Preface　前言



為什么要寫這本書
自從 20 多年前開始從事政企 IT 軟件工作以來(lái)，我深刻地了解到國(guó)內(nèi)外軟件行業(yè)的差異。國(guó)內(nèi)軟件往往由甲方驅(qū)動(dòng)，存在較多的碎片化問(wèn)題，邊界常常按照組織架構(gòu)來(lái)劃分；國(guó)外軟件往往由乙方驅(qū)動(dòng)，投入較大，相比于國(guó)內(nèi)軟件，甲乙雙方各司其職，接口開放，可以實(shí)現(xiàn)產(chǎn)品間的協(xié)同聯(lián)動(dòng)。
安全永遠(yuǎn)是對(duì)抗?fàn)顟B(tài)下的安全。在 2022 年卡塔爾足球世界杯上，我們欣賞了明星球員的個(gè)人能力和球隊(duì)整體的精彩配合。同樣，在安全領(lǐng)域也有“明星球員”，態(tài)勢(shì)感知
（SA）、安全信息和事件管理（SIEM）系統(tǒng)、安全運(yùn)營(yíng)中心（SOC）、安全編排自動(dòng)化與響應(yīng)（SOAR）平臺(tái)等關(guān)鍵技術(shù)就是安全方案的中場(chǎng)核心，是安全領(lǐng)域的“明星球員”。
面對(duì)攻擊，我們需要從多個(gè)維度進(jìn)行評(píng)估。防火墻、Web 應(yīng)用防火墻（WAF）、主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）、終端檢測(cè)與響應(yīng)（EDR）系統(tǒng)等在安全整體布局和聯(lián)防聯(lián)控中仍起著重要的作用。因此，在龐雜的產(chǎn)品環(huán)境中，要實(shí)現(xiàn)這些網(wǎng)絡(luò)安全設(shè)備的融合，理解業(yè)務(wù)流程，掌握網(wǎng)絡(luò)安全知識(shí)，熟悉攻防技術(shù)，不能寄希望于僅僅依賴設(shè)備本身來(lái)抵御和發(fā)現(xiàn)所有的網(wǎng)絡(luò)攻擊。
我看過(guò)不少書，也聆聽過(guò)眾多演講，常常對(duì)看到、聽到的新知識(shí)嘆為觀止。然而，大部分知識(shí)是零散的。我日常接觸到的網(wǎng)絡(luò)安全產(chǎn)品推薦、工具用法及攻擊過(guò)程等方面的內(nèi)容， 全面的理論指導(dǎo)和實(shí)踐類的作品
較多。拿一個(gè)“貓如何快速吃到魚”的迷宮游戲（見圖 1）來(lái)類比，初學(xué)者面臨的網(wǎng)絡(luò)世界何嘗不是如此，所有的網(wǎng)絡(luò)流量大致可以歸納為不同角色的主體（圖
1 中的狗、老鼠和貓可以類比為用戶、黑客和管理員），他們?nèi)ピL問(wèn)不同類型的客體（圖 1 中
的魚、骨頭和奶酪可以類比為文圖 1 迷宮游戲

IV

件、數(shù)據(jù)和接口）。圖 1 左圖看起來(lái)還不算復(fù)雜，那么圖 1 右圖中的貓?jiān)撊绾稳フ音~呢？
在網(wǎng)絡(luò)空間中，這個(gè)問(wèn)題更為復(fù)雜，路徑真實(shí)存在，但是大家看不見、摸不著。平時(shí)工作很忙，將眾多乙方的產(chǎn)品無(wú)縫融入甲方現(xiàn)有的 IT 基礎(chǔ)設(shè)施，并且傳遞安全知識(shí)給新來(lái)的同事是非常困難的事。作為一個(gè)有安全創(chuàng)業(yè)經(jīng)歷及多年軟件開發(fā)經(jīng)驗(yàn)的從業(yè)者，我骨子里是看到問(wèn)題就想解決問(wèn)題，因此，我有一種去做點(diǎn)什么的迫切沖動(dòng)。開發(fā)一款軟件來(lái)解決這個(gè)問(wèn)題是一個(gè)過(guò)于宏大的話題，To B 產(chǎn)品非幾十上百人的團(tuán)隊(duì)不敢想；寫書是切實(shí)可行的。坐而言不如起而行，這就是本書誕生的背景。

