信息安全技术丛书
互联网企业安全高级指南
赵彦 江虎 胡乾威 编著
图书在版编目(CIP)数据
互联网企业安全高级指南/赵彦,江虎,胡乾威编著. —北京:机械工业出版社,2016.8
(信息安全技术丛书)
ISBN 978-7-111-54301-5
I. 互… II.① 赵… ② 江… ③ 胡… III. 网络公司–企业安全–指南 IV. F276.6-62
中国版本图书馆CIP数据核字(2016)第166015号
本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大型企业(包括国内TOP10互联网公司在内)的安全架构实战经验,对如何打造企业级的网络安全架构与信息安全管理体系进行了系统化的总结。从技术到管理,从生产网络到办公网络,从攻防对抗到业务风控,涉及安全领域的各个维度,包括了三十多个重要话题,为企业实施符合互联网特性的安全解决方案提供了实用指南。本书分为三大部分:理论篇、技术篇、实践篇,“理论篇”包括安全大环境与背景、安全的组织、甲方安全建设方法论、业界的模糊地带等,“技术篇”包括防御架构原则、基础安全措施、网络安全措施、入侵感知体系、漏洞扫描、移动应用安全、代码审计、办公网络安全、安全管理体系、隐私保护等,“实践篇”包括业务安全与风控、大规模纵深防御体系设计与实现、分阶段的安全体系建设等。
互联网企业安全高级指南
出版发行:机械工业出版社(北京市西城区百万庄大街22号 邮政编码:100037)
责任编辑:吴 怡 责任校对:董纪丽
印 刷: 版 次:2016年8月第1版第1次印刷
开 本:186mm×240mm 1/16 印 张:19.25
书 号:ISBN 978-7-111-54301-5 定 价:69.00元
凡购本书,如有缺页、倒页、脱页,由本社发行部调换
客服热线:(010)88379426 88361066 投稿热线:(010)88379604
购书热线:(010)68326294 88379649 68995259 读者信箱:hzit@hzbook.com
版权所有·侵权必究
封底无防伪标均为盗版
本书法律顾问:北京大成律师事务所 韩光/邹晓东
本 书 赞 誉
(人名按照姓氏拼音排序)
本书是安全大V们多年安全从业经验的精华凝聚,是互联网企业安全从业人员的必读经典。
—陈建,平安集团信息安全资深总监
长期以来,系统而全面讲述互联网企业安全的文章都极少,图书就更少了。目前大多数文字内容是描述各种攻防细节、攻击技巧,或者是理论味道十足、高大上无比的安全体系架构理论;不是缺乏企业安全整体架构以点代面,就是缺乏企业实际场景难以落地。对于互联网企业安全管理者而言,最有价值的并不是具体的攻防技巧,也不是那些安全理论标准,而是一套可落地、低成本、行之有效的最佳实践。本书作者凭借在甲方和乙方十多年摸爬滚打的实际经验,梳理出了这样一套满满都是经验的互联网企业安全建设最佳实践,帮助企业进行安全建设时少走弯路,少花冤枉钱;帮助想往企业安全方向发展的专业人士拓宽思路,完整视野,丰富经验;帮助CSO们归纳总结,审视发展。
—陈洋(cy07),小米 CSO
互联网甲方所面临的安全挑战,是与传统企业完全不同的。 甲方和乙方,攻击和防守,角色转换并不容易。本书内容翔实,对有志参与互联网企业安全建设的人士来说,是一本必备宝典。
—CoolQ,阿里巴巴安全部资深安全专家
大部分IT管理者思想上很重视安全,但是缺少安全管理理念和执行,因为大家都没有一个正确的安全观,或者说安全体系概念,不知道怎么去落地执行。本书作者赵彦在甲方和乙方都待过,他的眼界是可以覆盖到更多的安全层面,这本书很好地从多个视角阐述了安全体系的架构,并且已经给出了执行步骤,希望对你的企业有用。
—窦喆,运维帮创始人
甲方安全工作知不易,行更难,本书结合多位业界顶尖安全专家的经验从管理和技术维度全面深入剖析了甲方安全的场景;是企业安全相关从业人员的通关秘籍。
