读书笔记: 互联网企业安全高级指南

看到有人推荐, 安全界新书<互联网企业安全高级指南>, 最为一个安全方面的小白, 果断废寝忘食的读了一遍, 收获颇丰.

本书最大的特色就是作者从方法路的角度, 介绍了安全建设的方方面面, 而具体的技术, 感觉在本书中的意义并不是非常明显, 毕竟方法论讲透了, 安全技术那么多, 一本书神仙也说不完.

讲到从外面挖来一个 CSO, 安全体系从头开始重建一次, 对于 CSO 来说并不是很有挑战, 但对于 CSO 的跟班小弟来说, 确实千载难逢的学习的机会. 这简直就是最实用的职场建议啊

从安全人才培养方面, 作者认为有两种人可以考虑:

• 第一类是酷爱攻防技术的人, 也就是我们常说的黑客
• 第二类是基础非常不错的程序员.

虽说第一类人才是安全建设初期最迫切需要的, 也是最合乎普遍看法的, 但作者强调安全体系建设是系统性的, 分阶段的, 基础好的程序员失业和思路开阔, 有可能最终脱颖而出.

第三章 甲方安全建设方法论

在安全界, 甲方就是安全需求方, 掏钱要求被保护的那头; 而乙方就是提供安全服务的这一头. 甲方建设的方法论, 也就是作为互联网工程师的我, 需要着重学习的. 个人认为这一章是本书的精华.

从零开始

从零开始建设公司的安全体系, 作者有一套方法论
首先伸手要的三张表:

1. 组织结构图, 这是开展业务的基础.
2. 各个产品线和负责人表. 这是缩水版问题响应流程, 出事知道该找谁
3. 全网拓扑, 各个系统的逻辑图, 物理部署图, 各个系统间的调用关系, 数据流图. 没有推进让业务部门画.

其次,

• 建立安全基线, 之前的慢慢改, 但之后的必须保证安全底线 (简直就是老司机, 要不上任后依旧被人拖库, 你想老板怎么想... )
• 监控, 多维度入侵检测, 有的放矢的修复安全问题
• 做好事后的应急响应能力

收获好多, 恨不得抄书的感觉.

总结

这是一本我恨不得每章的笔记都再打字输入一遍的书, 五星推荐, 不干安全也非常有收获.

互联网企业安全高级指南