企業安全建設指南：金融行業安全架構與技術實踐（簡體書）

本書全面、系統地介紹企業信息安全的技術架構與實踐，總結了作者在金融行業多年的信息安全實踐經驗，內容豐富，實踐性強。本書分為兩大部分，共24章。第一部分“安全架構”主要內容有：信息安全觀、金融行業信息安全的特點、安全規劃、內控合規管理、信息安全團隊建設、安全培訓規劃、外包安全管理、安全考核、安全認證等。第二部分“安全技術實戰”主要內容有：互聯網應用安全、移動應用安全、企業內網安全、數據安全、業務安全、郵件安全、活動目錄安全、安全檢測、安全運營、SOC、安全資產管理和矩陣式監控、信息安全趨勢和安全從業者的未來等。

聶君， 畢業於哈爾濱工業大學，安信證券信息技術中心安全總監，曾在招商銀行總行安全團隊工作9年。參與了多家大型金融企業網絡安全建設，積累了豐富的實踐經驗，牽頭起草了多項金融行業網絡安全行業標準，主要研究興趣是異常行為監測、SIEM/SOC、安全運營等。業務時間維護微信公眾號“君哥的體曆”，貢獻了大量技術文章，廣受好評。

李燕， 某銀行科技部門分管信息安全的總經理室成員，具有15年商業銀行總行科技工作經驗，曾主管全國性銀行信息安全團隊，主持過兩家商業銀行全行信息安全工作，包括信息安全管理和技術規劃、ISO27001信息安全管理體系認證、信息安全團隊建設、信息安全技術實施等，對信息安全管理相關的組織、架構、制度、流程，以及信息安全技術體系有全面深入的理解。

何揚軍(xysky)， 某大型商業銀行總行信息技術部數據安全團隊負責人。曾在乙方安全公司和互聯網安全團隊工作，具有十餘年安全工作經驗，對Web安全、系統安全、數據安全以及安全運營等方面技術有深入全面的實踐和理解，曾經在黑客防線等雜誌發表數十篇文章，擁有CISSP、CEH、RHCE等證書。

