企業信息安全體系建設之道

企業信息安全體系建設是為了保護企業的信息資產和確保其信息安全而構建的一系列組織和管理措施，旨在建立一個全面、系統、可持續的信息安全管理框架，以應對不斷變化的威脅和風險。

本書通過四部分（安全基礎知識、安全管理知識、安全技術知識和安全運營知識）介紹企業信息安全體系建設的相關知識，涉及安全理論、可信計算、信息安全體系、組織與策略、需求與規劃、風險管理、合規與認證、人員管理與安全意識培訓、訪問控制與身份管理、物理環境安全、安全域邊界、安全計算環境、應用安全防護、數據安全保護、確認安全防護目標、保持防護狀態、異常情況處置、業務持續運營、安全運營中心等主題。

本書內容深入淺出，圖文並茂，能夠幫助大家更好地釐清知識脈絡，非常適合信息安全領域的從業者閱讀參考。此外，關註企業信息安全體系建設的讀者，也可以通過本書瞭解具體的方法論。

马金龙,持有CIW Security Analyst证书和CISSP证书，就职于新浪公司，拥有超过 15 年的信息安全管理经验，擅长领域信息安全体系建设及实践。此外，他还是FREEBUF智库安全专家成员、ISC2 北京分会会员和 OWASP中国分会会员，运营自媒体账号“安全管理杂谈”.

