前言
在互联网时代,越来越多的企业将信息系统开放到互联网,为用户或客户提供服务,在提供便利的同时,也面临着来自互联网的各种安全威胁。此外,随着一系列安全法律法规的发布和实施,国家和相关行业监管机构对企业信息安全的要求也越来越高,企业迫切需要建设和完善信息安全体系,以应对来自内部和外部的安全挑战。
企业在信息安全体系建设中,往往都会投入不少资金和人力,但最终的效果往往不尽如人意,这给企业管理者和安全管理员带来了很大的困扰。究其原因,企业信息安全体系建设固然需要管理层支持、资金投入和人员投入,但更需要有效的安全规划和落地方案。
笔者有十多年信息安全从业经验,曾任职于国内知名网络安全厂商,为数十家企业和各类单位提供安全咨询和专业服务,熟悉企业的安全需求和痛点,在实践中发现,虽然厂商可以为企业提供专业的产品和服务,但如果缺少有效的运营,往往很难发挥应有的作用;之后笔者专注于企业安全体系建设并担任企业安全负责人,经历了数次从 0 到 1 的企业安全体系建设过程,负责企业安全体系和架构设计、安全自动化系统开发和业务安全风险防控,在不断“踩坑”的经历中积累了很多企业安全体系建设经验。在实践中,借助专业安全厂商的产品和服务、企业安全团队的有效运营和安全系统开发建设,将企业安全体系有效落地,并取得了一定的成效。
笔者希望将这些经验和知识分享出来,帮助广大企业安全人员更好地开展信息安全体系建设。本书重点关注中小企业安全建设,提供通用的企业安全体系从 0 到 1 搭建指南,聚焦安全体系如何落地,从安全体系规划、方案设计、产品选型、产品开发、部署实施、日常运维等维度详细阐释,内容覆盖办公安全、IDC安全、产品安全、数据安全、安全管理、安全自动化系统开发和业务安全体系建设,基本满足大多数中小企业的安全建设需求。本书的内容包括以下3 个部分。
第 1 章到第 6 章为“企业基础安全设施建设篇”,适合没有足够多的专业安全人员的企业进行安全建设,更多考虑如何借助外部专业安全厂商的力量,建设和运营信息安全体系。
第 7 章到第 9 章为“企业安全自动化平台建设篇”,适合拥有专职安全人员的企业。此类企业可以建设并开发适合本企业需求的安全自动化系统,推动安全进入自动化阶段。
第 10 章到第 12 章为“业务安全风险防控体系建设篇”,适合面临业务安全威胁的企业。企业可以通过风控系统来防范黑产团伙的恶意攻击,持续运营并最终建成适合企业的业务安全风险防控体系。
本书面向企业安全从业者、安全厂商、信息安全专业学生及各类信息安全爱好者。希望本书能为企业信息安全从业人员提供信息安全体系的落地参考,让安全厂商更了解企业的安全需求和痛点,为信息安全专业学生和其他感兴趣者普及企业信息安全基础知识。
由于本书涉及的范围较广,在一些知识点和实践上存在盲区,在书籍编写过程中,笔者得到了领导、同事和业内安全专家的悉心指导与鼓励,在此表示衷心的感谢,同时也感谢家人的理解和付出。由于笔者自身经验和知识的局限,本书难免有不足之处,敬请读者指正。