每周一书 |《 数据安全架构设计与实战 》

Posted 2021-04-10 openEA开源社区

openEA开源周刊

openEA开源社区的官方运营载体

摘要：本书系统性地介绍数据安全架构的设计与实践，融入了作者在安全领域多年积累的实践经验。

openEA开源社区（ID:openEA）| 出品

小夕  | 编辑

前言

你一定听说过非常厉害的黑客，各种奇技淫巧，分分钟拖走大量数据！或入侵到目标内网，Get Shell、提升权限、拖走数据库！抑或根本不用进入内网，直接远程操作一番，就能窃取到大量数据，犹如探囊取物一般容易。

可是，站在黑客的对立面，作为防御的一方，公司频频遭遇入侵、网络攻击或数据泄露事件，一方面会面临巨大的业务损失，另一方面也会面临来自用户、媒体、监管层面的重重压力。

数据安全这是一个非常严峻的问题。数据泄露事件层出不穷，就算是安全建设得比较好的企业，也不能保证自己不出问题，况且在日常安全工作中，还面临着三大困境—资源有限、时间不够、能力不足，使得我们距离数据安全的目标还有不小的差距。

“资源有限”体现在企业在安全方面的投入往往不足，特别是在预防性安全建设、从源头开始安全建设的投入方面，更加缺乏。在有的产品团队，人力几乎全部投在业务方面，没有人对安全负责，产品发布上线后，也缺乏统一的安全增强基础设施（例如在统一的接入网关上实施强制身份认证），导致产品基本没有安全性可言。

本书特色

本书系统性地介绍数据安全架构的设计与实践，融入了作者在安全领域多年积累的实践经验。全书分四大部分，共20章。

第一部分介绍安全架构的基础知识，内容包括安全、数据安全、安全架构、5A方法论、CIA等基本概念,为后续论述奠定基础。

第二部分介绍产品安全架构，内容包括：身份认证、授权、访问控制、审计、资产保护等，讲解如何从源头设计来保障数据安全和隐私安全，防患于未然。

第三部分介绍安全技术体系架构，内容包括：安全技术架构、网络和通信层安全架构、设备和主机层安全架构、应用和数据层安全架构、安全架构案例分析等。

第四部分介绍数据安全与隐私保护治理，内容包括：数据安全治理、数据安全政策文件体系、隐私保护基础与增强技术、GRC方案、数据安全与隐私保护的统一等。

编辑推荐

随着数据时代的到来，安全体系架构逐步由之前的“以网络为中心”（称为网络安全）过渡到“以数据为中心”（称为数据安全）。本书将使用数据安全这一概念，并以数据的安全收集或生成、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪、安全销毁为目标，透视整个安全体系，并进而将安全架构理念融入产品开发过程、安全技术体系及流程中，更好地为企业的安全目标服务。

精采书评

数据安全问题其实一直存在，只是在大数据、基于大数据的人工智能时代变得更加重要。郑云文的这本书在覆盖信息安全、网络安全基础知识与*实践的基础上，对数据安全相关问题做了更深入的探讨。如同书中的观点，安全的系统是设计出来、开发出来的，没有一招见效的“安全银弹”。这本书非常适合软件开发型企业的开发主管、信息安全主管与开发工程师阅读，也适合高校信息安全专业的同学作为了解业界网络安全实践的参考书使用。

—谭晓生，北京赛博英杰科技有限公司创始人

数据安全是企业安全建设的重点与难点，相对应用安全和内网安全，大多数企业在数据安全的投入要少很多，但数据安全的重要性却要高很多。少数金融机构设置了专门的数据安全团队，投入大量人财物，未雨绸缪。但多数企业安全建设在数据安全领域还是被动的，其难处在于数据安全缺乏体系性解决方案和安全前置措施。这本书将为读者提供目前急缺的这部分内容，是数据安全领域不错的专业好书。

—聂君，奇安信首席安全官

作者简介

郑云文（U2）某世界500强企业的数据安全与隐私保护专家，开源应用网关Janusec Application Gateway（https://github.com/Janusec/janusec）作者。

武汉大学研究生毕业，投身安全领域研究超过17年，在安全架构、安全治理、数据安全与隐私保护方面具有丰富的经验。

曾任CSA（云安全联盟）技术标准专家，参与云计算安全技术标准的起草。曾在迅雷公司任安全专家及安全负责人，曾在腾讯公司任数据安全高级架构师，是数据安全合规标准的主要制定者。

END

/openEA

/企业应用

新浪微博：@openEA开源社区