互联网企业安全高级指南

　　本书由业内多位*级安全专家亲力打造，分享了他们十多年的安全行业经验，特别是大型企业（国内TOP10互联网公司）的安全架构实战经验。

　　从技术到管理，从生产网络到办公网络，从攻防对抗到业务风控，涉及安全领域的各个维度，包括了三十多个重要话题，为企业实施符合互联网特性的安全解决方案提供了实战指南。

　　本书由业内多位顶*安全专家亲力打造，分享了他们十多年安全行业经验，特别是包括国内TOP10互联网公司在内的大型企业的安全架构实战经验，对如何打造企业级网络安全架构与信息安全管理体系进行了系统化的总结。从技术到管理，从生产网络到办公网络，从攻防对抗到业务风控，涉及安全领域的各个维度，包括了三十多个重要话题，为企业实施符合互联网特性的安全解决方案提供了实战指南。本书分为三大部分：理论篇、技术篇、实践篇，“理论篇”包括安全大环境与背景、安全的组织、甲方安全建设方法论、大数据安全等，“技术篇”包括防御架构原则、基础安全措施、网络安全措施、入侵感知体系、漏洞扫描、移动应用安全、代码审计、办公网络安全、安全管理体系、隐私保护等，“实践篇”包括业务安全与风控、大规模纵深防御体系设计与实现、分阶段的安全体系建设等。

　　赵彦（ayazero），华为高端专家，互联网安全领域带头人，目前负责消费者BG云安全整体建设。前奇虎360企业安全技术总监、久游网安全总监、绿盟科技资深安全专家。白帽子时代是Ph4nt0m的核心成员，知名技术社区ChinaUnix第一代安全版版主，国内屈指可数的拥有大型互联网整体安全架构和企业安全管理经验的资深从业者，10年技术管理和团队管理经验，培养的下属遍布互联网行业TOP10公司，且都是安全部门独当一面的骨干。



　　江虎（xti9er），阿里巴巴集团高级安全专家，目前负责集团生产网安全系统架构相关工作。曾在腾讯、久游等公司任高级安全工程师，主要从事入侵检测、反黑客相关的安全体系建设。近十年的安全工作，是国内少数较完整参与经历了一线互联网公司的安全体系建设历程的资深从业者，并主导了其中重点项目，实战经验丰富。



　　胡乾威（rayxcp），拥有超过10年的安全研究工作经历，曾就职于绿盟、百度等公司。主要工作涉及各类型产品的安全分析和评估，覆盖从设计阶段到二进制分析等各方面，独立发现的安全漏洞涉及各类操作系统、客户端软件和智能设备等。

