第1章 信息安全测评思想

序幕：何危最险？

不唯书，不唯上，只为实。

——陈云

“居安思危，思则有备，有备无患。”（《左传·襄公十一年》）

“福生于微，祸生于忽。”（《说苑·谈丛》汉/刘向）

信息时代有新危，虚拟空间既给人们带来福，也引来祸；从层出不穷的网络安全事件、黑客传奇，到现代高科技战争中的“网络战”、“信息战”，使得信息安全成为了一个令人神往并富有挑战性的热点话题，也给信息安全蒙上了一层神秘的面纱，更让人觉得那虚幻的空间中孕育着真实的危险……

什么最危险？不清楚危险的状况最危险！

如果不清楚信息系统的安全状况，就会“祸生于忽”，而一旦了解了它的安全状况，就有了思想准备，从而决定是否采取相应的预防措施，就能“有备无患”。然而，由于信息本身不可捉摸的特点，信息系统的安全状态不像现实生活中其他系统那样直观、一目了然，更需要科学、规范、专业的判断。

从本章开始，我们将陆续向读者全面、系统地介绍信息安全测评的思想、方法、理论和技术。我们将看到，在令人眼花缭乱的信息安全新闻报道的背后，信息安全测评实际上蕴涵着丰富的思想内涵、严肃的科学精神、严谨的工作作风、严格的测评流程以及极具魅力的测评技巧，是一个科学与艺术圆满结合的领域。在信息系统的安全测评工作中，一名合格的安全测评工程师不仅要有丰富的想象力和创造力，在工作中还要一丝不苟地遵循国家的有关标准规范。