高质量解读《互联网企业安全高级指南》
以逻辑图为主体,辅助文字说明,简洁高效带你读懂、读薄经典书籍。
天天water
不要在该奋斗的年纪,选择安逸。
展开
-
高质量解读《互联网企业安全高级指南》——目录
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。高质量解读《互联网企业安全高级指南》三部曲——理论篇高质量解读《互联网企业安全高级指南》三部曲(技术篇)——目录高质量解读《互联网企业安全高级指南》三部曲(技术篇)——防御架构原则高质量解读《互联网企业安全高级指南》三部曲(技术篇)——基础安全措施高质量解读《互联网企业安全高级指南》三部曲(技术篇)——网络安全高质量解读《互联网企业安全高级指南》三部曲(技术篇)——入侵.原创 2020-10-10 13:36:55 · 4243 阅读 · 2 评论 -
高质量解读《互联网企业安全高级指南》三部曲——实践篇
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。实践篇逻辑思维图1. 业务安全与风控1.1. 说明1.1.1. 业务安全的起源是由于黑产的存在1.1.2. 企业间的恶性竞争,黄赌毒等合规性要求也成为业务安全的驱动力1.1.3. 本章将描述互联网行业各种典型业务的主要风险和控制方法1.2. 对抗原则1.2.1. 相对的风控而非绝对的防黑拖库只要发生一次就非常严重,但是业...原创 2020-10-10 13:03:58 · 5754 阅读 · 2 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——隐私保护
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。隐私保护逻辑思维图1.说明1.1.隐私保护诞生于互联网时代,而移动互联网、物联网发展起来后进一步提升了这方面的需求,对于业务规模比较大的公司,尤其是2C市场和全球化的公司,隐私保护成了安全 建设中的必要选项1.2.隐私保护近来逐渐兴起主要有几方面的原因1.2.1.互联网和移动互联网兴起,大批的厂商承载了上亿网民的个人数据,这些个人数据的泄露不仅影响业务运营,影响品牌,加剧...原创 2020-10-08 21:24:40 · 4341 阅读 · 2 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——安全管理体系
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。安全管理体系逻辑思维图1.说明1.1.安全管理体系类似于项目管理的PMBOK,本质上是一种方法论和参考维度,覆盖组织全部的技术活动和全生命周期1.2.安全管理体系是一个随业务扩张而逐渐完善的过程2.相对“全集”2.1.这里所说的全集其实算不上是全集,只是一个相对的、偏实操的集合,真正意义上的全集引用了国际上的诸多标准、指南和最佳实践2.2.图13-1 是站在安全职能的角..原创 2020-10-08 18:07:33 · 4548 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——办公网络安全
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。办公网络安全逻辑思维图1. 说明1.1. 办公网络的安全是乙方安全公司提供解决方案最多的场景1.1.1. 原因主要因为现在社会工程学、定向攻击、APT、钓鱼、水坑攻击,专打管理员的渗透越来越多,所以生产网络做到固若金汤也无用,攻击者绕背后转跳办公网络进攻也是一个很大的问题另一方面服务器网络大多是来自客户-服务端相对固化的交互模型,用严格的ACL就能控制绝大...原创 2020-09-29 11:48:25 · 4778 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——代码审计
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。代码审计逻辑思维图1. 说明1.1. 源代码审计是一种提高软件安全性的方法,在之前的章节中已对SDL有所介绍,在本章中,更偏向于具体操作。1.2. 我们将了解一些代码审计的方法和工具,从人工到借助工具,最后会通过一些实例来看到如何通过现有的工具进行审计,以及这些工具如何帮助我们发 现并消除漏洞1.3. 在源代码审计阶段,一些产品安全设计上的问题可能已...原创 2020-09-28 14:32:41 · 4119 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——移动应用安全
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。移动应用安全逻辑思维图1. 说明1.1. 互联网公司的安全体系基本上以运维安全,应用安全,业务安全三管齐下。而移动应用安全则在应用安全中占据半壁江山,尤其对于移动端产品为主的公司而言,SDL的主要实践对象就是移动应用2. 背景2.1. 随着智能手机和其他移动设备的爆发式普及,移动应用已成为互联网公司业务重要的业务方向。本章中会以移动两大平台之一的安卓...原创 2020-09-27 18:17:33 · 4219 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——漏洞扫描