—方勇,UCloud安全中心总监
很高兴看到赵彦等同学的大作问世,本书没有高深的理论知识,没有高大上的概念,全部内容来自十几年的实战经验和思考总结,相信可以给在互联网企业从事安全相关工作的同学提供全面、系统、接地气的指导和帮助。
—郭添森,去哪儿网安全总监
大型互联网企业的在线业务在触达了全网用户的同时也给所有攻击者暴露了攻击面,且攻击者又拥有近乎海量的资产,量变引起质变,企业的安全防护问题早已不仅仅是技术问题,更多的是工程和管理问题。如何做好这里的工作,是令人头疼的事情。更为遗憾的是,目前市面上的信息安全类书籍要么是讲具体某类安全技术,要么就是放之四海而皆准却又无法落地的理论指导,很少有理论结合企业实际工作情况的探讨,这本书的出版弥补了这个遗憾。本书作者赵彦是安全圈老前辈,在甲方乙方都工作过,有丰富的经验;江虎过去有五年时间是我的同事,为腾讯的安全体系建设做出了重要贡献。本书从理论、技术、实践三个部分入手,基本涵盖了互联网企业安全的方方面面,是企业安全人员的案头必备参考书籍。强力推荐。
—胡珀(lake2),腾讯安全平台部总监
一直在互联网公司从事互联网安全攻防的工作,在这个过程中也一直尝试寻找一些相对稳定的答案。本书的价值不仅在于手把手告诉你网络安全怎么做,业务安全怎么做,系统攻防怎么做,虽然书中在这方面也有足够精到的论述,它的价值更在于让你深处一个纷繁复杂、日新月异的互联网大环境中,从外部到内部、从宏观到微观多重视角去思考你所服务企业的信息安全的方方面面,让你理解你的企业当前处于什么样的安全位置,并运用恰当的方法论、安全管理手段和安全技术,找到属于你服务企业的答案。这本书是我见过的国内第一本系统化剖析整个互联网企业安全的书籍,如果早几年出现这样的书籍,一定可以让我少走几年弯路,期待这本书能够让更多的安全同行早日找到属于自己的答案。
—黄眉,阿里巴巴安全部安全总监
本书是少见的横贯信息安全“南”“北”之作,并且十分难得地分享了互联网公司安全实践的经验,不论是从事“传统安全”还是“互联网安全”,均值得一读。同时,本书包括的内容也相当丰富、全面,涵盖了从组织建立、建设方法论、原则直至具体实践,不论是希望加入信息安全行业的爱好者还是行业老兵,都可以从中得到启发。
—金湘宇(NUKE),前信息技术、信息安全资深顾问,现私募投资人
当今世界的技术发展日新月异,安全工作的复杂性急剧增高,网络与信息安全事故层出不穷,若不能有效应对会给各行各业和广大用户带来极大风险。非常幸运我所工作的公司都对安全非常重视,拥有业界的一批安全精英,华为公司的安全专家赵彦就是其中的出众代表,他不仅具有坚实的攻防基础和安全战略思维,还能够洞察传统安全与互联网安全的差异,对部门、公司、行业的安全发展提出有高度价值的建议。本书内容来源于实践,经过了深入的分析和提炼,升华成为有益的指导和参考,相信不论是CSO还是刚入行的从业者,不论是安全专业人员还是想了解安全的业务人员,都会从本书中获益良多。
—李雨航,Huawei Global Chief Scientist/Technologist (Cyber Security),网络安全实验室CTO兼国际CSO,CSA大中华区主席,XJTU Fellow/Professor
终于看到一本真正意义上企业安全方面的书籍,作者兼顾广博与精深的专业功底,横跨甲乙方、传统安全与互联网安全的多个行业领域的视角与知识层次,相信每一位读者都会有所收获。从攻防以外的视角,体系化地介绍安全,对企业安全的负责人、从业者以及乙方机构咨询与技术人员都有很好的实用指南作用。
—吴树鹏,滴滴出行首席安全顾问
