網絡安全治理 基於DevSecOps的理論與實踐

:高尉峰，畢業於西北工業大學，具有多年網絡安全行業從業經驗，曾 多個重點安全項目，由他打造的DevSecOps實踐方案在業內獲得廣泛認可，榮獲質量競爭力大會DevSecOps 案例獎，曾受邀並擔任北京DevOps社區和質量競爭力大會演講嘉賓。在科研與創新方面，已榮獲多項涉及安全產品設計的專利，研究方向涵蓋APT攻防對抗、大模型安全、ATT&CK知識庫的落地方法、安全測試工具研發、SDL與DevSecOps的 實踐，以及安全產品架構設計。參與了網絡安全行業多項安全標準的制定工作，多次帶領團隊負責政務領域的重大安全事件應急響應，具有豐富的入侵檢測與紅藍對抗經驗。薛瑤，畢業於西安電子科技大學，現任信安世紀 安全研究員，長期從事滲透測試技術研究，曾獲得多個NVDB、CVE證書，具備紮實的滲透測試與漏洞分析能力。曾榮獲AI安全 挑戰賽三等獎，曾 多個金融行業關鍵信息基礎設施的滲透測試項目，發現並協助修覆多個高危漏洞。盧中陽，在應用安全、DevSecOps等領域擁有十年以上工作經驗。2020年創立火線安全，任聯合創始人兼CTO， 研發並推出了 開源的交互式應用安全測試產品洞態IAST，已在 20多個 實現部署和應用。現任基調聽雲安全產品線總經理，全面負責基調聽雲安全業務線工作， 推出了應用安全態勢管理產品安雲。陳勝楠，具有多年網絡安全行業從業經驗，具備豐富的制造業信息安全建設經驗和APT攻防對抗經驗。曾多次以攻防專家身份參與市級攻防演練，均獲得前三名佳績。曾位列網易SRC漏洞排行榜 。曾擔任亞運會網絡安保組工控安全檢查專家，負責大型賽事關鍵信息基礎設施的安全保障工作，並多次收到某市公安局感謝信。唐飛，四重根創始人兼總經理、中國敏捷教練聯盟認證教練、PMP註冊項目經理。擁有22年研發管理經驗，在核心網安全領域深耕多年， DevDocOps理念首倡者，相關成果入選ICSE大會，打造“象文”國產替代結構化寫作平臺，推動 文檔安全策略與數字化治理實踐。

序
前言
第1章 網絡安全治理的原則
1.1 網絡安全特性簡介
1.1.1 保密性的概念和實施措施
1.1.2 完整性的概念和實施措施
1.1.3 可用性的概念和實施措施
1.2 網絡安全治理原則
1.2.1 網絡安全治理計劃
1.2.2 網絡安全治理的流程
1.2.3 安全專業人員的角色與責任
1.3 安全模型的基本概念
1.3.1 零信任模型
1.3.2 Bell-LaPadula模型
1.4 身份驗證和身份管理
1.4.1 實施和管理授權機制
1.4.2 實施身份管理
1.5 安全策略和安全基線
1.5.1 安全策略
1.5.2 安全基線
【本章知識通關挑戰】
第2章 DevSecOps簡介
2.1 DevSecOps概述
2.1.1 SDL
2.1.2 DevSecOps的概念
2.1.3 DevSecOps成熟度評估模型
2.2 威脅建模的概念和方法
2.2.1 安全術語
2.2.2 識別威脅和脆弱性
2.3 安全設計
2.3.1 安全設計規範
2.3.2 DevSecOps實踐
【本章知識通關挑戰】
第3章 安全測試
3.1 安全測試方法
3.1.1 滲透測試
3.1.2 白盒安全測試
3.1.3 安卓應用安全測試
3.1.4 交互式應用安全測試
3.2 大模型安全測試
3.2.1 大模型安全測試方法
3.2.2 大模型賦能安全測試
【本章知識通關挑戰】
【實驗室任務】
第4章 ATT&CK知識庫
4.1 ATT&CK知識庫
4.1.1 ATT&CK知識庫的概念
4.1.2 ATT&CK框架與其他框架的區別
4.1.3 ATT&CK框架相關術語
4.2 ATT&CK框架的戰術、技術及子技術
4.2.1 戰術
4.2.2 技術
4.2.3 子技術
4.3 ATT&CK實踐操作與案例分析
4.3.1 ATT&CK在紅藍對抗中的應用
4.3.2 ATT&CK與威脅情報
4.3.3 ATT&CK與應急響應流程
【本章知識通關挑戰】
第5章 安全運營
5.1 安全運營概念
5.1.1 最小特權原則
5.1.2 職責分離
5.1.3 數據生命周期管理
5.1.4 人員安全
5.2 安全運營中心
5.2.1 安全運營中心職責
5.2.2 安全運營中心的作用
5.3 網絡安全等級保護
5.4 補丁和漏洞管理
5.4.1 補丁管理
5.4.2 漏洞管理
5.5 紅藍對抗
5.5.1 紅藍對抗概述
5.5.2 入侵檢測與響應
5.5.34 A統一安全管理平臺
5.5.4 入侵檢測與防禦系統
5.6 資產全生命周期管理
【本章知識通關挑戰】
第6章 數據安全治理
6.1 數據安全治理概述
6.1.1 數據安全治理概念
6.1.2 數據安全治理框架
6.2 數據全生命周期安全管理
6.2.1 數據基礎安全能力
6.2.2 數據分類分級
6.2.3 數據脫敏
6.3 數據安全治理實踐
【本章知識通關挑戰】
第7章 軟件供應鏈安全
7.1 軟件供應鏈安全概念
7.1.1 軟件供應鏈安全常見風險
7.1.2 軟件物料清單
7.1.3 開源許可證
7.2 軟件供應鏈安全治理
7.2.1 軟件供應鏈安全治理體系
7.2.2 軟件供應鏈安全實踐
【本章知識通關挑戰】
第8章 雲原生安全
8.1 雲原生安全概述
8.1.1 容器核心概念
8.1.2 容器編排平臺核心概念
8.1.3 容器編排平臺基本對象
8.2 雲原生安全風險
8.2.1 容器安全風險
8.2.2 Kubernetes安全風險
8.2.3 Kubernetes安全檢查清單
8.3 雲原生安全實踐
【本章知識通關挑戰】
第9章 災難恢覆計劃
9.1 災難的本質
9.1.1 自然災難
9.1.2 人為災難
9.2 系統容錯能力
9.2.1 電力系統容錯能力
9.2.2 數據庫容錯能力
9.3 IT災難恢覆計劃
9.3.1 數據備份策略
9.3.2 使用安全設備
9.3.3 災難恢覆即服務
9.3.4 備用站點
【本章知識通關挑戰】
第10章 安全工具
10.1 Burp Suite
10.1.1 創建工程
10.1.2 Burp Proxy
10.1.3 請求歷史記錄
10.1.4 Burp Repeater
10.1.5 Burp Intruder
10.2 安卓測試工具
10.2.1 安卓調試橋
10.2.2 Drozer框架
10.2.3 安卓應用反編譯工具
10.3 漏洞利用工具
10.4 Nmap
10.5 命令與控制工具
10.6 Frp反向代理工具
10.7 Webshell連接工具
【本章知識通關挑戰】
附錄 知識通關答案