信息安全工程（第2版）

编辑推荐

　　剑桥大学计算机实验室信息安全工程教授、安全经济学开创者、全球最重要安全权威之一Ross Anderson 经典著作
　　本书开创了信息安全工程学科
　　十年磨一剑 畅销书《信息安全工程》全面升级、重出江湖
　　本书由作者的中国研究生全程审稿通过后出版

样章试读：http://product.china-pub.com/194722

内容简介：

《信息安全工程》第1版于2001年问世后，受到了全球广大读者的热烈欢迎。今天的安全领域已经发生了巨大变化：垃圾邮件发送者、病毒编写者、网络钓鱼者、洗钱者以及间谍们的作案水平不断提升，搜索引擎、社交网络乃至电子投票机等新领域都成为这些犯罪者们新的攻击目标，恐怖事件也对世界产生了深远影响。《信息安全工程(第2版)》针对这些新情况全面更新了第1版的内容，指导您构建能够轻松抵御恶意攻击的可靠系统。本书表述准确、讲解清晰，是安全工程领域的鸿篇巨著，涵盖的内容包括工程技术基础、攻击类型、专用保护机制、安全经济学和安全心理学等，适合所有对安全工程感兴趣的读者使用。

作者简介：

       Ross Anderson现任剑桥大学计算机实验室信息安全工程教授，是公认的全球最重要安全权威之一，也是安全经济学的开创者。Ross已经发表了多篇分析现场安全系统故障原因的论文，并在点对点系统、API分析及硬件安全等大量技术领域做出了开拓性的贡献。
       Ross教授是英国皇家学会会员、皇家工程学院院士、工程及科技学会会员、数学及应用学会会员、物理学会会员。

 

