互联网企业安全高级指南

互联网企业安全高级指南

暂无评价综合评分的显示会考虑用户真实性等多项因素,每部作品出现综合评分的时间不定。
8.858 评价豆瓣读书
免费试读
¥25.00¥8.99
今日特价截止至:2019-07-25 02:00:00了解详情

作品简介

本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验。 从技术到管理,从生产网络到办公网络,从攻防对抗到业务风控,涉及安全领域的各个维度,包括了三十多个重要话题,为企业实施符合互联网特性的安全解决方案提供了实战指南。

赵彦(ayazero),华为高端专家,互联网安全领域带头人,目前负责消费者BG云安全整体建设。前奇虎360企业安全技术总监、久游网安全总监、绿盟科技资深安全专家。白帽子时代是Ph4nt0m的核心成员,知名技术社区ChinaUnix第一代安全版版主,国内屈指可数的拥有大型互联网整体安全架构和企业安全管理经验的资深从业者,10年技术管理和团队管理经验,培养的下属遍布互联网行业TOP10公司,且都是安全部门独当一面的骨干。

江虎(xti9er),阿里巴巴集团高级安全专家,目前负责集团生产网安全系统架构相关工作。曾在腾讯、久游等公司任高级安全工程师,主要从事入侵检测、反黑客相关的安全体系建设。近十年的安全工作,是国内少数较完整参与经历了一线互联网公司的安全体系建设历程的资深从业者,并主导了其中重点项目,实战经验丰富。

胡乾威(rayxcp),拥有超过10年的安全研究工作经历,曾就职于绿盟、百度等公司。主要工作涉及各类型产品的安全分析和评估,覆盖从设计阶段到二进制分析等各方面,独立发现的安全漏洞涉及各类操作系统、客户端软件和智能设备等。

