互聯網企業安全高級指南導讀

責任編輯：吳　怡責任校對：董紀麗

印　　刷：版　　次：2016年8月第1版第1次印刷

開　　本：186mm×240mm　1/16 印　　張：19.25

書　　號：ISBN 978-7-111-54301-5 定　　價：69.00元

客服熱線：（010）88379426　88361066 投稿熱線：（010）88379604

購書熱線：（010）68326294　88379649　68995259 讀者信箱：hzit@hzbook.com

大部分IT管理者思想上很重視安全，但是缺少安全管理理念和執行，因為大家都沒有一個正確的安全觀，或者說安全體係概念，不知道怎麼去落地執行。本書作者趙彥在甲方和乙方都待過，他的眼界是可以覆蓋到更多的安全層麵，這本書很好地從多個視角闡述了安全體係的架構，並且已經給出了執行步驟，希望對你的企業有用。

甲方安全工作知不易，行更難，本書結合多位業界頂尖安全專家的經驗從管理和技術維度全麵深入剖析了甲方安全的場景；是企業安全相關從業人員的通關秘籍。

很高興看到趙彥等同學的大作問世，本書沒有高深的理論知識，沒有高大上的概念，全部內容來自十幾年的實戰經驗和思考總結，相信可以給在互聯網企業從事安全相關工作的同學提供全麵、係統、接地氣的指導和幫助。

大型互聯網企業的在線業務在觸達了全網用戶的同時也給所有攻擊者暴露了攻擊麵，且攻擊者又擁有近乎海量的資產，量變引起質變，企業的安全防護問題早已不僅僅是技術問題，更多的是工程和管理問題。如何做好這裏的工作，是令人頭疼的事情。更為遺憾的是，目前市麵上的信息安全類書籍要麼是講具體某類安全技術，要麼就是放之四海而皆準卻又無法落地的理論指導，很少有理論結合企業實際工作情況的探討，這本書的出版彌補了這個遺憾。本書作者趙彥是安全圈老前輩，在甲方乙方都工作過，有豐富的經驗；江虎過去有五年時間是我的同事，為騰訊的安全體係建設做出了重要貢獻。本書從理論、技術、實踐三個部分入手，基本涵蓋了互聯網企業安全的方方麵麵，是企業安全人員的案頭必備參考書籍。強力推薦。

一直在互聯網公司從事互聯網安全攻防的工作，在這個過程中也一直嚐試尋找一些相對穩定的答案。本書的價值不僅在於手把手告訴你網絡安全怎麼做，業務安全怎麼做，係統攻防怎麼做，雖然書中在這方麵也有足夠精到的論述，它的價值更在於讓你深處一個紛繁複雜、日新月異的互聯網大環境中，從外部到內部、從宏觀到微觀多重視角去思考你所服務企業的信息安全的方方麵麵，讓你理解你的企業當前處於什麼樣的安全位置，並運用恰當的方法論、安全管理手段和安全技術，找到屬於你服務企業的答案。這本書是我見過的國內第一本係統化剖析整個互聯網企業安全的書籍，如果早幾年出現這樣的書籍，一定可以讓我少走幾年彎路，期待這本書能夠讓更多的安全同行早日找到屬於自己的答案。

本書是少見的橫貫信息安全“南”“北”之作，並且十分難得地分享了互聯網公司安全實踐的經驗，不論是從事“傳統安全”還是“互聯網安全”，均值得一讀。同時，本書包括的內容也相當豐富、全麵，涵蓋了從組織建立、建設方法論、原則直至具體實踐，不論是希望加入信息安全行業的愛好者還是行業老兵，都可以從中得到啟發。

當今世界的技術發展日新月異，安全工作的複雜性急劇增高，網絡與信息安全事故層出不窮，若不能有效應對會給各行各業和廣大用戶帶來極大風險。非常幸運我所工作的公司都對安全非常重視，擁有業界的一批安全精英，華為公司的安全專家趙彥就是其中的出眾代表，他不僅具有堅實的攻防基礎和安全戰略思維，還能夠洞察傳統安全與互聯網安全的差異，對部門、公司、行業的安全發展提出有高度價值的建議。本書內容來源於實踐，經過了深入的分析和提煉，升華成為有益的指導和參考，相信不論是CSO還是剛入行的從業者，不論是安全專業人員還是想了解安全的業務人員，都會從本書中獲益良多。

