序三

企业信息安全是一个常说常新、永无止境的话题，所有人都知道信息安全的重要性，但在不出问题之前，很多企业面对信息安全还是难免会有能省则省、能拖则拖的心态。近些年来，以互联网为代表的各类信息网络作为关键基础设施的重要性日益凸显，国内外不同行业也出现大量信息安全事件：2015年法国某电视台遭受大规模网络攻击，旗下各个电视频道、网站停播长达数小时；某国际知名酒店集团于2018年、2020年两次披露其数据库被入侵，泄露酒店客人数据约4亿条；2017年勒索病毒在全世界范围内爆发，国内教育、医疗等多个行业受到影响……，这些事件给很多企业带来灾难性的影响，但也反向刺激了各类企业实质性地对信息安全加大投入、加强管理，正如作者在本书的第三部分运营篇中指出的，企业安全工作可以划分为四个阶段：起步阶段，安全岗位聊胜于无；积累阶段，成立了专职安全部门可是人员编制太少、工作推进缓慢；再到安全团队扩编、内部体系磨合阶段，安全治理效果仍然难以有质的变化，非安全体系的技术人员仍然只是将安全作为低优先级的工作，安全体系人员也只是关注工作量、难以关注结果；最后再到第四阶段，从关注工作量到关注结果，强调结果导向、带来价值。以个人所观察到的，大多数企业还只是在第一阶段到第二阶段艰难徘徊，一部分企业正在第三阶段到第四阶段寻求突破，在这种形势下，本书作者根据其多年安全从业实践经验及深刻思考总结所得的这本《企业信息安全建设之道》给我们带来了全方位的启示和指导。

相比很多一上来就论述分析诸多艰深复杂的技术的安全类书籍，作者通过本书向读者充分展示了在企业信息安全领域“做正确的事”（Do right thing）和“把事做正确”（Do thing right）的关系和细节，本书从思路篇开始到运营篇结束，中间的技术篇广泛而深入地涉及了“攻击面管理、漏洞管理、主机安全、威胁管理、应急响应、安全服务、重要保障期、业务安全”各个部分，深刻地揭示了企业信息安全治理的总体思路、运营方法、技术运行和工具平台。

作者通过这些深入浅出的思考和总结，帮助读者快速建立起一个企业信息安全建设业务和技术的整体观，从而对各个专项领域有了深刻的洞察，只言片语间常让人有“审堂下之阴，而知日月之行”的领悟。作者在本书第三部分运营篇开篇中提到：“我们本以为安全已经做得不错了，但是安全事件的发生概率还是没有质的下降。究其原因，是非安全部门的工程师将安全工作当成是低优先级的、锦上添花的工作，没事的时候可以去做，但是一旦忙起来，安全相关的工作肯定是往后推的，不幸的是，他们一般来说都很忙。而安全部门的工程师只关注工作量，还没有对结果负责的想法。比如，渗透测试工程师只关注今天挖了几个洞，而不关心修复漏洞的情况，因为这是运维和开发的事，你就是不修，我也没办法。而负责威胁检测的工程师在多次提示同一个恶意IP而得不到回应后也就把这个IP加白名单了。这种情况下，安全事件当然是无法避免的。”相信很多有企业信息安全一线实践经验的读者读到这里都难免和我一样发出会心的苦笑，而同时作者不仅是提出问题，更进一步对脆弱性管理、威胁检测、防御能力制定了覆盖率、准召率（准确率和召回率）、复发率、时效性五个指标。常常有人说安全是“三分技术、七分管理”，也有人说制约企业信息安全问题的根本常常是在体制机制上，这些话都对，但几乎没有人会告诉我们该怎么去解决这些管理问题。我认为作者所提出的以“覆盖率、准召率、复发率、时效性”为代表的安全运营指标体系至少在信息安全治理领域给出了真正的答案，深度结合了技术和管理，对信息安全乃至整个业务运维的各级管理者们来说都有重大参考意义，这其实是提供了一套可落地的考核体系，抓到了信息安全治理的“牛鼻子”了。本书作者几乎穷尽了企业信息安全工作中所有可能遇到的问题，安全从业人员只要按照书中总结的指导思想和方法框架推进，自然就能找到各类信息安全难题的解决之道。

我和作者同属一个行业系统，虽然日常见面机会不多，但是共同语言很多，每次和他交流，都能受益良多，这次更是通过本书更加系统性地获得了他在企业信息安全建设方面的经验启示。读好书是快速拓宽思想、提升洞察力和执行力的捷径，唯读书能改变气质，通过本书，我们对企业信息安全建设的认知又一次得到了提升，期待作者未来不断给我们带来更多思想和智慧的启示。

——深圳广播电影电视集团技术中心网络技术部副主任 查亚东

2020年6月