前言

十多年前，如果有人说自己从事信息安全工作，大概率是不会被人理解的。毕竟在那时候，大多数人刚刚接触计算机和网络，连“冲浪”都是个罕见的概念，自然也就很难把“信息”和“安全”关联在一起。即使到了 2012 年，我的很多家人朋友对信息安全工作的理解，还依然游离在攒电脑、修手机和牵着狼狗巡逻的安防工作之间。

随后的这些年里，我们先后经历了传统互联网和移动互联网的大爆发，网络几乎已经成为紧接在空气、水和食物之后的“重要生存要素”。我们迎来了信息大爆炸的时代，甚至到了不少概念快速生成又快速消失的程度，比如“冲浪”又一次变得罕见了。互联网的迅猛发展，很大程度上归功于资本介入和技术进步，托它们的福，与概念一起快速生成和消失的还有各类互联网公司及其推出的产品。随着各种软件、网站和移动 App 的逐渐专业与完善，用户的生活、工作和娱乐也变得更加便捷与丰富，最终形成一种看似良性的循环——信息产品越来越强大，用户对其越来越依赖。

然而，信息技术并非只有美好的一面，它同时也使得破坏行为更加简单和隐蔽。“恶意黑客”的概念现在已经被大部分人理解，他们就是信息世界的破坏者，也正是因为他们的存在，我们之前提到的良性循环也可以变成一个恶性循环——信息产品与用户隐私、资产、健康的关联越来越紧密，与之相对应的盗窃、偷窥、破坏越来越容易，却难以发现和跟踪。现在，有一部分用户已经关注到了信息安全问题，他们会小心地选择信息产品和功能，但是他们能做的极其有限，也很难有实力与黑客抗衡。真正应该对信息产品安全属性负责并且有能力与黑客去抗衡的，是企业。企业应该建立自己的安全团队或者直接采购安全产品和服务，保证其产品以及运营环境的安全可靠。

讽刺的是，在很长一段时间里，除了一些涉及电力、金融、电商等生产安全、资金安全与信息安全强相关的公司，很少有公司愿意在信息安全这个与业务收益“毫不相关”的偏门领域投入成本。但是，随着信息安全风险势态日益严峻，越来越多的公司在这方面吃到了实实在在的苦头——严重的资金损失、大规模的数据泄露、恶劣的敲诈勒索、潜在的商业间谍等。企业遭遇这些问题后，大多是“哑巴吃黄连”，因为披露事件会打击用户信心，报案又难以定损举证。这些负面事件最终形成了事件驱动，逼迫越来越多的企业在信息安全方面投入成本。对信息安全的关注，也从企业延伸到了方方面面，越来越多的严格制度相继发布，比如欧盟的《通用数据保护条例》（下称 GDPR）、美国的《加利福尼亚州消费者隐私法案》（下称 CCPA），而对中国信息安全保护具有标志性意义的，就是我们非常熟悉的《中华人民共和国网络安全法》和之后发布的《信息安全技术 个人信息安全规范》等一系列标准，这使得建立可靠的信息安全能力正式成为企业和管理层的义务。截至编写本书时，《中华人民共和国数据安全法（草案）》《中华人民共和国个人信息保护法（草案）》等新法案已经开始征求意见。

对于信息安全从业者来说，这些都是绝对的利好消息，其中我们最直观的感受就是，近年来有大量企业开放或者增加了信息安全相关岗位的招聘，而且薪酬一路直线上扬。而纵观各类职位的招聘需求，在薪酬范围相似的情况下，与信息安全相关的岗位在整体上对工作经验和教育水平的要求会相对宽泛。出现这种现象的一部分原因确实源于在某些具体的信息安全执行工作上，个人天赋和兴趣发挥了比经验和学历更重要的作用，而更多的原因还是行业人才的供需失衡——很多岗位一个萝卜一个坑，信息安全却是刨了一地坑找不到萝卜，那么萝卜自然贵。得益于行业红利，越来越多有能力、有潜质、有拼劲的年轻工程师快速地坐上信息安全负责人的位置。欣喜之余，不少问题也很快浮出水面。

• 企业视角的信息安全并不是纯粹的挖漏洞打补丁，我该怎么照顾到方方面面？
• 产品之前完全没考虑信息安全，四处起火，我该怎么救？先救哪儿？
• 老板认为安全是个成本部门，不给资源还要求绝不能出事故，我该怎么办？
• 不出事的时候业务部门说安全团队没事找事，出事了就往安全团队甩锅，这锅背不背？
• 好事轮不到我开口，我开口必是坏事，我该怎么汇报才能体现价值？

对于一个新的信息安全团队管理者来说，以上这些问题只是冰山一角。毕竟更多的时候，信息安全是一种预防性工作，它需要我们在看似平静的湖面周围修建堤坝，为了防范“坏人”去约束所有人，而所有人里大部分是“好人”。这片湖面一直平静，从没出现过什么风浪，你为什么要我去修建堤坝？不要生气，虽然我知道你肯定觉得对方不可理喻，但是正常人的思维就是这样的。尤其是那些“好人”，他们很难理解“坏人”的思维模式，自然也就很难理解你的预防性措施。所以，信息安全工作不被理解是天生的，如果你想被你的同事们众星捧月，就不该选择这个行业。

那么，怎样开展信息安全工作，才能让一切更顺利呢？

这就是我们写这本书的目的！

本书展现了信息安全团队从 0 到 1 的初创过程。我们创建了一个刚刚成为某企业“第一个信息安全工程师”的虚拟人物马小陌，为他在每一个阶段设置了最常见的困难和问题，并讲述他如何思考和解决这些问题，最终成长为该企业的信息安全负责人。换个角度说，我们希望这种以时间为轴的叙述形式，能够帮助那些在信息安全领域缺乏实践经验的企业和管理者完成最基础的初创过程，哪怕只是按部就班、按图索骥。

在本书出版之前，市面上已经出版了很多关于企业信息安全建设的优秀参考书和资料，它们从技术、管理等方面对安全问题进行了详细的介绍和剖析，我们也从中受益颇多。因此，我们在编写此书时，会尽可能跳过一些老生常谈的技术细节与操作问题，避免让其成为一本大而全的说教书，而是更多以初创团队视角，讲述每一个阶段该做什么事情，帮助企业建立自己的信息安全团队，指导一名优秀的工程师成长为一名合格的管理者。

如果你或者你的企业正在筹划建立信息安全团队，或者你的团队成立不足3 年且团队成员不足 30 人，又或者你所管理的是一支被边缘化的信息安全团队，那么请继续往后翻阅吧，也许会从这本书中找到答案。