作品目录

  1. 本书赞誉
  2. 前言
  3. 理论篇
  4. 第1章 安全大环境与背景
  5. 1.1 切入“企业安全”的视角
  6. 1.2 企业安全包括哪些事情
  7. 1.3 互联网企业和传统企业在安全建设中的区别
  8. 1.4 不同规模企业的安全管理
  9. 1.5 生态级企业vs平台级企业安全建设的需求
  10. 1.6 云环境下的安全变迁
  11. 第2章 安全的组织
  12. 2.1 创业型企业一定需要CSO吗
  13. 2.2 如何建立一支安全团队
  14. 第3章 甲方安全建设方法论
  15. 3.1 从零开始
  16. 3.2 不同阶段的安全建设重点
  17. 3.3 如何推动安全策略
  18. 3.4 安全需要向业务妥协吗
  19. 3.5 选择在不同的维度做防御
  20. 3.6 需要自己发明安全机制吗
  21. 3.7 如何看待SDL
  22. 3.8 STRIDE威胁建模
  23. 3.9 关于ISO27001
  24. 3.10 流程与“反流程”
  25. 3.11 业务持续性管理
  26. 3.12 关于应急响应
  27. 3.13 安全建设的“马斯洛需求”层次
  28. 3.14 TCO和ROI
  29. 第4章 业界的模糊地带
  30. 4.1 关于大数据安全
  31. 4.2 解决方案的争议
  32. 技术篇
  33. 第5章 防御架构原则
  34. 5.1 防守体系建设三部曲
  35. 5.2 大规模生产网络的纵深防御架构
  36. 第6章 基础安全措施
  37. 6.1 安全域划分
  38. 6.2 系统安全加固
  39. 6.3 服务器4A
  40. 第7章 网络安全
  41. 7.1 网络入侵检测
  42. 7.2 T级DDoS防御
  43. 7.3 链路劫持
  44. 7.4 应用防火墙WAF
  45. 第8章 入侵感知体系
  46. 8.1 主机入侵检测
  47. 8.2 检测webshell
  48. 8.3 RASP
  49. 8.4 数据库审计
  50. 8.5 入侵检测数据分析平台
  51. 8.6 入侵检测数据模型
  52. 8.7 数据链生态——僵尸网络
  53. 8.8 安全运营
  54. 第9章 漏洞扫描
  55. 9.1 概述
  56. 9.2 漏洞扫描的种类
  57. 9.3 如何应对大规模的资产扫描
  58. 9.4 小结
  59. 第10章 移动应用安全
  60. 10.1 背景
  61. 10.2 业务架构分析
  62. 10.3 移动操作系统安全简介
  63. 10.4 签名管理
  64. 10.5 应用沙盒及权限
  65. 10.6 应用安全风险分析
  66. 10.7 安全应对
  67. 10.8 安全评估
  68. 10.9 关于移动认证
  69. 第11章 代码审计
  70. 11.1 自动化审计产品
  71. 11.2 Coverity
  72. 第12章 办公网络安全
  73. 12.1 文化问题
  74. 12.2 安全域划分
  75. 12.3 终端管理
  76. 12.4 安全网关
  77. 12.5 研发管理
  78. 12.6 远程访问
  79. 12.7 虚拟化桌面
  80. 12.8 APT
  81. 12.9 DLP数据防泄密
  82. 12.10 移动办公和边界模糊化
  83. 12.11 技术之外
  84. 第13章 安全管理体系
  85. 13.1 相对“全集”
  86. 13.2 组织
  87. 13.3 KPI
  88. 13.4 外部评价指标
  89. 13.5 最小集合
  90. 13.6 安全产品研发
  91. 13.7 开放与合作
  92. 第14章 隐私保护
  93. 14.1 数据分类
  94. 14.2 访问控制
  95. 14.3 数据隔离
  96. 14.4 数据加密
  97. 14.5 密钥管理
  98. 14.6 安全删除
  99. 14.7 匿名化
  100. 14.8 内容分级
  101. 实践篇
  102. 第15章 业务安全与风控
  103. 15.1 对抗原则
  104. 15.2 账号安全
  105. 15.3 电商类
  106. 15.4 广告类
  107. 15.5 媒体类
  108. 15.6 网游类
  109. 15.7 云计算
  110. 第16章 大规模纵深防御体系设计与实现
  111. 16.1 设计方案的考虑
  112. 16.2 不同场景下的裁剪
  113. 第17章 分阶段的安全体系建设
  114. 17.1 宏观过程
  115. 17.2 清理灰色地带
  116. 17.3 建立应急响应能力
  117. 17.4 运营环节
  118. 附录 信息安全行业从业指南2.0
载入中

热门划线

  1. ISO27001和BS77993 人
  2. 安全做得不称职的表现,除了“无视业务死活”,还包括:用户体验大打折扣,产品竞争力下降;公司内部流程大幅增加,严重影响工作效率;限制太多员工满意度严重下降,人员流失;规章制度太多,以至于公司文化显得不近人情……这些都属于安全做过头的表现。3 人
  3. 有些方法论是有实操意义的,并不像攻防研究者声称的是纯务虚的东西,纯粹是位置决定想法的问题。2 人
  4. 技术很重要,但攻防只解决了一半问题,安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋,多数人不擅此道。2 人
  5. 在甲方企业高层的眼中,攻防这档子事可以等价于我花点钱让安全公司派几个工程师给我做渗透测试然后修复漏洞,不像大型互联网公司那样上升为系统化和工程化的日常性活动。2 人
  6. BS259992 人
  7. 在企业里能否做到广义的安全,主要看安全负责人和安全团队在公司里的影响力,对上没有影响力,没有诠释利害关系和游说的能力,自然也就做不到这些。2 人
  8. 。曾遇到过一个例子,说要在服务器上装防病毒软件,推测就知道是传统企业的思路,不是没有真正实践过互联网企业安全就是没被业务线挑战过。2 人
  9. 第二张表:每一个线上产品(服务)和交付团队(包括其主要负责人)的映射。2 人
  10. 第三张表:准确地说应该是第三类,包括全网拓扑、各系统的逻辑架构图、物理部署图、各系统间的调用关系、服务治理结构、数据流关系等2 人

喜欢这本书的人也喜欢