版权信息
本书赞誉
前言
理论篇
第1章 安全大环境与背景
1.1 切入“企业安全”的视角
1.2 企业安全包括哪些事情
1.3 互联网企业和传统企业在安全建设中的区别
1.4 不同规模企业的安全管理
1.5 生态级企业vs平台级企业安全建设的需求
1.6 云环境下的安全变迁
第2章 安全的组织
2.1 创业型企业一定需要CSO吗
2.2 如何建立一支安全团队
第3章 甲方安全建设方法论
3.1 从零开始
3.2 不同阶段的安全建设重点
3.3 如何推动安全策略
3.4 安全需要向业务妥协吗
3.5 选择在不同的维度做防御
3.6 需要自己发明安全机制吗
3.7 如何看待SDL
3.8 STRIDE威胁建模
3.9 关于ISO27001
3.10 流程与“反流程”
3.11 业务持续性管理
3.12 关于应急响应
3.13 安全建设的“马斯洛需求”层次
3.14 TCO和ROI
第4章 业界的模糊地带
4.1 关于大数据安全
4.2 解决方案的争议
技术篇
第5章 防御架构原则
5.1 防守体系建设三部曲
5.2 大规模生产网络的纵深防御架构
第6章 基础安全措施
6.1 安全域划分
6.2 系统安全加固
6.3 服务器4A
第7章 网络安全
7.1 网络入侵检测
7.2 T级DDoS防御
7.3 链路劫持
7.4 应用防火墙WAF
第8章 入侵感知体系
8.1 主机入侵检测
8.2 检测webshell
8.3 RASP
8.4 数据库审计
8.5 入侵检测数据分析平台
8.6 入侵检测数据模型
8.7 数据链生态——僵尸网络
8.8 安全运营
第9章 漏洞扫描
9.1 概述
9.2 漏洞扫描的种类
9.3 如何应对大规模的资产扫描
9.4 小结
第10章 移动应用安全
10.1 背景
10.2 业务架构分析
10.3 移动操作系统安全简介
10.4 签名管理
10.5 应用沙盒及权限
10.6 应用安全风险分析
10.7 安全应对
10.8 安全评估
10.9 关于移动认证
第11章 代码审计
11.1 自动化审计产品
11.2 Coverity
第12章 办公网络安全
12.1 文化问题
12.2 安全域划分
12.3 终端管理
12.4 安全网关
12.5 研发管理
12.6 远程访问
12.7 虚拟化桌面
12.8 APT
12.9 DLP数据防泄密
12.10 移动办公和边界模糊化
12.11 技术之外
第13章 安全管理体系
13.1 相对“全集”
13.2 组织
13.3 KPI
13.4 外部评价指标
13.5 最小集合
13.6 安全产品研发
13.7 开放与合作
第14章 隐私保护
14.1 数据分类
14.2 访问控制
14.3 数据隔离
14.4 数据加密
14.5 密钥管理
14.6 安全删除
14.7 匿名化
14.8 内容分级
实践篇
第15章 业务安全与风控
15.1 对抗原则
15.2 账号安全
15.3 电商类
15.4 广告类
15.5 媒体类
15.6 网游类
15.7 云计算
第16章 大规模纵深防御体系设计与实现
16.1 设计方案的考虑
16.2 不同场景下的裁剪
第17章 分阶段的安全体系建设
17.1 宏观过程
17.2 清理灰色地带
17.3 建立应急响应能力
17.4 运营环节
附录 信息安全行业从业指南2.0

　　作为网络安全主管，如何满足互联网场景下的快速开发、部署、运营的安全是一件很棘手的事情。本书作者根据自己的实际工作经验，对此进行了比较全面的总结，内容详实，值得参考。

　　——杨勇，华为安全能力中心部长



　　本书内容来源于实践，经过了深入的分析和提炼，升华成为有益的指导和参考，相信不论是CSO还是刚入行的从业者，不论是安全专业人员还是想了解安全的业务人员，都会从本书中获益良多。

　　——李雨航教授，华为首席科学家(网络安全技术专家)，CSA大中华区主席



　　此书凝结了赵彦对互联网企业安全体系建设的思考和经验提炼，覆盖了管理和解决方案，在宏观面阐述了自己的理解和安全观，对安全领域从业者是一份很好的参考资料。

　　——杨勇（Coolc），腾讯云副总裁，腾讯安全平台部负责人



　　本书作者赵彦是安全圈老前辈，在甲方乙方都工作过，有丰富的经验；江虎过去有五年时间是我的同事，为腾讯的安全体系建设做出了重要贡献。本书从理论、技术、实践三个部分入手，基本涵盖了互联网企业安全的方方面面，是企业安全人员的案头必备参考书籍。强力推荐。

　　——胡珀（lake2），腾讯安全平台部总监



　　这本书是我见过的国内*一本系统化的剖析整个互联网企业安全的书籍，如果早几年出现这样的书籍，一定可以让我少走几年弯路，期待这本书能够让更多的安全同行早日找到属于自己的答案。

