序二

隨著計算機的普及，“信息安全”這個話題不再局限于之前的圈子，成為全社會關注的熱點。很多人開始了解信息安全是出于好奇，覺得那些“別人家的病毒”和各種黑客故事聽起來很好玩。后來大家發現自己也是受害者：隱私泄露、錢財被偷、遭到詐騙等。如今，信息安全甚至成了令整個世界感到恐慌的事情。在我參加的很多訪談或者公開演講的最后，經常會被問到一個問題：“能否告訴我們，普通人該怎么保護自己的信息安全？”每當這個時候，我都會說，其實我們每個人面對網絡空間安全威脅的時候都是很無助的。我們能夠做的就是提高安全意識，避免犯低級錯誤，但是要真正解決問題，營造更加安全的網絡空間，需要政府、企業、機構等社會力量的共同努力。這一點，和這本書的出發點是一致的：企業有義務、有責任做好自己的信息安全。

信息安全是個非常復雜的問題，極具挑戰性。企業的信息安全部門經常陷入兩難：不出事的時候要不到資源來做好工作，出事的時候老板會覺得是安全部門的工作沒做好。所以，業內有時候會戲稱公司的首席信息安全官為“背鍋俠”：出了事情先把你開掉，以平息外界壓力。

然而，各行業對信息安全的需求不斷增加，信息安全工作變得日益重要。如今，全世界正在進入以信息化、網絡化、智能化為基本特點的新時代，每個企業都在積極抓住這次機會做數字化轉型，每個領域都在面臨天翻地覆的變化。在這個過程中，信息安全挑戰將變得更加突出和復雜，企業也日漸理解：信息安全不僅是做給別人看的，更是企業生存的基石。安全工作做不好，企業不但可能遭受處罰，還可能成為網絡犯罪產業的犧牲品，甚至喪失消費者與合作伙伴的信任，一夜之間破產。

這本書為如何做好企業信息安全工作提供了一個邏輯比較完整的介紹，都是圍繞實際工作中會遇到的現實問題展開的，具有很好的可讀性。對于企業信息安全工作人員來說，這本書是一個不錯的參考。

不過，信息安全的本質是人和人的對抗，這也是安全工作充滿挑戰的根本原因之一。在這個世界里，只靠“牛頓定律”是無法完成任務的，《孫子兵法》經常更加重要。因此，從事信息安全工作的人需要不斷調整自己，不能機械地學習。

信息安全是一門交叉學科，相對其他領域也很不成熟，甚至很多概念都不統一。例如本書用的“信息安全”這個概念，大家就為其爭論了很多年，我建議讀者不用在概念上較真為什么不是“網絡安全”或者“數據安全”等。針對“黑客”這個概念，大家也有不同理解，對很多人來說，“黑客”是個中性詞，指的是在技術上不斷探索，發現信息產品技術上的安全漏洞的人。發現別人的安全問題，有的人會用其幫助改進產品，避免漏洞被壞人利用實施破壞，有的人則可能將其用于網絡攻擊。安全工作離不開前面這種“黑客”，現實中也有大量這樣的研究人員（或者叫“白帽子”），他們每天都在為保護網絡空間安全做貢獻。

所以，這個充滿挑戰、不斷變化、不可或缺的領域，是否吸引到你了呢？

杜躍進

360 集團首席安全官

大數據協同安全技術國家工程實驗室常務副主任