书名:企业信息安全体系建设之道
ISBN:978-7-115-62578-6
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 马金龙
责任编辑 胡俊英
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
企业信息安全体系建设是为了保护企业的信息资产和确保其信息安全而构建的一系列组织和管理措施,旨在建立一个全面、系统、可持续的信息安全管理框架,以应对不断变化的威胁和风险。
本书通过四部分(安全基础知识、安全管理知识、安全技术知识和安全运营知识)介绍企业信息安全体系建设的相关知识,涉及安全理论、可信计算、信息安全体系、组织与策略、需求与规划、风险管理、合规与认证、人员管理与安全意识培训、访问控制与身份管理、物理环境安全、安全域边界、安全计算环境、应用安全防护、数据安全保护、确认安全防护目标、保持防护状态、异常情况处置、业务持续运营、安全运营中心等主题。
本书内容深入浅出,图文并茂,能够帮助大家更好地厘清知识脉络,非常适合信息安全领域的从业者阅读参考。此外,关注企业信息安全体系建设的读者,也可以通过本书了解具体的方法论。
作者基于多年在甲方企业从事信息安全体系建设的经验写作了本书。如果你想要了解企业安全防御策略,或者有一点甲方企业信息安全体系建设经验,想要更全面地学习信息安全体系建设,那么本书是很好的选择。
——魏兴国(云舒)
著名网络安全研究人员,默安科技创始人兼CTO
本书全面介绍信息安全相关体系,可以帮助读者充分了解信息安全领域的知识要点,以及如何将它们应用到企业信息安全体系建设中。本书适合网络工程师、系统管理员、信息安全专业人员及其他对信息安全感兴趣的人士阅读。通过阅读本书,读者可以充分了解信息安全的架构和体系,从而更好地进行企业信息安全体系建设,提升企业信息安全水平。
——董志强(Killer)
腾讯安全副总裁,腾讯安全云鼎实验室负责人
本书凝结了作者多年的企业信息安全建设、管理和运营的经验,深入浅出地探讨了企业信息安全方面的工作要点。作为我的好友,马金龙(吗啡)多年在甲方一线负责安全,有非常丰富的实战经验。在本书中,他除了把在企业的工作经验进行了体系化的梳理,还从安全建设角度提出了很多安全理念方面的思考,涉及多个方面的复杂问题,相信对于技术人员和安全业务整改都有比较好的借鉴。
——马坤(cnfjhh)
四叶草安全创始人兼董事长
安全虽然包罗万象,但无论如何演变都没脱离内核——保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),也可简称CIA。马金龙(吗啡)是行业老兵,他把自己多年的工作经验及自己所了解的关键技术和管理思路集结成册,为广大读者提供了一本不可多得的案头好书。
——秦波(大波哥)
京东高级安全总监
这是一本综合性的信息安全技术与安全管理理论的参考书,全面论述了信息安全体系的建设步骤、信息安全技术、管理策略等内容,详细地分析了各种安全威胁及其处理方式,并给出了有效的安全管理策略,内容实用、新颖、丰富,是企业信息安全体系建设方面必不可少的参考指南。
——凌云(linkboy)
携程高级安全总监
本书用言简意赅、通俗易懂的方式介绍了信息安全的基本概念、企业信息安全运行的核心逻辑,以及不少安全概念背后的来龙去脉,可以快速帮助读者厘清宏观脉络,方便大家在日常工作学习中展开全局视角,达到事半功倍的效果。无论是对企业信息安全感兴趣的新人,还是已经在某个垂直领域深耕并希望一窥全貌的“老兵”,这本书都能帮到大家。
——赵弼政(职业欠钱)
美团基础安全负责人
我非常高兴向大家推荐马金龙(吗啡)的新书。我和作者相识于2013年的一个CISSP学习群,我们一起学习、交流,受益良多。吗啡自2011年起就在新浪工作,一直从事企业信息安全建设工作,有丰富的企业信息安全建设的实践经验,这使本书的内容非常实用,让读者能够从中获得很多有价值的建议和方法。我强烈推荐本书,希望更多的人能够读到它,从中获得启示和思路,提升自己的信息安全能力,为行业的信息安全发展贡献力量。
——卢佐华,CISSP-ISSAP,ISC2北京分会主席
梆梆安全研究院院长
随着整个社会的数字化程度越来越高,攻击方式也在快速迭代更新,企业面临的安全威胁和压力与日俱增。对于完成了基础合规建设,更加注重安全效果和能力的企业,本书提供了一个完整的框架和最佳实践,非常值得参考。
——薛锋
微步在线创始人兼CEO
随着企业数字化转型的快速推进,企业所容纳的数据量呈爆发式增长,企业对信息安全的重视程度也达到了新的高度。如何搭建高效的信息安全体系,降低信息安全风险是企业关注的重要议题。本书的内容结构符合信息安全的全局观,从安全基础概念入手,涉及安全技术、安全管理、安全运营等主题,作者结合自身经验和具体实践全面讲述了信息安全体系建设的思路。无论是在校学生,还是信息安全领域的从业者,若想全面地学习和理解信息安全,本书都是不错的选择。
——王彬
华住集团信息安全副总裁
作者马金龙(吗啡)有非常丰富的网络安全从业经验。本书从管理和技术层面做了阐述,并融入了目前较新的安全运营理念,具备很好的实战效果。我强烈推荐大家阅读。
——张百川(网路游侠)
游侠安全网站长
这本书是关于网络安全的全面性读物,旨在帮助读者了解网络安全的新发展和最佳实践。作者以专业的知识和丰富的经验,详细阐述了网络安全的基本原理,并深入讲解了各种安全技术和实践。如果你是网络安全领域的从业人员或者对网络安全感兴趣,这本书将为你提供有价值的信息和宝贵的指导。
——杨大路
天际友盟创始人兼CEO,中国威胁情报和数字风险管理的先行者
作者马金龙(吗啡)有着10多年的网络安全体系建设与安全治理经验,他把这些经验毫无保留地写到了书中,读者可以通过本书快速了解这些内容。我强烈推荐大家阅读本书!
