《企业安全建设指南：金融行业安全架构与技术实践》一书，已由机械工业出版社出版，京东有售。写书不易，感谢大家支持，希望安全行业越来越好。

购买链接： https://item.jd.com/12570616.html

或者打开京东首页，搜索“ 企业安全建设指南 ”关键字，多谢大家支持。

感谢责任编辑吴怡老师，非常专业，要求也很高，自2018年10月完稿后，一直在校对和修订， 好物需要打磨。

业内推荐

本书是作者在金融行业多年安全从业经验的总结和归纳，对企业信息安全架构设计和安全技术实践的方方面面做了系统的梳理，实操性很强，干货满满！可以说本书对金融行业信息安全从业人员和安全负责人都提供了一本行之有效的指南，可为案头常备工具书之一！

陈建，平安集团首席安全官

聂君为本书的读者提供了一个精彩而详细的计划，可以引导读者系统而全面的构架一个企业的安全体系。作者在工作中一直秉承着进取和务实的态度，这次能将自己多年的经验凝练总结成册，是非常有参考价值的。推荐对企业安全建设有兴趣的读者阅读。

杨勇（ Coolc ），腾讯安全平台部负责人

本书是市场上罕见的较为系统化论述企业安全全局建设方法的书，对金融和其他行业的从业来说都是不错的专业参考读物。

赵彦，美团安全部高级总监

在国内，具备甲方经验、有防御体系建设能力和实战经验的人才非常稀缺，随着网络安全的重要性日益提升，安全人才市场缺口突显。本书出版恰逢其时，不仅系统介绍了企业信息安全建设的方方面面，同时作者以多年金融行业的安全实战为背景，给读者带来大量精彩案例，是网络安全从业人员手头不可缺少参考手册。

董志强，腾讯安全云鼎实验室负责人

信息安全是悬在现代企业头顶的达摩克利斯之剑。信息安全涉及到企业的各个犄角旮旯，一不小心就是大坑，不出事价值很难说清，出了事却要忙着背锅，要做好尤其不易。聂君的这本书从金融行业的实践出发，通透的论述了企业信息安全的方方面面，在理念和方法上有着深入的思考和认知，在实战上有着丰富的结合国情的一手经验，为安全从业者理出了清晰的脉络，是一本行业急需的经验总结，也是一本非常好的工具书。

韦韬（Lenx），百度首席安全科学家，北大客座教授

大安全的视野与格局，内容深入浅出，结合实践经验的分享，把大安全的各个方面进行了体系化的总结，理论不散、实践不浮，体现了作者多年积累与思考，为各类金融企业提供了可参考借鉴的安全框架与实务手册。

吴树鹏，火币集团首席安全官

金融行业的本质是在经营风险，受到的监管合规管制也最严格。阅读此书，仿佛和聂君、何扬军2位资深的安全从业人员，进行了一场酣畅淋漓的对话，又好像瞬间吸收了他们的功力，得以窥探金融领域安全实践的冰山一角。不论是大型互联网企业的安全管理者，还是初入行业的新人，本书都具有极大的参考意义，值得细细品读学习。

赵弼政（职业欠钱），美团基础设施安全负责人

金融行业一直是 IT 高度发展的一个领域，同时也是数据资产高度集中的一个行业。在这种背景下，金融行业相对其他行业，对于安全的重视程度普遍较高，安全技术和管理能力都更胜一筹。聂君这本系统介绍了金融企业安全建设的方方面面，既有技术上对抗上的，也有管理运营上的，对于其他行业的安全从业者也具有很好的指导价值。

兜哥，百度安全基础架构安全负责人，《 web 安全之机器学习入门》作者

感谢聂君提前邀请我阅读此书，这是一本甲方安全视角的经验之谈，读完后受益匪浅。今年上半年我们团队办了一场深度的 Red Team 闭门培训，他是学员中唯一一个甲方安全人员，当时他说他希望多吸收攻击者视角的手法，可以促进他们的安全工作。而读了此书，对我来说是大量吸收了防御者视角的经验，对我们以攻促防的安全建设思路来说是一次绝佳的促进机会。再次感谢。

余弦，Joinsec Team & 慢雾科技联合创始人

许多信息安全的从业者受限于学习和工作的经历，没有机会洞悉信息安全的全貌，对于职业的规划和方向感到迷茫；许多企业的CEO，CTO和信息化负责人重视信息安全但因缺少专业背景和知识，不知道企业安全岗位应该如何设置，安全建设应该如何开展。本书的几位作者在企业信息安全建设，尤其是金融企业安全建设方面有着丰富的实践经验，相信对于希望从事企业信息安全建设的朋友会有很大帮助。

