转发赠书|企业信息安全建设之道（微信文章未删减版）

文末赠书

企业如果不重视信息安全会有多严重的后果？这可能会对一个国家的安全造成危害，让我们来看一个真实的案件。

2017 年，美国三大信用评级公司之一的 Equifax未能保护好其客户与消费者的敏感数据，导致近 1.5 亿人的个人信息泄露。这其中包括姓名、社会保险号码、出生日期、地址等重要信息。黑客甚至还偷走了 20.9 万张信用卡号和 18.2 万份包含个人身份信息的文件。

征信数据对于个人的重要性不言而喻，因为这次事故，美国将近一半人口的信息安全都处于风险之中。那这一切到底是怎么发生的？

经过事后调查发现，Equifax 公司对于信息安全的忽视简直到了麻木的程度。

首先，未能修补已知的严重漏洞，使其系统面临长达 145 天的安全风险；其次，未能实现基本的安全协议，包括文件完整性监控、网络分隔；最后，在攻击者获取数据的过程中，安全设备的证书过期19个月，又使得可以提前发现的攻击行为被掩盖。

所以，对于一家企业来说，信息安全建设应该有一个完整的体系，包括安全意识、软硬件设备、防护策略、运营管理等。要如何形成这样的体系呢？答案就在《企业信息安全体系建设之道》这本书中。

▼点击下方，即可购书

我们先来弄清楚企业的信息安全都包括哪些方面。

Part.1

什么是企业信息安全

信息安全，是指为数据处理系统建立和采用的技术、管理方面的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

这些有价值的信息就称为信息资产，是企业要重点保护的目标。信息资产有三个重要的属性，也称为信息安全三要素：保密性、完整性以及可用性（Confidentiality、Integrity 和 Availability，缩写为 CIA）。

基本上企业所有的安全防护策略都是围绕 CIA 设计和实施的。企业信息安全存在风险是因为攻击者可以利用系统漏洞破坏信息资产的 CIA。企业要做的就是通过有效的防护措施，降低被攻击的可能性，减少系统漏洞，保护企业信息资产。

信息安全的基本概念之间的关系

防护措施必须要形成体系才能发挥出最大作用，企业要在特定范围内建立安全风险管控方案，通过使用不同的安全策略、安全产品与系统，从技术和管理两个层面管控整个企业产品系统的安全。

企业信息安全体系应当包含哪些关键点？《企业信息安全体系建设之道》的作者马金龙，给出了他设计的信息安全体系整体架构。

信息安全体系的简单架构

马金龙是资深安全从业者，有超过15年的网络安全从业经验，目前在大型互联网企业负责信息安全工作。他在不断完善自身企业的安全体系的同时，也积累了丰富的最佳实践和相应的方法论。

马金龙老师结合个人实践，总结梳理了企业信息安全体系建设经验，撰写了这本《企业信息安全体系建设之道》。

现在，我们就来学习全方位建设企业信息安全体系的方法。

Part.2

全方位打造企业信息安全之道

如果企业从上到下对信息安全已经高度重视，那接下来的问题就是如何构建信息安全体系。

书中内容分为安全基础、安全管理、安全技术、安全运营等四大部分，论述全方位打造企业信息安全体系的设计与实践。

安全基础

安全人员要知道相关基础知识，如信息安全的基本概念、安全控制措施、实现措施的手段以及攻击与防御等信息安全基础知识。熟悉可信安全相关基础知识，包括可信计算机系统、可信计算技术，以及零信任理念的架构与技术。

零信任架构

书中将信息安全体系建设的指导思想总结为“道、法、术、器、势”，并提出了包含五个过程的建设步骤，基于 PDCA（即Plan计划、Do执行、Check检查和 Act处理）的建设方法，周而复始地运转，持续完善及更新，实现系统的迭代升级。

安全管理

企业安全建设工作的第一步是建立合理的安全管理组织机构。组织应该有效制定共同目标，合理、科学地确定组织的成员、任务和各项活动之间的关系，并协调、配置资源。

安全管理工作的一个重点是针对系统漏洞的风险管理，企业需要识别和评估风险并制定相关计划和安全措施，使风险降到可控程度。企业开展安全管理工作也要符合监管规定，并且要有安全体系认证，要具体了解《中华人民共和国网络安全法》等法律条文。