序一
序二
序三
前言
第一部分　安全架構
第1章　企業信息安全建設簡介2
1.1　安全的本質2
1.2　安全原則2
1.3　安全世界觀4
1.4　正確處理幾個關係4
1.5　安全趨勢6
1.6　小結7
第2章　金融行業的信息安全8
2.1　金融行業信息安全態勢8
2.2　金融行業信息安全目標10
2.3　信息安全與業務的關係：矛盾與共贏12
2.4　信息安全與監管的關係：約束與保護13
2.5　監管科技14
2.6　小結16
第3章　安全規劃17
3.1　規劃前的思考17
3.2　規劃框架18
3.3　制訂步驟19
3.3.1　調研19
3.3.2　目標、現狀和差距20
3.3.3　制訂解決方案22
3.3.4　定稿23
3.3.5　上層彙報23
3.3.6　執行與回顧23
3.4　注意事項24
3.5　小結24
第4章　內控合規管理25
4.1　概述25
4.1.1　合規、內控、風險管理的關係25
4.1.2　目標及領域25
4.1.3　落地方法26
4.2　信息科技風險管理26
4.2.1　原則27
4.2.2　組織架構和職責27
4.2.3　管理內容28
4.2.4　管理手段和流程29
4.2.5　報告機制30
4.2.6　信息科技風險監控指標32
4.3　監督檢查34
4.4　制度管理36
4.5　業務連續性管理38
4.5.1　定義和標準38
4.5.2　監管要求39
4.5.3　BCM實施過程40
4.5.4　業務影響分析和風險評估40
4.5.5　BCP、演練和改進43
4.5.6　DRI組織及認證45
4.6　信息科技外包管理46
4.7　分支機搆管理46
4.8　信息科技風險庫示例47
4.9　小結49
第5章　安全團隊建設50
5.1　安全團隊建設的“痛點”50
5.2　安全團隊面臨的宏觀環境54
5.3　安全團隊文化建設56
5.4　安全團隊意識建設63
5.5　安全團隊能力建設67
5.5.1　確定目標，找准主要矛盾68
5.5.2　梳理和細分團隊職能69
5.5.3　建立學習框架，提升知識和技能水平71
5.5.4　掌握學習方法，實現事半功倍的效果78
5.6　安全團隊建設路徑80
5.7　安全人員職業規劃84
5.8　安全團隊與其他團隊的關係處理85
5.9　小結88
第6章　安全培訓89
6.1　安全培訓的問題與“痛點”89
6.1.1　信息安全意識不足的真實案例89
6.1.2　信息安全培訓的必要性90
6.1.3　信息安全培訓的“痛點”92
6.2　信息安全培訓關聯方93
6.3　信息安全培訓“百寶箱”96
6.4　面向對象的信息安全培訓矩陣105
6.5　培訓體系實施的效果衡量107
6.6　小結108
第7章　外包安全管理109
7.1　外包安全管理的問題與“痛點”109
7.1.1　幾個教訓深刻的外包風險事件109
7.1.2　外包安全管理的必要性110
7.1.3　外包管理中的常見問題112
7.2　外包戰略體系113
7.3　外包戰術體系118
7.3.1　事前預防118
7.3.2　事中控制123
7.3.3　事後處置132
7.4　金融科技時代的外包安全管理133
7.5　小結135
第8章　安全考核136
8.1　考核評價體系與原則136
8.2 安全考核對象137
8.3　考核方案140
8.3.1　考核方案設計原則140
8.3.2　總部IT部門安全團隊141
8.3.3　總部IT部門非安全團隊（平行團隊）142
8.3.4　個人考核143
8.3.5　一些細節144
8.4　與考核相關的其他幾個問題144
8.5　安全考核示例146
8.6　小結150
第9章　安全認證151
9.1　為什麼要獲得認證151
9.2　認證概述152
9.2.1　認證分類152
9.2.2　認證機構154
9.3　選擇什麼樣的認證157
9.4　如何通過認證159
9.5　小結162
第10章　安全預算、總結與彙報163
10.1　安全預算163
10.2　安全總結166
10.3　安全彙報167
10.4　小結168
第二部分　安全技術實戰
第11章　互聯網應用安全170
11.1　端口管控170
11.2　Web應用安全172
11.3　系統安全173
11.4　網絡安全175
11.5　數據安全175
11.6　業務安全176
11.7　互聯網DMZ區安全管控標準176
11.8　小結178
第12章　移動應用安全179
12.1　概述179
12.2　APP開發安全180
12.2.1　AndroidManifest配置安全180
12.2.2　Activity組件安全181
12.2.3　Service組件安全181
12.2.4　Provider組件安全182
12.2.5　BroadcastReceiver組件安全183
12.2.6　WebView組件安全183
12.3　APP業務安全186
12.3.1　代碼安全186
12.3.2　數據安全188
12.3.3　其他話題190
12.4　小結191
第13章　企業內網安全192
13.1　安全域192
13.2　終端安全193
13.3　網絡安全195
13.3.1　網絡入侵檢測系統196
13.3.2　異常訪問檢測系統196
13.3.3　隱蔽信道檢測系統197
13.4　服務器安全200
13.5　重點應用安全203
13.6　漏洞戰爭206
13.6.1　弱口令206
13.6.2　漏洞發現208
13.6.3　SDL210
13.7　蜜罐體系建設213
13.8　小結220
第14章　數據安全221
14.1　數據安全治理221
14.2　終端數據安全222
14.2.1　加密類222
14.2.2　權限控制類225
14.2.3　終端DLP類228
14.2.4　桌面虛擬化228
14.2.5　安全桌面230
14.3　網絡數據安全230
14.4　存儲數據安全234
14.5　應用數據安全235
14.6　其他話題237
14.6.1　數據脫敏237
14.6.2　水印與溯源237
14.6.3　UEBA240
14.6.4　CASB241
14.7　小結241
第15章　業務安全242
15.1　賬號安全242
15.1.1　撞庫242
15.1.2　賬戶盜用247
15.2　爬蟲與反爬蟲24