本书全面、系统地介绍企业信息安全的技术架构与实践，总结了作者在金融行业多年的信息安全实践经验，内容丰富，实践性强。本书分为两大部分，共24章。部分“安全架构”主要内容有：信息安全观、金融行业信息安全的特点、安全规划、内控合规管理、信息安全团队建设、安全培训规划、外包安全管理、安全考核、安全认证等。第二部分“安全技术实战”主要内容有：互联网应用安全、移动应用安全、企业内网安全、数据安全、业务安全、邮件安全、活动目录安全、安全检测、安全运营、SOC、安全资产管理和矩阵式监控、信息安全趋势和安全从业者的未来等。

聂君，毕业于哈尔滨工业大学，安信证券信息技术中心安全总监，曾在招商银行总行安全团队工作9年。参与了多家大型金融企业网络安全建设，积累了丰富的实践经验，牵头起草了多项金融行业网络安全行业标准，主要研究兴趣是异常行为监测、SIEM/SOC、安全运营等。业务时间维护微信公众号“君哥的体历”，贡献了大量技术文章，广受好评。
李燕，某银行科技部门分管信息安全的总经理室成员，具有15年商业银行总行科技工作经验，曾主管全国性银行信息安全团队，主持过两家商业银行全行信息安全工作，包括信息安全管理和技术规划、ISO27001信息安全管理体系认证、信息安全团队建设、信息安全技术实施等，对信息安全管理相关的组织、架构、制度、流程，以及信息安全技术体系有全面深入的理解。
何扬军(xysky)，某大型商业银行总行信息技术部数据安全团队负责人。曾在乙方安全公司和互联网安全团队工作，具有十余年安全工作经验，对Web安全、系统安全、数据安全以及安全运营等方面技术有深入全面的实践和理解，曾经在黑客防线等杂志发表数十篇文章，拥有CISSP、CEH、RHCE等证书。

序一
序二
序三
前言
部分安全架构
章企业信息安全建设简介2
1.1安全的本质2
1.2安全原则2
1.3安全世界观4
1.4正确处理几个关系4
1.5安全趋势6
1.6小结7
第2章金融行业的信息安全8
2.1金融行业信息安全态势8
2.2金融行业信息安全目标10
2.3信息安全与业务的关系：矛盾与共赢12
2.4信息安全与监管的关系：约束与保护13
2.5监管科技14
2.6小结16
第3章安全规划17
3.1规划前的思考17
3.2规划框架18
3.3制订步骤19
3.3.1调研19
3.3.2目标、现状和差距20
3.3.3制订解决方案22
3.3.4定稿23
3.3.5上层汇报23
3.3.6执行与回顾23
3.4注意事项24
3.5小结24
第4章内控合规管理25
4.1概述25
4.1.1合规、内控、风险管理的关系25
4.1.2目标及领域25
4.1.3落地方法26
4.2信息科技风险管理26
4.2.1原则27
4.2.2组织架构和职责27
4.2.3管理内容28
4.2.4管理手段和流程29
4.2.5报告机制30
4.2.6信息科技风险监控指标32
4.3监督检查34
4.4制度管理36
4.5业务连续性管理38
4.5.1定义和标准38
4.5.2监管要求39
4.5.3BCM实施过程40
4.5.4业务影响分析和风险评估40
4.5.5BCP、演练和改进43
4.5.6DRI组织及认证45
4.6信息科技外包管理46
4.7分支机构管理46
4.8信息科技风险库示例47
4.9小结49
第5章安全团队建设50
5.1安全团队建设的“痛点”50
5.2安全团队面临的宏观环境54
5.3安全团队文化建设56
5.4安全团队意识建设63
5.5安全团队能力建设67
5.5.1确定目标，找准主要矛盾68
5.5.2梳理和细分团队职能69
5.5.3建立学习框架，提升知识和
技能水平71
5.5.4掌握学习方法，实现事半功倍
的效果78
5.6安全团队建设路径80
5.7安全人员职业规划84
5.8安全团队与其他团队的关系处理85
5.9小结88
第6章安全培训89
6.1安全培训的问题与“痛点”89
6.1.1信息安全意识不足的真实案例89
6.1.2信息安全培训的必要性90
6.1.3信息安全培训的“痛点”92
6.2信息安全培训关联方93
6.3信息安全培训“百宝箱”96
6.4面向对象的信息安全培训矩阵105
