日前,国家信息中心信息安全研究与服务中心联合瑞星公司发布了《2013年上半年中国信息安全综合报告》。报告指出,伴随着虚拟化、云应用、BYOD及可穿戴智能设备的广泛应用,其已成为目前威胁我国企业信息安全的重要原因,并导致互联网全面泄密时代的来临,诸如CSDN、天涯社区等上千万用户密码泄漏等事件早已屡见不鲜。特别是“棱镜门”事件爆料出,美国情报机构自小布什时期一直在九家美国互联网公司中进行数据挖掘工作,分析个人的联系方式与行动。这也暴露了不少企业在安全方面存在的诸多盲区,众多企业在安全体系建设方面也存在诸多隐患,如信息安全认知差、意识薄弱,信息安全体系建设尚未开始等。互联网全面泄密时代来临,又会给网络安全类图书带来哪些变化呢?
防泄密时代选题应接地气
当我们回忆起十年前,甚至五年前的病毒、垃圾邮件或者网络攻击者,许多人都会感慨曾经的网络攻击手段是那样的“单纯”。然而,十年之后的今天,网络改变的同时攻击手段也在不断地进化与升级。网络遭受攻击的频率增加,攻击的手段和病毒的泛滥趋于复杂,传统安全防范手段难以彻底的解决网络的安全隐患。面对这样的现实,清华大学出版社编辑栾大成发问道:“毋庸置疑安全技术的飞速发展,可是我们的网络却没有越来越安全。作为出版商,我们可以为网络安全做点什么吗?”
当中国出版传媒商报记者问到,“网络安全类图书是在什么时候逐渐为读者所熟悉、市场所接受的”问题时,几位受访者都将目光锁定在了“2001年”这一时间节点。栾大成谈到,中美撞机事件发生后,中美黑客之间发生了愈演愈烈的网络大战,它甚至成为了2001年年度的网络热点——4月4日以来,美国黑客组织PoizonBOx不断袭击中国网站。对此,国内的网络安全人员积极防备美方黑客的攻击。同时,一些黑客组织则在“五一”期间不得不打响了“黑客反击战”。“当年,我策划出版了自己的第一本网络安全类图书——《黑客任务实战》,其销量超过7万册”,栾大成坦言,“从现在的眼光来看这本书的内容尚属初级,但作为编辑本人,我尝试将书中的内容实际操作,成功率竟然颇高。后来,还得知熊猫烧香病毒的作者也读过这书。不得不承认,那个时候我们的网络安全意识非常淡薄。”另外,像《黑客帝国》、《黑客帝国:重装上阵》、《黑客帝国:矩阵革命》等科幻动作电影在那段时期的热映而掀起的文化影响力同样不可小觑,“网络空间秩序”开始走进人们的视野。或许正是基于这种背景影响,网络安全类图书这一小众领域开始引起专业类出版社的注意。
在2001年之后,IT类图书市场日渐形成了以电子工业出版社、人民邮电出版社、清华大学出版社、机械工业出版社为首的出版重镇,这四家出版社更占据了绝大部分的网络安全类图书市场份额。近两年,化学工业出版社、中国铁道出版社等专业类出版社也在积极涉足这一细分市场,增长势头较为迅速。“网络安全,更精确的说,应该是信息安全。人民邮电出版社常年关注这一出版领域,我们出版或意向出版的图书不下10个品种。”该社编辑傅道坤告诉记者,“在今年3月份上市的《Wireshark数据包分析实战(第2版)》,已经累计入库1.1万册。这本书赢得了市场影响和读者口碑的双丰收,坚定了人民邮电出版社对信息安全领域的出版信心,坦率地说,我们的工作重心也会逐渐向该领域调整转移”,类似的观点颇具代表性。
至于网络安全类图书的选题,除却面向高等院校信息安全专业的传统教材,多为讲述“黑客攻防”实战为主的技术类图书。其涵盖的主题从安全理论到安全工具的使用,不一而足。网络安全类图书需要“接地气”、“重实践”。机械工业出版社计算机分社社长胡毓坚在接受采访时强调,如何将行业、企业的切实需要和应对做法整合为图书资源尤为重要。
胡毓坚告诉中国出版传媒商报记者,“机械工业出版社致力于通过出版国内外最顶尖的网络安全类图书以进一步推动我国网络安全技术水平的发展,以我们出版的《终端安全风险管理》为例,其难得之处即在于紧密结合了国内网络应用的实际情况。我们请来国内领先的网络安全解决方案提供商天融信公司组织编写了这本书,中国工程院院士何德全为其作序。如何把‘终端安全风险体系’和‘终端安全风险管理’二者在‘防管一体化’的思想指导下统一起来,构建了终端安全平台,是其重点所在。我们基于信息安全风险评估理论,介绍可识别和分析的终端安全风险,构建了结构性的终端安全风险体系,对广大信息安全从业者具有很强的指导意义。”
合作企业将成策划趋势
