企業(yè)安全建設(shè)指南：金融行業(yè)安全架構(gòu)與技術(shù)實踐

目　　錄

序一

序二

序三

前言

第一部分　安全架構(gòu)

第1章　企業(yè)信息安全建設(shè)簡介2

1.1　安全的本質(zhì)2

1.2　安全原則2

1.3　安全世界觀4

1.4　正確處理幾個關(guān)系4

1.5　安全趨勢6

1.6　小結(jié)7

第2章　金融行業(yè)的信息安全8

2.1　金融行業(yè)信息安全態(tài)勢8

2.2　金融行業(yè)信息安全目標(biāo)10

2.3　信息安全與業(yè)務(wù)的關(guān)系：矛盾與共贏12

2.4　信息安全與監(jiān)管的關(guān)系：約束與保護(hù)13

2.5　監(jiān)管科技14

2.6　小結(jié)16

第3章　安全規(guī)劃17

3.1　規(guī)劃前的思考17

3.2　規(guī)劃框架18

3.3　制訂步驟19

3.3.1　調(diào)研19

3.3.2　目標(biāo)、現(xiàn)狀和差距20

3.3.3　制訂解決方案22

3.3.4　定稿23

3.3.5　上層匯報23

3.3.6　執(zhí)行與回顧23

3.4　注意事項24

3.5　小結(jié)24

第4章　內(nèi)控合規(guī)管理25

4.1　概述25

4.1.1　合規(guī)、內(nèi)控、風(fēng)險管理的關(guān)系25

4.1.2　目標(biāo)及領(lǐng)域25

4.1.3　落地方法26

4.2　信息科技風(fēng)險管理26

4.2.1　原則27

4.2.2　組織架構(gòu)和職責(zé)27

4.2.3　管理內(nèi)容28

4.2.4　管理手段和流程29

4.2.5　報告機制30

4.2.6　信息科技風(fēng)險監(jiān)控指標(biāo)32

4.3　監(jiān)督檢查34

4.4　制度管理36

4.5　業(yè)務(wù)連續(xù)性管理38

4.5.1　定義和標(biāo)準(zhǔn)38

4.5.2　監(jiān)管要求39

4.5.3　BCM實施過程40

4.5.4　業(yè)務(wù)影響分析和風(fēng)險評估40

4.5.5　BCP、演練和改進(jìn)43

4.5.6　DRI組織及認(rèn)證45

4.6　信息科技外包管理46

4.7　分支機構(gòu)管理46

4.8　信息科技風(fēng)險庫示例47

4.9　小結(jié)49

第5章　安全團隊建設(shè)50

5.1　安全團隊建設(shè)的“痛點”50

5.2　安全團隊面臨的宏觀環(huán)境54

5.3　安全團隊文化建設(shè)56

5.4　安全團隊意識建設(shè)63

5.5　安全團隊能力建設(shè)67

5.5.1　確定目標(biāo)，找準(zhǔn)主要矛盾68

5.5.2　梳理和細(xì)分團隊職能69

5.5.3　建立學(xué)習(xí)框架，提升知識和

　　　技能水平71

5.5.4　掌握學(xué)習(xí)方法，實現(xiàn)事半功倍

　　　的效果78

5.6　安全團隊建設(shè)路徑80

5.7　安全人員職業(yè)規(guī)劃84

5.8　安全團隊與其他團隊的關(guān)系處理85

5.9　小結(jié)88

第6章　安全培訓(xùn)89

6.1　安全培訓(xùn)的問題與“痛點”89

6.1.1　信息安全意識不足的真實案例89

6.1.2　信息安全培訓(xùn)的必要性90

6.1.3　信息安全培訓(xùn)的“痛點”92

6.2　信息安全培訓(xùn)關(guān)聯(lián)方93

6.3　信息安全培訓(xùn)“百寶箱”96

6.4　面向?qū)ο蟮男畔踩嘤?xùn)矩陣105

6.5　培訓(xùn)體系實施的效果衡量107

6.6　小結(jié)108

第7章　外包安全管理109

7.1　外包安全管理的問題與“痛點”109

7.1.1　幾個教訓(xùn)深刻的外包風(fēng)險事件109

7.1.2　外包安全管理的必要性110

7.1.3　外包管理中的常見問題112

7.2　外包戰(zhàn)略體系113

7.3　外包戰(zhàn)術(shù)體系118

7.3.1　事前預(yù)防118

7.3.2　事中控制123

7.3.3　事后處置132

7.4　金融科技時代的外包安全管理133

7.5　小結(jié)135

第8章　安全考核136

8.1　考核評價體系與原則136

8.2　 安全考核對象137

8.3　考核方案140

8.3.1　考核方案設(shè)計原則140

8.3.2　總部IT部門安全團隊141

8.3.3　總部IT部門非安全團隊

　　?。ㄆ叫袌F隊）142

8.3.4　個人考核143

8.3.5　一些細(xì)節(jié)144

8.4　與考核相關(guān)的其他幾個問題144

8.5　安全考核示例146

8.6　小結(jié)150

第9章　安全認(rèn)證151

9.1　為什么要獲得認(rèn)證151

9.2　認(rèn)證概述152

9.2.1　認(rèn)證分類152

9.2.2　認(rèn)證機構(gòu)154

9.3　選擇什么樣的認(rèn)證157

9.4　如何通過認(rèn)證159

9.5　小結(jié)162

第10章　安全預(yù)算、總結(jié)與匯報163

10.1　安全預(yù)算163

10.2　安全總結(jié)166

10.3　安全匯報167

10.4　小結(jié)168

第二部分　安全技術(shù)實戰(zhàn)

