《信息安全工程》第一版于2001年5月出版，從那時至今，世界已經(jīng)發(fā)生了巨大變化。

那時，系統(tǒng)安全在微軟是最后考慮的事項，而現(xiàn)在則是最優(yōu)先考慮的要素之一。惡意軟件的數(shù)量不斷增長，帶來的麻煩不斷增多。盡管已做了大量的防御工作——?我們已經(jīng)看到，Windows NT被XP取代，之后是Vista，并且偶爾發(fā)布的服務(wù)補丁也被每月發(fā)布的安全補丁所替代——?但攻擊者在攻擊方面付出的努力要更大。那些編寫病毒的人不再是為了樂趣，而是為了追逐利益，最近幾年中，已經(jīng)可以看到各領(lǐng)域?qū)I(yè)人士共同完成攻擊行為的犯罪經(jīng)濟學(xué)的影子。垃圾郵件制造者、病毒編寫者、釣魚者、經(jīng)濟詐騙犯以及間諜彼此之間頻繁地進行交易。

密碼學(xué)也在不斷向前發(fā)展。高級加密標(biāo)準(zhǔn)已嵌入到越來越多的產(chǎn)品中，公鑰領(lǐng)域也取得了很多有趣的進展。但在算法問題得到解決后，我們又面臨著大量的實現(xiàn)問題，隱通道、設(shè)計存在漏洞的API以及協(xié)議失敗等都不斷地對系統(tǒng)造成破壞。與以前相比，應(yīng)用密碼學(xué)更難以實現(xiàn)安全目標(biāo)。

普適計算也帶來了新挑戰(zhàn)。隨著計算機與通信設(shè)備越來越多地以不可見的方式嵌入到大量領(lǐng)域，過去只是影響“相應(yīng)計算機”的問題開始影響所有類型的設(shè)備。對熱敏電阻溫度計或空調(diào)機而言，安全又有怎樣的內(nèi)涵？

智能設(shè)備的多樣性帶來了不同的興趣和參與者。安全不僅是關(guān)于怎樣將破壞分子拒于門外，而且日益與權(quán)力和控制的爭奪關(guān)聯(lián)在一起。DRM導(dǎo)致內(nèi)容與平臺產(chǎn)業(yè)相互之間以及與消費者之間的明爭暗斗；附件控制用于將打印機與其銷售商提供的耗材綁定，但導(dǎo)致了反壟斷訴訟。安全還與汽車乃至電子醫(yī)療保健設(shè)備的安危相關(guān)。安全工程需要理解的不僅是密碼學(xué)和操作系統(tǒng)，還要理解經(jīng)濟學(xué)和人為因素。

數(shù)字設(shè)備的無處不在意味著，“計算機安全”不再僅僅是少數(shù)系統(tǒng)專家研究的問題。幾乎所有的白領(lǐng)犯罪(以及大部分嚴(yán)重暴力類型的犯罪行為)都涉及計算機或移動電話，因此，就像需要知道如何駕車一樣，偵探也需要理解計算機取證方式。越來越多的律師、會計師、管理人員和其他沒有經(jīng)過正規(guī)工程訓(xùn)練的人都將不得不理解系統(tǒng)安全問題，以便完成自己的工作。

在線服務(wù)的快速增長——從Google、Facebook到大規(guī)模的多方游戲，也在改變著世界。在線應(yīng)用程序中的錯誤在被發(fā)現(xiàn)后可以快速地進行修復(fù)，但隨著應(yīng)用程序日趨復(fù)雜，其負(fù)面效應(yīng)難于預(yù)測。對操作系統(tǒng)或銀行服務(wù)而言，我們對其安全的內(nèi)涵可能有合理的理解，但對在線服務(wù)而言則不敢下此斷言，因為在其生命周期內(nèi)都是不斷演化的。我們正在進入一個社會-技術(shù)系統(tǒng)不斷演化的新世界，并且需要理解這種演化如何推動以及由誰控制的深奧問題。

然而，最大的變化是由2001年9月11日的恐怖襲擊事件以及我們對該事件的反應(yīng)驅(qū)動的。這已經(jīng)以多種方式改變了感覺和優(yōu)先級，并改變了安全產(chǎn)業(yè)的形態(tài)?？植乐髁x不僅是關(guān)于風(fēng)險的，還涉及對于風(fēng)險的感知、對感知的操縱等，從而向安全內(nèi)涵中添加了心理學(xué)與政治等因素。對政治爭論，安全工程師也有責(zé)任。在對恐怖主義犯罪不當(dāng)反應(yīng)導(dǎo)致巨大資源浪費與非受迫性策略錯誤的地方，我們不得不向人們問一些簡單的問題：我們要防止的是什么？已提出的機制能否真正奏效？

Ross Anderson