前言

在互聯網+的進程中，一方面互聯網企業越來越多，另一方面由外部環境推動的或自發的安全意識越來越強，對安全建設的需求也越來越多，很多企業都開始招聘安全負責人，不乏年薪上百萬元和幾百萬元的安全負責人職位，但事實是很多公司常年用高薪，都招不到合適的安全負責人，其中的原因有很多，比較客觀的一條就是這個行業所培養的有互聯網整體安全視角的人實在寥寥無幾，而這些人大都不缺高薪，也不缺職位。我在“信息安全行業從業指南2.0”一文中曾經寫過自2014年開始，安全行業的大部分高端人才都在互聯網行業，為什么還是有那么多缺口？細想了一下有幾個方面的因素：

? 過去，安全并不太受重視，安全從業者的職業發展瓶頸明顯，很多擁有整體安全視角的人離開了安全行業轉去做其他的事情了。

? 早年在乙方安全公司的人經歷了給客戶從零開始建設安全體系的過程，而后來進入乙方的畢業生，接觸客戶時大都已經有安全體系，無法體驗從0到1的過程并從中學到完整的方法論，很多方法論甚至已“失傳”，有些方法論原本就只集中在公司總部的一圈人手里，分支機構除了文檔得不到“大象”。

? BAT這類企業安全也早已經過安全建設期，后來者分工很細，除了幾個早已身居總監職位的老員工之外，大多數人無法得知安全體系的全貌，很多人離開了BAT也說不清自己責任之外的事情該怎么做。

? 二三線互聯網企業中，很多團隊所持有的安全體系并不完整，也不是業內最佳實踐，有些甚至就是救火型團隊，更難有體系化的積累。

? 當下的很多乙方安全公司，在互聯網大潮的沖擊下也面臨著轉型的挑戰，要提供符合時代趨勢的解決方案仍需努力。

? 在社區，目前大家都熱衷攻防，而不是企業安全建設。攻擊者、乙方、甲方之間仍然存在較大的鴻溝，彼此互相不屑，從社區里也多半只能挖掘到一些單點型的防御手法，即便好學的人訂閱了所有的安全站點和微信公眾號，恐怕也難以學會企業整體安全建設的方法。

基于以上種種原因，我明顯感覺到有一堵墻存在于業界、社區、甲方、乙方、想學習的人和信息的不對稱之間，我決定動手推倒這堵墻，所以就有了這本書。

首先本書聚焦于互聯網行業的企業級安全解決方案、架構、方法論和建設思路，關于單點技術，市面上已經有很多書，所以本書內容大多不會圍繞單點技術來講，而是希望讀者看完之后找到企業安全整體建設的那種感覺。即便是一個甲方安全工程師，也能從中學到互聯網公司安全負責人的知識和視野，并以此為導航，逐步積累自己所需要的知識和技能，向更高的層級發展。

對于乙方安全公司的從業者而言，顧問們或許可以從中了解甲方的需求和工作，從而提供更加接地氣的交付方案。對于產品設計和研發人員，本書展示的互聯網安全架構有助于拓展傳統安全的思路，不一定能直接復用，但也許能有所啟發。

對于黑客技術愛好者，比較安全的道路仍然是從事安全，不可避免地也要學習這些，高級的滲透和攻擊技巧都需要繞過防御手段，了解防御者思維是必須跨過的門檻。

本書同樣適用于想了解企業安全建設的CTO、運維總監、研發總監、架構師。但本書內容都假設讀者有一定的基礎，對一些比較基礎的名詞和技術沒有做太多的解釋。

在出版這本書時由于時間和信息披露方面的限制，寫出來的部分與我們原先期望的仍有不少差距，但另一方面我們希望像互聯網產品的迭代方式一樣，不追求完美，但求盡快面世，因此本書也難免帶著各種bug上線，也歡迎各位讀者的意見或建議。此外，我們計劃在本書的第2版中進一步展開某些話題，并且更加系統化，同時會在業界最佳實踐方面挑戰另一個維度。

最后特別感謝本書的編輯吳怡自我在360工作時便找到我，建議我將網絡中的文字寫成書，讓更多的人能讀到。感謝另外兩位作者江虎（ID:xti9er）和胡乾威（ID:Rayxcp）幫我分擔了很多壓力，使得此書能盡快面世。同時感謝netxfly@小米、職業欠錢@騰訊、clyde@電信云堤、終極修煉師@唯品會、laintoday@愛奇藝提供的幫助。