正文

自 序

信息安全工程(第2版) 作者:(英)羅斯·安德森


《信息安全工程》第一版于2001年5月出版,從那時(shí)至今,世界已經(jīng)發(fā)生了巨大變化。

那時(shí),系統(tǒng)安全在微軟是最后考慮的事項(xiàng),而現(xiàn)在則是最優(yōu)先考慮的要素之一。惡意軟件的數(shù)量不斷增長(zhǎng),帶來(lái)的麻煩不斷增多。盡管已做了大量的防御工作——?我們已經(jīng)看到,Windows NT被XP取代,之后是Vista,并且偶爾發(fā)布的服務(wù)補(bǔ)丁也被每月發(fā)布的安全補(bǔ)丁所替代——?但攻擊者在攻擊方面付出的努力要更大。那些編寫(xiě)病毒的人不再是為了樂(lè)趣,而是為了追逐利益,最近幾年中,已經(jīng)可以看到各領(lǐng)域?qū)I(yè)人士共同完成攻擊行為的犯罪經(jīng)濟(jì)學(xué)的影子。垃圾郵件制造者、病毒編寫(xiě)者、釣魚(yú)者、經(jīng)濟(jì)詐騙犯以及間諜彼此之間頻繁地進(jìn)行交易。

密碼學(xué)也在不斷向前發(fā)展。高級(jí)加密標(biāo)準(zhǔn)已嵌入到越來(lái)越多的產(chǎn)品中,公鑰領(lǐng)域也取得了很多有趣的進(jìn)展。但在算法問(wèn)題得到解決后,我們又面臨著大量的實(shí)現(xiàn)問(wèn)題,隱通道、設(shè)計(jì)存在漏洞的API以及協(xié)議失敗等都不斷地對(duì)系統(tǒng)造成破壞。與以前相比,應(yīng)用密碼學(xué)更難以實(shí)現(xiàn)安全目標(biāo)。

普適計(jì)算也帶來(lái)了新挑戰(zhàn)。隨著計(jì)算機(jī)與通信設(shè)備越來(lái)越多地以不可見(jiàn)的方式嵌入到大量領(lǐng)域,過(guò)去只是影響“相應(yīng)計(jì)算機(jī)”的問(wèn)題開(kāi)始影響所有類(lèi)型的設(shè)備。對(duì)熱敏電阻溫度計(jì)或空調(diào)機(jī)而言,安全又有怎樣的內(nèi)涵?

智能設(shè)備的多樣性帶來(lái)了不同的興趣和參與者。安全不僅是關(guān)于怎樣將破壞分子拒于門(mén)外,而且日益與權(quán)力和控制的爭(zhēng)奪關(guān)聯(lián)在一起。DRM導(dǎo)致內(nèi)容與平臺(tái)產(chǎn)業(yè)相互之間以及與消費(fèi)者之間的明爭(zhēng)暗斗;附件控制用于將打印機(jī)與其銷(xiāo)售商提供的耗材綁定,但導(dǎo)致了反壟斷訴訟。安全還與汽車(chē)乃至電子醫(yī)療保健設(shè)備的安危相關(guān)。安全工程需要理解的不僅是密碼學(xué)和操作系統(tǒng),還要理解經(jīng)濟(jì)學(xué)和人為因素。

數(shù)字設(shè)備的無(wú)處不在意味著,“計(jì)算機(jī)安全”不再僅僅是少數(shù)系統(tǒng)專(zhuān)家研究的問(wèn)題。幾乎所有的白領(lǐng)犯罪(以及大部分嚴(yán)重暴力類(lèi)型的犯罪行為)都涉及計(jì)算機(jī)或移動(dòng)電話(huà),因此,就像需要知道如何駕車(chē)一樣,偵探也需要理解計(jì)算機(jī)取證方式。越來(lái)越多的律師、會(huì)計(jì)師、管理人員和其他沒(méi)有經(jīng)過(guò)正規(guī)工程訓(xùn)練的人都將不得不理解系統(tǒng)安全問(wèn)題,以便完成自己的工作。

在線(xiàn)服務(wù)的快速增長(zhǎng)——從Google、Facebook到大規(guī)模的多方游戲,也在改變著世界。在線(xiàn)應(yīng)用程序中的錯(cuò)誤在被發(fā)現(xiàn)后可以快速地進(jìn)行修復(fù),但隨著應(yīng)用程序日趨復(fù)雜,其負(fù)面效應(yīng)難于預(yù)測(cè)。對(duì)操作系統(tǒng)或銀行服務(wù)而言,我們對(duì)其安全的內(nèi)涵可能有合理的理解,但對(duì)在線(xiàn)服務(wù)而言則不敢下此斷言,因?yàn)樵谄渖芷趦?nèi)都是不斷演化的。我們正在進(jìn)入一個(gè)社會(huì)-技術(shù)系統(tǒng)不斷演化的新世界,并且需要理解這種演化如何推動(dòng)以及由誰(shuí)控制的深?yuàn)W問(wèn)題。

然而,最大的變化是由2001年9月11日的恐怖襲擊事件以及我們對(duì)該事件的反應(yīng)驅(qū)動(dòng)的。這已經(jīng)以多種方式改變了感覺(jué)和優(yōu)先級(jí),并改變了安全產(chǎn)業(yè)的形態(tài)??植乐髁x不僅是關(guān)于風(fēng)險(xiǎn)的,還涉及對(duì)于風(fēng)險(xiǎn)的感知、對(duì)感知的操縱等,從而向安全內(nèi)涵中添加了心理學(xué)與政治等因素。對(duì)政治爭(zhēng)論,安全工程師也有責(zé)任。在對(duì)恐怖主義犯罪不當(dāng)反應(yīng)導(dǎo)致巨大資源浪費(fèi)與非受迫性策略錯(cuò)誤的地方,我們不得不向人們問(wèn)一些簡(jiǎn)單的問(wèn)題:我們要防止的是什么?已提出的機(jī)制能否真正奏效?

Ross Anderson


上一章目錄下一章

Copyright ? 讀書(shū)網(wǎng) ranfinancial.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號(hào) 鄂公網(wǎng)安備 42010302001612號(hào)