企業(yè)安全建設(shè)指南：金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐

目　　錄

序一

序二

序三

前言

第一部分　安全架構(gòu)

第1章　企業(yè)信息安全建設(shè)簡介2

1.1　安全的本質(zhì)2

1.2　安全原則2

1.3　安全世界觀4

1.4　正確處理幾個(gè)關(guān)系4

1.5　安全趨勢(shì)6

1.6　小結(jié)7

第2章　金融行業(yè)的信息安全8

2.1　金融行業(yè)信息安全態(tài)勢(shì)8

2.2　金融行業(yè)信息安全目標(biāo)10

2.3　信息安全與業(yè)務(wù)的關(guān)系：矛盾與共贏12

2.4　信息安全與監(jiān)管的關(guān)系：約束與保護(hù)13

2.5　監(jiān)管科技14

2.6　小結(jié)16

第3章　安全規(guī)劃17

3.1　規(guī)劃前的思考17

3.2　規(guī)劃框架18

3.3　制訂步驟19

3.3.1　調(diào)研19

3.3.2　目標(biāo)、現(xiàn)狀和差距20

3.3.3　制訂解決方案22

3.3.4　定稿23

3.3.5　上層匯報(bào)23

3.3.6　執(zhí)行與回顧23

3.4　注意事項(xiàng)24

3.5　小結(jié)24

第4章　內(nèi)控合規(guī)管理25

4.1　概述25

4.1.1　合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理的關(guān)系25

4.1.2　目標(biāo)及領(lǐng)域25

4.1.3　落地方法26

4.2　信息科技風(fēng)險(xiǎn)管理26

4.2.1　原則27

4.2.2　組織架構(gòu)和職責(zé)27

4.2.3　管理內(nèi)容28

4.2.4　管理手段和流程29

4.2.5　報(bào)告機(jī)制30

4.2.6　信息科技風(fēng)險(xiǎn)監(jiān)控指標(biāo)32

4.3　監(jiān)督檢查34

4.4　制度管理36

4.5　業(yè)務(wù)連續(xù)性管理38

4.5.1　定義和標(biāo)準(zhǔn)38

4.5.2　監(jiān)管要求39

4.5.3　BCM實(shí)施過程40

4.5.4　業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估40

4.5.5　BCP、演練和改進(jìn)43

4.5.6　DRI組織及認(rèn)證45

4.6　信息科技外包管理46

4.7　分支機(jī)構(gòu)管理46

4.8　信息科技風(fēng)險(xiǎn)庫示例47

4.9　小結(jié)49

第5章　安全團(tuán)隊(duì)建設(shè)50

5.1　安全團(tuán)隊(duì)建設(shè)的“痛點(diǎn)”50

5.2　安全團(tuán)隊(duì)面臨的宏觀環(huán)境54

5.3　安全團(tuán)隊(duì)文化建設(shè)56

5.4　安全團(tuán)隊(duì)意識(shí)建設(shè)63

5.5　安全團(tuán)隊(duì)能力建設(shè)67

5.5.1　確定目標(biāo)，找準(zhǔn)主要矛盾68

5.5.2　梳理和細(xì)分團(tuán)隊(duì)職能69

5.5.3　建立學(xué)習(xí)框架，提升知識(shí)和

　　　技能水平71

5.5.4　掌握學(xué)習(xí)方法，實(shí)現(xiàn)事半功倍

　　　的效果78

5.6　安全團(tuán)隊(duì)建設(shè)路徑80

5.7　安全人員職業(yè)規(guī)劃84

5.8　安全團(tuán)隊(duì)與其他團(tuán)隊(duì)的關(guān)系處理85

5.9　小結(jié)88

第6章　安全培訓(xùn)89

6.1　安全培訓(xùn)的問題與“痛點(diǎn)”89

6.1.1　信息安全意識(shí)不足的真實(shí)案例89

6.1.2　信息安全培訓(xùn)的必要性90

6.1.3　信息安全培訓(xùn)的“痛點(diǎn)”92

6.2　信息安全培訓(xùn)關(guān)聯(lián)方93

6.3　信息安全培訓(xùn)“百寶箱”96

6.4　面向?qū)ο蟮男畔踩嘤?xùn)矩陣105

6.5　培訓(xùn)體系實(shí)施的效果衡量107

6.6　小結(jié)108

第7章　外包安全管理109

7.1　外包安全管理的問題與“痛點(diǎn)”109

7.1.1　幾個(gè)教訓(xùn)深刻的外包風(fēng)險(xiǎn)事件109

7.1.2　外包安全管理的必要性110

7.1.3　外包管理中的常見問題112

7.2　外包戰(zhàn)略體系113

7.3　外包戰(zhàn)術(shù)體系118

7.3.1　事前預(yù)防118

7.3.2　事中控制123

7.3.3　事后處置132

7.4　金融科技時(shí)代的外包安全管理133

7.5　小結(jié)135

第8章　安全考核136

8.1　考核評(píng)價(jià)體系與原則136

8.2　 安全考核對(duì)象137

8.3　考核方案140

8.3.1　考核方案設(shè)計(jì)原則140

8.3.2　總部IT部門安全團(tuán)隊(duì)141

8.3.3　總部IT部門非安全團(tuán)隊(duì)