6.5培训体系实施的效果衡量107
6.6小结108
第7章外包安全管理109
7.1外包安全管理的问题与“痛点”109
7.1.1几个教训深刻的外包风险事件109
7.1.2外包安全管理的必要性110
7.1.3外包管理中的常见问题112
7.2外包战略体系113
7.3外包战术体系118
7.3.1事前预防118
7.3.2事中控制123
7.3.3事后处置132
7.4金融科技时代的外包安全管理133
7.5小结135
第8章安全考核136
8.1考核评价体系与原则136
8.2 安全考核对象137
8.3考核方案140
8.3.1考核方案设计原则140
8.3.2总部IT部门安全团队141
8.3.3总部IT部门非安全团队
（平行团队）142
8.3.4个人考核143
8.3.5一些细节144
8.4与考核相关的其他几个问题144
8.5安全考核示例146
8.6小结150
第9章安全认证151
9.1为什么要获得认证151
9.2认证概述152
9.2.1认证分类152
9.2.2认证机构154
9.3选择什么样的认证157
9.4如何通过认证159
9.5小结162
0章安全预算、总结与汇报163
10.1安全预算163
10.2安全总结166
10.3安全汇报167
10.4小结168
第二部分安全技术实战
1章互联网应用安全170
11.1端口管控170
11.2Web应用安全172
11.3系统安全173
11.4网络安全175
11.5数据安全175
11.6业务安全176
11.7互联网DMZ区安全管控标准176
11.8小结178
2章移动应用安全179
12.1概述179
12.2APP开发安全180
12.2.1AndroidManifest配置安全180
12.2.2Activity组件安全181
12.2.3Service组件安全181
12.2.4Provider组件安全182
12.2.5BroadcastReceiver组件安全183
12.2.6WebView组件安全183
12.3APP业务安全186
12.3.1代码安全186
12.3.2数据安全188
12.3.3其他话题190
12.4小结191
3章企业内网安全192
13.1安全域192
13.2终端安全193
13.3网络安全195
13.3.1网络入侵检测系统196
13.3.2异常访问检测系统196
13.3.3隐蔽信道检测系统197
13.4服务器安全200
13.5重点应用安全203
13.6漏洞战争206
13.6.1弱口令206
13.6.2漏洞发现208
13.6.3SDL210
13.7蜜罐体系建设213
13.8小结220
4章数据安全221
14.1数据安全治理221
14.2终端数据安全222
14.2.1加密类222
14.2.2权限控制类225
14.2.3终端DLP类228
14.2.4桌面虚拟化228
14.2.5安全桌面230
14.3网络数据安全230
14.4存储数据安全234
14.5应用数据安全235
14.6其他话题237
14.6.1数据脱敏237
14.6.2水印与溯源237
14.6.3UEBA240
14.6.4CASB241
14.7小结241
5章业务安全242
15.1账号安全242
15.1.1撞库242
15.1.2账户盗用247
15.2爬虫与反爬虫247
15.2.1爬虫247
15.2.2反爬虫249
15.3API网关防护252
15.4钓鱼与反制252
15.4.1钓鱼发现252
15.4.2钓鱼处置254
15.5大数据风控255
15.5.1基础知识255
15.5.2风控介绍256
15.5.3企业落地259
15.6小结259
6章邮件安全261
16.1背景261
16.2入站安全防护262
16.2.1邮箱账号暴力破解262
16.2.2邮箱账号密码泄露264
16.2.3垃圾邮件264
16.2.4邮件钓鱼269
16.2.5恶意附件攻击269
16.2.6入站防护体系小结276
16.3出站安全防护278
16.4整体安全防护体系281
16.5小结283
7章活动目录安全284
17.1背景284
