企业信息安全体系建设之道

马金龙,持有CIW Security Analyst证书和CISSP证书，就职于新浪公司，拥有超过 15 年的信息安全管理经验，擅长领域信息安全体系建设及实践。此外，他还是FREEBUF智库安全专家成员、ISC2 北京分会会员和 OWASP中国分会会员，运营自媒体账号“安全管理杂谈”.

适读人群 ：本书适用于安全从业人员、初学者、普通工程师、安全负责人或者对企业安全体系化建设有兴趣的人。

1.本书通过四大板块全面解读企业信息安全体系建设的方法论，通过对安全基础知识、安全管理知识、安全技术知识、安全运营知识的讲解，帮助读者充分了解信息安全领域的核心要点，并将它们逐步应用到企业信息安全体系建设实践当中。
2.本书整合了作者 10 多年来在信息安全体系建设及安全治理方面的经验，得到了业界人士的广泛认可。无论是在校学生，还是信息安全领域的从业者，若想全面地学习和理解信息安全，本书都是不错的选择。
3.书中内容深入浅出，图文并茂，以案例和实际应用为背景，帮助您更好地理解和掌握信息安全体系建设的方法和技巧。

第 一部分　安全基础篇

第 1章 安全理论 2
1．1　信息安全的基本概念 3
1．2　攻击与防御 5
1．2．1　黑客攻击 6
1．2．2　防御策略 8
1．3　本章小结 9
第 2章 可信计算 10
2．1　可信计算机系统 10
2．2　可信计算技术 11
2．3　零信任理念 14
2．3．1　零信任架构 15
2．3．2　零信任技术 16
2．4　本章小结 17
第3章 信息安全体系 18
3．1　指导思想 19
3．2　建设步骤 21
3．3　建设方法 22
3．4　本章小结 22

第二部分　安全管理篇

第4章 组织与策略 24
4．1　安全组织 24
4．1．1　信息安全指导委员会 24
4．1．2　专职的安全团队 26
4．2　策略要求 26
4．2．1　策略文件 27
4．2．2　策略执行 28
4．3　本章小结 29
第5章 需求与规划 30
5．1　安全需求 30
5．2　安全规划 31
5．3　本章小结 33
第6章 风险管理 34
6．1　规划阶段 34
6．2　风险计算阶段 35
6．2．1　资产识别 35
6．2．2　威胁识别 36
6．2．3　脆弱性识别 38
6．2．4　风险分析方法 39
6．2．5　总风险及剩余风险 40
6．3　风险处置阶段 40
6．4　风险评估流程 41
6．5　本章小结 43
第7章 合规与认证 44
7．1　监管合规管理 45
7．2　合规事务 45
7．2．1　网络安全等级保护 45
7．2．2　增值电信业务经营许可证 47
7．2．3　SOX法案的404条款年审 48
7．2．4　重要法律法规 49
7．3　安全体系认证 50
7．4　本章小结 52
第8章 人员管理与安全意识培训 53
8．1　人员管理措施 53
8．2　角色责任 55
8．3　安全意识培训 56
8．4　本章小结 57