最后，企业要重视员工全周期的安全管理和安全意识培训，让员工明确自己在整体安全建设工作中的角色和责任，增强安全意识并降低企业整体安全风险。

安全技术

这一部分对安全防护措施和软硬件系统进行了详细的介绍，有以下六点：

· 访问控制与身份管理：使用集中身份认证管理，做到用户认证、授权、审计的集中化处理；

· 物理环境安全：具体措施有门禁系统、保安巡查、物理入侵检测、照明系统、闭路电视、消防联动控制系统等；

· 安全域划分：建立网络隔离策略、网络准入及远程用户访问，利用防火墙及访问控制列表进行网域划分；

· 安全计算环境：从系统安全、加密技术、反恶意程序、入侵检测技术、蜜罐技术、安全审计等方面，介绍构建企业安全计算环境的安全技术措施；

· 应用安全防护：介绍了 Web 安全、App 安全、API 安全等防护手段。说明了部署高可用设备，以及做好备份、恢复、防范 DDoS 攻击措施的方法；

· 数据安全防护：介绍了层级纵深防御机制，企业应当贯彻纵深防御理念，将企业数据资产保护在多重防线下。

防火墙示例

安全运营

这一部分介绍安全人员在安全运营方面所使用的安全流程、方法和系统。

介绍了保持企业安全防护状态的各种办法，例如，用于开发安全产品的安全开发生命周期管理；用于上下游第三方管控的供应链管理；威胁情报（用来收集内外部情报，从而进行针对性保护的方法）；日常的安全监控和安全扫描（用来评估系统状态）。

在面对灾害时，要能够估计潜在的损害和损失，对潜在的灾难进行分类和排序，并在这些事件真的发生时制定可行的替代方案，让业务可以持续运营。

最后介绍安全运营中心，构建企业中的各安全设备及系统协同运行，实现对各类网络安全资源的集中监控、统一策略管理、智能审计，以及多种安全功能模块之间的关联分析。

一家企业如果能将这四个方面的安全工作做好，就可以为业务保驾护航，抵御风险的侵袭，从而赢得客户的信任，在市场上不断成长。

Part.3

结语

企业的信息安全体系建设不是一朝一夕之事，应该制定并实施严格的信息安全策略，包括保护网络和系统的安全，加强员工的安全意识和培训，定期进行风险评估和漏洞扫描，并建立应急响应计划来应对安全事件。

将所有这些事情联接整合好，就是体系化建设的意义所在。《企业信息安全体系建设之道》的最大特点，就是站在全局角度，完整说明一家企业应该如何体系化地建设信息安全系统。

▼点击下方，即可购书

本书围绕安全基础、安全管理、安全技术和安全运营四个部分依次展开阐述，结合个人实践经验深入浅出地讲述了企业的实施指导原则。既包含理论框架，又有大量的实践案例，以及大量直观的图示，可以说是一本普适的信息安全体系建设指导手册。

信息安全体系建设不是说一次性投入或者把设备安装上就万事大吉的，需要持之以恒地关注并保持系统的迭代更新。书中将安全运营提升到和安全技术、安全管理同等重要的层次，很好地说明了人与系统相结合如何发挥出最大效力。

本书还介绍了安全领域的新理念、新理论，例如 DevSecOps、零信任、XDR 等。

对于广大信息安全从业者来说，这本书值得反复阅读和思考，掌握理论的同时，不断提升实践水平，为企业的信息安全打好基础，从而也为国家信息安全做出贡献。

—END—

获奖方式

点击在看和转发活动不分组到朋友圈，将截图发送到公众号后台留言，我们将选取第一名留言和第五十名留言的小伙伴，赠送此图书一本。截止到2023.12.2 18:00，然后会联系获奖小伙伴，领奖时需凭借保留朋友圈不分组到领奖当时的转发截图。