——林鹏(lion_00)
CCIE-security,《互联网安全建设从0到1》作者,猎豹移动高级总监
很荣幸为本书写下几句推荐语,作为入行十多年的安全人员,对图书的要求不可谓不挑剔,本书既总结了过往的技术,也引入了一些新概念,全面贴合行业现状和需求。感谢作者的用心良苦,也期待本书能成为口碑之作。
——张坤
OWASP北京分会负责人,脑动极光医疗科技首席信息安全官
越来越多的企业开始关注信息安全体系的建设,安全人员面临的挑战也变得越来越多,不仅要关注攻防对抗、安全漏洞,而且还要懂得如何构建系统化的安全治理体系。本书从安全基础、安全管理、安全技术、安全运营四个方面深入浅出地介绍了一个成熟的安全治理体系所需要的知识和实践经验,帮助安全人员从全局视角探索安全治理体系的奥秘。
——王任飞(Avfisher)
华为云资深云安全专家
有幸拜读了马金龙(吗啡)的著作,即使从业多年,读来也是获益颇多。本书从甲方安全的视角,结合本身的安全从业经验和实践,从基础安全理论到安全管理要求,从安全技术布防到安全运营落地,全方位地介绍了企业信息安全体系建设的各个要素。既有高屋建瓴的体系化视角,也有贴近实战的技术细节,适合公司CIO、CTO、CISO、信息安全相关从业者阅读参考。
——沈明星
某公司资深安全专家
本书以企业安全建设为导向,以保护企业的资产和数据为目的,详细介绍了企业安全的各个方面,包括数据安全、网络安全、应用安全、访问控制等。马金龙(吗啡)是安全领域的专家,写作生动有趣,使读者可以轻松理解复杂的企业信息安全体系建设的知识。如果你是一位企业信息安全从业者,那么本书就是你的不二之选!
——郑歆炜(cnhawk)
国内知名安全专家
马金龙(吗啡)是我认识多年的好友,一直在互联网企业中负责网络安全工作,具备相当多的实战经验。在本书中,他不但谈到了网络安全领域比较新的概念和框架,同时结合实战深入浅出地讲解了如何建立完整的企业网络安全体系、如何确保长期运营,并为读者提供了很多实际的案例和技巧。我认为这本书是企业安全管理人员和技术人员的实用指南,能够帮助读者轻松掌握企业网络安全和信息安全的知识和技能,应对安全挑战,保护公司的信息资产。无论你是刚刚涉足这一领域的新手,还是已经成为行业专家的老手,如果希望了解企业网络安全和信息安全的更多知识和经验,那么本书就是非常好的选择。
——李钠
奇安信合伙人
各行各业的数字化转型都在快速推进,面临的数据安全和网络安全风险陡增,企业对信息安全工作的需求也越来越高。然而大部分企业信息安全从业人员是从安全攻防技术研究逐步积累经验并转型为企业安全从业者的,可系统性学习与参考的企业信息安全体系建设领域的图书比较少,尤其缺少关于实践落地经验的体系化的总结。本书内容覆盖面广并与实践紧密结合,相信企业信息安全从业者阅读本书将会有所收获。
——张园超(张欧)
网商银行首席信息安全官
龙哥是安全行业的资深从业者,也是我认识多年的老朋友。这本书是对龙哥多年安全从业经验的系统性总结,很多观点背后都有深入的思考和丰富的实践经验。所谓“有麝自来香,无须大风扬”,不需要我写更多的溢美之词,大家可以自行阅读体会。
——马传雷(Flyh4t)
《风控要略:互联网业务反欺诈之路》作者之一,支付宝资深安全专家
随着攻防实战化的普及和大众安全意识的提高,企业安全保护水平也需要不断提升。企业安全主题的热点和重心,包括安全运营,以及围绕信息安全体系建设的安全架构和组织架构变革,这是甲方安全的内生需求。此外,随着基础安全能力的不断完善,企业安全体系和架构的不足随之显现。正是在此大背景下,本书提供了有益的视角和参考。
——聂君(君哥)
《企业安全建设指南》作者,知其安有限公司CEO
“君哥的体历”公众号主理人
马金龙(吗啡)是互联网企业信息安全领域的“老兵”。伴随着企业内信息安全体系的一点一滴建设,他在不断完善自身企业的安全体系的同时,也积累了丰富的最佳实践和相应的方法论,进而孕育出了这本好书。
本书全面介绍了完整的企业信息安全体系的建设,适合对企业信息安全体系建设感兴趣的朋友们阅读。内容深入浅出,既包含理论框架,又有大量的实际案例,既适合零基础的爱好者入门学习,也适合有一定建设经验的企业信息安全从业者参考实践。
企业信息安全体系的建设是一个非常复杂的系统工程,既要有理论框架、法律法规做指导,又要有管理运营、制度意识做保障,还必须有技术能力作支撑。防护体系的正向建设,攻防风险的逆向建设缺一不可。很多时候还需要综合考虑效率、成本和历史积累的习惯。
风险是无穷无尽的,在某个层面上百分之百地解决风险,几乎是不可能的。因此,安全体系的建设必须是立体的、全链条的,在每一层能最大程度地降低风险,将上一层漏掉的风险点在下一层最大程度地进行防御,形成多层立体纵深的安全防御体系,防御住整条攻击链。
安全体系建设需要理论结合自身实际场景和实际业务,做到因地制宜,不能生搬乱套。本书介绍了很多具体的案例和实践可供参考,同时介绍了这些案例背后的方法论和洞察,非常适合相关行业的从业者参考学习。
——陈洋(cy07)
百度副总裁,百度安全总经理
马金龙(吗啡)是资深的安全从业者,有超过十五年的网络安全从业经验,目前在大型互联网企业负责信息安全工作。我和他也认识很多年,大家经常会在群里一起探讨企业信息安全体系建设的思路、经验和问题,他也经常会分享一些从业经验和个人心得,给人以新的启发。
