前言：
高效读书，一张逻辑图读懂、读薄书中重点。
注：下面文字只是对逻辑思维图的”翻译“，节省时间，只看图即可。

安全管理体系逻辑思维图

1.说明
1.1.安全管理体系类似于项目管理的PMBOK，本质上是一种方法论和参考维度，覆盖组织全部的技术活动和全生命周期
1.2.安全管理体系是一个随业务扩张而逐渐完善的过程
2.相对“全集”
2.1.这里所说的全集其实算不上是全集，只是一个相对的、偏实操的集合，真正意义上的全集引用了国际上的诸多标准、指南和最佳实践
2.2.图13-1 是站在安全职能的角度看平时要做哪些事情

3.组织
3.1.公司规模
3.1.1.较小的安全团队
不需要很严格的划分，甚至不需要引入过分复杂的团队管理
3.1.2.发展至20人规模以后
可能需要做一些简单的工种划分
3.1.3.比较大型的公司及平台
一队做传统的攻防对抗领域
一队做偏于业务安全上的“风控”
3.2.图13-2仅作为组织划分的示例，现实中不一定按照这样分

3.3.安全体系内部，业务安全含风控团队通常是攻防的2倍以上。安全团队的规模与业务成长的适应性比例参见表13-2

4.KPI
4.1.业界有IT平衡计分卡这样的工具提供了高纬度的参考，如图13-3所示

4.2.在“IT用户满意度”这个角度，主要是两个客户
4.2.1.内部客户
内部客户是使用和依赖安全能力的兄弟部门，例如业务线、运维、研发等职能
4.2.2.外部客户
对于外部客户，2C类型的业务那就是线上的用户，安全最大的需求就是保障用户数据安全，保护用户隐私，不损失用户体验
4.3.“IT内部过程”这个维度，安全作为辅助的职能，最主要就是保障交付、运营等流程的效率
4.3.1.对应安全工作
覆盖率
覆盖深度
检出率/主动止损率
TCO/ROI
技术维度指标
5.外部评价指标
5.1.攻防能力
5.1.1.对攻防的理解是做安全的基础
5.1.2.业界普遍的状况是整体实力强的安全团队攻防能力必然不弱，而攻防能力弱的团队其安全建设必然强不到哪里去
5.1.3.攻防技术在安全建设中属于“单点”技术，决定的是单点的驾驭和深入程度
5.2.视野和方法论
5.2.1.单点技术代表局部的执行力，但在影响整个安全团队的产出因素上仍然受制于团队的整体视野和所使用的方法论
5.2.2.甲方的安全团队并不是一个纯安全研究性质的职能，所以只强调攻防和漏洞是不足以产生高ROI 的，因为安全建设中有很大一部分跟具体的漏洞不相关，跟漏洞缓解和免疫机制也不相关
5.2.3.综观业界，过于强调风险管理方法论的单位其解决实际问题的能力往往比较欠缺，而一味强调攻防排斥安全标准的团队往往顶层安全设计有问题
5.3.工程化能力
5.3.1.对于中大型互联网公司的安全建设，能否将单点的攻防知识转换为整个公司业务全线防御、纵深防御、自动化的能力就是工程化
5.4.对业务的影响力
5.4.1.这一点跟内部的影响力，跨组织的沟通能力，推动能力，团队视野有很大的关系。最明显的特征就是安全团队是在做微观、狭义的安全还是做覆盖面较大、广义的安全
5.4.2.安全做得最好的企业一定是将安全和风险意识根植于企业文化中
6.最小集合
6.1.对于创业型公司，不强调流程的公司文化中，为了保障全生命周期的安全管理的实施效果，在流程层面必须要要应对的几个方面如下
6.1.1.建立事前的安全基线，各种安全编程规范、运维配置规范等
6.1.2.事中的发布&变更环节的安全管理
6.1.3.事后的救火机制
6.1.4.上面3条比较容易理解，但是只有这3条显然是不够的，如果业务在发展而安全永远停留在这个治理水平上就不太合理，所以必须有一些机制保证安全管理的水平是与时俱进的
6.1.5.把救火逐步转化为防御机制或对现有安全策略升级的流程（或团队意识）
6.1.6.整个公司或至少业务线级别的周期性风险评估，主要用于识别新的风险和潜在的可能转为安全事件的诱因，以此审视目前的安全体系中是否缺少必要的自检环节
6.2.资产管理
6.2.1.搞清组织中一共有多少需要纳入安全管理范畴的资产是所有安全工作的基础
6.2.2.资产管理的好坏直接反映运维的管理能力，也很大程度上会影响安全的工作
6.2.3.有了基础的资产管理以后，对资产做分类分级，既是信息安全的需求，也是BCM的基础要求，同时隐私保护也有这个需求
6.3.发布和变更流程
6.3.1.安全管理中的大部分流程在任何一个公司都不会独立存在，而是把“安全措施”嵌入到公司其他的研发运营环节中
6.3.2.对互联网公司而言，变更发布是价值链中占据最大量的工作之一，所以在这个环节上如何“卡位”，图13-4简单做了一个示例

6.3.3.主要在“设计”和“交付”这两个点设计，在理论篇中也提到设计阶段的参与是根据产品轻重程度决定的
6.4.事件处理流程
6.4.1.角色定义
联系人（运维/安全）
执行者（运维/研发/安全）
指挥人（技术体系主要负责人）
6.4.2.定义职责矩阵
6.4.3.流程图
安全运营事故的响应流程如图13-5所示