　　　（平行團(tuán)隊(duì)）142

8.3.4　個(gè)人考核143

8.3.5　一些細(xì)節(jié)144

8.4　與考核相關(guān)的其他幾個(gè)問題144

8.5　安全考核示例146

8.6　小結(jié)150

第9章　安全認(rèn)證151

9.1　為什么要獲得認(rèn)證151

9.2　認(rèn)證概述152

9.2.1　認(rèn)證分類152

9.2.2　認(rèn)證機(jī)構(gòu)154

9.3　選擇什么樣的認(rèn)證157

9.4　如何通過認(rèn)證159

9.5　小結(jié)162

第10章　安全預(yù)算、總結(jié)與匯報(bào)163

10.1　安全預(yù)算163

10.2　安全總結(jié)166

10.3　安全匯報(bào)167

10.4　小結(jié)168

第二部分　安全技術(shù)實(shí)戰(zhàn)

第11章　互聯(lián)網(wǎng)應(yīng)用安全170

11.1　端口管控170

11.2　Web應(yīng)用安全172

11.3　系統(tǒng)安全173

11.4　網(wǎng)絡(luò)安全175

11.5　數(shù)據(jù)安全175

11.6　業(yè)務(wù)安全176

11.7　互聯(lián)網(wǎng)DMZ區(qū)安全管控標(biāo)準(zhǔn)176

11.8　小結(jié)178

第12章　移動(dòng)應(yīng)用安全179

12.1　概述179

12.2　APP開發(fā)安全180

12.2.1　AndroidManifest配置安全180

12.2.2　Activity組件安全181

12.2.3　Service組件安全181

12.2.4　Provider組件安全182

12.2.5　BroadcastReceiver組件安全183

12.2.6　WebView組件安全183

12.3　APP業(yè)務(wù)安全186

12.3.1　代碼安全186

12.3.2　數(shù)據(jù)安全188

12.3.3　其他話題190

12.4　小結(jié)191

第13章　企業(yè)內(nèi)網(wǎng)安全192

13.1　安全域192

13.2　終端安全193

13.3　網(wǎng)絡(luò)安全195

13.3.1　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)196

13.3.2　異常訪問檢測(cè)系統(tǒng)196

13.3.3　隱蔽信道檢測(cè)系統(tǒng)197

13.4　服務(wù)器安全200

13.5　重點(diǎn)應(yīng)用安全203

13.6　漏洞戰(zhàn)爭(zhēng)206

13.6.1　弱口令206

13.6.2　漏洞發(fā)現(xiàn)208

13.6.3　SDL210

13.7　蜜罐體系建設(shè)213

13.8　小結(jié)220

第14章　數(shù)據(jù)安全221

14.1　數(shù)據(jù)安全治理221

14.2　終端數(shù)據(jù)安全222

14.2.1　加密類222

14.2.2　權(quán)限控制類225

14.2.3　終端DLP類228

14.2.4　桌面虛擬化228

14.2.5　安全桌面230

14.3　網(wǎng)絡(luò)數(shù)據(jù)安全230

14.4　存儲(chǔ)數(shù)據(jù)安全234

14.5　應(yīng)用數(shù)據(jù)安全235

14.6　其他話題237

14.6.1　數(shù)據(jù)脫敏237

14.6.2　水印與溯源237

14.6.3　UEBA240

14.6.4　CASB241

14.7　小結(jié)241

第15章　業(yè)務(wù)安全242

15.1　賬號(hào)安全242

15.1.1　撞庫242

15.1.2　賬戶盜用247

15.2　爬蟲與反爬蟲247

15.2.1　爬蟲247

15.2.2　反爬蟲249

15.3　API網(wǎng)關(guān)防護(hù)252

15.4　釣魚與反制252

15.4.1　釣魚發(fā)現(xiàn)252

15.4.2　釣魚處置254

15.5　大數(shù)據(jù)風(fēng)控255

15.5.1　基礎(chǔ)知識(shí)255

15.5.2　風(fēng)控介紹256

15.5.3　企業(yè)落地259

15.6　小結(jié)259

第16章　郵件安全261

16.1　背景261

16.2　入站安全防護(hù)262

16.2.1　郵箱賬號(hào)暴力破解262

16.2.2　郵箱賬號(hào)密碼泄露264

16.2.3　垃圾郵件264

16.2.4　郵件釣魚269

16.2.5　惡意附件攻擊269

16.2.6　入站防護(hù)體系小結(jié)276

16.3　出站安全防護(hù)278

16.4　整體安全防護(hù)體系281

16.5　小結(jié)283

第17章　活動(dòng)目錄安全284

17.1　背景284

17.2　常見攻擊方式285

17.2.1　SYSVOL與GPP漏洞285

17.2.2　MS14-068漏洞287

17.2.3　Kerberoast攻擊289

17.2.4　內(nèi)網(wǎng)橫移抓取管理員憑證290