目录

《信息安全工程(第2版)》
第ⅰ部分
第1章 安全工程的含义 3
1.1 简介 3
1.2 框架 4
1.3 实例1——银行 5
1.4 实例2——军事基地 6
1.5 实例3——医院 7
1.6 实例4——家庭 7
1.7 定义 8
1.8 小结 11
第2章 可用性与心理学 13
2.1 简介 13
2.2 基于心理学的攻击 14
2.2.1 假托 14
2.2.2 钓鱼 16
2.3 心理学研究的视点 17
2.3.1 人脑在哪些方面逊于计算机 17
2.3.2 认知偏差与行为经济学 18
2.3.3 思维处理的不同方面 20
2.3.4 人的差别 20
2.3.5 社会心理学 21
2.3.6 人脑在哪些方面胜于计算机 22
2.4 密码 23
2.4.1 可靠密码输入的困难 24
2.4.2 记住密码的困难 24
2.4.3 幼稚的密码选取 25
2.4.4 用户能力与培训 25
2.4.5 社会工程攻击 29
2.4.6 可信路径 30
2.4.7 对钓鱼攻击的应对措施 31
2.4.8 钓鱼攻击的未来 36
2.5 系统问题 37
2.5.1 是否可以拒绝服务 38
2.5.2 保护自己还是保护他人 38
2.5.3 对密码输入的攻击 38
2.5.4 密码存储攻击 40
2.5.5 绝对限制 41
2.6 captcha 42
2.7 小结 43
2.8 研究问题 43
2.9 补充书目 43
第3章 协议 45
3.1 引言 45
3.2 密码窃听的风险 46
3.3 简单身份验证 47
3.3.1 质询与应答 49
3.3.2 mig中间人攻击 52
3.3.3 反射攻击 54
3.4 操纵消息 55
3.5 环境变化 56
3.6 选择协议攻击 57
3.7 加密密钥管理 58
3.7.1 基本密钥管理 58
3.7.2 needham-schroeder协议 59
3.7.3 kerberos 60
3.7.4 可行的密钥管理 61
3.8 迈向形式化 62
3.8.1 一个典型的智能卡银行协议 62
3.8.2 ban逻辑 63
3.8.3 支付协议认证 64
3.8.4 形式化认证的局限性 64
3.9 小结 65
3.10 研究问题 65
3.11 补充书目 66
第4章 访问控制 67
4.1 引言 67
4.2 操作系统访问控制 69
4.2.1 组与角色 70
4.2.2 访问控制列表 71
4.2.3 unix操作系统安全 71
4.2.4 apple os/x 73
4.2.5 windows—— 基本体系结构 73
4.2.6 能力 74
4.2.7 windows—— 新增的特性 75
4.2.8 中间件 77
4.2.9 沙盒与携带证明的代码 79
4.2.10 虚拟化 79
4.2.11 可信计算 80
4.3 硬件保护 81
4.3.1 intel处理器与可信计算 82
4.3.2 arm处理器 83
4.3.3 安全处理器 83
4.4 存在的问题 84
4.4.1 破坏堆栈 84
4.4.2 其他攻击技术 85
4.4.3 用户接口失败 87
4.4.4 为何错误百出 88
4.4.5 补救措施 89
4.4.6 环境变化 89
4.5 小结 90
4.6 研究问题 90
4.7 补充书目 91
第5章 密码学 93
5.1 引言 93
5.2 历史背景 94
5.2.1 早期流密码：vigenère 95
5.2.2 一次一密法 95
5.2.3 早期的分组密码—— playfair 97
5.2.4 单向函数 98
5.2.5 非对称原语 100
5.3 随机预言模型 100
5.3.1 随机函数：哈希函数 101
5.3.2 随机序列生成器：流密码 103
5.3.3 随机置换：分组密码 104
5.3.4 公钥加密和陷门单向置换 106
5.3.5 数字签名 106
5.4 对称加密原语 107
5.4.1 sp网络 108
5.4.2 高级加密标准 111
5.4.3 feistel密码 112
5.5 操作模式 116
5.5.1 电子密码本 116
5.5.2 密码分组链 116
5.5.3 输出反馈 117
5.5.4 计数器加密 118
5.5.5 密码反馈 118
5.5.6 消息身份验证码 119
5.5.7 操作模式的组合 119
5.6 哈希函数 120
5.6.1 基础加密的额外要求 120
