网络安全治理：基于DEVSECOPS的理论与实践

本书以DevSecOps理论为指导，系统阐述了网络安全治理方案，内容涵盖网络安全治理的原则、DevSecOps简介、安全测试、ATT&CK知识库、安全运营、数据安全治理、软件供应链安全、云原生安全、灾难恢复计划，以及安全工具。本书结合国内外优秀案例详细介绍了如何建设一个高效、敏捷的网络安全治理体系。
多位行业大咖共同打造的网络安全治理手册。
聚焦软件全生命周期安全、剖析各行业真实攻防案例、解析大模型安全风险、打造DevSecOps实战手册。

本书以DevSecOps理论为指导，系统阐述了网络安全治理方案，内容涵盖网络安全治理的原则、DevSecOps简介、安全测试、ATT&CK知识库、安全运营、数据安全治理、软件供应链安全、云原生安全、灾难恢复计划，以及安全工具。本书结合国内外优秀案例详细介绍了如何建设一个高效、敏捷的网络安全治理体系。观点鲜明、内容完善，为组织的安全体系建设提供了完整的解决方案。
本书可作为网络安全从业人员和企业管理者学习网络安全治理的实用指南，也可作为高校信息安全相关专业的参考教材和企业内训资料。
本书配有教学资源包，包括电子课件、习题答案等，获取方式见封底。

高尉峰，毕业于西北工业大学，具有多年网络安全行业从业经验，曾主导多个重点安全项目，由他打造的DevSecOps实践方案在业内获得广泛认可，荣获质量竞争力大会DevSecOps优秀案例奖，曾受邀并担任北京DevOps社区和质量竞争力大会演讲嘉宾。在科研与创新方面，已荣获多项涉及安全产品设计的专利，研究方向涵盖APT攻防对抗、大模型安全、ATT&CK知识库的落地方法、安全测试工具研发、SDL与DevSecOps的优秀实践，以及安全产品架构设计。参与了网络安全行业多项安全标准的制定工作，多次带领团队负责政务领域的重大安全事件应急响应，具有丰富的入侵检测与红蓝对抗经验。

薛瑶，毕业于西安电子科技大学，现任信安世纪高级安全研究员，长期从事渗透测试技术研究，曾获得多个NVDB、CVE证书，具备扎实的渗透测试与漏洞分析能力。曾荣获AI安全全球挑战赛三等奖，曾主导多个金融行业关键信息基础设施的渗透测试项目，发现并协助修复多个高危漏洞。

卢中阳，在应用安全、DevSecOps等领域拥有十年以上工作经验。2020年创立火线安全，任联合创始人兼CTO，主导研发并推出了全球首款开源的交互式应用安全测试产品洞态IAST，已在全球20多个国家实现部署和应用。现任基调听云安全产品线总经理，全面负责基调听云安全业务线工作，主导推出了应用安全态势管理产品安云。

陈胜楠，具有多年网络安全行业从业经验，具备丰富的制造业信息安全建设经验和APT攻防对抗经验。曾多次以攻防专家身份参与市级攻防演练，均获得前三名佳绩。曾位列网易SRC漏洞排行榜第一。曾担任亚运会网络安保组工控安全检查专家，负责大型赛事关键信息基础设施的安全保障工作，并多次收到某市公安局感谢信。

唐飞，四重根创始人兼总经理、中国敏捷教练联盟认证教练、PMP注册项目经理。拥有22年研发管理经验，在核心网安全领域深耕多年，国际DevDocOps理念首倡者，相关成果入选ICSE大会，打造“象文”国产替代结构化写作平台，推动国内文档安全策略与数字化治理实践。

