企业信息安全落地实践指南

第1章　安全目标与团队建设 1
1.1　团队建设阶段 1
1.2　团队组织建设 3
1.3　不同时期的重点工作 4
1.4　小结 9
第2章　安全运营落地实践 11
2.1　资产自动化监控 11
2.1.1　阿里云资产自动监控 12
2.1.2　腾讯云资产自动监控 17
2.1.3　AWS云资产自动监控 21
2.1.4　DNS域名自动监控 24
2.1.5　仿冒域名自动监控 26
2.1.6　VPN账号自动监控 27
2.2　资产变动自动化扫描 30
2.2.1　Nessus漏洞扫描API 30
2.2.2　AWVS漏洞扫描API 32
2.2.3　端口目录扫描API 35
2.2.4　微信告警API 38
2.2.5　新增IP地址自动扫描 39
2.2.6　新增DNS域名漏洞扫描 40
2.3　安全日志自动化采集 42
2.3.1　日志数据持久存储 42
2.3.2　日志自动采集工具 51
2.4　日志的加工与清洗 70
2.4.1　Grok匹配 71
2.4.2　Mutate的使用 77
2.4.3　Process的使用 79
2.4.4　GeoIP 81
2.5　安全告警事件自动编排 83
2.5.1　n8n 83
2.5.2　Node-RED 94
2.6　安全运营平台集成化管理 105
2.7　小结 109
第3章　数据与隐私安全落地实践 110
3.1　企业数据安全建设挑战 110
3.1.1　法规条例监管要求 111
3.1.2　数据丢失泄露风险 112
3.2　数据安全建设理论模型 114
3.2.1　安全能力成熟度模型 114
3.2.2　IPDRR能力框架模型 116
3.3　数据资产盘点三步曲 117
3.3.1　数据使用人员盘点 118
3.3.2　数据访问方式盘点 119
3.3.3　数据自助分类分级 120
3.4　数据安全保护实践历程 122
3.4.1　数据分级保护 122
3.4.2　策略支撑平台 125
3.4.3　数据安全态势分析 159
3.4.4　隐私合规建设 162
3.5　小结 170
第4章　应用安全落地实践 171
4.1　应用安全实践方案 171
4.1.1　S-SDLC介绍 171
4.1.2　DevSecOps介绍 173
4.2　DEVSECOPS落地实践 175
4.2.1　DevSecOps活动拆解 175
4.2.2　搭建安全工具链 178
4.2.3　安全测试自动化 196
4.2.4　应用安全质量管理 204
4.3　小结 209
第5章　业务安全落地实践 210
5.1　业务安全概述 211
5.2　业务安全挑战 211
5.2.1　业务安全风险 212
5.2.2　黑产多样化手法 216
5.3　业务安全对抗手段 222
5.3.1　反欺诈作弊 223
5.3.2　风险团管控 225
5.3.3　名单管控 226
5.3.4　活动门槛 227
5.3.5　风险评分卡 228
5.3.6　情报监控 228
5.4　业务安全建设过程 230
5.4.1　雏形期业务安全建设 230
5.4.2　成长期业务安全建设 232
5.4.3　成熟期业务安全建设 237
5.5　业务安全对抗案例 238
5.5.1　识别恶意注册行为 238
5.5.2　识别裂变拉新“薅羊毛”行为 242
5.5.3　识别团伙作弊行为 250
5.5.4　识别KYC欺诈行为 253
5.6　小结 254
第6章　红蓝对抗活动实践 256
6.1　红蓝对抗简介 256
6.2　常规红蓝对抗 257
6.2.1　社会工程学 257
6.2.2　邮件钓鱼 258
6.2.3　互联网水坑攻击 275
6.2.4　近源攻击 277
6.2.5　供应链攻击 283
6.3　业务红蓝对抗 287
6.3.1　人脸识别绕过测试 288
6.3.2　滑块验证码绕过测试 292
6.3.3　设备指纹篡改测试 295
6.4　小结 299
第7章　信息安全管理体系落地实践 300
7.1　安全体系建设流程与步骤 300
7.1.1　项目启动 301
7.1.2　现状评估 302
7.1.3　风险评估 303
7.1.4　体系文件编写 317
7.1.5　内部审核 323
7.1.6　有效性测量 328
7.1.7　管理评审 332
7.1.8　认证年审 334
7.1.9　安全培训 337
7.1.10　典型记录文档模板 339
7.2　企业信息安全文化建设 344
7.2.1　全员参与 345
7.2.2　赏罚分明 348
7.2.3　预知风险 350
7.2.4　安全就是生产力 351
7.3　小结 353
附录A　管理评审报告 354
参考文献 357