終於看到一本真正意義上企業安全方麵的書籍，作者兼顧廣博與精深的專業功底，橫跨甲乙方、傳統安全與互聯網安全的多個行業領域的視角與知識層次，相信每一位讀者都會有所收獲。從攻防以外的視角，體係化地介紹安全，對企業安全的負責人、從業者以及乙方機構谘詢與技術人員都有很好的實用指南作用。

很高興在這個時間看到這樣一本書的麵世，在試讀樣章時，產生了很多的共鳴。企業做安全很難，尤其是在以開放和不斷變化著稱的互聯網領域尤甚。業務形態的差異決定了各個企業的安全目標不盡相同。“方向錯了,前進便是倒退”。企業安全的不同階段如何合理地設定目標，選擇切實可行的方案，以及如何在有限的時間、人力和資源下前行，是安全管理者們必須麵對的問題。安全建設必然伴隨著不斷的取舍、權衡，乃至博弈。希望閱讀此書後能讓每個安全人員在大到安全規劃、策略製定，小到每個安全漏洞修補、策略上線，乃至安全事件的應急追查中，都能認清自己所做事情在企業安全藍圖中的位置，而不是為了做事而做事，更好地“搞定”事情。

相比技術篇，本書的理論篇更加精彩。互聯網安全從業者最大的挑戰並非技術，而是如何建立正確的行業格局觀，並且能夠與業務團隊、安全團隊管理層、公司管理層建立良好的溝通機製，取得信任和支持。本書的幾位作者在互聯網行業有著豐富的安全管理和從業經驗，強烈推薦有誌於從事互聯網安全行業的朋友閱讀。

當今的互聯網對企業安全老大的需求遠遠大過供給。不客氣的說，現在很多互聯網的安全負責人都是被趕鴨子上架，在工作中摸索學習做CSO的。有些聰明的、注重學習的人，到崗後能逐步建成一隻有一定實力並且能逐步成長的團隊。另外一些就利用CTO不懂安全，靠一張嘴皮子欺上瞞下，拉了一票自己人搞辦公室政治。而真正有實戰經驗、有創新力、能係統性地寫這樣一本書的極少數人，大都正忙於建設自己企業的安全團隊或者在創業路上，沒有時間或者沒有動力寫。本人曾經有幸在美國做過互聯網企業的甲方和乙方，並且在三個中國互聯網企業分別從頭建設了三隻安全團隊。雖然我也動過這個心思寫本書總結一下經驗教訓以及中間的有趣的人和事，但也是打算退休以後才做。另外我從市場的角度考慮，真正關心這個問題的人少的可憐，寫完了我估計想看的人也不會多，可能最終就是個自娛自樂罷了。趙彥是這個極少數的人群中的一個極少數派，居然現在就有時間有興趣寫出這樣一本書出來。當然，每個企業不同，每個CSO的思想方法不同，這本書裏的有些方法或者說法CSO們並不見得會完全讚同，但是這本書給CTO或者準備當CSO的人提供了一個比較完整的視角，把CSO具體都應該解決什麼問題講清楚了，而不是以前籠統的一句“反正安全出了事就都是他負責”。除了介紹問題以外，本書也介紹了一些係統方法幫助新上任的CSO整理一下總體思路。總之，這是一本當下業界急缺的書。

此書凝結了趙彥對互聯網企業安全體係建設的思考和經驗提煉，覆蓋了管理和解決方案，在宏觀麵闡述了自己的理解和安全觀，對安全領域從業者是一份很好的參考資料。

幹貨！是落地實踐還是紙上談兵，是美女還是野獸，作者抽絲剝繭、層層展開，分享了他們在互聯網企業安全領域中豐富的實戰心得，甲方和乙方都非常值得閱讀參考。