看到有人推薦, 安全界新書<互聯網企業安全高級指南>, 最為一個安全方面的小白, 果斷廢寢忘食的讀了一遍, 收獲頗豐.
本書最大的特色就是作者從方法路的角度, 介紹了安全建設的方方面面, 而具體的技術, 感覺在本書中的意義并不是非常明顯, 畢竟方法論講透了, 安全技術那么多, 一本書神仙也說不完.
講到從外面挖來一個 CSO, 安全體系從頭開始重建一次, 對于 CSO 來說并不是很有挑戰, 但對于 CSO 的跟班小弟來說, 確實千載難逢的學習的機會. 這簡直就是最實用的職場建議啊
從安全人才培養方面, 作者認為有兩種人可以考慮:
- 第一類是酷愛攻防技術的人, 也就是我們常說的黑客
- 第二類是基礎非常不錯的程序員.
雖說第一類人才是安全建設初期最迫切需要的, 也是最合乎普遍看法的, 但作者強調安全體系建設是系統性的, 分階段的, 基礎好的程序員失業和思路開闊, 有可能最終脫穎而出.
第三章 甲方安全建設方法論
在安全界, 甲方就是安全需求方, 掏錢要求被保護的那頭; 而乙方就是提供安全服務的這一頭. 甲方建設的方法論, 也就是作為互聯網工程師的我, 需要著重學習的. 個人認為這一章是本書的精華.
從零開始
從零開始建設公司的安全體系, 作者有一套方法論
首先伸手要的三張表:
- 組織結構圖, 這是開展業務的基礎.
- 各個產品線和負責人表. 這是縮水版問題響應流程, 出事知道該找誰
- 全網拓撲, 各個系統的邏輯圖, 物理部署圖, 各個系統間的調用關系, 數據流圖. 沒有推進讓業務部門畫.
其次,
- 建立安全基線, 之前的慢慢改, 但之后的必須保證安全底線 (簡直就是老司機, 要不上任后依舊被人拖庫, 你想老板怎么想... )
- 監控, 多維度入侵檢測, 有的放矢的修復安全問題
- 做好事后的應急響應能力
收獲好多, 恨不得抄書的感覺.
總結
這是一本我恨不得每章的筆記都再打字輸入一遍的書, 五星推薦, 不干安全也非常有收獲.
互聯網企業安全高級指南