得知他花了近一年时间结合个人实践把企业信息安全体系建设经验总结梳理出来了,洋洋洒洒十多章,不得不佩服他对安全的执着与热爱。
本书围绕安全基础、安全管理、安全技术和安全运营四个部分依次展开阐述,结合个人实践经验深入浅出地讲述了企业应该如何着手,既有理论指导又有实践经验,可以说是一本普适的信息安全体系建设指导手册,适合广大信息安全从业者反复阅读和思考。
本书在过去的信息安全理论上也有所创新。例如,我从刚刚参加工作时就听说过信息安全“三分技术、七分管理”的指导思想,但是本书能够不落窠臼,把安全运营提升到与安全管理、安全技术并重的地位,并花大量笔墨讲述安全运营工作,这是非常难得的。很多组织其实有非常全面的安全管理规章制度,也部署了各类安全技术产品,但还是发生了安全事故。以我多年的从业经验来看,原因很可能是重建设而轻运营。也就是说,很多企业的规章制度、安全产品都被束之高阁,并没有人真正去执行和使用。所以我认为,安全团队应当重视安全运营的作用,并通过安全运营不断地去完善和优化自身的安全体系。
同时,本书也介绍了近年来安全领域出现的一些新理念、新理论,如DevSecOps、零信任、XDR等,先让读者有所了解,有兴趣的读者可以再去延伸阅读。当然了,把这些知识点中每一个拿出来都可以再写一本书,也非常期待吗啡后续的作品能够深入解读!写书不易,佩服坚持的吗啡,也期待本书能够给读者带来一些新的启发。
——胡珀(lake2)
资深安全专家
我与马金龙(吗啡)认识很久,他有着多年在甲方企业从事信息安全体系建设的经验,常常在群里与群友讨论关于企业安全相关的话题,大家各抒己见,气氛十分热烈。
一直以来我认为的黑客精神就是善于独立思考、喜欢自由探索、热衷解决问题、克服种种限制,黑客精神从来就是一种崇尚自由、分享的精神,是一种匠心钻研的精神,还有就是一种坚守基本道德底线的精神。
随着信息安全技术的快速发展,信息安全行业得到了国家的重视,各个企业也加大了业务、产品、服务等方面的投入,也让坚守黑客精神的安全从业人员迎来了春天。但近年来不少新的安全概念,往往在企业内部难以落地,很多企业盲目地追求新产品、新技术,却忽视基础的重要性。不管是边界模糊,还是系统环境(云环境)改变,只有服务和运营精细化、可落地,才能帮助企业在干草堆里真正找到针。同理,提高效率、节约成本的产品才是最好的产品,才是企业真正需要的。
如同在互联网企业中,攻防趋势和互联网业务发展是对应的,安全一直是随着核心业务一起发展的。因为安全自身不创造价值,安全的价值必须和公司业务挂钩,并间接地得到体现。但通过建立信息安全为业务服务的安全体系,降低业务自身的安全威胁,大大减少了资损率和企业负面消息的曝光率,使得信息安全技术和业务风险管理并驾齐驱。也就是说,在卓越绩效企业的理念中,没有终止信息安全技术或启动业务风险管理的“节点”,它们应该是完全融合在一起的。
本书就非常全面地从安全基础、管理、技术、运营等维度,结合作者多年的实践经验,对企业信息安全体系建设进行了深入浅出的介绍,内容全面、翔实,推荐从事甲方信息安全管理和建设的从业者深入研读和参考。
安全从业人员应该持续学习来对抗内存攻防、架构变迁、业务演变等新威胁。比如甲方公司对安全的投入和感知取决于公司高层对安全的认知,如何利用事件(无论是安全事件还是监管事件)获取资源、资金、人员,如何了解业务,识别业务风险,让业务部门感受到安全的价值,这就是甲方安全人员需要掌握的向上管理能力。所以,如果你从事了安全行业,那么恭喜你,这将是一个很辛苦但又很有挑战的工作,是一个活到老学到老的工作,要保持一辈子的兴趣爱好和坚持。
作为安全从业人员,一定要有独立思考的能力、交流和分享的精神以及坚持道德底线的原则。
——张迅迪
国内知名安全组织“安全焦点”(xfocus)创始人
大多数企业的主要目的是盈利,但是企业在经营过程中也应该遵守相关的法律法规和行业规范,完成信息安全合规和整改等工作,如购买和部署防火墙、入侵检测系统、身份管理系统以及审计系统等设备或产品。企业需要投入人力、物力对这些设备或产品进行日常管理,还要设计安全策略对业务产品进行安全防护和事件响应。
同时,企业还面临着多种威胁,如近年来受多种因素影响,员工不得不居家办公,企业机密数据的安全性无法有效保证。“信息战”时代境内外有组织的黑客进行高级持续性威胁攻击,导致企业机密数据或用户个人敏感数据泄露。企业内外部用户有意或无意对信息或数据进行滥用、窃取或恶意利用,企业还可能因为个人信息或敏感数据泄露而被监管部门通报或处罚。持续的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击使企业业务系统或服务中断数小时或数天,信息系统服务器还有可能被植入木马、“挖矿”、勒索等病毒,或沦为网络“肉鸡”,成为攻击其他企业或个人的帮凶等,这些都会给企业带来直接或间接的经济损失或声誉影响等。
为了保护企业信息资产、客户隐私数据,让业务能够持续、稳定地运行,企业不得不考虑对策。面对内外部的各类安全威胁,企业应该遵从行业最佳实践,聘请专业的安全人员来面对并解决这些问题。被请来解决问题的安全人员,在帮助企业解决问题之前,应该知晓企业目前所面临的风险,利用自身的专业知识并结合业务特点,降低或规避相应的风险,使企业能够继续安稳运营。