5.6.2 常用哈希函数及应用 121
5.7 非对称加密原语 123
5.7.1 基于因数分解的加密 123
5.7.2 基于离散对数的加密 126
5.7.3 特殊用途的原语 129
5.7.4 椭圆曲线加密 130
5.7.5 证书 130
5.7.6 非对称加密原语的强度 132
5.8 小结 132
5.9 研究问题 133
5.10 补充书目 133
第6章 分布式系统 135
6.1 引言 135
6.2 并发 135
6.2.1 使用陈旧数据与状态传播成本 136
6.2.2 通过锁机制防止不一致的更新 137
6.2.3 更新顺序 137
6.2.4 死锁 138
6.2.5 不收敛状态 138
6.2.6 安全时间 139
6.3 容错与故障恢复 140
6.3.1 故障模型 140
6.3.2 恢复功能的目的 142
6.3.3 冗余实现层 143
6.3.4 拒绝服务攻击 144
6.4 命名 145
6.4.1 分布式系统中的命名见解 145
6.4.2 其他错误 147
6.4.3 名称的类型 152
6.5 小结 152
6.6 研究问题 153
6.7 补充书目 153
第7章 经济学 155
7.1 引言 155
7.2 古典经济学 156
7.2.1 垄断 156
7.2.2 公共物品 158
7.3 信息经济学 159
7.3.1 信息的价格 159
7.3.2 锁定的价值 160
7.3.3 信息不对称 161
7.4 博弈论 161
7.4.1 囚徒困境 162
7.4.2 演化博弈 163
7.5 安全经济学和可靠性 165
7.5.1 取决于最脆弱的环节还是全部付出 165
7.5.2 管理补丁周期 166
7.5.3 windows为何如此脆弱 166
7.5.4 隐私经济学 167
7.5.5 drm经济学 169
7.6 小结 169
7.7 研究问题 170
7.8 补充书目 170
第ⅱ部分
第8章 多级安全 173
8.1 引言 173
8.2 安全策略模型的含义 174
8.3 bell-lapadula安全策略模型 175
8.3.1 分级与许可 176
8.3.2 信息流控制 177
8.3.3 对bell-lapadula模型的一些常见批评 178
8.3.4 替代的表述 179
8.3.5 biba模型与vista 181
8.4 历史上的几个mls系统实例 182
8.4.1 scomp 182
8.4.2 blacker 183
8.4.3 mls unix与间隔模式工作站 183
8.4.4 nrl泵 184
8.4.5 后勤系统 184
8.4.6 sybard套件 185
8.4.7 搭线窃听系统 185
8.5 未来的mls系统 185
8.5.1 vista 186
8.5.2 linux 186
8.5.3 虚拟化 187
8.5.4 嵌入式系统 188
8.6 存在的问题 188
8.6.1 可组合性 189
8.6.2 级联问题 189
8.6.3 隐通道 190
8.6.4 病毒的威胁 191
8.6.5 多实例 192
8.6.6 其他实际问题 192
8.7 mls更广泛的内涵 194
8.8 小结 195
8.9 研究问题 195
8.10 补充书目 196
第9章 多边安全 197
9.1 引言 197
9.2 分隔和bma模型 198
9.2.1 分隔和网格模型 198
9.2.2 bma模型 201
9.2.3 当前的隐私问题 206
9.3 推理控制 208
9.3.1 医学中推理控制的基本问题 208
9.3.2 推理控制的其他应用 209
9.3.3 推理控制理论 210
9.3.4 常规方法的局限性 214
9.3.5 不完善保护的价值 216
9.4 遗留问题 217
9.5 小结 219
9.6 研究问题 219
9.7 补充书目 219
第10章 银行与簿记系统 221
10.1 引言 221
10.1.1 簿记的起源 222
10.1.2 复式簿记 223
10.1.3 电子商务历史概述 223
10.2 银行计算机系统的工作方式 224
10.2.1 clark-wilson安全策略模型 225
10.2.2 内部控制设计 226
10.2.3 存在的问题 228
10.3 大规模支付系统 231
10.3.1 swift 231
10.3.2 存在的问题 233