第11章　互聯(lián)網(wǎng)應(yīng)用安全170

11.1　端口管控170

11.2　Web應(yīng)用安全172

11.3　系統(tǒng)安全173

11.4　網(wǎng)絡(luò)安全175

11.5　數(shù)據(jù)安全175

11.6　業(yè)務(wù)安全176

11.7　互聯(lián)網(wǎng)DMZ區(qū)安全管控標(biāo)準(zhǔn)176

11.8　小結(jié)178

第12章　移動應(yīng)用安全179

12.1　概述179

12.2　APP開發(fā)安全180

12.2.1　AndroidManifest配置安全180

12.2.2　Activity組件安全181

12.2.3　Service組件安全181

12.2.4　Provider組件安全182

12.2.5　BroadcastReceiver組件安全183

12.2.6　WebView組件安全183

12.3　APP業(yè)務(wù)安全186

12.3.1　代碼安全186

12.3.2　數(shù)據(jù)安全188

12.3.3　其他話題190

12.4　小結(jié)191

第13章　企業(yè)內(nèi)網(wǎng)安全192

13.1　安全域192

13.2　終端安全193

13.3　網(wǎng)絡(luò)安全195

13.3.1　網(wǎng)絡(luò)入侵檢測系統(tǒng)196

13.3.2　異常訪問檢測系統(tǒng)196

13.3.3　隱蔽信道檢測系統(tǒng)197

13.4　服務(wù)器安全200

13.5　重點應(yīng)用安全203

13.6　漏洞戰(zhàn)爭206

13.6.1　弱口令206

13.6.2　漏洞發(fā)現(xiàn)208

13.6.3　SDL210

13.7　蜜罐體系建設(shè)213

13.8　小結(jié)220

第14章　數(shù)據(jù)安全221

14.1　數(shù)據(jù)安全治理221

14.2　終端數(shù)據(jù)安全222

14.2.1　加密類222

14.2.2　權(quán)限控制類225

14.2.3　終端DLP類228

14.2.4　桌面虛擬化228

14.2.5　安全桌面230

14.3　網(wǎng)絡(luò)數(shù)據(jù)安全230

14.4　存儲數(shù)據(jù)安全234

14.5　應(yīng)用數(shù)據(jù)安全235

14.6　其他話題237

14.6.1　數(shù)據(jù)脫敏237

14.6.2　水印與溯源237

14.6.3　UEBA240

14.6.4　CASB241

14.7　小結(jié)241

第15章　業(yè)務(wù)安全242

15.1　賬號安全242

15.1.1　撞庫242

15.1.2　賬戶盜用247

15.2　爬蟲與反爬蟲247

15.2.1　爬蟲247

15.2.2　反爬蟲249

15.3　API網(wǎng)關(guān)防護(hù)252

15.4　釣魚與反制252

15.4.1　釣魚發(fā)現(xiàn)252

15.4.2　釣魚處置254

15.5　大數(shù)據(jù)風(fēng)控255

15.5.1　基礎(chǔ)知識255

15.5.2　風(fēng)控介紹256

15.5.3　企業(yè)落地259

15.6　小結(jié)259

第16章　郵件安全261

16.1　背景261

16.2　入站安全防護(hù)262

16.2.1　郵箱賬號暴力破解262

16.2.2　郵箱賬號密碼泄露264

16.2.3　垃圾郵件264

16.2.4　郵件釣魚269

16.2.5　惡意附件攻擊269

16.2.6　入站防護(hù)體系小結(jié)276

16.3　出站安全防護(hù)278

16.4　整體安全防護(hù)體系281

16.5　小結(jié)283

第17章　活動目錄安全284

17.1　背景284

17.2　常見攻擊方式285

17.2.1　SYSVOL與GPP漏洞285

17.2.2　MS14-068漏洞287

17.2.3　Kerberoast攻擊289

17.2.4　內(nèi)網(wǎng)橫移抓取管理員憑證290

17.2.5　內(nèi)網(wǎng)釣魚與欺騙292

17.2.6　用戶密碼猜解293

17.2.7　獲取AD數(shù)據(jù)庫文件294

17.3　維持權(quán)限的各種方式295

17.3.1　krbtgt賬號與黃金票據(jù)295

17.3.2　服務(wù)賬號與白銀票據(jù)296

