几个月没登陆了,这次回归也是受友人所托来随便写写。
大家都知道,最近著名安全专家、安全团队ph4nt0m创始人、《白帽子讲Web安全》作者大风(又名道哥、刺、axis)出了一本新书,名叫《计算》,这本书从基础数学理论开始讲起,旁征博引娓娓道来 —— 它告诉我们,万丈高楼平地起,一切都要从基础开始。
是的,所以我就特别推荐这本由基于量子透明计算的自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群(简称“蓝星群”)核心成员吗啡(马金龙,新浪安全专家,以下亲切称呼其为“龙龙”)新出的阐述企业信息安全体系建设的书——《企业信息安全体系建设之道》。这本书从基础信息安全理论知识出发,又结合龙龙十余年安全从业经验,既有理论又有实践,朴实又无华,是一本不错的专业读物。当然,本书唯一的缺点就是稍微有点过于朴实无华,这几年的新概念新术语提得比较少。
我与本书颇有渊源。前年有一天,我看到龙龙很黯然很销魂地在群里说写了一些工作感悟,我就去要过来看。哇,结果发现整整一个几百页的PDF文档。快速浏览下来觉得还不错,所以就鼓励他出书,还给他介绍了出版社编辑,时不时还追问一下进度(催进度这事我最拿手啦)。龙龙也争气,经过一年时间的打磨,虽然中途遇到各种变化数易其稿,不过现在终于问世了。
我与龙龙认识十几年了,记得当年去北京参加一个会议,中午一行人聚会,一个年纪看起来比较大的人自我介绍,我叫吗啡,大家多多关照。我说,啊,你就是吗啡啊,群里就你话最多.....哈哈,如果大家喜欢听他唠叨可以去他公众号看看。
总之,多的话不说,写书不易,有缘人就支持龙龙一下吧。(点击下图进入京东小程序直接购买)
龙龙的书得到诸多大佬指导,值得拥有
附:我为本书写的序
马金龙(吗啡)是资深的安全从业者,有超过十五年的网络安全从业经验,目前在大型互联网企业负责信息安全工作。我和吗啡也认识很多年,大家经常会在群里一起探讨企业信息安全体系建设的思路、经验和问题,他也经常会分享一些从业经验和个人心得,读下来让人有新的思路。
某天吗啡抛出一个长篇手册,才知道他花了近一年时间结合个人实践把企业信息安全体系建设经验总结梳理出来了,洋洋洒洒二十几个章节,几乎可以成书了——不得不佩服他对安全的执着与热爱。
回到本书的内容。
本书围绕安全基础、安全管理、安全技术和安全运营四个部分依次展开阐述,结合个人实践经验详细的、深入浅出的讲述了企业在各部分应该如何着手,既有理论指导又有实践经验,可以说是一本普适的信息安全体系建设指导手册,适合广大信息安全从业者们反复阅读和思考。
本书在过去的信息安全理论上也有所创新。我从刚刚参加工作时就听说过信息安全“三分技术、七分管理”的指导思想,但是吗啡能够不落窠臼,把安全运营提升到与安全管理、安全技术并重的地位,并花大笔墨讲述安全运营工作,这是很好的点。以我多年的从业经验看到的一些情况,很多组织其实有非常全面的安全管理规章制度,也部署了各类安全技术产品,但是还是发生了安全事故。那是为什么呢?重建设轻运营而已。也就是说,很多企业的规章制度、安全产品都被束之高阁,并没有人去真正去执行和使用。所以我认为,安全团队应当重视安全运营的作用,并通过安全运营不断地去完善、优化自身的安全体系。
同时,本书也介绍了近些年来安全领域出现的一些新理念新理论,如DevSecOps、零信任、XDR等,也让读者有所了解,有兴趣的读者可以再去延伸阅读。当然了,这些理念/理论每一个拿出来都可以再写一本书,是不是可以期待吗啡及其小伙伴们有机会继续写呢?
总之,写书不易,佩服坚持的吗啡,也期待本书能够给读者带来一些新的东西。
lake2
2023年2月
于 flyh4t 称赞老板娘漂亮的菩提书坊