10.4 自动取款机 234
10.4.1 atm基础 235
10.4.2 存在的问题 237
10.4.3 动机与不义 240
10.5 信用卡 241
10.5.1 诈骗 241
10.5.2 伪造 242
10.5.3 自动诈骗检测 243
10.5.4 诈骗的经济学 244
10.5.5 在线信用卡诈骗—— 夸大与事实 244
10.6 基于智能卡的银行 246
10.6.1 emv 246
10.6.2 rfid 250
10.7 家庭银行与洗钱 251
10.8 小结 253
10.9 研究问题 253
10.10 补充书目 254
第11章 物理保护 255
11.1 引言 255
11.2 威胁和障碍物 256
11.2.1 威胁模型 256
11.2.2 威慑 257
11.2.3 围墙和障碍 259
11.2.4 机械锁 260
11.2.5 电子锁 263
11.3 警报器 264
11.3.1 为何无法保护一幅画 265
11.3.2 传感器失灵 266
11.3.3 功能交互 267
11.3.4 攻击通信系统 268
11.3.5 经验教训 270
11.4 小结 271
11.5 研究问题 271
11.6 补充书目 271
第12章 监控与计量 273
12.1 引言 273
12.2 预付费仪表 274
12.2.1 电表 275
12.2.2 系统的运作方式 276
12.2.3 存在的问题 277
12.3 计程器、转速图表以及卡车限速器 278
12.3.1 转速图表 279
12.3.2 存在的问题 281
12.3.3 数字转速图表计划 283
12.4 邮资计算器 286
12.5 小结 289
12.6 研究问题 290
12.7 补充书目 290
第13章 核武器的指挥与控制 291
13.1 引言 291
13.2 指挥与控制的演化 292
13.2.1 肯尼迪备忘录 293
13.2.2 授权、环境和意图 293
13.3 无条件安全身份验证码 294
13.4 共享控制方案 295
13.5 防篡改与pal 297
13.6 条约的核查 298
13.7 存在的问题 298
13.8 保密还是公开 299
13.9 小结 299
13.10 研究问题 300
13.11 补充书目 300
第14章 安全印刷和封印 301
14.1 引言 301
14.2 历史 302
14.3 安全印刷 303
14.3.1 威胁模型 303
14.3.2 安全印刷技术 304
14.4 包装和封印 307
14.4.1 基底属性 307
14.4.2 粘贴问题 308
14.4.3 密码函 309
14.5 系统漏洞 310
14.5.1 威胁模型的特性 311
14.5.2 反制gundecking的措施 311
14.5.3 随机故障的效果 312
14.5.4 材料控制 312
14.5.5 未能保护正确的事物 313
14.5.6 检查的成本和性质 313
14.6 评估方法论 314
14.7 小结 315
14.8 研究问题 315
14.9 补充书目 316
第15章 生物识别技术 317
15.1 引言 317
15.2 手写签名 318
15.3 人脸识别 320
15.4 贝迪永式人体测定法 322
15.5 指纹 322
15.5.1 验证肯定的或否定的身份声明 323
15.5.2 犯罪现场取证 325
15.6 虹膜编码 327
15.7 声音识别 329
15.8 其他系统 330
15.9 存在的问题 331
15.10 小结 333
15.11 研究问题 334
15.12 补充书目 334
第16章 物理防篡改 335
16.1 引言 335
16.2 历史 336
16.3 高端物理安全处理器 337
16.4 评估 341
16.5 中等安全处理器 342
16.5.1 ibutton 343
16.5.2 dallas 5000系列 344
16.5.3 fpga安全和clipper芯片 344
16.6 智能卡和微控制器 346
16.6.1 历史 347
16.6.2 体系结构 347
16.6.3 安全演化 348
16.6.4 最新技术发展 356
16.7 存在的问题 357
16.7.1 可信接口问题 357
16.7.2 冲突 358
16.7.3 柠檬市场、风险转移与评估 358
16.7.4 通过隐匿实现安全 359