17.3.3　利用DSRM賬號297

17.3.4　利用SID History屬性298

17.3.5　利用組策略299

17.3.6　利用AdminSDHolder300

17.3.7　利用SSP301

17.3.8　利用Skeleton Key303

17.3.9　利用PasswordChangeNofity304

17.4　安全解決方案304

17.4.1　活動目錄整體架構(gòu)及相關(guān)規(guī)范305

17.4.2　技術(shù)體系運營309

17.4.3　外圍平臺安全310

17.4.4　被滲透后的注意事項311

17.5　小結(jié)311

第18章　安全熱點解決方案312

18.1　DDoS攻擊與對策312

18.1.1　DDoS防御常規(guī)套路312

18.1.2　一些經(jīng)驗314

18.2　勒索軟件應(yīng)對316

18.3　補丁管理317

18.3.1　Windows318

18.3.2　Linux319

18.4　堡壘機管理319

18.5　加密機管理321

18.5.1　選型322

18.5.2　高可用架構(gòu)與監(jiān)控322

18.5.3　應(yīng)用梳理324

18.5.4　上下線與應(yīng)急324

18.6　情報利用324

18.7　網(wǎng)絡(luò)攻防大賽與CTF325

18.8　小結(jié)329

第19章　安全檢測330

19.1　安全檢測方法330

19.2　檢測工具331

19.3　安全檢測思路和流程332

19.4　安全檢測案例334

19.4.1　收集信息334

19.4.2　暴力破解335

19.4.3　XSS檢測343

19.4.4　OS命令執(zhí)行檢測344

19.4.5　SQL注入檢測345

19.4.6　XML實體注入檢測346

19.4.7　代碼注入346

19.4.8　文件上傳漏洞檢測347

19.4.9　支付漏洞檢測348

19.4.10　密碼找回漏洞349

19.4.11　文件包含漏洞350

19.5　紅藍(lán)對抗350

19.6　小結(jié)352

第20章　安全運營353

20.1　安全運營概述353

20.2　架構(gòu)354

20.3　工具357

20.4　所需資源359

20.5　安全運營的思考361

20.6　小結(jié)364

第21章　安全運營中心365

21.1　安全運營中心概述365

21.2　ArcSight簡介365

21.3　SOC實施規(guī)劃和架構(gòu)設(shè)計369

21.3.1　明確需求370

21.3.2　架構(gòu)環(huán)境370

21.3.3　硬件規(guī)格372

21.3.4　日志管理策略373

21.3.5　應(yīng)用的資產(chǎn)和架構(gòu)信息373

21.3.6　外部信息集成策略374

21.3.7　開發(fā)方法及方式374

21.3.8　工作流規(guī)劃374

21.3.9　成果度量375

21.4　ArcSight安裝配置375

21.4.1　安裝前準(zhǔn)備376

21.4.2　初始化安裝376

21.4.3　安裝后驗證377

21.4.4　性能調(diào)優(yōu)377

21.4.5　初始備份377

21.4.6　壓力測試377

21.4.7　其他參數(shù)調(diào)整377

21.5　小結(jié)378

第22章　安全資產(chǎn)管理和矩陣式監(jiān)控379

22.1　安全資產(chǎn)管理379

22.1.1　面臨的問題379

22.1.2　解決思路和方案383

22.1.3　幾點思考387

22.2　矩陣式監(jiān)控388

22.2.1　存在的問題388

22.2.2　解決方案388

22.2.3　收益和體會391

22.3　小結(jié)392

第23章　應(yīng)急響應(yīng)393

23.1　概述393

23.2　事件分類394

23.3　事件分級395

23.4　PDCERF模型395

23.5　其他話題396

23.6　小結(jié)397

第24章　安全趨勢和安全從業(yè)者的未來398

24.1　職業(yè)規(guī)劃方法論398

24.2　安全環(huán)境趨勢和安全從業(yè)趨勢402

24.3　安全從業(yè)指南404

24.4　安全從業(yè)注意事項408

24.5　小結(jié)410

附　　錄

附錄A　我的CISSP之路412

附錄B　企業(yè)安全技能樹（插頁）