　　——黄眉，阿里巴巴安全部安全总监

　　前言
　　在互联网+的进程中，一方面互联网企业越来越多，另一方面由外部环境推动的或自发的安全意识越来越强，对安全建设的需求也越来越多，很多企业都开始招聘安全负责人，不乏年薪上百万元和几百万元的安全负责人职位，但事实是很多公司常年用高薪，都招不到合适的安全负责人，其中的原因有很多，比较客观的一条就是这个行业所培养的有互联网整体安全视角的人实在寥寥无几，而这些人大都不缺高薪，也不缺职位。我在“信息安全行业从业指南2.0”一文中曾经写过自2014年开始，安全行业的大部分高端人才都在互联网行业，为什么还是有那么多缺口？细想了一下有几个方面的因素：
　　◇过去，安全并不太受重视，安全从业者的职业发展瓶颈明显，很多拥有整体安全视角的人离开了安全行业转去做其他的事情了。
　　◇早年在乙方安全公司的人经历了给客户从零开始建设安全体系的过程，而后来进入乙方的毕业生，接触客户时大都已经有安全体系，无法体验从0到1的过程并从中学到完整的方法论，很多方法论甚至已“失传”，有些方法论原本就只集中在公司总部的一圈人手里，分支机构除了文档得不到“大象”。
　　◇BAT这类企业安全也早已经过安全建设期，后来者分工很细，除了几个早已身居总监职位的老员工之外，大多数人无法得知安全体系的全貌，很多人离开了BAT也说不清自己责任之外的事情该怎么做。
　　◇二三线互联网企业中，很多团队所持有的安全体系并不完整，也不是业内最佳实践，有些甚至就是救火型团队，更难有体系化的积累。
　　◇当下的很多乙方安全公司，在互联网大潮的冲击下也面临着转型的挑战，要提供符合时代趋势的解决方案仍需努力。
　　◇在社区，目前大家都热衷攻防，而不是企业安全建设。攻击者、乙方、甲方之间仍然存在较大的鸿沟，彼此互相不屑，从社区里也多半只能挖掘到一些单点型的防御手法，即便好学的人订阅了所有的安全站点和微信公众号，恐怕也难以学会企业整体安全建设的方法。
　　基于以上种种原因，我明显感觉到有一堵墙存在于业界、社区、甲方、乙方、想学习的人和信息的不对称之间，我决定动手推倒这堵墙，所以就有了这本书。
　　首先本书聚焦于互联网行业的企业级安全解决方案、架构、方法论和建设思路，关于单点技术，市面上已经有很多书，所以本书内容大多不会围绕单点技术来讲，而是希望读者看完之后找到企业安全整体建设的那种感觉。即便是一个甲方安全工程师，也能从中学到互联网公司安全负责人的知识和视野，并以此为导航，逐步积累自己所需要的知识和技能，向更高的层级发展。
　　对于乙方安全公司的从业者而言，顾问们或许可以从中了解甲方的需求和工作，从而提供更加接地气的交付方案。对于产品设计和研发人员，本书展示的互联网安全架构有助于拓展传统安全的思路，不一定能直接复用，但也许能有所启发。
　　对于黑客技术爱好者，比较安全的道路仍然是从事安全，不可避免地也要学习这些，高级的渗透和攻击技巧都需要绕过防御手段，了解防御者思维是必须跨过的门槛。
　　本书同样适用于想了解企业安全建设的CTO、运维总监、研发总监、架构师。但本书内容都假设读者有一定的基础，对一些比较基础的名词和技术没有做太多的解释。
　　在出版这本书时由于时间和信息披露方面的限制，写出来的部分与我们原先期望的仍有不少差距，但另一方面我们希望像互联网产品的迭代方式一样，不追求完美，但求尽快面世，因此本书也难免带着各种bug上线，也欢迎各位读者的意见或建议。此外，我们计划在本书的第2版中进一步展开某些话题，并且更加系统化，同时会在业界最佳实践方面挑战另一个维度。
　　最后特别感谢本书的编辑吴怡自我在360工作时便找到我，建议我将网络中的文字写成书，让更多的人能读到。感谢另外两位作者江虎（ID：xti9er）和胡乾威（ID：Rayxcp）帮我分担了很多压力，使得此书能尽快面世。同时感谢netxfly@小米、职业欠钱@腾讯、clyde@电信云堤、终极修炼师@唯品会、laintoday@爱奇艺提供的帮助。