17.2.5　內(nèi)網(wǎng)釣魚與欺騙292

17.2.6　用戶密碼猜解293

17.2.7　獲取AD數(shù)據(jù)庫文件294

17.3　維持權(quán)限的各種方式295

17.3.1　krbtgt賬號(hào)與黃金票據(jù)295

17.3.2　服務(wù)賬號(hào)與白銀票據(jù)296

17.3.3　利用DSRM賬號(hào)297

17.3.4　利用SID History屬性298

17.3.5　利用組策略299

17.3.6　利用AdminSDHolder300

17.3.7　利用SSP301

17.3.8　利用Skeleton Key303

17.3.9　利用PasswordChangeNofity304

17.4　安全解決方案304

17.4.1　活動(dòng)目錄整體架構(gòu)及相關(guān)規(guī)范305

17.4.2　技術(shù)體系運(yùn)營309

17.4.3　外圍平臺(tái)安全310

17.4.4　被滲透后的注意事項(xiàng)311

17.5　小結(jié)311

第18章　安全熱點(diǎn)解決方案312

18.1　DDoS攻擊與對(duì)策312

18.1.1　DDoS防御常規(guī)套路312

18.1.2　一些經(jīng)驗(yàn)314

18.2　勒索軟件應(yīng)對(duì)316

18.3　補(bǔ)丁管理317

18.3.1　Windows318

18.3.2　Linux319

18.4　堡壘機(jī)管理319

18.5　加密機(jī)管理321

18.5.1　選型322

18.5.2　高可用架構(gòu)與監(jiān)控322

18.5.3　應(yīng)用梳理324

18.5.4　上下線與應(yīng)急324

18.6　情報(bào)利用324

18.7　網(wǎng)絡(luò)攻防大賽與CTF325

18.8　小結(jié)329

第19章　安全檢測(cè)330

19.1　安全檢測(cè)方法330

19.2　檢測(cè)工具331

19.3　安全檢測(cè)思路和流程332

19.4　安全檢測(cè)案例334

19.4.1　收集信息334

19.4.2　暴力破解335

19.4.3　XSS檢測(cè)343

19.4.4　OS命令執(zhí)行檢測(cè)344

19.4.5　SQL注入檢測(cè)345

19.4.6　XML實(shí)體注入檢測(cè)346

19.4.7　代碼注入346

19.4.8　文件上傳漏洞檢測(cè)347

19.4.9　支付漏洞檢測(cè)348

19.4.10　密碼找回漏洞349

19.4.11　文件包含漏洞350

19.5　紅藍(lán)對(duì)抗350

19.6　小結(jié)352

第20章　安全運(yùn)營353

20.1　安全運(yùn)營概述353

20.2　架構(gòu)354

20.3　工具357

20.4　所需資源359

20.5　安全運(yùn)營的思考361

20.6　小結(jié)364

第21章　安全運(yùn)營中心365

21.1　安全運(yùn)營中心概述365

21.2　ArcSight簡介365

21.3　SOC實(shí)施規(guī)劃和架構(gòu)設(shè)計(jì)369

21.3.1　明確需求370

21.3.2　架構(gòu)環(huán)境370

21.3.3　硬件規(guī)格372

21.3.4　日志管理策略373

21.3.5　應(yīng)用的資產(chǎn)和架構(gòu)信息373

21.3.6　外部信息集成策略374

21.3.7　開發(fā)方法及方式374

21.3.8　工作流規(guī)劃374

21.3.9　成果度量375

21.4　ArcSight安裝配置375

21.4.1　安裝前準(zhǔn)備376

21.4.2　初始化安裝376

21.4.3　安裝后驗(yàn)證377

21.4.4　性能調(diào)優(yōu)377

21.4.5　初始備份377

21.4.6　壓力測(cè)試377

21.4.7　其他參數(shù)調(diào)整377

21.5　小結(jié)378

第22章　安全資產(chǎn)管理和矩陣式監(jiān)控379

22.1　安全資產(chǎn)管理379

22.1.1　面臨的問題379

22.1.2　解決思路和方案383

22.1.3　幾點(diǎn)思考387

22.2　矩陣式監(jiān)控388

22.2.1　存在的問題388

22.2.2　解決方案388

22.2.3　收益和體會(huì)391

22.3　小結(jié)392

第23章　應(yīng)急響應(yīng)393

23.1　概述393

23.2　事件分類394

23.3　事件分級(jí)395

23.4　PDCERF模型395

23.5　其他話題396

23.6　小結(jié)397

第24章　安全趨勢(shì)和安全從業(yè)者的未來398

24.1　職業(yè)規(guī)劃方法論398

24.2　安全環(huán)境趨勢(shì)和安全從業(yè)趨勢(shì)402

24.3　安全從業(yè)指南404

24.4　安全從業(yè)注意事項(xiàng)408

24.5　小結(jié)410

附　　錄

附錄A　我的CISSP之路412

附錄B　企業(yè)安全技能樹（插頁）