互联网企业安全高级指南导读

责任编辑：吴　怡责任校对：董纪丽

印　　刷：版　　次：2016年8月第1版第1次印刷

开　　本：186mm×240mm　1/16 印　　张：19.25

书　　号：ISBN 978-7-111-54301-5 定　　价：69.00元

客服热线：（010）88379426　88361066 投稿热线：（010）88379604

购书热线：（010）68326294　88379649　68995259 读者信箱：hzit@hzbook.com

大部分IT管理者思想上很重视安全，但是缺少安全管理理念和执行，因为大家都没有一个正确的安全观，或者说安全体系概念，不知道怎么去落地执行。本书作者赵彦在甲方和乙方都待过，他的眼界是可以覆盖到更多的安全层面，这本书很好地从多个视角阐述了安全体系的架构，并且已经给出了执行步骤，希望对你的企业有用。

甲方安全工作知不易，行更难，本书结合多位业界顶尖安全专家的经验从管理和技术维度全面深入剖析了甲方安全的场景；是企业安全相关从业人员的通关秘籍。

很高兴看到赵彦等同学的大作问世，本书没有高深的理论知识，没有高大上的概念，全部内容来自十几年的实战经验和思考总结，相信可以给在互联网企业从事安全相关工作的同学提供全面、系统、接地气的指导和帮助。

大型互联网企业的在线业务在触达了全网用户的同时也给所有攻击者暴露了攻击面，且攻击者又拥有近乎海量的资产，量变引起质变，企业的安全防护问题早已不仅仅是技术问题，更多的是工程和管理问题。如何做好这里的工作，是令人头疼的事情。更为遗憾的是，目前市面上的信息安全类书籍要么是讲具体某类安全技术，要么就是放之四海而皆准却又无法落地的理论指导，很少有理论结合企业实际工作情况的探讨，这本书的出版弥补了这个遗憾。本书作者赵彦是安全圈老前辈，在甲方乙方都工作过，有丰富的经验；江虎过去有五年时间是我的同事，为腾讯的安全体系建设做出了重要贡献。本书从理论、技术、实践三个部分入手，基本涵盖了互联网企业安全的方方面面，是企业安全人员的案头必备参考书籍。强力推荐。

一直在互联网公司从事互联网安全攻防的工作，在这个过程中也一直尝试寻找一些相对稳定的答案。本书的价值不仅在于手把手告诉你网络安全怎么做，业务安全怎么做，系统攻防怎么做，虽然书中在这方面也有足够精到的论述，它的价值更在于让你深处一个纷繁复杂、日新月异的互联网大环境中，从外部到内部、从宏观到微观多重视角去思考你所服务企业的信息安全的方方面面，让你理解你的企业当前处于什么样的安全位置，并运用恰当的方法论、安全管理手段和安全技术，找到属于你服务企业的答案。这本书是我见过的国内第一本系统化剖析整个互联网企业安全的书籍，如果早几年出现这样的书籍，一定可以让我少走几年弯路，期待这本书能够让更多的安全同行早日找到属于自己的答案。

本书是少见的横贯信息安全“南”“北”之作，并且十分难得地分享了互联网公司安全实践的经验，不论是从事“传统安全”还是“互联网安全”，均值得一读。同时，本书包括的内容也相当丰富、全面，涵盖了从组织建立、建设方法论、原则直至具体实践，不论是希望加入信息安全行业的爱好者还是行业老兵，都可以从中得到启发。

当今世界的技术发展日新月异，安全工作的复杂性急剧增高，网络与信息安全事故层出不穷，若不能有效应对会给各行各业和广大用户带来极大风险。非常幸运我所工作的公司都对安全非常重视，拥有业界的一批安全精英，华为公司的安全专家赵彦就是其中的出众代表，他不仅具有坚实的攻防基础和安全战略思维，还能够洞察传统安全与互联网安全的差异，对部门、公司、行业的安全发展提出有高度价值的建议。本书内容来源于实践，经过了深入的分析和提炼，升华成为有益的指导和参考，相信不论是CSO还是刚入行的从业者，不论是安全专业人员还是想了解安全的业务人员，都会从本书中获益良多。

终于看到一本真正意义上企业安全方面的书籍，作者兼顾广博与精深的专业功底，横跨甲乙方、传统安全与互联网安全的多个行业领域的视角与知识层次，相信每一位读者都会有所收获。从攻防以外的视角，体系化地介绍安全，对企业安全的负责人、从业者以及乙方机构咨询与技术人员都有很好的实用指南作用。

很高兴在这个时间看到这样一本书的面世，在试读样章时，产生了很多的共鸣。企业做安全很难，尤其是在以开放和不断变化着称的互联网领域尤甚。业务形态的差异决定了各个企业的安全目标不尽相同。“方向错了,前进便是倒退”。企业安全的不同阶段如何合理地设定目标，选择切实可行的方案，以及如何在有限的时间、人力和资源下前行，是安全管理者们必须面对的问题。安全建设必然伴随着不断的取舍、权衡，乃至博弈。希望阅读此书后能让每个安全人员在大到安全规划、策略制定，小到每个安全漏洞修补、策略上线，乃至安全事件的应急追查中，都能认清自己所做事情在企业安全蓝图中的位置，而不是为了做事而做事，更好地“搞定”事情。

相比技术篇，本书的理论篇更加精彩。互联网安全从业者最大的挑战并非技术，而是如何建立正确的行业格局观，并且能够与业务团队、安全团队管理层、公司管理层建立良好的沟通机制，取得信任和支持。本书的几位作者在互联网行业有着丰富的安全管理和从业经验，强烈推荐有志于从事互联网安全行业的朋友阅读。

当今的互联网对企业安全老大的需求远远大过供给。不客气的说，现在很多互联网的安全负责人都是被赶鸭子上架，在工作中摸索学习做CSO的。有些聪明的、注重学习的人，到岗后能逐步建成一只有一定实力并且能逐步成长的团队。另外一些就利用CTO不懂安全，靠一张嘴皮子欺上瞒下，拉了一票自己人搞办公室政治。而真正有实战经验、有创新力、能系统性地写这样一本书的极少数人，大都正忙于建设自己企业的安全团队或者在创业路上，没有时间或者没有动力写。本人曾经有幸在美国做过互联网企业的甲方和乙方，并且在三个中国互联网企业分别从头建设了三只安全团队。虽然我也动过这个心思写本书总结一下经验教训以及中间的有趣的人和事，但也是打算退休以后才做。另外我从市场的角度考虑，真正关心这个问题的人少的可怜，写完了我估计想看的人也不会多，可能最终就是个自娱自乐罢了。赵彦是这个极少数的人群中的一个极少数派，居然现在就有时间有兴趣写出这样一本书出来。当然，每个企业不同，每个CSO的思想方法不同，这本书里的有些方法或者说法CSO们并不见得会完全赞同，但是这本书给CTO或者准备当CSO的人提供了一个比较完整的视角，把CSO具体都应该解决什么问题讲清楚了，而不是以前笼统的一句“反正安全出了事就都是他负责”。除了介绍问题以外，本书也介绍了一些系统方法帮助新上任的CSO整理一下总体思路。总之，这是一本当下业界急缺的书。

此书凝结了赵彦对互联网企业安全体系建设的思考和经验提炼，覆盖了管理和解决方案，在宏观面阐述了自己的理解和安全观，对安全领域从业者是一份很好的参考资料。

干货！是落地实践还是纸上谈兵，是美女还是野兽，作者抽丝剥茧、层层展开，分享了他们在互联网企业安全领域中丰富的实战心得，甲方和乙方都非常值得阅读参考。