16.7.5 与政策的交互 359
16.7.6 功能蠕变 360
16.8 保护目标 360
16.9 小结 361
16.10 研究问题 361
16.11 补充书目 362
第17章 发射安全 363
17.1 引言 363
17.2 历史 364
17.3 技术监视和对策 365
17.4 被动攻击 367
17.4.1 通过电力线和信号线的泄漏 367
17.4.2 通过射频信号的泄漏 370
17.5 主动攻击 373
17.5.1 tempest病毒 373
17.5.2 nonstop 374
17.5.3 短时脉冲波形干扰 374
17.5.4 差分故障分析 374
17.5.5 联合攻击 375
17.5.6 商业利用 375
17.5.7 防御 375
17.6 光学、声学和热量旁路 376
17.7 emsec攻击的严重程度 377
17.8 小结 378
17.9 研究问题 378
17.10 补充书目 378
第18章 api攻击 379
18.1 引言 379
18.2 对安全模块的api攻击 380
18.2.1 xor-to-null-key攻击 380
18.2.2 特定攻击 382
18.2.3 多方计算与差分协议攻击 382
18.2.4 emv攻击 383
18.3 针对操作系统的api攻击 384
18.4 小结 385
18.5 研究问题 386
18.6 补充书目 386
第19章 电子战与信息战 387
19.1 引言 387
19.2 基础知识 388
19.3 通信系统 388
19.3.1 信号情报技术 389
19.3.2 通信攻击 391
19.3.3 保护技术 392
19.3.4 民用与军用的交互 395
19.4 监视与目标获取 396
19.4.1 雷达类型 397
19.4.2 干扰技术 397
19.4.3 高级雷达与应对措施 399
19.4.4 其他传感器与多传感器问题 400
19.5 iff系统 400
19.6 简易爆炸装置 402
19.7 定向能武器 403
19.8 信息战 404
19.8.1 定义 405
19.8.2 学说 405
19.8.3 电子战中潜在的有用教训 406
19.8.4 电子战与信息战的区别 407
19.9 小结 408
19.10 研究问题 408
19.11 补充书目 408
第20章 电信系统安全 409
20.1 概述 409
20.2 盗用电话服务 410
20.2.1 攻击计量系统 410
20.2.2 攻击信令 412
20.2.3 攻击交换机和配置 413
20.2.4 不安全的终端系统 414
20.2.5 特征交互 416
20.3 移动电话 417
20.3.1 移动电话克隆机制 417
20.3.2 gsm安全机制 418
20.3.3 第三代移动电话3gpp 424
20.3.4 平台安全 425
20.3.5 移动电话的安全性分析 427
20.3.6 ip电话 428
20.4 电信公司的安全经济学 429
20.4.1 电话公司的欺诈行为 430
20.4.2 计费机制 431
20.5 小结 433
20.6 研究问题 434
20.7 补充书目 434
第21章 网络攻击与防御 435
21.1 引言 435
21.2 网络协议漏洞 436
21.2.1 对局域网的攻击 437
21.2.2 使用ip协议与机制进行攻击 438
21.3 特洛伊、病毒、蠕虫与rootkit 442
21.3.1 恶意代码早期历史 443
21.3.2 网络蠕虫 444
21.3.3 病毒和蠕虫的工作原理 444
21.3.4 恶意软件的历史 445
21.3.5 应对措施 447
21.4 防御网络攻击 448
21.4.1 配置管理与运营安全 449
21.4.2 过滤：防火墙、垃圾邮件过滤软件、审查以及搭线窃听 450
21.4.3 入侵检测 454
21.4.4 检测网络攻击的特定问题 456
21.4.5 加密 457
21.5 拓扑 464
21.6 小结 465
21.7 研究问题 466
21.8 补充书目 466
第22章 版权和数字版权管理 469
22.1 概述 469
22.2 版权问题 470
22.2.1 软件版权 470
22.2.2 图书版权 475
22.2.3 音频版权 475
22.2.4 视频和付费电视版权 476
