信息安全不同于主流信息技术和其他商业领域的规定。即使现在各个领域都有许多比较好的书籍，但是获取这些子领域之间的交叉知识还是比较困难的，但是这一点对于一本成功的图书来说却非常重要。本书既为读者介绍了安全的基本概念(非技术原理和实践)，又介绍了很多实际产品的基本技术细节信息。

本书基于作者极其丰富的实际经验编写而成。作为安全方面的专业人士，作者曾经在安全机构中最高和(可能是)最低的层次工作过。这为作者提供了一个全面的视角，这种视角可能与许多其他图书的不一样，但是它能够帮助你摆正自己的观点。例如，当一些技术人员夸大防火墙的功能时，你可以使用从本书获得的知识让他们修正自己的观点。

本书每一章都以作者的实际经历开始，内容简明扼要，但又能够为读者提供一些重要的信息。

本书是一本信息安全管理的实战指南。全书从介绍信息安全的组织机构开始，对信息安全的原理、概念、法律法规和标准以及审核进行了全面介绍，并结合各种实际经验进行分析，深入介绍了信息安全管理的切实方法。全书共分13章，首先介绍了信息安全组织机构、策略、概念、法规和标准，然后以作者实际经历为例介绍了信息安全职位的面试和职员情况，最后全面介绍了信息安全管理所用工具的原理、使用方法以及各种安全测试方法。

本书通俗易懂，实例丰富，并且提供了作者的大量实际经验，不但是一本适合信息安全专业人士使用的实战指南，而且是一本适合各类关注信息安全的人士阅读的参考读物。

关于作者

序

第1章 信息安全的组织机构

第2章 信息安全策略

第3章 术语、原理和概念

第4章 信息安全法律法规

第5章 信息安全标准和审核

第6章 面试、老板和职员

第7章 基础设施的安全

第8章 防火墙

第10章 入侵检测系统：实践

第11章 入侵阻止和保护

第12章 网络渗透测试

第13章 应用程序安全缺陷和应用程序测试