大型互联网企业安全架构 - (EPUB全文下载)

文件大小：1.31 mb。
文件格式：epub 格式。
书籍内容：

大型互联网企业安全架构
第1章 安全理念
第2章 国际著名安全架构理论
第3章 大型安全体系建设指南
第二部分 基础安全运营平台
第4章 威胁情报
第5章 漏洞检测
第6章 入侵感知
第7章 主动防御
第8章 后门查杀（AV）
第9章 安全基线
第10章 安全大脑
第三部分 综合安全技术
第11章 安全开发生命周期
第12章 企业办公安全
第13章 互联网业务安全
第14章 全栈云安全
第15章 前沿安全技术
第1章 安全理念
信息安全技术发展至今，各种安全组织和标准应运而生并不断完善，同时企业面临的安全风险也与日俱增且日趋复杂。组织和标准的制定往往滞后于安全风险的演变，因此互联网企业往往需要具备先进的安全理念以适应新时代信息技术快速迭代的安全需求。
1.1 安全组织与标准
讲到信息安全就不得不提到IT治理，IT治理是企业在信息时代面临的重要治理内容，进行IT治理能确保IT应用完成组织赋予它的使命，并实现组织的战略目标。IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。按照IT治理的对象不同，我们可以将IT治理的服务划分为5类：IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。
通常，IT治理对应的管理职位是首席信息官（CIO），而信息安全是IT治理中的重要一环，对应的管理职位为首席信息安全官（CISO）。随着IT治理自动化的普及，信息安全变得越来越重要，也有互联网企业直接将信息安全划归到CEO的职责范围。下图为IT治理框架图。
IT治理领域涉及的标准及规范众多，在IT治理的每个阶段，其覆盖内容及相应的标准如下表所示。
下面对IT治理常用的标准分别做一下具体说明。
●第一个IT治理国际标准：ISO 38500
ISO 38500是有关IT治理方面的国际标准，它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了被大众正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理在理论上得到统一。
●信息及相关技术的控制目标：COBIT
COBIT（Control Objectives for Information and related Technology，信息及相关技术的控制目标）由ISACA（Information Systems Audit and Control Association，国际信息系统审计协会）发布并维护。COBIT是把IT处理过程与公司业务要求相连接的控制框架。从IT战略融合、IT价值交付、IT资源管理、IT风险管理、IT绩效测评这5个方面提出了具体要求，并提出了IT审计的技术方法。从1998年增加了管理方针的版本开始，COBIT越来越多地被作为IT治理框架来使用，并提供诸如衡量标准和成熟度模型这样的管理工具来作为控制框架的补充。
●IT基础架构库：ITIL
ITIL（Information Technology Infrastructure Library，IT基础架构库）汇集了在IT服务管理方面的最佳实践，包括业务管理、服务管理、ICT（Information and Communication Technology，信息和通信技术）基础架构管理、IT服务管理规划与实施、应用管理和安全管理等6个模块。它关注IT服务的过程并考虑了使用者的核心作用，对IT的应用、管理、变更、运维等方面提出了要求，明确了每个阶段、每个环节的目标和工作流程。以ITIL v3为基础的国际标准《ISO/IEC 20000:2005 IT服务管理体系》于2005年正式颁布。
●信息安全管理体系要求：ISO/IEC 27001：2005系列
目前应用最广泛的信息安全管理标准，适用于各种性质、各种规模的组织，如政府、银行、ICT企业、研究机构、外包服务企业、软件服务企业等。该标准偏重于安全，从组织架构、人力、安全策略、访问控制等11个方面提出了信息系统管理的要求和操作实践。该系列标准已被定为国家标准，参见GB/T 22080-2008和GB/T 22081-2008。
●受控环境中的项目管理：PRINCE 2
PRINCE 2（Projects In Controlled Environments 2）是基于过程的结构化的项目管理方法，定义每个过程的关键输入、需要执行的关键活动和特殊的输出目标。PRINCE 2为包括IT项目在内的项目管理提供了通用的管理方法，内置了已在项目管理实践中被证明的最佳实践。
除了上述IT治理的标准，还有一些互联网企业常见的安全标准规范，如ISMS、DJCP、CSA STAR、PCI DSS、GDPR等。
●ISMS
ISMS（Information Security Management System）的全称为信息安全管理体系，起源于英国标准协会（British Standards Institution，BSI）20世纪90年代制定的英国国家标准BS7799，是系统化管理思想在信息安全领域的应用。基于国际标准ISO/IEC27001:2005的ISMS是国际上公认的先进的信息安全解决方案。在信息安全管理方面，ISO/IEC27001:2005已经成为世界上应用最广泛的典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的，最新版本为ISO27001:2013。除了ISO27001，还有ISO27002，ISO27001主要侧重于要求的标准，ISO27002侧重于信息安全管理的最佳实践，所以一般认证都是基于ISO27001进行的。ISO27001就像是一本信息安全相关的百科全书，基本涵盖了信息安全的方方面面，一般是信息安全认证的必备选项。关于ISMS的详细介绍可以参考官网资料（即参考资料[1]）。
●DJCP
DJCP即信息系统安全等级保护认证，是我国信息安全保障的一项基本制度，是国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等 ............

以上为书籍内容预览，如需阅读全文内容请下载EPUB源文件，祝您阅读愉快。