因此,安全人员应该具有自主学习的能力,善于总结经验与教训,不断完善、充实自身知识体系,并学以致用;还应该尽职尽责,有强烈的使命感及责任心。使命感是指个人找到适合自己的,并可以展现自身价值的角色及人生舞台,也就是个人对所从事的工作要有舍我其谁的精神。责任心是指个人对自己、他人、企业、国家和社会有负责任的意识,以及与之相应的承担责任和履行义务的态度,也就是说个人对待本职工作要有认真负责的态度。
安全人员在工作过程中应该具备两个属性:应有的关注和应有的谨慎。应有的关注是指安全人员的工作态度及意识行为,如制定相应的安全策略,并采取合理的安全保护措施。而应有的谨慎是指安全人员对工作尽职尽责,如对制定的策略和措施进行验证和检查,做到查漏补缺等。
比如你第一天上班,是阴天,天气预报说有雨,但你没带伞,下雨了,你被雨淋湿了;第二天上班,又是阴天,天气预报又说有雨,你带了伞,又下雨了,你打开伞后发现伞坏了,你又被雨淋湿了;第三天上班,还是阴天,天气预报还说有雨,不过这次你不但带了伞,还检查了伞,并确认伞是好的,虽然还是下了雨,但你没被雨淋且安全地到达了公司。
从上面的故事可以看出:第一天,阴天不带伞,说明你主观上不在意,没有做到应有的关注;第二天,阴天带了伞,说明你主观上在意了,吸取了第一天的教训,但出门没检查伞是否可用,疏忽大意,没有做到应有的谨慎;而第三天你吸取了教训,不仅在主观上在意,还对伞进行了检查,做了应该做的所有工作,所以安全到达。
在工作中,每个人都扮演着不同的角色,而每一个角色都有其相应的使命与责任,强烈的责任心会给其他角色带来足够的安全感和信任感。作为安全人员,理应尽职尽责,遇到安全方面的问题当仁不让。这会给团队带来强烈的安全感,为今后业务拓展和监管合规提供强有力的支持,在安全领域成为团队成员心中坚实的后盾和信心来源。
曾子在《论语·学而》中有言——“吾日三省吾身:为人谋而不忠乎?与朋友交而不信乎?传不习乎?”
马金龙
2023年春
作为一名毕业20多年、从事安全行业超过15年的安全“小兵”,从没想过可以写书给读者看,能够有一部作品呈现给大家,笔者感到非常荣幸。
好友著书出版之后称:“不求声名远播,只想为信息安全事业留点东西,做些贡献。”笔者听后很受感动,萌生了写书的想法:如果能把自身所学的企业信息安全体系建设相关的知识、理论以及实践经验梳理出来,给那些对企业信息安全体系建设知识感兴趣的朋友或刚入行的新人提供些许帮助,这将是一件很好的事。因此,笔者在2021年5月开始动笔,虽然在写作过程中遇到了各种困难,也曾几度想放弃,但在多位朋友的鼓励和蓝星群[1]中大佬们的指导下,对书稿进行了无数次修改,终于在2022年3月完成了初稿。
[1] 蓝星群是由一群安全人员组成的,年龄跨度从“70后”到“90后”,由原腾讯安全应急响应中心(Tencent Security Response Center,TSRC)负责人马传雷在2016年建立,由腾讯、阿里巴巴、蚂蚁金服、华为、中国移动、京东、美团、小米、百度、快手、滴滴等互联网企业的主要安全负责人组成,群全称为“蓝星最强技术公益群”,简称蓝星群。
“道”,出自老子所著《道德经》中“道可道,非常道;名可名,非常名。无名天地之始;有名万物之母。故常无,欲以观其妙;常有,欲以观其徼。此两者同出而异名,同谓之玄,玄之又玄,众妙之门。”
在安全领域,对于安全人员而言,“道”就是安全体系建设的思想。读者在职业生涯中可能会接触到企业信息安全体系建设的方方面面,通过不断学习、沉淀与总结,持续完善自己的工作方式及方法,这也是一种“道”的修行。
本书通过4个部分来介绍笔者心中的“道”,也就是企业信息安全体系建设的相关知识。
第一部分“安全基础篇”,主要介绍安全人员应该知晓的相关基础内容,如信息安全的基本概念、攻击与防御、可信计算、信息安全体系等,以及其他理论知识。
第二部分“安全管理篇”,主要介绍安全人员在安全管理方面所使用的方法,如编写策略文件、明确安全需求、制定安全规划、实施人员管理等,以及安全管理方面的其他知识。
第三部分“安全技术篇”,主要介绍安全人员在安全技术方面所使用的安全产品、技术及设备的作用和功能,如防火墙、入侵检测、杀毒软件、终端管理工具、数据防泄露技术等,以及安全技术方面的其他知识。
第四部分“安全运营篇”,主要介绍安全人员在安全运营方面所使用的安全流程、方法和系统,如资产管理、配置管理、变更管理等,以及安全运营方面的知识。
在稿件完成之际,笔者有很多需要感谢的人,首先感谢前领导陈洋(cy07)以及当年的面试官孙磊(鬼仔)、孟卓(疯狗)破格录取笔者入职新浪集团,让笔者有幸在之后几年见证了新浪集团安全团队“梦之队”的建立;感谢王巍、邱春武、康宇3位现任领导,以及其他同事在工作中对笔者的信任、包容、理解和支持,使笔者和新浪集团安全团队可以持续发展。
其次,感谢尹玉飞、夏旻、卢佐华、胡安勇、陈驰、李滨、孙书强、周斌(Sinbad)、欧建军、陈世雄、徐鹏、黄泽君、郑路赛、周栋梁、黄子江、徐丹等众多学友在笔者多年前备考CISSP(Certification for Information System Security Professional,信息系统安全认证专业人员)时的陪伴和鼓励。