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。漏洞扫描逻辑思维图1. 说明1.1. 漏洞扫描、入侵感知和应急响应是技术维度日常工作中最重要的3个部分2. 概述2.1. 漏洞是指缺少安全措施或采用的安全措施有缺陷,可能会被攻击者利用,对企业的信息资产的安全造成损害。漏洞扫描就是利用扫描器发现漏洞的过程。3. 漏洞扫描的种类3.1. 按漏洞类型分类3.1.1. ACL扫描...原创 2020-09-27 14:55:39 · 4437 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——入侵感知体系
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。入侵感知体系逻辑思维图1. 说明1.1. 入侵感知是目前安全防御体系建设中最重要的一环,是大型互联网生产网络的核心需求1.2. 本章从系统、应用、后端架构等维度讲述入侵感知体系的实现方法2. 主机入侵检测2.1. 主机入侵检测系统(Host-based Intrusion Detection System, HIDS)顾名思义是基于主机...原创 2020-09-22 14:44:06 · 4340 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——网络安全
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。目录网络安全逻辑思维图介绍网络入侵检测传统NIDS开源 SNORT大型全流量NIDS关于D还是P对厂商的建议T级DDoS防御DDoS分类多层防御结构不同类型的企业不同类型的业务服务策略NIPS场景破防和反制立案和追踪链路劫持HTTPDNS全站 HTTPS登录过程加密跨IDC传输加密应用防火...原创 2020-09-18 16:21:57 · 4653 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——基础安全措施
前言:高效读书,一张逻辑图读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。基础安全措施逻辑思维图 安全域划分 目的 安全域划分的目的是将一组安全等级相同的计算机划入同一个安全域,对安全域内的计算机设置相同的网络边界,在网络边界上以最小权限开放对其他安全域的NACL(网络访问控制策略),使得安全域内这组计算机暴露的风险最小化安全域划分的目的是将一组安全等级相同的计算机划入同一个安全域,对安全域内的计算机设置相同的网络边界,在网络边界上以最小权限.原创 2020-08-31 14:50:51 · 4324 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——防御架构原则
前言:高效读书,一张逻辑图带你读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。防御架构原则逻辑思维图防守体系建设三部曲 信息对抗 信息对抗的目的是知己知彼,从两方面进行 数据化数据化指的是企业自身安全风险数据建设与分析,需要根据基线数据、拓扑数据、业务数据梳理清楚可能存在的攻击路径与攻击面,针对性设防社会化这些数据是动态变化的,需要持续运营,对于业务环境变更带来的新的攻击而与路径需要及时补防 技术对抗 针对攻击者.原创 2020-08-09 21:33:48 · 4349 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——目录
前言:高效读书,一张逻辑图带你读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。防御架构原则 防守体系建设三部曲 大规模生产网络的纵深防御架构 基础安全措施 安全域划分 系统安全加固 服务器4A 网络安全 网络入侵检测 T级DDoS防御 链路劫持 应用防火墙WAF 入侵感知体系 主机入侵检测 检测webshell RASP 数据库审计 入侵检测数据分析平台 入侵检测数据模型 数据链..原创 2020-08-09 16:05:19 · 4189 阅读 · 0 评论 -
高质量解读《互联网企业安全高级指南》三部曲——理论篇
前言:高效读书,一张逻辑图带你读懂、读薄书中重点。注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。目录理论篇思维导图安全大环境与切入“企业安全”的视角企业安全是什么CSO企业安全包括哪些事情企业安全涵盖7大领域建议互联网行业安全工作总结互联网企业和传统企业在安全建设中的区别总体上传统企业和互联网企业在安全建设需求上的差异安全建设不同规模企业的安全管理创业型公司大中型企业大型互联网企业生态级企业vs...原创 2020-08-04 15:34:54 · 5615 阅读 · 0 评论