17.2常见攻击方式285
17.2.1SYSVOL与GPP漏洞285
17.2.2MS14-068漏洞287
17.2.3Kerberoast攻击289
17.2.4内网横移抓取管理员凭证290
17.2.5内网钓鱼与欺骗292
17.2.6用户密码猜解293
17.2.7获取AD数据库文件294
17.3维持权限的各种方式295
17.3.1krbtgt账号与黄金票据295
17.3.2服务账号与白银票据296
17.3.3利用DSRM账号297
17.3.4利用SID History属性298
17.3.5利用组策略299
17.3.6利用AdminSDHolder300
17.3.7利用SSP301
17.3.8利用Skeleton Key303
17.3.9利用PasswordChangeNofity304
17.4安全解决方案304
17.4.1活动目录整体架构及相关规范305
17.4.2技术体系运营309
17.4.3外围平台安全310
17.4.4被渗透后的注意事项311
17.5小结311
8章安全热点解决方案312
18.1DDoS攻击与对策312
18.1.1DDoS防御常规套路312
18.1.2一些经验314
18.2勒索软件应对316
18.3补丁管理317
18.3.1Windows318
18.3.2Linux319
18.4堡垒机管理319
18.5加密机管理321
18.5.1选型322
18.5.2高可用架构与监控322
18.5.3应用梳理324
18.5.4上下线与应急324
18.6情报利用324
18.7网络攻防大赛与CTF325
18.8小结329
9章安全检测330
19.1安全检测方法330
19.2检测工具331
19.3安全检测思路和流程332
19.4安全检测案例334
19.4.1收集信息334
19.4.2暴力破解335
19.4.3XSS检测343
19.4.4OS命令执行检测344
19.4.5SQL注入检测345
19.4.6XML实体注入检测346
19.4.7代码注入346
19.4.8文件上传漏洞检测347
19.4.9支付漏洞检测348
19.4.10密码找回漏洞349
19.4.11文件包含漏洞350
19.5红蓝对抗350
19.6小结352
第20章安全运营353
20.1安全运营概述353
20.2架构354
20.3工具357
20.4所需资源359
20.5安全运营的思考361
20.6小结364
第21章安全运营中心365
21.1安全运营中心概述365
21.2ArcSight简介365
21.3SOC实施规划和架构设计369
21.3.1明确需求370
21.3.2架构环境370
21.3.3硬件规格372
21.3.4日志管理策略373
21.3.5应用的资产和架构信息373
21.3.6外部信息集成策略374
21.3.7开发方法及方式374
21.3.8工作流规划374
21.3.9成果度量375
21.4ArcSight安装配置375
21.4.1安装前准备376
21.4.2初始化安装376
21.4.3安装后验证377
21.4.4性能调优377
21.4.5初始备份377
21.4.6压力测试377
21.4.7其他参数调整377
21.5小结378
第22章安全资产管理和矩阵式监控379
22.1安全资产管理379
22.1.1面临的问题379
22.1.2解决思路和方案383
22.1.3几点思考387
22.2矩阵式监控388
22.2.1存在的问题388
22.2.2解决方案388
22.2.3收益和体会391
22.3小结392
第23章应急响应393
23.1概述393
23.2事件分类394
23.3事件分级395
23.4PDCERF模型395
23.5其他话题396
23.6小结397
第24章安全趋势和安全从业者的未来398
24.1职业规划方法论398
24.2安全环境趋势和安全从业趋势402
24.3安全从业指南404
24.4安全从业注意事项408
24.5小结410
附录
附录A我的CISSP之路412
附录B企业安全技能树（插页）