感谢老一辈安全人员,他们开拓进取的精神使整个行业得到了良性发展,让我们可以踩在巨人的肩膀上继续前行。感谢蓝星群的群友马传雷(Flyh4t)、王晖(Huiwang)、张迅迪(Xundi)、方斌(孤独雪狼)、王任飞(Avfisher)、高亮、顾孔希(鸡子)、秦波(大波哥)、周宇(oldjun)、王森(wilsonwang)、徐亮(Saiy)、凌云(linkboy)、钟武强(小五)、聂君(君哥)、杨蔚(301)、欧少虎(Tiger)、傅奎(二米)、李康(Rozer0)、王润辉(小胖胖)、马坤(cnfjhh)、王云翔(Instruder)、张维垚、荣文佳(Mystery)、王彬(酒精菜包)、张作裕(bk7477890)、王宇(xi4oyu)、曾毅(相守)、李学庆(Himan)、孙博(北北)、陈继安(齐迹)、何艺(乐平)、刘嵩(wooyaa)、陈洋(cy07)、石刘洋(易侠)、费亮(中毒)、方兴(flashsky)、张钧保(BAO)、孟阳(团长)、李劼杰(lijiejie)、牛纪雷(大牛)、高树鹏(小灰灰)、项显献(贤唐)、卢明樊(cloudbase)、沈俊、田伟(man8)、胡大磊、沈海涛(等待牛市)、赵弼政(职业欠钱)、沈明星、朱伟元(噎死的鱼)、陈曦(等灯等灯)、李钠(sbilly)、王哲(无敌大聪聪)、王伟(alert7)、李杰(popey)、庄剑锋(临之)、陈冬云、何淇丹(flanker)、卢彬良(lockhart)、梁超越(Charles)、汪利辉(老马)、张园超(张欧)、杨宁(鸟哥),与其他各群[2]的大佬杨勇(coolc)、韦韬(Lenx)、丁丽萍、金湘宇(NUKE)、王红阳(why)、薛锋、杨大路、张百川(网路游侠)、陈博(xiya)、金龙(Amxking)、樊山(教授)等在群中的日常沟通及指点,让笔者可以持续学习,逐步完善自身的安全知识体系。以上排名不分先后。
[2] 其他群包含但不限于以下社群:ISC2北京分会会员群、金融业企业安全建设实践群、网空安全新技术研究与情报共享群、中国电子学会电子数据取证专家委员群、行业安全大佬交流群、行业蓝军联盟(COS联盟)、FreeBuf咨询安全智库群等以及京安社等。
特别感谢胡珀(lake2)、郑歆炜(cnhawk)、林鹏(lion_00)、赵海锋(netxfly)、齐鲁(kevin1986)、雷平等朋友提出的宝贵建议及意见,他们为本书的完善提供了巨大的帮助,没有他们应该就不会有本书的出版。
感谢在笔者生命的不同时期给笔者带来不同体会的亲人和朋友,尤其是笔者的妻子,她使笔者不必操心家事,可以在空闲时间进行写作。
最后感谢在幕后默默付出的出版社工作人员,你们辛苦了。
希望读者读完本书,可以有一定的启发或收获。由于信息安全领域的知识太过纷繁,而笔者所学知识和写作水平又十分有限,书中难免存在不足之处,还请读者体谅。如有任何反馈或建议,欢迎读者联系笔者,联系方式如下。
公众号:itiscissp。
电子邮箱:majl8131@gmail.com。
马金龙
于2023年春
本书提供如下资源:
● 书中彩图文件;
● 本书思维导图;
● 异步社区7天VIP会员。
要获得以上资源,您可以扫描下方二维码,根据指引领取。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区(https://www.epubit.com/),按书名搜索,进入本书页面,点击“发表勘误”,输入勘误信息,点击“提交勘误”按钮即可(见下图)。本书的作者和编辑会对您提交的勘误进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们。
如果您所在的学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”(www.epubit.com)是由人民邮电出版社创办的IT专业图书社区,于2015年8月上线运营,致力于优质内容的出版和分享,为读者提供高品质的学习内容,为作译者提供专业的出版服务,实现作者与读者在线交流互动,以及传统出版与数字出版的融合发展。
“异步图书”是异步社区策划出版的精品IT图书的品牌,依托于人民邮电出版社在计算机图书领域30余年的发展与积淀。异步图书面向IT行业以及各行业使用IT技术的用户。
没有网络安全就没有国家安全。[1]技术不断发展和创新,给人们的生活带来极大的便利。与此同时,黑客攻击、数据窃取、内容篡改等对安全的威胁,也从企业逐步扩大到了整个社会,它们甚至威胁到了国家安全、社会稳定和公众利益,使企业安全环境日益复杂。
[1] 出自2018年4月,习近平在全国网络安全和信息化工作会议上的讲话。
安全是什么?很多人都会有自己的看法,在本书中“安全”(Security)是指受保护的目标没有遇到危险、没有受到威胁、没有出现事故,它可以是一种状态,也可以是一种过程,还可以是一种结果。
从安全概念的发展来说,最开始提出的网络安全(Network Security),主要是指通过采取必要的措施来保障信息在网络传输过程中避免受到攻击,保证相应的网络通畅(可用性),侧重于网络通信的持续保护;之后的信息安全(Information Security),将以前的网络安全扩展到更多的领域,保证在信息的收集、处理、存储、分析、传递等过程中的安全特性(可用性、完整性、保密性),在技术方面以及管理方面采取必要的措施,实现对业务的持续防护;而数据安全(Data Security)是信息安全中重要的分支部分,侧重于通过采取必要措施,确保数据在处理过程(收集、存储、使用、传输、共享、销毁)中始终处于有效保护的状态;最后是网络空间安全(Cyberspace Security),同时也是监管机构所说的“网络安全”,它是信息安全的分支,更关注于使用有效的手段保障网络空间边界(企业或国家)内的人员、软硬件、信息系统以及运行数据。
