前言

在我上学时，我面临着一个选择——专注于信息安全还是软件工程。软件工程课程的名称听起来非常无聊，信息安全也是如此。我完全不知道自己将走上一条多么曲折的道路。

把信息安全当作一种职业，可以给你带来很多不同。多年来，我处理过大规模恶意软件爆发事件，为法庭案件收集过取证信息，在计算机系统中追捕过外国黑客，侵入过系统和应用程序（有权限），研究了海量的日志数据，使用和维护了各种安全工具，为把方形钉子安装到圆孔中编写了数千行代码，参与过开源项目，在安全会议上演讲、授课过，并在上述领域编写了关于安全主题的数十万字的内容。

本书研究了整个信息安全领域，非常适合想知道“信息安全”一词是什么意思，或者对该领域感兴趣又想知道从哪里起步的读者阅读。书中使用了非常清晰明了、非技术性的语言，介绍了信息安全如何发挥作用，以及如何将这些原则运用到自己的职业生涯中。这本书可以帮助你在不查阅大量教科书的情况下了解信息安全。我将首先介绍基础性概念，如身份验证和授权，从而帮助读者了解该领域的关键概念，如最小权限原则和各种安全模型。随后，深入研究这些概念在运营、人因、物理、网络、操作系统、移动设备、嵌入式设备、物联网（IoT）设备和应用程序安全等领域的实际应用。最后，我将介绍如何评估安全性。

谁应该阅读本书

这本书是安全专业入门人员和网络系统管理员的宝贵资源。你可以使用书中提供的信息更好地了解如何保护信息资产和防御攻击，以及如何系统地运用这些概念营造更安全的环境。

管理人员也会发现这些信息大有益处，有助于为组织制定更好的整体安全实践。本书讨论的概念可用于推动安全项目和策略，并解决一些问题。

本书内容

本书旨在使你全面了解信息安全的基础知识，因此最好能够从头到尾阅读。你可以从注释部分的参考文献中查阅相关主题的更多信息。以下是各章的主要内容。

第1章：信息安全概述。介绍了信息安全最基础的概念（如机密性、完整性和可用性），风险的基本概念，以及缓解风险的控制措施。

第2章：身份识别和身份验证。介绍了身份识别和身份验证的安全原则。

第3章：授权和访问控制。讨论了授权和访问控制的使用，以确定谁或什么设备能够访问你的资源。

第4章：审计和问责。解释了如何使用审计和问责制度以知道人们在你的环境中做了什么。

第5章：密码学。涉及使用密码学来保护数据的机密性。

第6章：合规、法律和法规。概述了与信息安全相关的法律和法规，以及遵守这些法规的意义。

第7章：运营安全。运营安全是指用来保护信息的过程。

第8章：人因安全。探讨了信息安全中的人为因素，例如攻击者用来欺骗我们的工具和技术，以及如何防御它们。

第9章：物理安全。讨论了信息安全的物理方面。

第10章：网络安全。从不同的角度（如网络设计、安全设备和安全工具）研究如何进行网络保护。

第11章：操作系统安全。探讨了用于保护操作系统的策略，如加固和打补丁，以及执行相应操作的步骤。

第12章：移动、嵌入式和物联网安全。涉及如何确保移动设备、嵌入式设备和物联网设备的安全。

第13章：应用程序安全。主要讨论保护应用程序的各种方法。

第14章：安全评估。讨论用于查明主机和应用程序安全问题的扫描和渗透测试等工具。

写这本书同以往一样，对我来说是一次冒险。我希望你们喜欢，并希望丰富你们对信息安全世界的理解。信息安全是一个工作起来饶有趣味，却时常让人惊心动魄的领域。欢迎你们的到来，祝你们好运！