薛锋，微步在线CEO

篇幅所限，未一一列出。

前言

安全从业以来，我一直在甲方从事企业安全建设工作。由于信息技术和安全技术日新月异发展，我一直在学习之路上奔跑。看过很多书，听过很多演讲，大部分是在技术上立足于零碎的技术点、工具使用手册和攻击过程演示，少数又属于理论性和学术性太强的教科书，很少关注如何将安全技术更好的应用在不同规模，不同阶段的企业中，也就是企业安全最后一公里问题。在企业做安全，安全管理和安全技术，都需要通过安全实践去落地，并最终实现安全有效性的提升。

安全领域众多，作为企业安全负责人，关注的重点是如何使企业安全建设更加有效，例如安全价值、安全如何保障业务、安全合规、安全总结汇报、安全考核、安全度量、资产管理等领域工作具体如何落地实践。企业安全建设的很多话题和讨论，看起来并不是高大上，但却是解决实际问题必须的，这样能给大家的实际工作帮助更大一些，甚至很多属于“保命”的知识和技能。可是，恰恰是安全实践这部分很有价值的内容，被市场选择性的忽略了。

企业安全建设中另一个重点是安全运营。企业负责人和IT部总经理，经常会问：什么样的安全是安全的？我见过一些企业做安全，部署了各种安全设备，设计了各种安全管理措施和流程，领导也很支持，雷厉风行，安全预算和安全人员也都给足，结果还是出问题，归根结底是安全有效性出了问题。设备部署了，异常告警规则做好了吗？告警正常吗？设备依赖的条件，比如镜像的流量一直正常吗？了解安全保护的业务吗？能看懂告警日志的人有吗？是否依赖于安全人员的责任心在做安全监测和告警处理？有没有实现安全穿透性检测，验证技术、人员、流程、管理中是否存在失效点？如果不做安全穿透性检测，安全有效性就是个概率，靠运气活着。

要将安全性当做可用性来运营，安全才是有效的。 目前制约安全运营发展的最大因素有两点，一是没有特别好的商业化工具，能够结合企业内部的流程和人员，提高安全运营效率。二是一万个安全负责人心中有一万个安全运营，打法思路各异，没有形成统一的安全运营标准。安全运营这部分很有价值的内容，很遗憾和安全实践一样，也被市场选择性的忽略了。

书本和市场提供不了这些知识和技能，我只能求教于同行。我的从业经历主要在银行和证券，因此每年我都会和行业同仁进行拜访学习交流。除了金融业，我们也向互联网行业公司学习，从中确实获益良多。不同行业、企业的规模、面临的风险威胁、企业文化和实际需求、安全投入不同，造成风格迥异，安全建设之路也有很大差异，但做得好的企业都侧重解决实际安全问题，日拱一卒，积极实践，因此愈发坚定我对安全实践和安全运营的探索。

利用工作生活之余的闲暇时间，我维护了“君哥的体历”公众号和“金融业企业安全建设实践”微信群，将我从业十余年的一些体验和经历分享出来，抛砖引玉，启发更多企业安全负责人的思考和分享讨论，并将有价值的内容沉淀在知识星球（公众号、微信群、知识星球联系方式见文末），为越来越多的人带来了一些价值和帮助。

这种分享，我理解为也是一种“开源”精神，代码和项目开源很常见，体验和经历开源不多见，尤其是比较体系化的将如何在企业做安全建设的思路和实践开源，需要静下心来归纳总结提炼，在平常繁重的工作任务和需要全身心投入陪伴俩娃的同时，要做好“企业安全建设”这个开源项目，难度和挑战更大。过程中，有如西湖惬意的微风，也有如沙漠般的烈日当头。不忘初心，方得始终。初心易得，始终难守。幸好我遇到了两位志同道合的伙伴，我们彼此共同努力和坚持，克服了各种困难，才有此书的面世。

在某个年纪之前，你可以靠透支身体、小聪明和老天给你的运气一直取巧的活着。然而到了某个年纪之后，真正能让你走远的，是自律、积极和勤奋。人生最美好的，莫过于各种经历和难忘的体验，过程比较痛苦的，结果都还比较好。如果大家和我一样，在企业做安全中遇到各种颇为“痛苦”的体历，过后你一定会感谢和怀念这份体历的。

致谢

感谢我的妻子，在最美丽的时候与我相遇，我的人生才充满了甜蜜快乐和多姿多彩。感谢她在我遭遇挫折和失败的时候默默支持着我，使我在迷茫和困惑的时候仍然能够鼓起勇气，看清方向。感谢生命中最可爱的两个宝贝，让我每一天都充满快乐和希望。

感谢我的父母，是他们养育了我。感谢我的父母和岳父岳母，帮忙照顾我的家庭，并一直支持我的事业，使我最终能有机会写下这些话。