1.1 信息安全测评的科学精神

如果有读者认为信息安全测评就是从事神秘的“hacker”工作，对此我们不敢苟同。我们认为信息安全测评首先是探索真理、发现真相的科学。因此，与其他自然科学一样，信息安全测评也遵循着一般的客观规律。要掌握好信息安全测评的理论、方法和技术，首先应该明确一名安全测评工程师应该具备什么样的科学精神和素养？这是从事信息安全测评工作的前提和基础。有了这些科学精神，再加上训练有素的工作作风和您偏爱的某种hacker气质，也许就是作者心目中的安全测评工程师了。

那么，首先要具备什么样的科学精神呢？我们认为，“怀疑、批判、创新、求实、协作”是一名科学工作者必须具备的科学素养，同样也是指导我们进行信息系统安全测评的基本精神和思想。

这种科学精神源自于五百多年前的文艺复兴及其后来的启蒙运动（Enlightenment）。从16世纪开始，欧洲一批批进步的宗教人士、哲学家、科学家和艺术家们前赴后继，对万能上帝存在的合理性提出质疑，对中世纪欧洲宗教法庭的权威发起挑战，终于“将科学从神学婢女的地位中解放出来。”1919年发生在中国著名的“五四”运动，请来的“德先生、赛先生”（民主、科学），则是这场伟大的启蒙运动在古老东方的美妙回声，并持续影响着一代代中国人。尽管这场人类历史上轰轰烈烈的思想解放运动不属于本书撰写的范畴，但请读者记住，包括信息安全学科在内的各门自然科学的发展深受其影响。而作为一门新兴的IT学科分支，信息安全测评也必将从前辈们的思想源泉中源源不断地吸取营养。

如果读者觉得上面这些“说教”非常抽象，那么就换个角度来思考吧。设想您作为一名信息安全测评工程师，正在对一个信息系统，如某重要金融信息系统进行安全测评。该信息系统建设之前，已经通过了众多专家的评审。现在您发现这个投入了巨资的建设方案并不合理。请问您的质疑有依据吗？您的质疑合理吗？你能实事求是地指出问题出在什么地方吗？您的领导和其他测评工程师支持您吗？