很高兴在这个时间看到这样一本书的面世,在试读样章时,产生了很多的共鸣。企业做安全很难,尤其是在以开放和不断变化著称的互联网领域尤甚。业务形态的差异决定了各个企业的安全目标不尽相同。“方向错了,前进便是倒退”。企业安全的不同阶段如何合理地设定目标,选择切实可行的方案,以及如何在有限的时间、人力和资源下前行,是安全管理者们必须面对的问题。安全建设必然伴随着不断的取舍、权衡,乃至博弈。希望阅读此书后能让每个安全人员在大到安全规划、策略制定,小到每个安全漏洞修补、策略上线,乃至安全事件的应急追查中,都能认清自己所做事情在企业安全蓝图中的位置,而不是为了做事而做事,更好地“搞定”事情。
—xi4oyu,百度安全实验室Xteam负责人
相比技术篇,本书的理论篇更加精彩。互联网安全从业者最大的挑战并非技术,而是如何建立正确的行业格局观,并且能够与业务团队、安全团队管理层、公司管理层建立良好的沟通机制,取得信任和支持。本书的几位作者在互联网行业有着丰富的安全管理和从业经验,强烈推荐有志于从事互联网安全行业的朋友阅读。
—薛锋,微步在线CEO,原亚马逊中国CISO
当今的互联网对企业安全老大的需求远远大过供给。不客气的说,现在很多互联网的安全负责人都是被赶鸭子上架,在工作中摸索学习做CSO的。有些聪明的、注重学习的人,到岗后能逐步建成一只有一定实力并且能逐步成长的团队。另外一些就利用CTO不懂安全,靠一张嘴皮子欺上瞒下,拉了一票自己人搞办公室政治。而真正有实战经验、有创新力、能系统性地写这样一本书的极少数人,大都正忙于建设自己企业的安全团队或者在创业路上,没有时间或者没有动力写。本人曾经有幸在美国做过互联网企业的甲方和乙方,并且在三个中国互联网企业分别从头建设了三只安全团队。虽然我也动过这个心思写本书总结一下经验教训以及中间的有趣的人和事,但也是打算退休以后才做。另外我从市场的角度考虑,真正关心这个问题的人少的可怜,写完了我估计想看的人也不会多,可能最终就是个自娱自乐罢了。赵彦是这个极少数的人群中的一个极少数派,居然现在就有时间有兴趣写出这样一本书出来。当然,每个企业不同,每个CSO的思想方法不同,这本书里的有些方法或者说法CSO们并不见得会完全赞同,但是这本书给CTO或者准备当CSO的人提供了一个比较完整的视角,把CSO具体都应该解决什么问题讲清楚了,而不是以前笼统的一句“反正安全出了事就都是他负责”。除了介绍问题以外,本书也介绍了一些系统方法帮助新上任的CSO整理一下总体思路。总之,这是一本当下业界急缺的书。
—杨更,前小米、美团、亚马逊中国CSO
此书凝结了赵彦对互联网企业安全体系建设的思考和经验提炼,覆盖了管理和解决方案,在宏观面阐述了自己的理解和安全观,对安全领域从业者是一份很好的参考资料。
—杨勇(Coolc),腾讯云副总裁,腾讯安全平台部负责人
干货!是落地实践还是纸上谈兵,是美女还是野兽,作者抽丝剥茧、层层展开,分享了他们在互联网企业安全领域中丰富的实战心得,甲方和乙方都非常值得阅读参考。
—赵粮博士,绿盟科技首席技术官
对于绝大多数的企业来说,安全是信息技术建设中薄弱而又很难提高的环节,而这个环节上发生的问题又会深刻地影响到整个企业,本书深入浅出地介绍企业信息安全体系从建设到实施的一套完整过程,强烈建立企业信息安全技术团队的负责人都能阅读此书,一定能让你受益匪浅。
—郑歆炜(cnhawk),支付宝高级安全专家
前 言
在互联网+的进程中,一方面互联网企业越来越多,另一方面由外部环境推动的或自发的安全意识越来越强,对安全建设的需求也越来越多,很多企业都开始招聘安全负责人,不乏年薪上百万元和几百万元的安全负责人职位,但事实是很多公司常年用高薪,都招不到合适的安全负责人,其中的原因有很多,比较客观的一条就是这个行业所培养的有互联网整体安全视角的人实在寥寥无几,而这些人大都不缺高薪,也不缺职位。我在“信息安全行业从业指南2.0”一文中曾经写过自2014年开始,安全行业的大部分高端人才都在互联网行业,为什么还是有那么多缺口?细想了一下有几个方面的因素:
过去,安全并不太受重视,安全从业者的职业发展瓶颈明显,很多拥有整体安全视角的人离开了安全行业转去做其他的事情了。
