信息安全测评与风险评估
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第1章 信息安全测评思想

序幕:何危最险?

盗“天火”的普罗米修斯

不唯书,不唯上,只为实。

——陈云

“居安思危,思则有备,有备无患。”(《左传·襄公十一年》)

“福生于微,祸生于忽。”(《说苑·谈丛》汉/刘向)

信息时代有新危,虚拟空间既给人们带来福,也引来祸;从层出不穷的网络安全事件、黑客传奇,到现代高科技战争中的“网络战”、“信息战”,使得信息安全成为了一个令人神往并富有挑战性的热点话题,也给信息安全蒙上了一层神秘的面纱,更让人觉得那虚幻的空间中孕育着真实的危险……

什么最危险?不清楚危险的状况最危险!

如果不清楚信息系统的安全状况,就会“祸生于忽”,而一旦了解了它的安全状况,就有了思想准备,从而决定是否采取相应的预防措施,就能“有备无患”。然而,由于信息本身不可捉摸的特点,信息系统的安全状态不像现实生活中其他系统那样直观、一目了然,更需要科学、规范、专业的判断。

从本章开始,我们将陆续向读者全面、系统地介绍信息安全测评的思想、方法、理论和技术。我们将看到,在令人眼花缭乱的信息安全新闻报道的背后,信息安全测评实际上蕴涵着丰富的思想内涵、严肃的科学精神、严谨的工作作风、严格的测评流程以及极具魅力的测评技巧,是一个科学与艺术圆满结合的领域。在信息系统的安全测评工作中,一名合格的安全测评工程师不仅要有丰富的想象力和创造力,在工作中还要一丝不苟地遵循国家的有关标准规范。