根据国际标准化组织(International Organization for Standardization,ISO)的定义,信息安全是指为数据处理系统建立和采用的技术、管理方面的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
简单来说,信息安全就是将信息系统相关的硬件、软件及系统中的信息保护起来,实现信息的保密性、完整性及可用性,使其不受有意或无意的破坏、更改、泄露,确保信息服务持续可靠且不中断地运行。
CIA是指信息安全三要素(见图1-1),即信息资产的3个重要属性:保密性、完整性以及可用性。CIA来源于单词Confidentiality、Integrity和Availability的第一个字母,几乎所有的安全防护策略都是围绕着这3个属性而设计和实施的。
图1-1 信息安全三要素
信息安全三要素以及相应的安全措施如下。
● 保密性(Confidentiality)是指确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。
实现保密性的安全措施有密码技术、加密算法、数据加密、加密传输[通过 IPsec(Internet Protocol Security,互联网络层安全协议)、SSL(Secure Socket Layer,安全套接字层)、SSH(Secure Shell,安全外壳)等协议实现]、访问控制(含物理和技术的)、安全意识培训等。
● 完整性(Integrity)是指确保信息在存储、使用、传输等过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持内部和外部的信息一致性。
实现完整性的安全措施有哈希函数(数据完整性)、配置管理(系统完整性)、变更控制(进程完整性)、访问控制(含物理和技术的)、数字证书、电子签名等。
● 可用性(Availability)是指确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
实现可用性的安全措施有独立磁盘冗余阵列、服务群集、负载均衡、冗余数据/硬件/软件、数据备份、异地多活、备份恢复、灾难恢复等。
企业对资产采取合适的安全控制措施,才能确保资产的保密性、完整性、可用性,确保不会因人为和自然因素的危害,导致网络中断、信息泄露或破坏。
在制定安全措施前,我们先了解信息安全的基本概念。
● 资产(Asset)是指企业拥有的能够体现价值的资源,包括人、设备、数据、信息系统以及知识产权等。
● 脆弱性(Vulnerability)是指信息系统、软件、硬件及其使用过程中存在的可能会被威胁利用的薄弱环节或者人为缺陷,也可以称为漏洞。
● 威胁(Threat)是指识别到特定脆弱性并利用其来危害企业或个人,利用脆弱性的主体称为威胁主体,如黑客、渗透测试人员等。
● 风险(Risk)是指威胁主体利用脆弱性造成业务影响的可能性。
● 暴露(Exposure)是指威胁主体造成的资产损失的实例,如黑客入侵导致数据泄露的安全事件。
● 对策(Countermeasure)是指能够缓解潜在的风险的手段,可以是软件配置、部署硬件设备或者安全控制措施,也可以称为防护措施(Safeguard)。
信息安全的基本概念之间的关系,如图1-2所示。
攻击者利用漏洞(脆弱性)可能会导致安全风险的出现,会破坏资产的保密性、完整性或可用性,从而导致安全事件的发生(暴露)。有效的防护措施(对策)则可以降低攻击者攻击的可能性,减少系统的漏洞,从而预防安全事件的发生,保护企业资产。
图1-2 信息安全的基本概念之间的关系
例如某个企业被黑客攻击导致用户数据泄露的事件,事后经安全部门溯源检查发现,这是因为一些Windows服务器的系统更新是关闭的且从未更新过“补丁”。
在这个事件中,未更新补丁的服务器就是脆弱性,黑客就是威胁主体,黑客利用未更新补丁的服务器,导致了数据损失的可能,这就是风险。而发生了数据泄露事件,造成的企业的经济与名誉损失,这就是暴露。
倘若在安全事件发生之前,安全部门在日常安全扫描工作中发现了问题,督促相应责任人进行补丁更新,就可以大大降低攻击的风险,从而避免黑客攻击事件的发生。这就是减少安全事件的常见对策之一。
安全控制措施就是用来缓解潜在安全风险的手段,通常分为行政控制、技术控制以及物理控制三种。
第一种是行政控制(Administrative Control),指通过行政手段完成的措施,如安全策略文件、风险管理、人员安全培训等。
第二种是技术控制(Technical Control),指通过技术手段完成的措施,由软件或硬件组成,如防火墙、入侵检测系统、加密、身份识别和身份验证机制等。
第三种是物理控制(Physical Control),指通过设计物理防护来保护设备、人员和资源的措施,如安保人员、门禁、监控设备等。
而实现不同类型的安全控制措施有以下几种手段。
● 威慑手段是指威慑潜在的攻击者的安全措施,如在办公场所入口处部署摄像设备,用来威慑物理入侵者。
● 预防手段是指避免意外事件发生的安全措施,如为操作系统安装杀毒软件,防止系统被恶意程序破坏。
