前言

十多年前，如果有人說自己從事信息安全工作，大概率是不會被人理解的。畢竟在那時候，大多數人剛剛接觸計算機和網絡，連“沖浪”都是個罕見的概念，自然也就很難把“信息”和“安全”關聯在一起。即使到了 2012 年，我的很多家人朋友對信息安全工作的理解，還依然游離在攢電腦、修手機和牽著狼狗巡邏的安防工作之間。

隨后的這些年里，我們先后經歷了傳統互聯網和移動互聯網的大爆發，網絡幾乎已經成為緊接在空氣、水和食物之后的“重要生存要素”。我們迎來了信息大爆炸的時代，甚至到了不少概念快速生成又快速消失的程度，比如“沖浪”又一次變得罕見了。互聯網的迅猛發展，很大程度上歸功于資本介入和技術進步，托它們的福，與概念一起快速生成和消失的還有各類互聯網公司及其推出的產品。隨著各種軟件、網站和移動 App 的逐漸專業與完善，用戶的生活、工作和娛樂也變得更加便捷與豐富，最終形成一種看似良性的循環——信息產品越來越強大，用戶對其越來越依賴。

然而，信息技術并非只有美好的一面，它同時也使得破壞行為更加簡單和隱蔽。“惡意黑客”的概念現在已經被大部分人理解，他們就是信息世界的破壞者，也正是因為他們的存在，我們之前提到的良性循環也可以變成一個惡性循環——信息產品與用戶隱私、資產、健康的關聯越來越緊密，與之相對應的盜竊、偷窺、破壞越來越容易，卻難以發現和跟蹤。現在，有一部分用戶已經關注到了信息安全問題，他們會小心地選擇信息產品和功能，但是他們能做的極其有限，也很難有實力與黑客抗衡。真正應該對信息產品安全屬性負責并且有能力與黑客去抗衡的，是企業。企業應該建立自己的安全團隊或者直接采購安全產品和服務，保證其產品以及運營環境的安全可靠。

諷刺的是，在很長一段時間里，除了一些涉及電力、金融、電商等生產安全、資金安全與信息安全強相關的公司，很少有公司愿意在信息安全這個與業務收益“毫不相關”的偏門領域投入成本。但是，隨著信息安全風險勢態日益嚴峻，越來越多的公司在這方面吃到了實實在在的苦頭——嚴重的資金損失、大規模的數據泄露、惡劣的敲詐勒索、潛在的商業間諜等。企業遭遇這些問題后，大多是“啞巴吃黃連”，因為披露事件會打擊用戶信心，報案又難以定損舉證。這些負面事件最終形成了事件驅動，逼迫越來越多的企業在信息安全方面投入成本。對信息安全的關注，也從企業延伸到了方方面面，越來越多的嚴格制度相繼發布，比如歐盟的《通用數據保護條例》（下稱 GDPR）、美國的《加利福尼亞州消費者隱私法案》（下稱 CCPA），而對中國信息安全保護具有標志性意義的，就是我們非常熟悉的《中華人民共和國網絡安全法》和之后發布的《信息安全技術 個人信息安全規范》等一系列標準，這使得建立可靠的信息安全能力正式成為企業和管理層的義務。截至編寫本書時，《中華人民共和國數據安全法（草案）》《中華人民共和國個人信息保護法（草案）》等新法案已經開始征求意見。

對于信息安全從業者來說，這些都是絕對的利好消息，其中我們最直觀的感受就是，近年來有大量企業開放或者增加了信息安全相關崗位的招聘，而且薪酬一路直線上揚。而縱觀各類職位的招聘需求，在薪酬范圍相似的情況下，與信息安全相關的崗位在整體上對工作經驗和教育水平的要求會相對寬泛。出現這種現象的一部分原因確實源于在某些具體的信息安全執行工作上，個人天賦和興趣發揮了比經驗和學歷更重要的作用，而更多的原因還是行業人才的供需失衡——很多崗位一個蘿卜一個坑，信息安全卻是刨了一地坑找不到蘿卜，那么蘿卜自然貴。得益于行業紅利，越來越多有能力、有潛質、有拼勁的年輕工程師快速地坐上信息安全負責人的位置。欣喜之余，不少問題也很快浮出水面。

• 企業視角的信息安全并不是純粹的挖漏洞打補丁，我該怎么照顧到方方面面？
• 產品之前完全沒考慮信息安全，四處起火，我該怎么救？先救哪兒？
• 老板認為安全是個成本部門，不給資源還要求絕不能出事故，我該怎么辦？
• 不出事的時候業務部門說安全團隊沒事找事，出事了就往安全團隊甩鍋，這鍋背不背？
• 好事輪不到我開口，我開口必是壞事，我該怎么匯報才能體現價值？

對于一個新的信息安全團隊管理者來說，以上這些問題只是冰山一角。畢竟更多的時候，信息安全是一種預防性工作，它需要我們在看似平靜的湖面周圍修建堤壩，為了防范“壞人”去約束所有人，而所有人里大部分是“好人”。這片湖面一直平靜，從沒出現過什么風浪，你為什么要我去修建堤壩？不要生氣，雖然我知道你肯定覺得對方不可理喻，但是正常人的思維就是這樣的。尤其是那些“好人”，他們很難理解“壞人”的思維模式，自然也就很難理解你的預防性措施。所以，信息安全工作不被理解是天生的，如果你想被你的同事們眾星捧月，就不該選擇這個行業。

那么，怎樣開展信息安全工作，才能讓一切更順利呢？

這就是我們寫這本書的目的！

本書展現了信息安全團隊從 0 到 1 的初創過程。我們創建了一個剛剛成為某企業“第一個信息安全工程師”的虛擬人物馬小陌，為他在每一個階段設置了最常見的困難和問題，并講述他如何思考和解決這些問題，最終成長為該企業的信息安全負責人。換個角度說，我們希望這種以時間為軸的敘述形式，能夠幫助那些在信息安全領域缺乏實踐經驗的企業和管理者完成最基礎的初創過程，哪怕只是按部就班、按圖索驥。

在本書出版之前，市面上已經出版了很多關于企業信息安全建設的優秀參考書和資料，它們從技術、管理等方面對安全問題進行了詳細的介紹和剖析，我們也從中受益頗多。因此，我們在編寫此書時，會盡可能跳過一些老生常談的技術細節與操作問題，避免讓其成為一本大而全的說教書，而是更多以初創團隊視角，講述每一個階段該做什么事情，幫助企業建立自己的信息安全團隊，指導一名優秀的工程師成長為一名合格的管理者。

如果你或者你的企業正在籌劃建立信息安全團隊，或者你的團隊成立不足3 年且團隊成員不足 30 人，又或者你所管理的是一支被邊緣化的信息安全團隊，那么請繼續往后翻閱吧，也許會從這本書中找到答案。