　　如果从一个很微观的角度切入企业安全这个话题，那么大多数人会像一叶孤舟跌进大海茫茫然找不到方向，所以本章从安全领域整体环境入手，以便于读者找到系统性的那种感觉。尽管笔者没有致力于提供关于企业安全的一个非常完整的“上帝视角”，但也尽可能地兼顾了这方面的需求。
　　目前安全行业中“二进制”和“脚本”流派广为人知，虽然他们是安全行业的主力军，但除了微观对抗之外，安全是一个很大的工程，比如企业安全管理，实际上并不属于上述两类。确切来说，应归入另外一个群体：CSOs，加了s表示他们是一个群体，这个群体从生态链的顶端联接着绝大多数从业者和安全厂商。在这个描述中我并没有发明新的名词，没有新建一个诸如气宗剑、宗这样的词，只是在知识结构和职业背景上做一定的区分，用于后续对这本书的扩展。
　　企业安全是不是发现漏洞然后修复漏洞，再设置一下防火墙之类的工作？假如你的公司只有一个产品、两台服务器、3个程序员，我认为这个说法不能算错。不过在绝大多数情况下，企业安全远不止于此。渗透性测试和对抗能不能算企业安全？在一个过于纸上谈兵的企业我觉得这是不错的切入点，不过局部对抗发生于企业安全的各个场景中，它只能算是缩影，不是全貌。企业安全是什么？对传统乙方安全公司，对新兴的业务安全公司、移动安全公司，对甲方的互联网公司，对甲方的传统公司，对咨询顾问，对漏洞研究者，对活跃于各大SRC上的白帽子们来说，诠释肯定都不一样。
　　先说一下笔者的经历，以便了解是从什么角度来阐述这一问题的。学生时代跟现在的很多白帽子一样玩玩渗透，玩玩二进制，在过去叫幻影（Ph4nt0m）的组织里认识了很多大V，大学毕业后即进了绿盟做渗透测试、安全服务和咨询，这是乙方中离甲方安全最近的职位，接受了绿盟对传统安全体系和方法论的教育，有些10年前的东西放到今天看都还会觉得完全不过时。
　　现在的安全行业里除了显得有些务虚的安全理论之外，要么就是一边倒的攻防，要么就是过于超前、浮在表面没有落地方案的新概念，这些声音对企业安全实操都缺乏积极的意义。有些方法论是有实操意义的，并不像攻防研究者声称的是纯务虚的东西，纯粹是位置决定想法的问题。还有些流行的概念在解决实际问题上的效果有待验证，并不像市场鼓吹的那么好。技术很重要，但攻防只解决了一半问题，安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋，多数人不擅此道。对市场上的各种观点，我认为可能需要一个相对客观的评价：即某项技术或管理在全生命周期的各个环节中，在不同的行业、不同的场景下有什么样的价值，而不是很随意地贴标签。很多概念10多年前就有了，发明一个新概念讲与过去一样的事情，再给自己贴一个发明者的标签对行业没有积极的意义。纵深防御之类的概念在ISS没被IBM收购之前就有了，为什么现在有的人觉得这个词很新？因为过去没重视，或者说缺少实践。
　　在绿盟最大的便利并不是下班路上随便都能找到能聊exploit技术的大牛，而是视野：从金字塔视角看到安全的整体解决方案，囊括组织、管理和技术3方面的东西，覆盖全行业全价值链过程的技术方案，算上第三方的话几乎涵盖市面上所有的安全产品和解决方案。有人看到这些会问：这不是传统安全那一套吗？且不急，本书后面讲的都是围绕互联网企业安全的，并不打算在传统安全上花很多篇幅，只是需要区分一下企业安全实际的状况和某些厂商为了兜售自己的产品而宣扬的概念是有所不同的，大多数厂商都会避开自己的弱项而在市场活动及软文上专注地强调自己擅长的概念。