序三

企業(yè)信息安全是一個常說常新、永無止境的話題，所有人都知道信息安全的重要性，但在不出問題之前，很多企業(yè)面對信息安全還是難免會有能省則省、能拖則拖的心態(tài)。近些年來，以互聯(lián)網(wǎng)為代表的各類信息網(wǎng)絡(luò)作為關(guān)鍵基礎(chǔ)設(shè)施的重要性日益凸顯，國內(nèi)外不同行業(yè)也出現(xiàn)大量信息安全事件：2015年法國某電視臺遭受大規(guī)模網(wǎng)絡(luò)攻擊，旗下各個電視頻道、網(wǎng)站停播長達數(shù)小時；某國際知名酒店集團于2018年、2020年兩次披露其數(shù)據(jù)庫被入侵，泄露酒店客人數(shù)據(jù)約4億條；2017年勒索病毒在全世界范圍內(nèi)爆發(fā)，國內(nèi)教育、醫(yī)療等多個行業(yè)受到影響……，這些事件給很多企業(yè)帶來災(zāi)難性的影響，但也反向刺激了各類企業(yè)實質(zhì)性地對信息安全加大投入、加強管理，正如作者在本書的第三部分運營篇中指出的，企業(yè)安全工作可以劃分為四個階段：起步階段，安全崗位聊勝于無；積累階段，成立了專職安全部門可是人員編制太少、工作推進緩慢；再到安全團隊擴編、內(nèi)部體系磨合階段，安全治理效果仍然難以有質(zhì)的變化，非安全體系的技術(shù)人員仍然只是將安全作為低優(yōu)先級的工作，安全體系人員也只是關(guān)注工作量、難以關(guān)注結(jié)果；最后再到第四階段，從關(guān)注工作量到關(guān)注結(jié)果，強調(diào)結(jié)果導(dǎo)向、帶來價值。以個人所觀察到的，大多數(shù)企業(yè)還只是在第一階段到第二階段艱難徘徊，一部分企業(yè)正在第三階段到第四階段尋求突破，在這種形勢下，本書作者根據(jù)其多年安全從業(yè)實踐經(jīng)驗及深刻思考總結(jié)所得的這本《企業(yè)信息安全建設(shè)之道》給我們帶來了全方位的啟示和指導(dǎo)。

相比很多一上來就論述分析諸多艱深復(fù)雜的技術(shù)的安全類書籍，作者通過本書向讀者充分展示了在企業(yè)信息安全領(lǐng)域“做正確的事”（Do right thing）和“把事做正確”（Do thing right）的關(guān)系和細節(jié)，本書從思路篇開始到運營篇結(jié)束，中間的技術(shù)篇廣泛而深入地涉及了“攻擊面管理、漏洞管理、主機安全、威脅管理、應(yīng)急響應(yīng)、安全服務(wù)、重要保障期、業(yè)務(wù)安全”各個部分，深刻地揭示了企業(yè)信息安全治理的總體思路、運營方法、技術(shù)運行和工具平臺。

作者通過這些深入淺出的思考和總結(jié)，幫助讀者快速建立起一個企業(yè)信息安全建設(shè)業(yè)務(wù)和技術(shù)的整體觀，從而對各個專項領(lǐng)域有了深刻的洞察，只言片語間常讓人有“審堂下之陰，而知日月之行”的領(lǐng)悟。作者在本書第三部分運營篇開篇中提到：“我們本以為安全已經(jīng)做得不錯了，但是安全事件的發(fā)生概率還是沒有質(zhì)的下降。究其原因，是非安全部門的工程師將安全工作當成是低優(yōu)先級的、錦上添花的工作，沒事的時候可以去做，但是一旦忙起來，安全相關(guān)的工作肯定是往后推的，不幸的是，他們一般來說都很忙。而安全部門的工程師只關(guān)注工作量，還沒有對結(jié)果負責的想法。比如，滲透測試工程師只關(guān)注今天挖了幾個洞，而不關(guān)心修復(fù)漏洞的情況，因為這是運維和開發(fā)的事，你就是不修，我也沒辦法。而負責威脅檢測的工程師在多次提示同一個惡意IP而得不到回應(yīng)后也就把這個IP加白名單了。這種情況下，安全事件當然是無法避免的。”相信很多有企業(yè)信息安全一線實踐經(jīng)驗的讀者讀到這里都難免和我一樣發(fā)出會心的苦笑，而同時作者不僅是提出問題，更進一步對脆弱性管理、威脅檢測、防御能力制定了覆蓋率、準召率（準確率和召回率）、復(fù)發(fā)率、時效性五個指標。常常有人說安全是“三分技術(shù)、七分管理”，也有人說制約企業(yè)信息安全問題的根本常常是在體制機制上，這些話都對，但幾乎沒有人會告訴我們該怎么去解決這些管理問題。我認為作者所提出的以“覆蓋率、準召率、復(fù)發(fā)率、時效性”為代表的安全運營指標體系至少在信息安全治理領(lǐng)域給出了真正的答案，深度結(jié)合了技術(shù)和管理，對信息安全乃至整個業(yè)務(wù)運維的各級管理者們來說都有重大參考意義，這其實是提供了一套可落地的考核體系，抓到了信息安全治理的“牛鼻子”了。本書作者幾乎窮盡了企業(yè)信息安全工作中所有可能遇到的問題，安全從業(yè)人員只要按照書中總結(jié)的指導(dǎo)思想和方法框架推進，自然就能找到各類信息安全難題的解決之道。

我和作者同屬一個行業(yè)系統(tǒng)，雖然日常見面機會不多，但是共同語言很多，每次和他交流，都能受益良多，這次更是通過本書更加系統(tǒng)性地獲得了他在企業(yè)信息安全建設(shè)方面的經(jīng)驗啟示。讀好書是快速拓寬思想、提升洞察力和執(zhí)行力的捷徑，唯讀書能改變氣質(zhì)，通過本書，我們對企業(yè)信息安全建設(shè)的認知又一次得到了提升，期待作者未來不斷給我們帶來更多思想和智慧的啟示。

——深圳廣播電影電視集團技術(shù)中心網(wǎng)絡(luò)技術(shù)部副主任 查亞東

2020年6月