您找過以下的關鍵字

尚無搜尋紀錄

本書的寫作想法

人的正確思想是從哪裡來的?—— 什麼是安全(What)

人的正確思想是從哪裡來的?是從天上掉下來的嗎?不是。是自己頭腦裡固有的嗎?不是。人的正確思想,只能從實作中來,只能從科學實驗實作中得來。

在寫這本書之前,我就一直在思考這個問題,什麼是安全?安全如何定義?安全的定義來自哪裡?……種種疑問,一直陪伴著我。進入資訊安全企業已經10 多年了,從技術研發,學術研究到目前的企業資訊安全規劃、管理、決策,大大小小的專案,層出不窮的安全威脅,琳琅滿目的安全產品,日新月異的安全市場,如雨後春筍般出現的安全新名詞,都使我更加堅定地意識到,在這本書裡,必須把安全這個問題說清楚,講明白。市面上有很多包含作業系統安全、安全原理方面的書籍,以及我以前的幾部著作中,都忽略了這個問題,這個問題沒有說明和介紹清楚,會直接影響到企業的資訊安全工作的定位、實施和成效。

因此,在這本書的前面章節中,筆者結合目前業界最新的研究成果和自己10 餘年的資訊安全從業經驗,並根據著名資訊安全領域專家以科學、系統定義的資訊安全概念,作了有針對性地擴充和延伸,列出了資訊安全定義、企業資訊安全框架以及企業資訊安全實施和建設的主要工作想法。有了這個前提,在後面章節的介紹中就有了一個科學的基礎和前提,也便於向讀者介紹前500 大企業使用開放原始碼Linux 系統建設資訊安全的想法和實際方法。

打破砂鍋問到底 —— 前500 大企業為什麼要關注安全(Why)

筆者有多年的世界前500 大企業的資訊安全管理工作經驗,深諳前500 大企業資訊安全建設、規劃、實施和管理的細節、困難和重點問題。並且,筆者認為,世界前500 大企業對於資訊安全工作的重視程度,以及資訊安全在建設、規劃、實施和管理等方面都有其所長,可以為其他中小型和大型企業所參考和參照。以這個目的為基

礎,本書以筆者在前500 大企業中使用企業級開放原始碼作業系統Linux 在資訊安全中的部署和使用方法為切入點,來介紹如何做好資訊安全工作。

言歸正傳,前500 大企業為什麼要關注安全呢?原因是多方面的。首先,前500 大企業有自己的伺服器、作業系統,也有自己的系統,這些系統無論是為內部員工服務的(例如OA 系統、電子郵件系統等),還是為外部客戶提供服務(例如Web 發佈系統、線上業務系統等),都會面臨多方面的安全威脅,包含內部員工的惡意破壞、資料洩露、誤操作等,以及外部不法使用者的非授權存取、拒絕服務攻擊、垃圾郵件、SQL 植入等,這些都需要進行安全方面的全面分析、研究、部署等,才能將這些威脅企業的危害降到最低;其次,作為大型企業,需要從體制上來健全資訊安全工作,包含規劃、實施、流程制定、人員教育訓練等,所以要特別關注資訊安全。實踐證明,越是規模大的企業,越容易出現安全問題,如果不居安思危,早作準備,就很難在現代企業中立於不敗之地,也很難倖免於我們最近經常聽到的密碼洩露事件、客戶資料洩密事件等。一旦遇到這些問題,企業的形象將不保,企業的品牌和對於使用者建立的信任也會受到很大影響;最後,國家、政府和企業也對不同的企業提出了很多資訊安全方面的管制要求,主要是滿足符合規範、生產安全等方面的要求,例如著名的國家等保險、證券/ 銀行主管機關的要求、支付企業的PCI/DSS、美國的SOX 法案等,都對企業尤其是大型企業提出了非常好的安全要求。

實作出真知 —— 前500 大企業如何做好資訊安全建設(How)

明白了什麼是安全,為什麼要關注安全,那麼最重要的一步就是如何來做安全了,也就是如何透過技術和管理方法來保障企業的安全,防止安全事件或事故的發生,樹立企業形象,保障企業正常運作。

根據筆者在前500 大企業的多年資訊安全工作經驗,在本書中,將使用企業級Linux進行資訊安全建設工作的實際實施方法,分為以下5 個階段:

1. 認知階段;

2. 整理階段;

3. 實施階段;

4. 運行維護階段;

5. 工具應用階段。

這5 個階段直接對應到本書的5 個技術部分,筆者將會有系統、全面地向讀者介紹前500 大企業是如何做好資訊安全工作的各方面。

讀者群

本書是一本針對企業的作業系統平台進行資訊安全建設的實作書籍,是圍繞著什麼是、為什麼和怎麼樣建構資訊安全來介紹的。因此,讀者不需具有高深的電腦知識與技術或資訊安全的基礎理論知識,本書的主要讀者是懷有一定的工作目標並對資訊安全有一定興趣的工程師,或資訊安全從業人員。

筆者也非常希望企業的CIO、CEO 和CSO,也能夠從本書中獲得他們需要的一些寶貴理念和實作指引。書中的一些理念、方法和實作指南,筆者都在企業資訊安全建設中與一些CIO、CEO 經過討論並達成共識。

剛走出校門的大學生、所究所學生,以及正在透過各種管道(包含教育訓練、實習等)試圖進入資訊安全領域的學子或工作者,相信可以從本書中獲得系統的知識和工作的指南。本書中所說明的知識、操作所用的案例都是在實際工作中精挑細選的,相信讀者可以從中提前感受和體會到作為一名資訊安全從業人員所需要具備的基礎知識以及實際的技能。