吗 33
3.7 如何看待SDL 34
3.7.1 攻防驱动修改 36
3.7.2 SDL落地率低的原因 37
3.7.3 因地制宜的SDL实践 38
3.7.4 SDL在互联网企业的发展 39
3.8 STRIDE威胁建模 40
3.9 关于ISO27001 42
3.10 流程与“反流程” 43
3.11 业务持续性管理 45
3.12 关于应急响应 47
3.13 安全建设的“马斯洛需求”层次 48
3.14 TCO和ROI 50
第4章 业界的模糊地带 52
4.1 关于大数据安全 52
4.2 解决方案的争议 55
技术篇
第5章 防御架构原则 60
5.1 防守体系建设三部曲 60
5.2 大规模生产网络的纵深防御架构 62
5.2.1 互联网安全理念 62
5.2.2 攻击者视角 63
5.2.3 防御者模型 63
5.2.4 互联网安全架构设计原则 66
第6章 基础安全措施 70
6.1 安全域划分 70
6.1.1 传统的安全域划分 70
6.1.2 典型的Web服务 71
6.1.3 大型系统安全域划分 72
6.1.4 生产网络和办公网络 74
6.2 系统安全加固 75
6.2.1 Linux加固 75
6.2.2 应用配置加固 81
6.2.3 远程访问 83
6.2.4 账号密码 83
6.2.5 网络访问控制 84
6.2.6 补丁管理 86
6.2.7 日志审计 86
6.3 服务器4A 87
第7章 网络安全 89
7.1 网络入侵检测 89
7.2 T级DDoS防御 95
7.2.1 DDoS分类 95
7.2.2 多层防御结构 100
7.2.3 不同类型的企业 108
7.2.4 不同类型的业务 109
7.2.5 服务策略 109
7.2.6 NIPS场景 110
7.2.7 破防和反制 111
7.2.8 立案和追踪 112
7.3 链路劫持 113
7.4 应用防火墙WAF 117
7.4.1 WAF架构分类 117
7.4.2 WAF安全策略建设 118
7.4.3 WAF性能优化 121
第8章 入侵感知体系 123
8.1 主机入侵检测 123
8.1.1 开源产品OSSEC 123
8.1.2 MIG 129
8.1.3 OSquery 131
8.1.4 自研Linux HIDS系统 135
8.2 检测webshell 144
8.3 RASP 149
8.3.1 PHP RASP 149
8.3.2 Java RASP 153
8.4 数据库审计 159
8.5 入侵检测数据分析平台 162
8.5.1 架构选择 162
8.5.2 功能模块 163
8.5.3 分析能力 164
8.5.4 实战演示 167
8.6 入侵检测数据模型 169
8.7 数据链生态—僵尸网络 174
8.7.1 僵尸网络传播 174
8.7.2 僵尸网络架构 175
8.7.3 应对僵尸网络威胁 179
8.8 安全运营 181
第9章 漏洞扫描 182
9.1 概述 182
9.2 漏洞扫描的种类 183
9.2.1 按漏洞类型分类 183
9.2.2 按扫描器行为分类 190
9.3 如何应对大规模的资产扫描 197
9.4 小结 198
第10章 移动应用安全 200
10.1 背景 200
10.2 业务架构分析 200
10.3 移动操作系统安全简介 201
10.4 签名管理 202
10.5 应用沙盒及权限 203
10.6 应用安全风险分析 204
10.7 安全应对 205
10.8 安全评估 206
10.9 关于移动认证 206
第11章 代码审计 207
11.1 自动化审计产品 207
11.2 Coverity 208
第12章 办公网络安全 216
12.1 文化问题 216
12.2 安全域划分 217
12.3 终端管理 218
12.4 安全网关 221
12.5 研发管理 222
12.6 远程访问 224
12.7 虚拟化桌面 224
12.8 APT 226
12.9 DLP数据防泄密 227
12.10 移动办公和边界模糊化 228
12.11 技术之外 229
第13章 安全管理体系 230
13.1 相对“全集” 234
13.2 组织 235
13.3 KPI 236
13.4 外部评价指标 239
13.5 最小集合 240
13.5.1 资产管理 240
13.5.2 发布和变更流程 241
13.5.3 事件处理流程 241
13.6 安全产品研发 245
13.7 开放与合作 246
第14章 隐私保护 248
14.1 数据分类 250
14.2 访问控制 250
14.3 数据隔离 251
14.4 数据加密 253
14.5 密钥管理 258
14.6 安全删除 258
14.7 匿名化 259
14.8 内容分级 259
实践篇
第15章 业务安全与风控 264
15.1 对抗原则 264
15.2 账号安全 265
15.3 电商类 270
15.4 广告类 274
15.5 媒体类 274
15.6 网游类 274
15.7 云计算 275
第16章 大规模纵深防御体系设计与实现 276
16.1 设计方案的考虑 276
16.2 不同场景下的裁剪 281
第17章 分阶段的安全体系建设 283
17.1 宏观过程 283
17.2 清理灰色地带 285
17.3 建立应急响应能力 286
17.4 运营环节 288
附录 信息安全行业从业指南2.0 290

