前言

在互联网+的进程中，一方面互联网企业越来越多，另一方面由外部环境推动的或自发的安全意识越来越强，对安全建设的需求也越来越多，很多企业都开始招聘安全负责人，不乏年薪上百万元和几百万元的安全负责人职位，但事实是很多公司常年用高薪，都招不到合适的安全负责人，其中的原因有很多，比较客观的一条就是这个行业所培养的有互联网整体安全视角的人实在寥寥无几，而这些人大都不缺高薪，也不缺职位。我在“信息安全行业从业指南2.0”一文中曾经写过自2014年开始，安全行业的大部分高端人才都在互联网行业，为什么还是有那么多缺口？细想了一下有几个方面的因素：

❑ 过去，安全并不太受重视，安全从业者的职业发展瓶颈明显，很多拥有整体安全视角的人离开了安全行业转去做其他的事情了。

❑ 早年在乙方安全公司的人经历了给客户从零开始建设安全体系的过程，而后来进入乙方的毕业生，接触客户时大都已经有安全体系，无法体验从0到1的过程并从中学到完整的方法论，很多方法论甚至已“失传”，有些方法论原本就只集中在公司总部的一圈人手里，分支机构除了文档得不到“大象”。

❑ BAT这类企业安全也早已经过安全建设期，后来者分工很细，除了几个早已身居总监职位的老员工之外，大多数人无法得知安全体系的全貌，很多人离开了BAT也说不清自己责任之外的事情该怎么做。

❑ 二三线互联网企业中，很多团队所持有的安全体系并不完整，也不是业内最佳实践，有些甚至就是救火型团队，更难有体系化的积累。

❑ 当下的很多乙方安全公司，在互联网大潮的冲击下也面临着转型的挑战，要提供符合时代趋势的解决方案仍需努力。

❑ 在社区，目前大家都热衷攻防，而不是企业安全建设。攻击者、乙方、甲方之间仍然存在较大的鸿沟，彼此互相不屑，从社区里也多半只能挖掘到一些单点型的防御手法，即便好学的人订阅了所有的安全站点和微信公众号，恐怕也难以学会企业整体安全建设的方法。

基于以上种种原因，我明显感觉到有一堵墙存在于业界、社区、甲方、乙方、想学习的人和信息的不对称之间，我决定动手推倒这堵墙，所以就有了这本书。

首先本书聚焦于互联网行业的企业级安全解决方案、架构、方法论和建设思路，关于单点技术，市面上已经有很多书，所以本书内容大多不会围绕单点技术来讲，而是希望读者看完之后找到企业安全整体建设的那种感觉。即便是一个甲方安全工程师，也能从中学到互联网公司安全负责人的知识和视野，并以此为导航，逐步积累自己所需要的知识和技能，向更高的层级发展。

对于乙方安全公司的从业者而言，顾问们或许可以从中了解甲方的需求和工作，从而提供更加接地气的交付方案。对于产品设计和研发人员，本书展示的互联网安全架构有助于拓展传统安全的思路，不一定能直接复用，但也许能有所启发。

对于黑客技术爱好者，比较安全的道路仍然是从事安全，不可避免地也要学习这些，高级的渗透和攻击技巧都需要绕过防御手段，了解防御者思维是必须跨过的门槛。

本书同样适用于想了解企业安全建设的CTO、运维总监、研发总监、架构师。但本书内容都假设读者有一定的基础，对一些比较基础的名词和技术没有做太多的解释。

在出版这本书时由于时间和信息披露方面的限制，写出来的部分与我们原先期望的仍有不少差距，但另一方面我们希望像互联网产品的迭代方式一样，不追求完美，但求尽快面世，因此本书也难免带着各种bug上线，也欢迎各位读者的意见或建议。此外，我们计划在本书的第2版中进一步展开某些话题，并且更加系统化，同时会在业界最佳实践方面挑战另一个维度。

最后特别感谢本书的编辑吴怡自我在360工作时便找到我，建议我将网络中的文字写成书，让更多的人能读到。感谢另外两位作者江虎（ID:xti9er）和胡乾威（ID:Rayxcp）帮我分担了很多压力，使得此书能尽快面世。同时感谢netxfly@小米、职业欠钱@腾讯、clyde@电信云堤、终极修炼师@唯品会、laintoday@爱奇艺提供的帮助。