互联网全面泄密时代来临,促使网络安全类图书的选题在变化与细分上更趋于明显。特别是相关从业者为主要读者群时,迫切需要找到精准对应于工作的资料。栾大成承认,经典的网络安全选题市场需求依然旺盛,但是读者需求的细化,直接导致了某些由图书工作室“攒”出来的图书完全丧失市场,真正摸清市场脉络的专家著作将备受瞩目。
譬如,在斯诺登曝光的“棱镜门”等监控项目这起事件中,云端服务供应商称得上是最大的受害者。据美国云端安全联盟(CSA)最新调查发现,自“棱镜门”曝光之后,这些公司丢失了大量的海外客户。云储存安全、云计算安全也成为了一时瞩目的焦点。电子工业出版社在2012年率先推出了国内原创的《云计算安全:技术与应用》,机械工业出版与人民邮电出版社在2013年先后引进出版了《云计算安全:架构、战略、标准与运营》、《云计算安全指南》,都可谓紧跟行业动向,能够及时满足从业者的需求。对此,清华大学出版社编辑王军表示,“棱镜门”正体现了网络安全中人的因素——从窃密者变成曝光者,“我们目前有相关的策划,不过还在初始阶段”。
此外,企业信息安全也将成为值得深挖的选题。网络安全产品提供商“梭子鱼”就谈到,企业网络当前面临的应用现状是,网络遭受攻击的频率增加,攻击的手段和病毒的泛滥方式趋于复杂,传统安全防范手段难以彻底解决网络的安全隐患。尽管网络中部署了大批的安全设备,但这些部件多而庞杂,如防火墙、入侵检测系统、深度防御系统、安全网关等各组件孤军作战,“同时物理安全、网络安全、数据安全、业务安全层面分离,难以有效兼顾,形成协同作战的能力,致使业务平台、网络平台、管理平台的安全策略缺乏整体性和有效性,难以形成全局的安全防御协作能力”。出版社如何与企业协同合作将成为关键,也是未来的策划主流。
还有一个还可以看到的事实是,Android、iOS等移动设备的流行正驱使着软件开发向移动开发领域转型,信息安全领域的关注点也由传统的桌面操作系统(主要是Windows、Linux等)的安全,转移到移动设备的安全。傅道坤谈到,在这一细分市场,国内外的出版社都开始关注移动开发领域的安全类图书,“这些图书较好地体现了技术的变化以及业内人士的需求,市场表现都相当不错,“可以预见的是信息安全类图书市场将为成为计算机图书的主要构成部分,而且有望进一步扩展现有的市场。”
在进一步的交流中,栾大成向记者透露,有少量网络安全类图书存在“倾向问题”——特别是教人“黑客攻防”的图书,其实大部分内容讲述的是“攻击”的手段,比如《网络安全讲堂之全面防护Windows与无线网络入侵》一书,虽然内容与技术都是与时俱进,但是因为删除了大量攻击性内容,所以连重印都没有。像清华大学出版社早就不再批准策划“攻击”类的选题。他坦言,“主讲攻击类的要比主讲防御的图书好卖,但是作为出版商,不能唯利是图,需要有一个正确的导向。避免某些图书起到不良的影响,真正为网络安全作出应有的贡献。”
●声音
正名黑客视角别有精彩
黑客是网络技术快速发展的产物,代表着某种隐蔽而强大的技术力量。在国内,黑客似乎也是一种褒义与贬义奇怪的混合体。在常人看来这也是难于理解和界定的人群。其实,为黑客正名的图书屡见不鲜。
“灰帽黑客”在网络安全中代表发现漏洞但不利用漏洞进行攻击,而是与软件厂商协作寻找解决方案的人。针对这一角度的选题,就有清华出版社引进的《灰帽攻击安全手册:渗透测试与漏洞分析技术》、《灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术》,电子工业出版社引进的《Python灰帽子:黑客与逆向工程师的Python编程之道》。随后,电子工业出版社又跟进出版了《白帽子讲Web安全》,同样是讲述正面形象的黑客如何教人识别网络安全漏洞。据该社博文分社市场部主管陈欣怡介绍,其市场表现也着实不俗。
人民邮电出版社在2011年出版了硅谷创业之父保罗·格雷厄姆(PaulGraham)的《黑客与画家》,面世以后在技术人员和普通读者群中都收到了较佳的反响。在这本将黑客精神、创业思想、编程语言相集合的技术散文集,格雷厄姆希望为黑客正名,他将黑客誉为数字时代的“手工艺人”,让人们对黑客是否能称为艺术家一类的职业有了更多的期望和思考。
电子科技大学出版社就曾引进过一套“Fadia道德黑客丛书”,其中《良性入侵——道德黑客非官方指导》也被认为是首次提出了“道德黑客”的概念的开山之作,展开了道德黑客的全视野。书中从黑客攻击和安全防护两个角度深入剖析了全方位的安全威胁和良性入侵的各种技术手段,系统描述了各种黑客攻击过程,并且给出了相对应的安全防护策略。后来还被美国圣何塞州立大学选作计算机安全方面的专用教材。