企业信息安全建设与运维指南

（1）系统全面，讲述企业信息安全建设从0到1的全部过程。本书聚焦安全体系如何落地，从安全体系规划、方案设计、产品选型、产品开发、部署实施、日常运维等维度详细阐释，内容覆盖办公安全、IDC安全、产品安全、数据安全、安全管理、安全自动化系统开发和业务安全体系建设，基本满足大多数中小企业的安全建设需求。

（2）结合作者实践经验，可操作性强。笔者有十多年信息安全从业经验，曾任职于国内知名网络安全厂商，为数十家企业和各类单位提供安全咨询和专业服务，熟悉企业的安全需求和痛点，本书将作者的实际工作经验总结为案例，具体实用。

（3）分析具体，深入浅出，易于理解。本书从与日常的生活与工作息息相关的安全问题着手，由浅入深循序渐进，讲解信息安全建设过程中的注意事项，便于读者理解安全架构的原理，进而使安全系统建设更加完备。

本书主要包括基础安全设施建设、安全自动化系统建设、业务安全体系建设３个部分。第一部分介绍当进入一个安全建设空白或基本为零的企业时，如何着手规划并一步步建成较为完善的安全体系；第二部分主要介绍安全自动化，帮助大家掌握开源的二次开发思路，设计适合企业自身特点的安全系统；第三部分介绍业务安全体系建设，包括互联网黑产攻击手法、风控系统建设方案和业务安全风险防控体系建设实践。

李斌，毕业于西安电子科技大学，拥有十年信息安全从业经验，先后担任知名企业安全顾问、安全架构师、安全总监，擅长安全体系与安全架构设计、安全系统开发、业务安全风险防控。曾为政府、金融、国内外知名企业设计安全解决方案，后专注于企业信息安全体系建设，担任互联网企业安全负责人并经历从0到1的安全体系建设过程。

第1章 从零开始建设企业信息安全体系

1.1 企业面临的安全风险2

1.2 企业安全建设需求 4

1.3 企业安全岗位简介 6

1.4 企业安全工作开展思路9

1.4.1 安全风险评估9

1.4.2 安全工作机制建立 12

1.4.3 安全工作规划13

1.5 本章小结 14

第2章 基础办公安全体系建设 15

2.1 终端基础安全 16

2.2 防火墙、VPN和上网行为管理 26

2.3 入侵检测/防御系统 32

2.4 邮件安全36

2.5 统一账号认证系统 42

2.6 本章小结 46

第3章 IDC基础安全体系建设47

3.1 安全域划分和访问控制策略 48

3.2 Web应用防火墙 55

3.3 DDOS攻击防护 62

3.4 运维堡垒机66

3.5 安全基线管理 72

3.6 本章小结 78

第4 章 产品安全 79

4.1 SDL流程建立和实施 80

4.2 产品安全设计和评审 87

4.3 产品安全测试 96

4.4 安全漏洞管理和应急响应 104

4.5 App安全和加固 112

4.6 本章小结 117

第 5 章 数据安全 118

5.1 数据安全风险和生命周期保护 119

5.2 数据传输安全 121

5.3 数据存储安全 127

5.4 数据使用安全 134

5.5 数据交换安全 139

5.6 本章小结 140

第 6 章 安全管理 141

第 7 章 自动化漏洞扫描系统 158

第 8 章 安全风险感知和管理系统 213

第 9 章 运维安全管理和审计系统 264

第 10 章 业务安全风险 280

第 11 章 互联网安全风控系统介绍302

第 12 章 业务安全风控运营实践. 337

后记 关于安全落地的一点思考 348

前言

在互联网时代，越来越多的企业将信息系统开放到互联网，为用户或客户提供服务，在提供便利的同时，也面临着来自互联网的各种安全威胁。此外，随着一系列安全法律法规的发布和实施，国家和相关行业监管机构对企业信息安全的要求也越来越高，企业迫切需要建设和完善信息安全体系，以应对来自内部和外部的安全挑战。

企业在信息安全体系建设中，往往都会投入不少资金和人力，但最终的效果往往不尽如人意，这给企业管理者和安全管理员带来了很大的困扰。究其原因，企业信息安全体系建设固然需要管理层支持、资金投入和人员投入，但更需要有效的安全规划和落地方案。

笔者有十多年信息安全从业经验，曾任职于国内知名网络安全厂商，为数十家企业和各类单位提供安全咨询和专业服务，熟悉企业的安全需求和痛点，在实践中发现，虽然厂商可以为企业提供专业的产品和服务，但如果缺少有效的运营，往往很难发挥应有的作用；之后笔者专注于企业安全体系建设并担任企业安全负责人，经历了数次从 0 到 1 的企业安全体系建设过程，负责企业安全体系和架构设计、安全自动化系统开发和业务安全风险防控，在不断“踩坑”的经历中积累了很多企业安全体系建设经验。在实践中，借助专业安全厂商的产品和服务、企业安全团队的有效运营和安全系统开发建设，将企业安全体系有效落地，并取得了一定的成效。

笔者希望将这些经验和知识分享出来，帮助广大企业安全人员更好地开展信息安全体系建设。本书重点关注中小企业安全建设，提供通用的企业安全体系从 0 到 1 搭建指南，聚焦安全体系如何落地，从安全体系规划、方案设计、产品选型、产品开发、部署实施、日常运维等维度详细阐释，内容覆盖办公安全、IDC安全、产品安全、数据安全、安全管理、安全自动化系统开发和业务安全体系建设，基本满足大多数中小企业的安全建设需求。本书的内容包括以下3 个部分。

第 1 章到第 6 章为“企业基础安全设施建设篇”，适合没有足够多的专业安全人员的企业进行安全建设，更多考虑如何借助外部专业安全厂商的力量，建设和运营信息安全体系。

第 7 章到第 9 章为“企业安全自动化平台建设篇”，适合拥有专职安全人员的企业。此类企业可以建设并开发适合本企业需求的安全自动化系统，推动安全进入自动化阶段。

第 10 章到第 12 章为“业务安全风险防控体系建设篇”，适合面临业务安全威胁的企业。企业可以通过风控系统来防范黑产团伙的恶意攻击，持续运营并最终建成适合企业的业务安全风险防控体系。

本书面向企业安全从业者、安全厂商、信息安全专业学生及各类信息安全爱好者。希望本书能为企业信息安全从业人员提供信息安全体系的落地参考，让安全厂商更了解企业的安全需求和痛点，为信息安全专业学生和其他感兴趣者普及企业信息安全基础知识。

由于本书涉及的范围较广，在一些知识点和实践上存在盲区，在书籍编写过程中，笔者得到了领导、同事和业内安全专家的悉心指导与鼓励，在此表示衷心的感谢，同时也感谢家人的理解和付出。由于笔者自身经验和知识的局限，本书难免有不足之处，敬请读者指正。