内容简介

本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验。 从技术到管理,从生产网络到办公网络,从攻防对抗到业务风控,涉及安全领 域的各个维度,包括了三十多个重要话题,为企业实施符合互联网特性的安全 解决方案提供了实战指南。

下载说明

1、互联网企业安全高级指南是作者赵彦 / 江虎 / 胡乾威创作的原创作品,下载链接均为网友上传的网盘链接!

2、相识电子书提供优质免费的txt、pdf等下载链接,所有电子书均为完整版!

下载链接

热门评论

  • char的评论
    开拓视野
  • fuziyang的评论
    如果局限于国内作者,可能算不错的吧。从内容上来说非常一般,不管是对安全在企业中定位和角色的理解,还是系统建设的思路,高度不够,也不成体系,充其量可以作为安全主管的参考,远没达到CSO/CISO应有的认识
  • hblf的评论
    第一本把安全技术和安全管理讲的这么流畅而全面的,赞!极大的开阔了视野和思维。
  • Michaeeel的评论
    技术层面的当然是没有看懂的lol
  • go_with_wind的评论
    开拓下视野
  • pansin的评论
    网络信息安全需要管理、技术、实践的理论与基于场景的实战检验。互联网企业因其业务的开放性、业务规模和基于网络空间的天然特性,显然是网络信息安全战斗的主战场。理论篇的内容写的颇有见地,除了对没在过甲方和互联网企业人群隐约的鄙视有些腹诽外,基本所见略同。技术篇对网络、系统、平台安全不少透着经验和思考智慧的技术点值得参考,对于目前安全产业产品模式和业务形态的判断值得作为乙方的我们反思在甲方基于开源生态的定制化自研背景下该如何应对。漏扫比较简单略过亦可,对移动应用安全、代码审计有点浮光掠影,管理、隐私偏简单,可能和作者的自身经理特点有关。但瑕不掩瑜,颇多收获,值得推荐。附录的内容中关于从业指南有一点不太苟同,未来趋势来看IOT和产业互联网的发展,传统行业面对的信息化后网络信息安全的压力会更复杂,更深刻
  • 的评论
    作者对企业网络安全的理解很全面很透彻。
  • swtar的评论
    从宏观的角度来讲网络安全,极大的开阔了视野;从甲方到乙方,从管理到技术,多维度安全建设剖析;纵深防御,让人获益匪浅;语言通俗易懂,文笔略带幽默。不过,这个错别字,确实有点多啊~
  • 笨小罗的评论
    五星,整体框架很赞,里面有一些很技术 偏攻防的看不太懂,不过不影响这是一本很棒的企业安全建设的指南书
  • 乔大路的评论
    今年读过收获最大的技术书籍,从宏观维度细述企业安全建设的方方面面,上至安全团队组建,下至详细的技术纵深防护方案,且都是多家互联网公司实践下的最优方案,推荐从业者一读。
  • 伊郎的评论
    3位作者从实战出发,内容比较接地气。在系统安全和网络安全上着墨较多,而在WEB及APP安全方面相对少了些。
  • 高冷的西红柿的评论
    实战派的书,干货很多,从业多年的专家的经验之谈。也许有些章节是太敏感所以不适合展开讲吧,略遗憾。
  • happytree0c的评论
    强烈推荐每位安全从业者阅读。以往从全局角度来讲企业安全的书,大部分都是从合规角度来看的。这本书是少有的,从安全技术人员角度来看企业安全。借用前老板的话:“如果早几年能看到这本书,一定可以让我少走一些弯路。” 感谢江虎师兄赠书!
  • 侠客行的评论
    高屋建瓴。受益匪浅。
  • 上善若水的评论
    从事企业安全的安全工程师都值得一看
  • lowen的评论
    现在国内作者已经可以不用攒书,在十年前不可想象。
  • Broderick的评论
    确实是一本能把企业安全建设讲明白的书,值得反复研读
  • Total_Eclipse的评论
    作者是华为安全大牛,从更高的视角讲了安全应该做什么和怎么做,各方面信手拈来。不止互联网,所有想把安全做好的组织都有借鉴的地方。但就像作者自己所言,这本书只是给大家讲了安全都要做什么,具体如何实施落地,找到适合自己的方案,还得根据现状具体分析。第一版还是有点赶工之嫌,希望能继续优化
  • PM-杨毅的评论
    很全面系统的介绍了在甲方如何做安全的整体思路
  • 尤涵之的评论
    果然是又有实践又有理论的人,写出来的东西更有深度