前言

為什么寫這本書

我擔任網絡安全咨詢顧問多年，在為客戶提供服務的過程中，經常遇到形形色色的問題，比如：我們企業的網絡安全建設目前處于行業中什么水平？是否可以對我們企業的網絡安全能力做一個可量化的評估？在軟件能力成熟度模型（Capability Maturity Model，CMM）還沒有引入國內的時候，很多從事軟件開發的公司都面臨同樣的困惑。

從業多年，我發現很多企業雖然制定了中長期網絡安全規劃，但是執行落地的過程與規劃相差甚遠。這可能是兩方面原因造成的：一方面是前期規劃設計太“超前”，無法真正落地；另一方面是企業網絡安全團隊不能深入理解規劃設計的內容，在產品采購、集成方面沒有按照規劃來實現。企業想要實現網絡安全長期、有序地發展，除了可以借助外部咨詢團隊，更關鍵的是要將業務發展需求與網絡安全戰略相結合。

我認為企業可以借鑒軟件開發過程中的CMM理論，首先通過對標一些標準化指標體系，了解自身的安全能力，然后依據不同層級的指標體系，對安全能力進行規劃。也就是說，依據指標體系評估企業自身的網絡安全能力并分析差距，再根據評估結果和參照指標持續地完善網絡安全能力。

作為有20多年網絡安全領域從業經驗的人，我認為國內的網絡安全市場需要有符合中國國情的網絡安全能力成熟度模型，一方面可以解決企業在網絡安全建設過程中遇到的問題，另一方面，通過倡導國內形成網絡安全能力成熟度理念，引起國內網絡安全從業者的討論與共鳴，推動網絡安全能力成熟度模型的發展。

本書特點

本書著重介紹網絡安全防御體系的能力建設。我將結合多年網絡安全從業經驗，運用軟件開發成熟度模型理論，對國內外主流的網絡安全框架（例如ISO27000、NIST 800、等級保護、自適應安全架構、網絡安全滑動標尺模型）進行分析，旨在為各類機構評估自身安全能力提供參考。

此外，本書對模型的解讀不像同類書那么晦澀難懂，而是采用了成熟的CMM理論，為每個網絡安全能力成熟度等級梳理出清晰的目錄、域、關鍵目標和具體實踐活動，幫助企業結合自己的情況，評估網絡安全短板，依據實踐指標加以完善，并合理開展后續的網絡安全建設。

如何閱讀本書

本書內容從邏輯上分為3個部分。

第一部分（第1章）主要介紹網絡安全能力成熟度模型的理論，幫助讀者建立一個初步的認識。如果讀者對這些模型已有了解，可以直接閱讀后面的內容。

第二部分（第2和3章）詳細介紹網絡安全能力成熟度模型的架構、演變過程、維度等內容。

第三部分（第4～7章）介紹一些企業案例，并對網絡安全能力成熟度模型的每個層級的最佳實踐加以說明。

讀者對象

本書適合首席信息安全官、網絡安全經理等從事網絡安全規劃及相關工作的人員閱讀。

勘誤和支持

由于水平有限，書中難免出現一些錯誤或者不準確的地方，懇請讀者批評指正。我的聯系方式是tylin@126.com。

致謝

出書是一個浩大的工程，在寫作期間，我遇到了很多困難，歷經數月才艱難完成。借此機會感謝所有對本書順利出版提供幫助的朋友和家人，是他們一如既往的鼓勵和支持，才讓我有動力完成本書的編寫。

特別感謝在工作當中給予我支持的同事，也感謝機械工業出版社華章公司的編輯，他們為本書的寫作提供了寶貴的意見。

林寶晶

2021年6月