22.2.5 dvd 482
22.2.6 hd-dvd和blu-ray 484
22.3 通用平台 486
22.3.1 windows媒体版权管理 487
22.3.2 其他在线版权管理系统 488
22.3.3 对等网络系统 489
22.3.4 半导体ip的版权管理 490
22.4 信息隐藏 491
22.4.1 水印技术和副本代次管理系统 491
22.4.2 信息隐藏通用技术 492
22.4.3 针对版权标记机制的攻击 493
22.4.4 版权标记机制的应用 496
22.5 政策问题 497
22.5.1 ip游说活动 498
22.5.2 受益方 499
22.6 配件控制 500
22.7 小结 501
22.8 研究问题 502
22.9 补充书目 502
第23章 前沿领域 503
23.1 引言 503
23.2 计算机游戏 504
23.2.1 作弊类型 505
23.2.2 自动瞄准器和其他未授权软件 506
23.2.3 虚拟世界和虚拟经济 507
23.3 web应用 508
23.3.1 ebay 509
23.3.2 google 509
23.3.3 社交网站 511
23.4 隐私保护技术 515
23.4.1 匿名电子邮件—— 密码学家用餐问题和mix系统 517
23.4.2 匿名web浏览—— tor软件 519
23.4.3 保密和匿名电话 520
23.4.4 电子邮件加密技术 521
23.4.5 隐写术和取证对策 522
23.4.6 汇总 523
23.5 选举 525
23.6 小结 527
23.7 研究问题 528
23.8 补充书目 528
第ⅲ部分
第24章 恐怖行动与司法 533
24.1 引言 533
24.2 恐怖主义 534
24.2.1 文化暴力的根源 534
24.2.2 文化暴力的心理学 534
24.2.3 新闻界的角色 535
24.2.4 对恐怖主义的态度 535
24.3 监视 536
24.3.1 窃听的历史 536
24.3.2 越来越多关于通信分析的争论 538
24.3.3 非法监视 539
24.3.4 对搜索内容和位置数据的访问 540
24.3.5 数据挖掘 540
24.3.6 通过isp的监视活动——carnivore系统及后继者 541
24.3.7 情报的力量与弱点 542
24.3.8 密码战 543
24.3.9 密码战的效用 546
24.3.10 出口控制 547
24.4 取证和证据规则 548
24.4.1 取证 548
24.4.2 证据采用 550
24.5 隐私和数据保护 551
24.5.1 欧洲的数据保护 552
24.5.2 欧洲和美国的比较 553
24.6 小结 554
24.7 研究问题 555
24.8 补充书目 555
第25章 安全系统开发管理 557
25.1 引言 557
25.2 安全项目的管理 558
25.2.1 三家超市的故事 558
25.2.2 风险管理 559
25.2.3 组织问题 560
25.3 方法学 564
25.3.1 自上而下设计 564
25.3.2 迭代设计 566
25.3.3 从安全关键型系统吸取的教训 567
25.4 安全需求工程 570
25.4.1 需求演化的管理 571
25.4.2 项目需求管理 576
25.4.3 过程的并行化 577
25.5 风险管理 579
25.6 团队管理 580
25.7 小结 583
25.8 研究问题 583
25.9 补充书目 584
第26章 系统评估与保障 587
26.1 引言 587
26.2 保障 588
26.2.1 不正当的经济动机 588
26.2.2 项目保障 589
26.2.3 过程保障 591
26.2.4 保障的增长 593
26.2.5 进化和安全保障 594
26.3 评估 595
26.3.1 依赖方的评估 596
26.3.2 通用准则 598
26.3.3 通用准则没有做什么 600
26.4 前方的路 603
26.4.1 不友善的评论 604
26.4.2 自由与开源软件 604
26.4.3 半开放设计 605
26.4.4 渗透与修补、cert和bugtraq 606
26.4.5 教育 607
26.5 小结 607
26.6 研究问题 607
第27章 结论 609
参考文献 613

