前言

随着科学技术的飞速发展，人类社会发生了翻天覆地的变化，信息技术作为科学技术的一个重要分支，在人类的生产、生活中扮演者越来越重要的角色。相关数据显示，2016年，我国电子商务交易市场规模居全球第一，电子商务交易额超过20万亿元，占社会消费品零售总额的比重超过10%。信息产业已经渗透到人类生活的方方面面，以信息技术为基础的信息产业已经成为世界经济的重要支柱产业。但随之而来的是一次次骇人听闻的信息泄露事件，个人信息就如同被包裹在泡沫中，一戳就破。坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全已经刻不容缓。

信息系统安全问题单凭技术是无法得到彻底解决的。它的解决涉及政策法规、管理、标准、技术等方方面面，任何单一层次上的安全措施都不可能提供真正的全方位的安全。信息系统安全问题的解决更应该站在系统工程的角度来考虑。

“三分技术、七分管理”，安全问题的产生很大程度上是由于对信息资产所面临威胁的严重性认识不足，缺乏明确的信息安全方针和完整的信息安全管理制度，相应的管理措施还不到位。信息安全管理作为信息安全保障体系中重要的一环，应该得到广泛的关注。

本书以作者所在团队多年来在信息安全工程与管理方面相关教学以及研究工作为基础，参考最新的信息安全工程与管理的相关标准和规范，提炼国内外信息安全工程与管理领域的最新成果，全面、系统地介绍了信息安全工程与管理的基本框架、体系结构、控制规范等相关知识。

全书共分为8章，按照信息安全工程理论与技术的脉络逐步展开。第1章信息安全工程基础，描述了信息安全问题产生的根源，并依此提出了信息安全工程的概念。第2章信息系统安全工程过程，详细讲解了安全需求的挖掘、定义、设计、实施和评估过程，并辅以相关实例系统地介绍了信息系统安全工程。第3章信息安全工程能力成熟度模型，引入能力成熟度模型对组织的工程能力进行评估，详细分析了能力成熟度模型的体系结构及其应用。第4章信息安全等级保护，系统性地阐述了我国信息安全等级保护体系建设，并给出了信息系统安全定级方法。第5章信息安全风险评估，全面解释了信息风险评估方法，同时讲解了相关风险评估软件的使用方法。第6章信息安全管理基础，在概述信息安全管理标准的同时，重点介绍信息安全体系过程。通过具体实例对信息安全体系准备、建立、实施和运行、监视和评审、保持和改进、认证过程进行了具体的分析。第7章信息安全策略，对常见的信息安全问题进行了解释，同时针对这些问题，提出了可行性防护方案。第8章信息系统安全工程案例，是信息安全工程的实践部分，在了解信息安全工程前沿技术的同时，对前7章所涉及的理论框架进行了回顾。附录展示紧贴各章内容的实验任务，旨在增强读者实践的能力，这也是本书设计的核心理念。

本书难易适中、内容充实、层次清晰，可作为普通高等学校信息安全、软件工程、网络工程、物联网工程等专业本科生及研究生教材，也可以作为信息安全工程师的参考手册。

本书由电子科技大学信息与软件工程学院牵头，与成都理工大学网络安全学院合作编写。参加本书编写工作的有：王瑞锦、李冬芬、朱国斌、张凤荔。具体编写分工如下：王瑞锦编写第1～3章，张凤荔编写第4章，朱国斌编写第5章，李冬芬编写第6～8章。张雪岩、刘崛雄、唐晨、魏楷等几位研究生参与了本书部分章节的资料收集和整理，李悦、黄俊钦本科生对书稿资料收集和插图做了不少工作，诚挚感谢他们对本书所做的贡献。

信息安全工程与实践是以工程实践的角度看待信息安全，是信息安全应用发展的新趋势，本书初步总结了此领域的理论及技术，以期有益于读者。

编者