信息安全测评与风险评估
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

前言

“读万卷书,行万里路”是古人对理论联系实际的最好诠释。面对虚拟空间中纷纷建立起来的形态各异的信息大厦,为了保证它们的建筑质量,世界各国标准化组织均出台了众多的安全标准。这就是本书撰写之前所面临的“万卷书”。如何在信息系统的设计、施工、验收和运行等阶段进行安全检查,就是本书希望做到的在虚拟空间“行万里路”。

作为国内高校信息安全专业本科教材,我们将本书定位为“在国家有关标准的指导下进行信息安全工程作业的参考手册”,并希望以此弥补高校教材在这方面的不足。

在撰写本书的时候,我们首先想到的就是“实用性”。考虑到本书的读者群主要是全日制普通高校信息安全专业的高年级本科生,即将面临社会对他们从事信息安全工作的能力和水平的检验。因此,为了满足我国目前正在开展的信息安全保障工作对测评人员的急迫需求,我们在国家已经颁布实施的众多安全标准中,筛选了“信息安全等级保护”和“信息安全风险评估”这两大类标准作为本书的知识主体,同时也参考了部分已经制定完成但仍处于报批阶段的国家标准,如“应急响应”、“信息安全管理体系”等,以使得本书的知识具有一定的前瞻性。

如果仅仅是介绍国家有关信息安全等级保护、风险评估或应急响应等方面的标准,读者可能会感到比较枯燥或难于理解,而且无从下手进行测评。因此本书大量的篇幅被用来进行案例教学。我们设计了三个具有典型意义的大型模拟案例,逐条指导读者去理解、执行这些标准。这三个模拟案例的设计目的分别是:“天网”(电子政务)系统主要针对信息安全等级保护的测评;“数字兰曦”(企业信息化)主要针对信息安全的风险评估;“南洋烽火”(校园信息系统)主要针对信息安全应急响应计划的制定和演练。

本书的第二个特点是科学性。作为自然科学和社会科学的交叉学科分支,信息安全测评与风险评估有其自身的特殊规律。为了探索这个规律,我们希望读者在进入这个领域之初就应当具备实事求是的科学态度。因此本书的第1、2章“信息安全测评思想”和“信息安全测评方法”是本书作者希望与读者交流的最重要的心里话。

本书的第三个特点是规范性。作为一名信息安全测评工程师,在工作中的主要依据就是有关国家标准。因此本书对第2部分(第3至第6章)从事信息安全等级保护测评、第3部分从事信息安全风险评估(第7至第10章)、应急响应(第11章)和信息安全管理体系(第13章)等工作所遵循的相关标准进行了尽量详细的阐述和解释。

我们向读者特别指出的是,本书所强调的“安全测评是科学与艺术的完美结合”这个观点,并最终体现在“安全测评”、“风险评估”和“应急响应”等技术的融合上,形成“信息安全管理体系”。这也是作者将“信息安全管理体系”相关知识的介绍安排在最后一章的良苦用心。此外,考虑到国家标准对相关法律、法规的密切联系,我们在第12章专门介绍了国外有代表性的法律、法规以及我国与本书内容相关的法律、法规情况。

本书的第四个特点是(尽量)做到趣味性。“知之者不如好知者,好知者不如乐知者”。我们希望本书中所采用的“典故”、“争鸣”、“工具”等小模块能够启发读者的创新思维。同时,我们在全书体例上也采用了格言、序幕、要点、正文、尾声、观感的风格,希望给读者营造一种欣赏戏剧或交响乐般的氛围,从而体会信息安全测评工作的艺术性。为了方便读者阅读,本书设计了一些象形符号:

“三星堆面具”图案代表与正文相关的某个典故或背景故事。

“斗士”图案代表一些值得商榷的观点或看法,鼓励讨论。

“榔头”图案代表用于测评/评估工作时的小工具,谨供读者参考。

“逍遥椅”图案代表我们认为值得读者重视的一些观点或工程经验。

“笔记”图案代表重要的概念或定义。

本书包含了大量的实验案例。我们在进行实验设计的时候,已经充分考虑到本书读者的实验条件和动手练习的可能性,因此我们强烈建议阅读本书的读者在可能的情况下“重现”(reproduce)书中案例分析的实验,这是学习测评技术和方法的最好途径。在此基础上,我们在每一章结束后都以“观感”的形式给出一些补充练习,供读者思考。此外,我们也希望读者能够不受本书实验方案设计思路的束缚,举一反三,创新出更好、更贴切的实验方案。我们也真诚地欢迎读者指出本书可能存在的谬误之处(联系地址:xianghong@cqu.edu.cn)。

本书的三位作者分别来自高校和国内知名安全企业。我们希望能够用这种方式来真正体现我国高等教育“产、学、研”的结合。在本书的编写过程中得到了重庆大学有关师生、重庆市信息安全技术中心和北京数字证书有限责任公司员工的大力支持。作者们愿借此机会向他们表示衷心的感谢,没有他们的鼎力支持和批评指正,我们是不可能完成这个艰巨的任务的。

我们要特别感谢重庆大学吴中福教授在本书整体框架确定方面给予的指导并与我们分享他数十年的育才经验。重庆大学胡海波、方蔚涛、蔡斌、桑军、叶春晓、夏晓峰等骨干教师则承担了本书大量的正文撰写和实验指导等工作。

感谢重庆市信息安全技术中心何湘、张亚妮、胡兵、王磊、黄翠等同仁以及重庆大学软件学院2005、2006、2007级研究生在从事相关测评实验及本书校稿过程中做的大量工作;感谢北京数字证书有限责任公司安全事业部翟建军等同行提供众多素材并开展休闲式的讨论,作者从中受益匪浅。

感谢对本书原稿进行审核的专家何德全院士和赵泽良副司长,他们提出了诸多建设性的指导意见,拓宽了我们的视野,使我们更加深刻地认识到强调本教材实用性的重要意义。本书在撰写过程中先后多次聆听了高等学校信息安全专业系列教材编委会顾问沈昌祥院士、高等学校信息安全专业系列教材编委会主任冯登国等专家的建议和指导并从中获益匪浅。感谢教材编委会给我们提供了向本领域许多专家如邬贺铨、周宏仁、高世辑、赵小凡、陈国青、徐愈、刘希俭请教的机会。此外,陈晓桦等专家也对本书的初稿提出了诸多有益的建议;重庆市公安局公共网络监察总队白志、重庆市信息安全产品测评中心廖斌、重庆市国家保密局王晓亚等领域专家对本书架构的酝酿及对国家标准的理解等方面也提供了诸多灵感。在此作者也一并表示感谢,并对由于作者能力有限而未能充分体现上述各位专家的建议或批评表示歉意。希望今后有机会能够进一步弥补本书的种种不足之处。

最后作者要感谢电子工业出版社的刘宪兰等老师在本书成稿过程中给予的各种支持、鼓励和花费的大量心血及三位作者的家人在我们挑灯夜战的时候给予我们的理解和支持。

作者

2008年9月

于重庆大学 民主湖畔

本周热推:
ASP动态网站设计完整实例详解用Microsoft Project 2007构建企业项目管理信息系统信息安全导论网络设备配置与管理网络规划与设计实用教程
上一章目录下一章