讀者對(duì)象
本書適合以下讀者閱讀：
◆初入網(wǎng)絡(luò)安全行業(yè)的安全運(yùn)維和安全服務(wù)人員；
◆網(wǎng)絡(luò)安全相關(guān)專業(yè)的教師和學(xué)生；
◆政府和企事業(yè)單位的安全架構(gòu)師、CIO 和 CSO。

本書特色
本書旨在基于實(shí)戰(zhàn)經(jīng)驗(yàn)，以圖解的方式介紹組織需要考慮的典型信息安全工作。除了強(qiáng)調(diào)利用云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）、云安全態(tài)勢(shì)管理（CSPM）、SOC 和 SIEM 系統(tǒng)等有能力處理海量數(shù)據(jù)的安全平臺(tái)來(lái)彌補(bǔ)傳統(tǒng)的安全產(chǎn)品單兵作戰(zhàn)能力的不足，本書還試圖通過(guò)一張圖將 IT 團(tuán)隊(duì)內(nèi)部的信息安全與研發(fā)、運(yùn)維、測(cè)試、應(yīng)急等需要密切協(xié)作的部門聚焦起來(lái)（見圖 2），以實(shí)現(xiàn)更好的跨團(tuán)隊(duì)協(xié)同作戰(zhàn)。
安全攻防如同行軍打仗。通過(guò)城防大圖，可以看到一個(gè)組織需要關(guān)注的不僅有網(wǎng)絡(luò)通信安全，還有很多作為基礎(chǔ)的專業(yè)安全設(shè)備，覆蓋網(wǎng)站安全、辦公安全、開發(fā)安全、依法合規(guī)等�？傊�，梳理出攻擊鏈路后的掛圖作戰(zhàn)能促進(jìn)基于上下文的縱深防御，看清有無(wú)漏洞、風(fēng)險(xiǎn)及攻擊，顯著提升人員效能等。
廣度是深度的副產(chǎn)品。在我的印象中，混合云安全的相關(guān)知識(shí)點(diǎn)非常多。本書強(qiáng)調(diào)結(jié)構(gòu)化思維，力求做到以下三點(diǎn)。
◆力求圖解：利用圖表、流程圖和示意圖來(lái)輔助解釋復(fù)雜的安全概念，先整體再局部， 展示影響網(wǎng)站的方方面面，而不是專注在 WAF，一頭扎進(jìn)細(xì)節(jié)而管中窺豹。
◆力求全面：這恐怕是市面上最全的一本介紹混合云安全產(chǎn)品和服務(wù)的書了；除了安全產(chǎn)品和技術(shù)，本書介紹了人才的安全運(yùn)營(yíng)和依法合規(guī)，避免顧此失彼。
◆力求實(shí)踐：根據(jù)我多年來(lái)積累的安全工作經(jīng)驗(yàn)，尤其是防守方視角的經(jīng)驗(yàn)，推薦最佳實(shí)踐來(lái)提升混合云環(huán)境的安全性。從蠕蟲勒索防御到云上訪問(wèn)密鑰（Access Key，AK） 泄露，你都可以從本書中找到最新的知識(shí)與實(shí)踐，避免成為眼高手低的“理論家”。

V

圖 2 跨團(tuán)隊(duì)協(xié)作
我常常在想：假如我有一天成為一個(gè)組織的首席安全官（CSO），我的工作應(yīng)當(dāng)從哪里開始？如何組建一支由安全分析師、安全工程師和安全運(yùn)營(yíng)人員組成的有力團(tuán)隊(duì)，以確保組織的混合云環(huán)境能及時(shí)檢測(cè)風(fēng)險(xiǎn)和應(yīng)對(duì)威脅？希望本書在回答我這個(gè)問(wèn)題的同時(shí)，也能給讀者帶來(lái)裨益。

如何閱讀本書
本書章節(jié)組織如下。
第 1 章：網(wǎng)絡(luò)安全 詳細(xì)介紹了網(wǎng)絡(luò)安全的重要概念和策略，涵蓋縱深防御、紅藍(lán)對(duì)抗和業(yè)務(wù) CIA 原則等關(guān)鍵內(nèi)容。
第 2 章：業(yè)務(wù)安全 介紹了業(yè)務(wù)與安全的關(guān)系，即業(yè)務(wù)的發(fā)展與安全相互促進(jìn)，重點(diǎn)講述業(yè)務(wù)的支撐體系及對(duì)應(yīng)的安全措施。
第 3 章：團(tuán)隊(duì)建設(shè) 網(wǎng)絡(luò)安全技術(shù)更新非常迅速，網(wǎng)絡(luò)安全人才