● 纠正手段是指意外事件发生后的修复安全措施,如在处理入侵事件后,由于其根本原因是系统未更新补丁,则将所有系统都更新到最新版。
● 恢复手段是指意外事件发生后使环境恢复到正常的操作状态的安全措施,如发生入侵事件后,出现现有数据被破坏的情况,使用备份数据恢复系统,使之恢复到入侵前的状态。
● 检测手段是指安全事件发生时识别其行为的安全措施,如部署基于网络的入侵检测系统(Network based Intrusion Detection System,NIDS)或基于主机的入侵检测系统(Host based Intrusion Detection System,HIDS),在黑客入侵的过程中,通过网络及系统行为及时发现异常。
● 补偿手段是指像原来的控制措施那样的弥补措施,如某些系统由于特定原因无法更新,可将边界防御、ACL(Access Control List,访问控制列表)等策略作为弥补措施。
预防性手段的各类型控制措施的应用如表1-1所示。
表1-1 预防性手段的各类型控制措施的应用
| 控制措施 |
具体应用 |
|---|---|
| 行政控制 |
安全制度及安全流程、入职前背景调查、安全意识培训等 |
| 技术控制 |
密码、生物识别技术、安全协议、防火墙、入侵检测系统等 |
| 物理控制 |
门禁卡、保安、闸机等 |
安全人员通常会将企业内的各种控制措施(如行政的、物理的、技术的)及实现手段(威慑手段、预防手段、纠正手段、恢复手段、检测手段、补偿手段等)分门别类地展示出来,以便设计合适的安全策略,并正确运用相应的控制措施。
“未知攻,焉知防。”攻击与防御始终是信息安全领域的核心内容,如同太极中的阴阳二仪一般,对立而统一。
李小龙先生武学思想中截拳道的宗旨是“以无法为有法,以无限为有限。”截拳道的中心思想是截断对手攻击,强调不拘于形式。截拳道是融合世界各国拳术,以咏春拳、拳击作为基础,以中国道家思想为核心而创立的实战格斗体系。
企业构建安全防护体系也应如同截拳道一般,为了更好地保护资产,不仅要了解攻防之术,还应融合监管要求、行业标准以及业界最佳实践,结合企业自身业务特点,持续完善企业的信息安全体系框架及相应模块,设计和实施适当的安全防护措施,提升企业安全防护能力,从而威慑并阻击黑客攻击,确保业务持续运行。
黑客攻击(Hacker Attack)是指攻击者有目的地针对企业信息系统、数据、基础设施、网络、主机或者使用这些设备及服务的人发生的任何类型的攻击方式,如扫描、嗅探、网络钓鱼、社会工程学等。
企业所面临的威胁来自很多方面,主要分为自然威胁和人为威胁。
● 自然威胁,指威胁主体来自各种自然灾害、物理环境、电磁干扰、设备的自然老化等,这些威胁是无目的性的,但会对网络及系统造成损害。
● 人为威胁,指威胁主体来自外部黑客或怀有恶意的内部用户,对网络及信息系统发起攻击,寻找系统的弱点,以非授权方式达到破坏、篡改和窃取数据及信息等目的。
黑客攻击按类型又可分为主动攻击和被动攻击。
● 主动攻击,指攻击者在攻击过程中会导致某些数据及信息的篡改和虚假数据流的产生。
● 被动攻击,指攻击者在攻击过程中不会对数据及信息做任何修改。例如,截获/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。
值得关注的是,由于被动攻击不会对被攻击的数据及信息做任何修改,留下的痕迹和信息有限,很难被检测,不容易被发现,因此被动攻击往往成为主动攻击的前奏。
黑客攻击简略过程,如图1-3所示。
图1-3 黑客攻击简略过程
黑客攻击过程按时间顺序可以分为攻击前、攻击中与攻击后3个阶段。
在攻击前,攻击者将收集信息,如获得企业服务的域名及IP地址段、获得网络拓扑及操作系统信息、获得开放的端口和服务、获得应用系统情况,以及漏洞分布等信息。
在攻击中,攻击者会隐藏自身来源,通过漏洞,获得系统权限,通过工具进行权限提升,再进行横向及纵向渗透,得到想到的资源等。如通过“洋葱网络”隐藏来源,利用漏洞获取远程权限,提升权限,并对同网及相关联服务器进一步渗透,获取更多的资源或数据。
在攻击后,攻击者通常会清除入侵痕迹并进行权限持久化,通过伪造系统日志干扰调查取证,对系统进行安全加固造成系统安全的假象等,典型的操作例如删除系统日志、填充垃圾日志、修补明显的漏洞、替换系统文件、植入木马后门等。
而在国与国之间的网络信息攻防对抗中,无论是在对抗前准备时还是在对抗开始后都会使用相应的黑客攻击行为,包括使用DDoS攻击、网络钓鱼、漏洞利用、供应链攻击等攻击方式,针对敌国政府网站,可以利用如CMS漏洞、Log4j代码执行漏洞等流行漏洞进行入侵;使用虚拟蜜罐(简称蜜罐),针对敌国黑客构建虚假网站,在获取账号、密码后再向重要机构投放网络钓鱼攻击邮件、恶意软件,实施大范围渗透入侵,攻击方式多种多样,层出不穷。
目前比较常见的黑客攻击方式如下。
● 字典攻击(Dictionary Attack)是指黑客在破解密码或密钥时,逐一尝试用户自定义字典中的可能密码(单词或短语)的攻击方式。
● 暴力破解(Brute Force)是指黑客通过利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式。通常与字典攻击配合使用。