第三部分　安全技术篇

第9章 访问控制与身份管理 60
9．1　访问控制 60
9．1．1　访问控制的要素 60
9．1．2　访问控制的类型 61
9．1．3　访问控制的实现机制 62
9．2　身份管理 63
9．2．1　用户账号 64
9．2．2　用户认证 64
9．2．3　用户授权 68
9．2．4　用户审计 68
9．2．5　集中身份认证管理 69
9．3　本章小结 70
第 10章 物理环境安全 71
10．1　保护人员安全 73
10．2　保护数据中心及设备安全 74
10．3　本章小结 75
第 11章 安全域边界 76
11．1　安全域 76
11．2　网络隔离 77
11．3　网络准入 79
11．4　虚拟专用网络 80
11．5　防火墙 82
11．6　访问控制列表 84
11．7　本章小结 85
第 12章 安全计算环境 86
12．1　系统安全 86
12．1．1　主机安全 86
12．1．2　终端管理 87
12．2　加密技术 89
12．2．1　加密算法分类 90
12．2．2　密码技术的应用 92
12．2．3　国密算法 94
12．2．4　密码分析法 95
12．3　反恶意程序 96
12．3．1　恶意程序介绍 96
12．3．2　反恶意程序介绍 97
12．3．3　企业级防恶意措施 98
12．4　入侵检测技术 99
12．4．1　入侵检测系统 99
12．4．2　入侵防御系统 101
12．4．3　两者的区别 102
12．5　蜜罐技术 103
12．5．1　蜜罐分类 104
12．5．2　部署方式 104
12．6　安全审计 105
12．6．1　审计的级别 105
12．6．2　安全审计技术 106
12．7　本章小结 109
第 13章 应用安全防护 110
13．1　应用保护技术 110
13．1．1　Web应用安全防护 110
13．1．2　App安全防护 114
13．1．3　API安全防护 115
13．1．4　代码审计 116
13．1．5　Web应用防火墙 117
13．1．6　RASP技术 120
13．2　电子邮件保护技术 121
13．2．1　反垃圾邮件技术 121
13．2．2　反垃圾邮件网关 122
13．3　业务持续运行技术 123
13．3．1　高可用性相关技术 124
13．3．2　备份与恢复技术 131
13．3．3　防DDoS技术 132
13．4　本章小结 134
第 14章 数据安全保护 135
14．1　分类分级原则及方法 135
14．2　数据安全生命周期管理 135
14．3　数据防泄露 137
14．4　层级纵深防御机制 140
14．5　本章小结 143

第四部分　安全运营篇

第 15章 确认安全防护目标 146
15．1　资产管理 146
15．1．1　资产管理系统 146
15．1．2　CMDB系统 151
15．2　配置管理 152
15．2．1　配置管理的过程 152
15．2．2　基线标准化 154
15．2．3　安全配置管理 155
15．3　变更管理 157
15．3．1　变更管理流程 157
15．3．2　补丁管理 159
15．3．3　补丁服务器 160
15．4　本章小结 164
第 16章 保持防护状态 165
16．1　开发安全产品 165
16．1．1　安全开发生命周期 165
16．1．2　DevSecOps安全理念 170
16．2　供应链管理 172
16．2．1　第三方供应链管理 173
16．2．2　软件供应链管理 176
16．3　威胁情报 178
16．3．1　威胁情报平台 179
16．3．2　威胁情报格式 180
16．3．3　威胁情报分析模型 187
16．4　安全监控 193
16．4．1　监控系统 194
16．4．2　SIEM系统 195
16．4．3　UEBA系统 196
16．5　安全扫描 198
16．5．1　安全扫描流程 199
16．5．2　安全扫描器 200
16．6　本章小结 200
第 17章 异常情况处置 201
17．1　脆弱性管理 201
17．1．1　漏洞管理流程 201
17．1．2　漏洞评估方法 202
17．2　安全事件管理 210
17．2．1　事前准备阶段 211
17．2．2　事中处理阶段 212
17．2．3　事后反思阶段 213
17．2．4　安全事件处理策略 214
17．3　渗透测试 217
17．3．1　渗透的方法 218
17．3．2　渗透的流程 218
17．3．3　渗透的人员 219
17．3．4　攻防演练 219
17．4　本章小结 224
第 18章 业务持续运营 225
18．1　制定业务持续性计划 226
18．2　业务持续性计划的内容 227
18．2．1　组织与人员 227
18．2．2　威胁评估 227
18．2．3　业务影响分析 228
18．2．4　策略计划 229
18．2．5　计划测试及维护 231
18．3　本章小结 232
第 19章 安全运营中心 233
19．1　安全运营中心的功能 235
19．2　安全运营中心的建设步骤 237
19．3　XDR产品 238
19．3．1　XDR产品的实现方法 239
19．3．2　XDR产品的安全能力 239
19．4　本章小结 240
附录 241
结语 245