早年在乙方安全公司的人经历了给客户从零开始建设安全体系的过程,而后来进入乙方的毕业生,接触客户时大都已经有安全体系,无法体验从0到1的过程并从中学到完整的方法论,很多方法论甚至已“失传”,有些方法论原本就只集中在公司总部的一圈人手里,分支机构除了文档得不到“大象”。
BAT这类企业安全也早已经过安全建设期,后来者分工很细,除了几个早已身居总监职位的老员工之外,大多数人无法得知安全体系的全貌,很多人离开了BAT也说不清自己责任之外的事情该怎么做。
二三线互联网企业中,很多团队所持有的安全体系并不完整,也不是业内最佳实践,有些甚至就是救火型团队,更难有体系化的积累。
当下的很多乙方安全公司,在互联网大潮的冲击下也面临着转型的挑战,要提供符合时代趋势的解决方案仍需努力。
在社区,目前大家都热衷攻防,而不是企业安全建设。攻击者、乙方、甲方之间仍然存在较大的鸿沟,彼此互相不屑,从社区里也多半只能挖掘到一些单点型的防御手法,即便好学的人订阅了所有的安全站点和微信公众号,恐怕也难以学会企业整体安全建设的方法。
基于以上种种原因,我明显感觉到有一堵墙存在于业界、社区、甲方、乙方、想学习的人和信息的不对称之间,我决定动手推倒这堵墙,所以就有了这本书。
首先本书聚焦于互联网行业的企业级安全解决方案、架构、方法论和建设思路,关于单点技术,市面上已经有很多书,所以本书内容大多不会围绕单点技术来讲,而是希望读者看完之后找到企业安全整体建设的那种感觉。即便是一个甲方安全工程师,也能从中学到互联网公司安全负责人的知识和视野,并以此为导航,逐步积累自己所需要的知识和技能,向更高的层级发展。
对于乙方安全公司的从业者而言,顾问们或许可以从中了解甲方的需求和工作,从而提供更加接地气的交付方案。对于产品设计和研发人员,本书展示的互联网安全架构有助于拓展传统安全的思路,不一定能直接复用,但也许能有所启发。
对于黑客技术爱好者,比较安全的道路仍然是从事安全,不可避免地也要学习这些,高级的渗透和攻击技巧都需要绕过防御手段,了解防御者思维是必须跨过的门槛。
本书同样适用于想了解企业安全建设的CTO、运维总监、研发总监、架构师。但本书内容都假设读者有一定的基础,对一些比较基础的名词和技术没有做太多的解释。
在出版这本书时由于时间和信息披露方面的限制,写出来的部分与我们原先期望的仍有不少差距,但另一方面我们希望像互联网产品的迭代方式一样,不追求完美,但求尽快面世,因此本书也难免带着各种bug上线,也欢迎各位读者的意见或建议。此外,我们计划在本书的第2版中进一步展开某些话题,并且更加系统化,同时会在业界最佳实践方面挑战另一个维度。
最后特别感谢本书的编辑吴怡自我在360工作时便找到我,建议我将网络中的文字写成书,让更多的人能读到。感谢另外两位作者江虎(ID:xti9er)和胡乾威(ID:Rayxcp)帮我分担了很多压力,使得此书能尽快面世。同时感谢netxfly@小米、职业欠钱@腾讯、clyde@电信云堤、终极修炼师@唯品会、laintoday@爱奇艺提供的帮助。
目录
前言
理论篇
第1章 安全大环境与背景
1.1 切入“企业安全”的视角
1.2 企业安全包括哪些事情
1.3 互联网企业和传统企业在安全建设中的区别
1.4 不同规模企业的安全管理
1.5 生态级企业vs平台级企业安全建设的需求
1.6 云环境下的安全变迁
第2章 安全的组织
2.1 创业型企业一定需要CSO吗
2.2 如何建立一支安全团队
第3章 甲方安全建设方法论
3.1 从零开始
3.2 不同阶段的安全建设重点
3.3 如何推动安全策略
3.4 安全需要向业务妥协吗
3.5 选择在不同的维度做防御
3.6 需要自己发明安全机制吗
3.7 如何看待SDL
3.7.1 攻防驱动修改
3.7.2 SDL落地率低的原因
3.7.3 因地制宜的SDL实践
3.7.4 SDL在互联网企业的发展
3.8 STRIDE威胁建模
3.9 关于ISO27001
3.10 流程与“反流程”
3.11 业务持续性管理