● 特洛伊木马(Trojan Horse,简称木马)是指黑客开发的一种非授权的远程控制程序,能够在计算机管理员未发觉的情况下开放系统权限、泄露用户信息,甚至窃取整个计算机管理使用权限的攻击方式。
● 网络嗅探(Network Sniffer)是指黑客通过嗅探程序获取并分析网络上流经的数据包,从而获取其中的敏感信息的攻击方式。
● 中间人攻击(Man-in-the-middle Attack)是指黑客通过各种技术手段做一个转发器并将其放置在网络或者业务服务中两台通信设备之间,拦截正常的网络通信数据,并进行数据篡改和信息窃取的攻击方式。
● 网络扫描(Network Scanning)是指黑客在互联网上对企业资产进行扫描,从而收集企业相应信息,如域名及IP地址分布、网络拓扑、系统版本、开放的端口和服务,获得应用系统情况以及用漏洞利用程序对可能存在的资产进行利用的方式。
● 零日攻击(Zero-day Attack)是指黑客利用已经被发现(有可能未被公开)而官方还没有更新相关补丁的漏洞进行攻击的方式。
● Web攻击(Web Attack)是指黑客利用Web服务的漏洞获取用户及系统权限或敏感信息的攻击方式,如SQL(Structure Query Language,结构查询语言)注入、XSS(Cross Site Script Attack,跨站脚本攻击)、CSRF(Cross Site Request Forgery,跨站请求伪造)、文件上传、目录遍历等。
● 社会工程学(Social Engineering)是指黑客通过人性的弱点以人际沟通、交流的方式获得信息的非技术渗透攻击方式,这种攻击方式非常有效,成本低,收益大。
● 网络钓鱼(Phishing)攻击是指黑客引诱用户点击黑客构建好的图片、文件、链接或应用,用户点击后,可能会造成系统被控、敏感信息泄露等。通常配合社会工程学攻击方式使用。
● 鱼叉式网络钓鱼(Spear Phishing)攻击是指黑客只针对特定目标进行攻击的网络钓鱼攻击。鱼叉式网络钓鱼攻击锁定之对象并非一般个人,而是特定企业、组织之成员,所窃取的数据更不是一般的资料,而是高度敏感的资料,如知识产权及商业机密等。
● 水坑(Watering Hole)攻击是指黑客在受害者“必经之路”设置了一个水坑(陷阱),较常见的做法是,黑客分析攻击目标的网络活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会中招。
● 软件供应链攻击(Software Supply Chain Attack)是指黑客将已篡改或被植入木马的源代码、组件或应用程序提供给用户使用,从而实现侵入用户系统获取信息的手段。像开源代码库、未授权的第三方软件或补丁下载站点、云服务、共享资源、破解的盗版软件等,都可能存在软件供应链攻击。
● 勒索病毒(Ransomware)是指黑客利用系统漏洞或通过网络钓鱼等方式,将病毒程序植入加密硬盘上的关键文件乃至整个硬盘,然后向企业索要数额不等的赎金后才予以解密的攻击方式。
● 高级持续性威胁(Advanced Persistent Threat,APT)是指黑客以窃取企业商业机密为目的,利用多种攻击手段向客户发动网络攻击的行为,APT往往经过长期的策划,并具备高度的隐蔽性。
● 分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是指黑客利用僵尸网络使处于不同位置的多个攻击源同时向一个或数个目标发动攻击,致使业务无法继续提供服务的攻击方式。
黑客利用多种多样的攻击方式绕过企业的安全防护手段,非法获取系统权限、盗取企业机密数据以及个人敏感信息,给企业带来直接或间接的经济损失。只有分析和研究黑客的攻击方式和采用的技术,设计并开发相应的安全防御策略,才可能阻止或缓解黑客攻击行为。
为了更好地防御黑客攻击,保障企业业务及产品的安全,安全组织应该全面识别安全威胁和攻击方法,将各类安全控制措施及相应技术手段相结合,设计并实施有效的安全防御策略。
防御策略的设计绝大多数遵循层级纵深防御原则,也就是通过设置多层重叠的安全防护策略而构成多道防线,保证企业数据资产均置于重重保护措施之下,即使有一种措施失效,也将由其他适当的措施补偿或纠正。
企业通常会执行以下防御策略。
● 划分网络安全域,并做好域间访问控制策略。
● 做好网络及系统的安全监控。
● 定期对企业内外网络进行安全扫描。
● 将安全开发生命周期(Security Development Lifecycle,SDL)作为全企业的计划和强制安全策略。
● 使用高强度的密码,并定期更换。
● 内部信息系统用户认证应使用双因素或多因素认证。
● 及时了解系统漏洞状态,及时更新补丁。
● 部署企业杀毒软件,防止病毒、木马蔓延。
● 做好数据备份,保证数据可用性。
● 接入安全高防服务,防止DDoS攻击。
● 积极开展员工安全意识培训,增强员工安全意识。
安全组织在制定安全策略前,应明确安全保护目标以及与之关联的产品和组件,设计相应的安全保护措施,对各类安全威胁进行全面的识别和分析,从而制定多层次、多方面、有针对性的安全策略及措施,利用多种安全控制措施及手段实现层级纵深防御机制,为企业提供全面的防御,为业务发展保驾护航。
希望读者通过本章能够掌握安全相关的基础知识,如信息安全三要素、信息安全的基本概念以及它们之间的关系、安全控制措施、实现措施的手段以及攻击与防御等信息安全基础知识。