序
前言
第1章网络安全治理的原则/00
1.1网络安全特性简介/00
1.1.1保密性的概念和实施措施/00
1.1.2完整性的概念和实施措施/00
1.1.3可用性的概念和实施措施/00
1.2网络安全治理原则/00
1.2.1网络安全治理计划/00
1.2.2网络安全治理的流程/00
1.2.3安全专业人员的角色与责任/00
1.3安全模型的基本概念/00
1.3.1零信任模型/00
1.3.2Bell-LaPadula模型/00
1.4身份验证和身份管理/00
1.4.1实施和管理授权机制/00
1.4.2实施身份管理/0
1.5安全策略和安全基线/0
1.5.1安全策略/0
1.5.2安全基线/0
【本章知识通关挑战】/0
第2章DevSecOps简介/0
2.1DevSecOps概述/0
2.1.1SDL/0
2.1.2DevSecOps的概念/0
2.1.3DevSecOps成熟度评估模型/0
2.2威胁建模的概念和方法/0
2.2.1安全术语/0
2.2.2识别威胁和脆弱性/0
2.3安全设计/0
2.3.1安全设计规范/0
2.3.2DevSecOps实践/0
【本章知识通关挑战】/0
第3章 安全测试/0
3.1安全测试方法/0
3.1.1渗透测试/0
3.1.2白盒安全测试/0
3.1.3安卓应用安全测试/0
3.1.4交互式应用安全测试/0
3.2大模型安全测试/0
3.2.1大模型安全测试方法/0
3.2.2大模型赋能安全测试/0
【本章知识通关挑战】/0
【实验室任务】/0
第4章 ATT&CK知识库/0
4.1ATT&CK知识库/0
4.1.1ATT&CK知识库的概念/0
4.1.2ATT&CK框架与其他框架的区别/0
4.1.3ATT&CK框架相关术语/0
4.2ATT&CK框架的战术、技术及子技术/0
4.2.1战术/0
4.2.2技术/0
4.2.3子技术/0
4.3ATT&CK实践操作与案例分析/0
4.3.1ATT&CK在红蓝对抗中的应用/0
4.3.2ATT&CK与威胁情报/0
4.3.3ATT&CK与应急响应流程/
【本章知识通关挑战】/
第5章 安全运营/
5.1安全运营概念/
5.1.1最小特权原则/
5.1.2职责分离/
5.1.3数据生命周期管理/
5.1.4人员安全/
5.2安全运营中心/
5.2.1安全运营中心职责/
5.2.2安全运营中心的作用/
5.3网络安全等级保护/
5.4补丁和漏洞管理/
5.4.1补丁管理/
5.4.2漏洞管理/
5.5红蓝对抗/
5.5.1红蓝对抗概述/
5.5.2入侵检测与响应/
5.5.34A统一安全管理平台/
5.5.4入侵检测与防御系统/
5.6资产全生命周期管理/
【本章知识通关挑战】/
第6章 数据安全治理/
6.1数据安全治理概述/
6.1.1数据安全治理概念/
6.1.2数据安全治理框架/
6.2数据全生命周期安全管理/
6.2.1数据基础安全能力/
6.2.2数据分类分级/
6.2.3数据脱敏/
6.3数据安全治理实践/
【本章知识通关挑战】/
第7章 软件供应链安全/
7.1软件供应链安全概念/
7.1.1软件供应链安全常见风险/
7.1.2软件物料清单/
7.1.3开源许可证/
7.2软件供应链安全治理/
7.2.1软件供应链安全治理体系/
7.2.2软件供应链安全实践/
【本章知识通关挑战】/
第8章 云原生安全/
8.1云原生安全概述/
8.1.1容器核心概念/
8.1.2容器编排平台核心概念/
8.1.3容器编排平台基本对象/
8.2云原生安全风险/
8.2.1容器安全风险/
8.2.2Kubernetes安全风险/
8.2.3Kubernetes安全检查清单/
8.3云原生安全实践/
【本章知识通关挑战】/
第9章 灾难恢复计划/
9.1灾难的本质/
9.1.1自然灾难/
9.1.2人为灾难/
9.2系统容错能力/
9.2.1电力系统容错能力/
9.2.2数据库容错能力/
9.3IT灾难恢复计划/
9.3.1数据备份策略/
9.3.2使用安全设备/
9.3.3灾难恢复即服务/
9.3.4备用站点/
【本章知识通关挑战】/
第10章 安全工具/
10.1Burp Suite/
10.1.1创建工程/
10.1.2Burp Proxy/
10.1.3请求历史记录/
10.1.4Burp Repeater/
10.1.5Burp Intruder/
10.2安卓测试工具/
10.2.1安卓调试桥/
10.2.2Drozer框架/
10.2.3安卓应用反编译工具/
10.3漏洞利用工具/
10.4Nmap/
10.5命令与控制工具/
10.6Frp反向代理工具/
10.7Webshell连接工具/
【本章知识通关挑战】/
附录知识通关答案/