3.12 关于应急响应
3.13 安全建设的“马斯洛需求”层次
3.14 TCO和ROI
第4章 业界的模糊地带
4.1 关于大数据安全
4.2 解决方案的争议
技术篇
第5章 防御架构原则
5.1 防守体系建设三部曲
5.2 大规模生产网络的纵深防御架构
5.2.1 互联网安全理念
5.2.2 攻击者视角
5.2.3 防御者模型
5.2.4 互联网安全架构设计原则
第6章 基础安全措施
6.1 安全域划分
6.1.1 传统的安全域划分
6.1.2 典型的Web服务
6.1.3 大型系统安全域划分
6.1.4 生产网络和办公网络
6.2 系统安全加固
6.2.1 Linux加固
6.2.2 应用配置加固
6.2.3 远程访问
6.2.4 账号密码
6.2.5 网络访问控制
6.2.6 补丁管理
6.2.7 日志审计
6.3 服务器4A
第7章 网络安全
7.1 网络入侵检测
7.2 T级DDoS防御
7.2.1 DDoS分类
7.2.2 多层防御结构
7.2.3 不同类型的企业
7.2.4 不同类型的业务
7.2.6 NIPS场景
7.2.5 服务策略
7.2.6 NIPS场景
7.2.7 破防和反制
7.3 链路劫持
7.4 应用防火墙WAF
7.4.1 WAF架构分类
7.4.2 WAF安全策略建设
7.4.3 WAF性能优化
第8章 入侵感知体系
8.1 主机入侵检测
8.1.1 开源产品OSSEC
8.1.2 MIG
8.1.3 OSquery
8.1.4 自研Linux HIDS系统
8.2 检测webshell
8.3 RASP
8.3.1 PHP RASP
8.3.2 Java RASP
8.4 数据库审计
8.5 入侵检测数据分析平台
8.5.1 架构选择
8.5.2 功能模块
8.5.3 分析能力
8.5.4 实战演示
8.6 入侵检测数据模型
8.7 数据链生态—僵尸网络
8.7.1 僵尸网络传播
8.7.2 僵尸网络架构
8.7.3 应对僵尸网络威胁
8.8 安全运营
第9章 漏洞扫描
9.1 概述
9.2 漏洞扫描的种类
9.2.1 按漏洞类型分类
9.2.2 按扫描器行为分类
9.3 如何应对大规模的资产扫描
9.4 小结
第10章 移动应用安全
10.1 背景
10.2 业务架构分析
10.3 移动操作系统安全简介
10.4 签名管理
10.5 应用沙盒及权限
10.6 应用安全风险分析
10.7 安全应对
10.8 安全评估
10.9 关于移动认证
第11章 代码审计
11.1 自动化审计产品
11.2 Coverity
第12章 办公网络安全
12.1 文化问题
12.2 安全域划分
12.3 终端管理
12.4 安全网关
12.5 研发管理
12.6 远程访问
12.7 虚拟化桌面
12.8 APT
12.9 DLP数据防泄密
12.10 移动办公和边界模糊化
12.11 技术之外
第13章 安全管理体系
13.1 相对“全集”
13.2 组织
13.3 KPI
13.4 外部评价指标
13.5 最小集合
13.5.1 资产管理
13.5.2 发布和变更流程
13.5.3 事件处理流程
13.6 安全产品研发
13.7 开放与合作
第14章 隐私保护
14.1 数据分类
14.2 访问控制
14.3 数据隔离
14.4 数据加密
14.5 密钥管理
14.6 安全删除
14.7 匿名化
14.8 内容分级
实践篇
第15章 业务安全与风控
15.1 对抗原则
15.2 账号安全
15.3 电商类
15.4 广告类
15.5 媒体类
15.6 网游类
15.7 云计算
第16章 大规模纵深防御体系设计与实现
16.1 设计方案的考虑
16.2 不同场景下的裁剪
第17章 分阶段的安全体系建设
17.1 宏观过程
17.2 清理灰色地带
17.3 建立应急响应能力
17.4 运营环节
附录 信息安全行业从业指南2.0