6.4.4.系统关联影响
7.安全产品研发
7.1.以前甲方安全基本不涉及这个话题，在互联网行业崛起后，以Google为首的业界领导 厂商把自己的方案构建于自研系统和开源软件之上，这似乎成了行业的潜规则
7.2.根据市场上乙方的安全产品，依葫芦画瓢，把原理摸清楚后，寻找相关的开源软件，逐渐改造成使用分布式架构的安全产品。开始可能不如商业产品好用，但省去了大笔的软件license和硬件盒子 的费用
7.3.关于是否有必要自研，有几个方面要考虑
7.3.1.互联网公司即便是很大的厂商也不可能选择在安全方面什么都自己做，比如拨VPN 需要一个RSA的动态令牌，这种并非主营业务，不面向客户，也没有多少受众群 体，花点钱买一下现成的就行了，完全没必要自己做
7.3.2.规模效应决定性价比的问题：打算自研某个安全产品一定是应用场景覆盖的IT资产超过某个数量级，这样所花费的人工研发和維护的成本才会小于同等数量级的IT资产使用商业解决方案时采购的总花费，否则一个很小的业务，几百台服务器，花了10人小团队用于研发相关的安全产品就是吃力不讨好的事
7.3.3.对于攻防类的安全产品比较容易获得通用的商业解决方案，但对于风控类的产品， 由于跟业务强相关，几乎鲜有现成的解决方案，所以风控侧相较而言自研的需求和必要性更大一些
8.开放与合作
8.1.SRC （安全应急响应中心）只是一个形式上的开端，其更大意义上是指安全工作不能只坐在办公室里苦练内功，而是应该走出去寻求与业界广泛的合作
8.1.1.与乙方安全厂商合作，共享数据和威胁情报
8.1.2.与其他甲方公司或第三方SRC合作，共享威胁情报
8.1.3.与供应链上下游合作，使安全过程覆盖价值链的延伸段
8.1.4.参与业界交流，避免闭门造车

高质量解读《互联网企业安全高级指南》三部曲（技术篇）——安全管理体系相关推荐

1. 高质量解读《互联网企业安全高级指南》三部曲——实践篇

   前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 实践篇逻辑思维图 1.    业务安全与风控 1.1.    说明 ...

2. 互联网企业安全高级指南1.2　企业安全包括哪些事情

   1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平 ...

3. 【读书笔记】《互联网企业安全高级指南（赵彦等）》

   文章目录 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 1. 互联网企业和传统企业在安全建设中的区别 参考链接 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 企业安全涵 ...

4. 高质量解读《互联网企业安全高级指南》三部曲（技术篇）——办公网络安全

   前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 办公网络安全逻辑思维图 1.    说明 1.1.    办公网络 ...

5. 高质量解读《互联网企业安全高级指南》三部曲（技术篇）——移动应用安全

   前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 移动应用安全逻辑思维图 1.    说明 1.1.    互联网公 ...

6. 互联网企业安全高级指南读书笔记之网络安全

   网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS 由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系 ...

7. 互联网企业安全高级指南3.7.2　SDL落地率低的原因

   3.7.2 SDL落地率低的原因 1. DevOps的交付模式 互联网频繁的迭代和发布,不同于传统的软件开发过程.如果一个软件要一年交付,那么在前期抽出2-4周做安全设计也可以接受,但在互联网交付节奏 ...

8. 互联网企业安全高级指南3.6　需要自己发明安全机制吗

   3.6 需要自己发明安全机制吗 1. 安全机制的含义 首先解释一下发明安全机制这句话的意思.安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfil ...

9. 互联网企业安全高级指南3.5　选择在不同的维度做防御

   3.5 选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的. 1. 技术实现维度场景 在纵深防御的概念中(参考后面 ...

10. 互联网企业安全高级指南读书笔记之基础安全措施

    互联网服务安全域抽象示例 虚线部分代表安全域的边界,把不同的业务(垂直纵向)以及分层的服务(水平横向)切开,只在南北向的 API 调用上保留最小权限的访问控制,在东西向如无系统调用关系则彼此隔离 生成 ...

最新文章

1. etcd — 操作手册
2. boost::contract模块实现简单queue的测试程序
3. python数据校验_最近抽空造了一个数据校验的轮子 Python -validator
4. lock字段mysql_MySQL的lock tables和unlock tables的用法（转载）
5. 绿色网格称其IT环境评估工具取得成功
6. 麻省理工线性代数第三讲
7. tt按键精灵从入门到精通完整版
8. Linux与Windows分区格式详解
9. 华为2019年3月27日实习生笔试题及解答
10. 许三多的 “职业精神”
11. js前置递增和后置递增
12. 麒麟 linux下安装显卡驱动,优麒麟 Linux x64 16.10
13. 【新股分析】知名分销商双财庄将登陆港交所：复合年增长率高达16.02%
14. Solidity介绍
15. python，pip，xlrd 安装
16. android GoogleMap画导航线路图 路径规划
17. java版铁傀儡刷新机制,我的世界：新版村庄的铁傀儡数量都快赶上村民了？刷新效率很高！...
18. 计算机毕业设计ssm大学生综合素质测评系统
19. axios如何解决跨域的方案
20. java.lang.OutOfMemoryError GC overhead limit exceeded原因分析及解决方案

热门文章

1. 如何用python爬取下载微博视频_Python通过抓包和使用cookie爬取微博完全讲解（附视频）-阿里云开发者社区...
2. 目前可用的微博秀的嵌入方法大全(亲测2019年2月仍有效) 1
3. Java 架构师是怎样练成的
4. 《地理天机一贯 》   聚宝馆手抄珍稀古籍分享
5. Excel如何简单快速的建立二级下拉菜单？
6. JavaScript之document对象获取元素
7. 中国物流网很难进入运输颓势
8. WBS-Work Breakdown Structure工作分解结构
9. ubuntu系统启动项的修改
10. vscode好用插件——磨刀不误砍柴工！