前言
网络安全或网络空间安全,越来越受到社会各方的关注和重视,是近年来一个持续保持“热度”的焦点话题。网络安全已经不可辩驳地发展成为一个专业领域,历久弥新,正伴随着国际政治、军事、经济、社会等多重环境因素的深刻变化,从象牙塔里、从庙堂高处,迅速走入了人们的日常生活,甚至一改往日的矜持清冷之貌,俨然成为街谈巷议的热门谈资。伴随大数据、人工智能、云计算等新技术逐步进入大规模商用阶段,可以预期,网络安全相关领域的研究和应用,将会在相当长的时期内呈现出蓬勃发展的势头。
网络安全的历史几乎与电子计算机的历史一样久远。我们甚至可以将其历史追溯到20世纪中叶早期。网络安全又是一个全新的领域,从迄今为止都还没有一个关于“网络安全”的严格定义就可见一斑。网络安全是一门交叉学科。自然科学、技术科学和人文社会科学的交叉是网络安全领域的实然结果,应当着眼于社会发展的历史趋势去理解网络安全,而不应当局限在信息技术的窠臼之中。这既包括对网络安全自身体系结构的真实性和准确性的理解,在一定程度上也包括对网络安全的应用与实践过程中的某些艺术性的把握。我们今天所说的“网络安全”的含义已经和历史上的“网络安全”,有了巨大的变化。
本书的内容和所面向的读者对象
网络安全从业者一定非常关心一个问题:自己究竟要如何做,才能学习到必需的专业知识和工作技能并不断提高自己的工作水平?通常,一个较为合理的答案是,至少要找到一本合适的书来参考并能够从中得到启发。
本书正是立足于此,尽力围绕企业网络安全的概念和内涵,聚焦于一些具有普适性的案例中的治理结构、业务架构、解决方案和方法论周边内容,较为系统地阐述了管理技术与艺术在网络安全工作中的独特作用。本书所指的企业网络安全管理,是指社会各行各业的组织中的网络安全管理。这个概念相对宽泛,但本书在这个概念中仅侧重民用领域而通常未涉及军事领域。即便如此,仅是民用领域的网络安全管理,其内容也已足够繁杂。尽管作者没有试图提供关于企业网络安全工作方方面面的知识,只尽可能地兼顾了对实践经验的汲取,就已涉及了大量细节。因此,本书只对那些被认为更具普遍意义的内容进行介绍。对于单个点的某项具体的安全技术,市面上已经有了很多著作和资料,本书便未再涉及。
本书主要面向在网络安全领域有一定从业经验的读者。当然,本书的内容也会有助于初学者提高对网络安全的整体理解水平。安全产品或服务的供应商,可以从本书中了解到需求方的某些规律,以及这些需求的变化趋势,在提升自家产品或服务的针对性和可操作性方面获得帮助。从事网络安全渗透测试的技术人员或相关技术的爱好者,或许可以通过本书了解一些防守者思路上的规律——这可能是这类读者朋友在技术追求之路上必须要跨过的一道门槛——否则,在攻守博弈这样一个高迭代率的领域中,最终恐怕只能是“会行走的工具箱”。
本书同样适于企业中想要整体了解企业网络安全规划、建设和运营的中高阶管理者阅读,例如,首席安全官/技术官/信息官(CSO/CTO/CIO、CISO),以及产品总监、研发总监、运维总监或相关工作的负责人等。
本书还可以作为高等院校网络空间安全、计算机科学与技术等相关专业师生的参考书,以及企业内部专业培训教材。
致谢
我能够完成本书的创作,得益于很多人的理解、支持和无私帮助,在此,我一并进行诚挚的感谢。
感谢机械工业出版社的工作人员,正是各位编辑的求实、耐心和高效,以及各位版务和印制工作人员的协作与敬业,才使得本书能够得以顺利出版。特别感谢本书的策划编辑秦菲找到我并建议我将从业经验和思考写下来,还在本书的写作过程中不断给予我鼓励,并且给出大量专业和富有建设性的建议。
十分感谢我的家人,他们给予我的爱是我的灵感之源,是他们的支持才使我最终得以完成此书。
感谢我的领导和同事们,感谢他们对我的启发、支持和包容。正是工作中的历练,才使我有了写出这本书的勇气。也感谢国内外同行给予我的关心与合作。
谨以此书向计算机科学的先驱者、开拓者和奋进者们致敬。
谨以此书向网络安全事业的无名英雄们致敬。
受限于个人的学识和能力,书中纰漏之处在所难免,诚请读者批评指正!
孔令飞