在與Roger Needham合著的一篇論文中，Ross Anderson創(chuàng)造了短語“給撒旦的計(jì)算機(jī)編程”，用于描述計(jì)算機(jī)安全工程師面臨的問題。想到Ross，我的腦海里就浮現(xiàn)出這幅圖景，自那時(shí)起我也開始使用這個(gè)短語。

給計(jì)算機(jī)編程是直接的：不斷地排除問題，直至計(jì)算機(jī)完成了需要完成的任務(wù)。大型應(yīng)用程序與操作系統(tǒng)更復(fù)雜一些，但方法基本相同。編寫可靠的計(jì)算機(jī)程序更難，因?yàn)槌绦蛐枰诿鎸﹄S機(jī)錯(cuò)誤和失誤時(shí)仍能有效工作：墨菲的計(jì)算機(jī)。關(guān)于可靠的軟件設(shè)計(jì)，已經(jīng)有大量的研究，也有很多關(guān)鍵業(yè)務(wù)軟件應(yīng)用程序在設(shè)計(jì)上可以抵抗墨菲定律。

編寫安全(secure)的計(jì)算機(jī)程序完全是另一碼事。安全不僅涉及讓確定的事情有效進(jìn)行，也不僅是處理隨機(jī)錯(cuò)誤，更要面對的情況是，智能的惡意對手總是一再試圖在最糟糕的時(shí)間以最糟糕的方式讓事情無法進(jìn)行。這確實(shí)是在為撒旦的計(jì)算機(jī)編程。

安全工程不同于任何其他類型的編程。這是我在專著Secrets and Lies、月刊Crypto-Gram和我撰寫的其他作品中一再強(qiáng)調(diào)的觀點(diǎn)。這也是Ross在本書每一章中強(qiáng)調(diào)的一點(diǎn)。這也是為什么在你完成安全工程方面的工作，或在思考做安全工程方面的工作時(shí)需要閱讀本書的原因。這是第一本，也是唯一一本關(guān)于端對端現(xiàn)代安全設(shè)計(jì)與工程的書籍。

本書的撰寫可謂恰逢其時(shí)?？蓪nternet的歷史劃分為三個(gè)階段。第一階段集中于大型機(jī)和終端，那時(shí)計(jì)算機(jī)昂貴稀缺；第二階段大概從1992年到現(xiàn)在，集中于個(gè)人計(jì)算機(jī)、瀏覽器以及大型應(yīng)用程序；第三階段從現(xiàn)在開始，我們將看到目前在專用網(wǎng)絡(luò)、獨(dú)立的、非計(jì)算化環(huán)境中的所有類型設(shè)備連接在一起。到2003年，連接到Internet中的移動(dòng)電話要多于計(jì)算機(jī)。我們將在幾年內(nèi)看到，世界上很多電冰箱、心臟監(jiān)控器、公交車票與火車票配售機(jī)、防盜警鈴和電子儀表都將使用IP進(jìn)行通信。個(gè)人計(jì)算機(jī)在Internet中的地位將逐漸弱化。

安全工程，特別是在Internet歷史的第三階段的大環(huán)境下，需要采用不同的思考方式。你不僅需要設(shè)計(jì)事物的正常運(yùn)作流程，還要考慮哪些因素會(huì)導(dǎo)致異常。必須假設(shè)系統(tǒng)內(nèi)部存在智能的、惡意的對手(回想一下撒旦的計(jì)算機(jī))，對手在不斷尋找迂回繞行的新途徑。你必須考慮可能導(dǎo)致系統(tǒng)失敗的各種因素，其中大部分都與設(shè)計(jì)本身無關(guān)。你必須對每件事情都由表及里、自上而下、從左到右地進(jìn)行全方位衡量，你必須像外星人一樣進(jìn)行思考。

就像最近科幻小說編輯John W. Campbell所說的：“外星人和人類一樣也會(huì)思考，但與人類的思考方式不同”，計(jì)算機(jī)安全與此很類似。Ross是少數(shù)可像外星人一樣思考問題的人之一，并可將這種思考方式向普通人解釋清楚。請享受學(xué)習(xí)的樂趣吧。

Bruce Schneier