第 一部分　安全基礎篇

第 1章 安全理論 2

1.1　信息安全的基本概念 3

1.2　攻擊與防禦 5

1.2.1　黑客攻擊 6

1.2.2　防禦策略 8

1.3　本章小結 9

第 2章 可信計算 10

2.1　可信電腦系統 10

2.2　可信計算技術 11

2.3　零信任理念 14

2.3.1　零信任架構 15

2.3.2　零信任技術 16

2.4　本章小結 17

第3章 信息安全體系 18

3.1　指導思想 19

3.2　建設步驟 21

3.3　建設方法 22

3.4　本章小結 22

第二部分　安全管理篇

第4章 組織與策略 24

4.1　安全組織 24

4.1.1　信息安全指導委員會 24

4.1.2　專職的安全團隊 26

4.2　策略要求 26

4.2.1　策略文件 27

4.2.2　策略執行 28

4.3　本章小結 29

第5章 需求與規劃 30

5.1　安全需求 30

5.2　安全規劃 31

5.3　本章小結 33

第6章 風險管理 34

6.1　規劃階段 34

6.2　風險計算階段 35

6.2.1　資產識別 35

6.2.2　威脅識別 36

6.2.3　脆弱性識別 38

6.2.4　風險分析方法 39

6.2.5　總風險及剩餘風險 40

6.3　風險處置階段 40

6.4　風險評估流程 41

6.5　本章小結 43

第7章 合規與認證 44

7.1　監管合規管理 45

7.2　合規事務 45

7.2.1　網絡安全等級保護 45

7.2.2　增值電信業務經營許可證 47

7.2.3　SOX法案的404條款年審 48

7.2.4　重要法律法規 49

7.3　安全體系認證 50

7.4　本章小結 52

第8章 人員管理與安全意識培訓 53

8.1　人員管理措施 53

8.2　角色責任 55

8.3　安全意識培訓 56

8.4　本章小結 57

第三部分　安全技術篇

第9章 訪問控制與身份管理 60

9.1　訪問控制 60

9.1.1　訪問控制的要素 60

9.1.2　訪問控制的類型 61

9.1.3　訪問控制的實現機制 62

9.2　身份管理 63

9.2.1　用戶賬號 64

9.2.2　用戶認證 64

9.2.3　用戶授權 68

9.2.4　用戶審計 68

9.2.5　集中身份認證管理 69

9.3　本章小結 70

第 10章 物理環境安全 71

10.1　保護人員安全 73

10.2　保護數據中心及設備安全 74

10.3　本章小結 75

第 11章 安全域邊界 76

11.1　安全域 76

11.2　網絡隔離 77

11.3　網絡準入 79

11.4　虛擬專用網絡 80

11.5　防火牆 82

11.6　訪問控制列表 84

11.7　本章小結 85

第 12章 安全計算環境 86

12.1　系統安全 86

12.1.1　主機安全 86

12.1.2　終端管理 87

12.2　加密技術 89

12.2.1　加密算法分類 90

12.2.2　密碼技術的應用 92

12.2.3　國密算法 94

12.2.4　密碼分析法 95

12.3　反惡意程序 96

12.3.1　惡意程序介紹 96

12.3.2　反惡意程序介紹 97

12.3.3　企業級防惡意措施 98

12.4　入侵檢測技術 99

12.4.1　入侵檢測系統 99

12.4.2　入侵防禦系統 101

12.4.3　兩者的區別 102

12.5　蜜罐技術 103

12.5.1　蜜罐分類 104

12.5.2　部署方式 104

12.6　安全審計 105

12.6.1　審計的級別 105

12.6.2　安全審計技術 106

12.7　本章小結 109

第 13章 應用安全防護 110

13.1　應用保護技術 110

13.1.1　Web應用安全防護 110

13.1.2　App安全防護 114

13.1.3　API安全防護 115

13.1.4　代碼審計 116

13.1.5　Web應用防火牆 117

13.1.6　RASP技術 120

13.2　電子郵件保護技術 121

13.2.1　反垃圾郵件技術 121

13.2.2　反垃圾郵件網關 122

13.3　業務持續運行技術 123

13.3.1　高可用性相關技術 124

13.3.2　備份與恢復技術 131

13.3.3　防DDoS技術 132

13.4　本章小結 134

第 14章 數據安全保護 135

14.1　分類分級原則及方法 135

14.2　數據安全生命周期管理 135

14.3　數據防泄露 137

14.4　層級縱深防禦機制 140

14.5　本章小結 143

第四部分　安全運營篇

第 15章 確認安全防護目標 146

15.1　資產管理 146

15.1.1　資產管理系統 146

15.1.2　CMDB系統 151

15.2　配置管理 152

15.2.1　配置管理的過程 152

15.2.2　基線標準化 154

15.2.3　安全配置管理 155

15.3　變更管理 157

15.3.1　變更管理流程 157

15.3.2　補丁管理 159

15.3.3　補丁服務器 160

15.4　本章小結 164

第 16章 保持防護狀態 165

16.1　開發安全產品 165

16.1.1　安全開發生命周期 165

16.1.2　DevSecOps安全理念 170

16.2　供應鏈管理 172

16.2.1　第三方供應鏈管理 173

16.2.2　軟件供應鏈管理 176

16.3　威脅情報 178

16.3.1　威脅情報平臺 179

16.3.2　威脅情報格式 180

16.3.3　威脅情報分析模型 187

16.4　安全監控 193

16.4.1　監控系統 194

16.4.2　SIEM系統 195

16.4.3　UEBA系統 196

16.5　安全掃描 198

16.5.1　安全掃描流程 199

16.5.2　安全掃描器 200

16.6　本章小結 200

第 17章 異常情況處置 201

17.1　脆弱性管理 201

17.1.1　漏洞管理流程 201

17.1.2　漏洞評估方法 202

17.2　安全事件管理 210

17.2.1　事前準備階段 211

17.2.2　事中處理階段 212

17.2.3　事後反思階段 213

17.2.4　安全事件處理策略 214

17.3　滲透測試 217

17.3.1　滲透的方法 218

17.3.2　滲透的流程 218

17.3.3　滲透的人員 219

17.3.4　攻防演練 219

17.4　本章小結 224

第 18章 業務持續運營 225

18.1　制定業務持續性計劃 226

18.2　業務持續性計劃的內容 227

18.2.1　組織與人員 227

18.2.2　威脅評估 227

18.2.3　業務影響分析 228

18.2.4　策略計劃 229

18.2.5　計劃測試及維護 231

18.3　本章小結 232

第 19章 安全運營中心 233

19.1　安全運營中心的功能 235

19.2　安全運營中心的建設步驟 237

19.3　XDR產品 238

19.3.1　XDR產品的實現方法 239

19.3.2　XDR產品的安全能力 239

19.4　本章小結 240

附錄 241

結語 245