 

前言

 

       近几个世纪以来人们使用锁、栅栏、签名、封印、账册和仪表等来保护自己的财产和隐私，并得到从国际条约到国际法到礼节和风俗等的大量社会结构的支持。
　　这一切处于快速的变革中。大多数记录现在都实现了电子化，从银行账号到土地财产登记册都如此；随着Internet购物的流行，交易也日趋电子化。还有很多也很重要但不那么明显的是，很多日常系统也已经悄悄地实现了自动化处理。防盗自动警铃不再会惊醒邻居的美梦，而是悄悄地向警察发送消息；学生们不再需要使用硬币来为其宿舍内的洗衣机和干衣机付费，而是用可在大学书店充值的智能卡进行记账；锁不再是简单的机械设施，而是可以通过远程电子控制或刷卡进行操纵；数百万的人们不再需要租赁录像带，而是通过卫星或电缆来观看电影。甚至普通钞票也不再只是纸上印着墨汁，而是包含了数字水印信息，以便机器检测很多伪造行为。
　　那么，这些新的安全技术效果如何？遗憾的是，真实的答案是“与预期的良好作用相距甚远”。新系统通常很快就被攻破，同样的基础性错误在不同的应用程序中不断重复出现。通常需要经过四五次尝试才能实现安全的设计，而这实在太多了。
　　媒体经常报告Internet上的安全漏洞，银行为取款机上的“错误提款”与客户争论不休，VISA报告了Internet上有争议的信用卡交易数量的显著增长，卫星电视公司追索复制其智能卡的盗版者，执法机构试图通过控制加密机制使用的法律来监视计算机领域的恐怖主义行为。更糟糕的是，各种功能之间存在很多交互—— 偶然按到了移动电话的重拨键只是一个小小的麻烦，而在发明了一种机器且该机器在每次电话号码被呼叫时就提供一罐软饮料时，情况就不那么简单了，当你突然发现你的电话账单上有50罐可乐时，谁应该对此负责？电话公司？手持设备制造商？还是销售机操作员？一旦几乎所有影响生活的电子设备都连接到Internet上(Microsoft预计这将在2010年出现)，“Internet安全”对个人意味着什么，怎样应付这个问题？
　　除系统故障外，还有很多系统不能有效工作。医疗记录系统不允许医生按需共享个人健康信息，但仍不能防止这些信息被不择手段的私家侦探获取。Zillion-dollar军事系统阻止不具备绝密级许可权限的任何人获取情报数据，但通常在设计上几乎要求所有人都具备绝密级许可权限才能完成任何工作。乘客售票系统在设计上试图防止客户欺骗，但当反垄断官员打破了铁路的统一后，无法阻止新的铁路公司彼此之间的欺骗。如果设计者知道其他地方有哪些做法已经被尝试过并失败过，就可以预见其中很多失败。
　　安全工程是从这些混乱中涌现出的一门新学科。
　　尽管大多数底层技术(如加密学、软件可靠性、防篡改、安全打印和审计等)较容易理解，但如何有效应用这些技术则更难。由于从机械机制向数字机制的转变几乎无处不在，使得很多经验教训没有足够的时间在工程团体内被学习和接受。我们一次又一次地看到很多做法在不同场合重复。
　　最有能力应对变迁的行业通常是那些从其他领域学习了适当技术的行业，比如，银行取款机(甚至预付费煤气表)就重用了军事领域敌我识别装备中的技术。因此，即便某位安全设计人员在某个特定领域拥有出色的技能——不管是操纵密码的数学家还是开发钞票墨水的化学家—— 对整个主题有全局的理解还是有意义的。良好的安全工程的实质是理解系统面临的潜在威胁，之后运用技术上和组织上合适的混合防护措施，来对这些威胁进行控制。了解在其他应用中哪些措施是有效的，更重要的是了解哪些措施是无效的，这对开发会很有帮助，并且可以省下一大笔钱。
　　本书旨在为安全工程奠定坚实的基础，这也是我们在21世纪初对安全工程的理解。希望本书可以起到以下四个层面的作用：
　　(1) 作为一本教科书，可作为本主题的入门读物，可在数天内全部读完。本书主要面向需要了解这一主题的IT专业人士，也可作为大学教材(一学期课程)。
　　(2) 作为一本参考书，用于大致了解某特定类型系统的工作原理和过程。这些系统包括取款机、出租车计价表、雷达干扰器和匿名医疗记录数据库等。
　　(3) 作为介绍底层技术的入门书籍，如加密、访问控制、推理控制、防篡改和封印等技术。由于篇幅所限，无法进行特别深入的探讨，但对于每个主题都给出了基本的路线图，并为感兴趣的读者给出了参考读物列表(对未来的毕业生，还给出了开放研究问题列表)。
　　(4) 作为一本原创的科学文献，在其中，我试图勾勒出作为安全工程基础的通用原理，以及人们在构建某种类型系统时应该从其他系统中吸取的教训。在我从事安全工作的多年经历中，我一直试图说出这些。比如，设计通用防空火力控制雷达的人不知道对流密码的简单攻击方法，使得雷达很容易受到干扰；而雷达社区中人们熟悉的技巧也没有被印钞机和设计版权标记框架的人所理解，从而导致对大多数数字水印的非常常见的攻击。
　　本书源于我在剑桥所教授的安全工程课程，但我重新撰写了教案，使其更容易理解，并添加了一些必要的素材。对专业安全管理人员或顾问来讲，本书是一本极富价值的最前沿的参考书；对从事密码学研究的计算机科学教授、试图了解最新计算机骗术的警察侦探、想要清除密码学与匿名性立法方面冲突的政策人员来讲，本书应该都是有用的。最重要的是，本书的主要读者群是在职的程序员或工程师，他们正在试图设计实际系统，并努力保证系统在客户、管理人员和任何其他人的操作下都能正常运行。
　　本书分为三个部分：
　　● 第I部分介绍一些基本概念，从安全协议的一些中心概念开始，到人机界面问题、访问控制、密码学与分布式系统问题。该部分不要求读者具备特定的技术背景，只要求掌握计算机基础知识。本部分是以我给二年级学生所教授的安全课程为基础的。
　　● 第II部分较详细地讲述了大量重要的应用，比如军事通信、医疗记录系统、取款机、移动电话以及付费电视等，这些系统用于引入更多高级技术和概念。本部分还从公司、消费者、犯罪分子、警察、间谍等大量不同团体的视点分析了信息安全问题。这些素材源于我在安全方面的高级课程讲义、研究工作和咨询工作等。
　　● 第III部分讲述了组织与策略问题：计算机安全怎样与法律、证据和公司政治生态交互作用；怎样确保系统可以按照设计的目标工作；怎样对安全工程的整个过程进行最有效的管理。
　　我相信，构建在面对恶意行为时仍能可靠运行的系统是工程师们在21世纪面临的最重要、最有趣、最困难的任务之一。
　　参考文献

.　　在阅读过程中，你会发现正文中的一些地方出现了用方括号括住的编号，即[*]，这些代表参考文献号，你可以在书末的“参考文献”查阅书名。