人性這根曲木，絕對造不出任何筆直的東西。

——Immanuel Kant

世界永遠不會盡善盡美，無論在線還是離線，因此，我們對在線的要求不要太高。

——Esther Dyson

1.1  簡介

安全工程研究如何構(gòu)建安全的系統(tǒng)，使系統(tǒng)在面對惡意攻擊、錯誤以及災(zāi)難時仍保持可靠性。作為一門學(xué)科，安全工程著重研究一些工具、過程和方法——?在設(shè)計、實現(xiàn)與測試完備的系統(tǒng)，并且隨著外部環(huán)境的改變而自適應(yīng)地調(diào)整現(xiàn)有系統(tǒng)時，這些都是必需的。

安全工程需要跨學(xué)科的專業(yè)知識——?從密碼學(xué)與計算機安全，到硬件防篡改與正式方法，以及經(jīng)濟學(xué)、應(yīng)用心理學(xué)、組織行為學(xué)、法律等廣泛的學(xué)科領(lǐng)域。系統(tǒng)工程技能，如業(yè)務(wù)流程分析、軟件工程以及評估與測試也都是很重要的組成部分，但僅有這些還不夠，因為它們只應(yīng)對錯誤和災(zāi)難，并不包括惡意攻擊。

很多安全系統(tǒng)有嚴格的保證要求，其失效可能會危及人類生活與環(huán)境(比如核安全與控制系統(tǒng))，對主要的經(jīng)濟基礎(chǔ)結(jié)構(gòu)造成嚴重危害(自動取款機及其他銀行信息系統(tǒng))，危及個人隱私(醫(yī)療記錄系統(tǒng))，破壞整個行業(yè)的生存能力(付費電視)，促進犯罪行為(防盜報警和汽車報警)。甚至將系統(tǒng)看得比實際情況更加脆弱(通過Internet用信用卡支付)也會顯著阻礙經(jīng)濟的發(fā)展。

一般認為，軟件工程旨在確保某些事情能夠發(fā)生(“約翰可以閱讀這份文件”)，而安全工程則確保某些事情不能發(fā)生，而現(xiàn)實更加復(fù)雜。不同系統(tǒng)的安全要求差別很大。典型系統(tǒng)的安全要求包括用戶身份驗證、事務(wù)完整性與問責(zé)制、容錯、消息保密以及隱蔽性等安全機制的某些組合，但很多系統(tǒng)都會失效，這或者是因為設(shè)計者對錯誤的目標(biāo)實施保護，或者因為以錯誤的方式對正確的目標(biāo)進行保護而導(dǎo)致的。

要對正確的目標(biāo)實施正確的保護，需要幾個不同類型的過程。需要規(guī)劃保護哪些內(nèi)容，以及如何對其進行保護。還需要確保對系統(tǒng)進行保護和維護的人員有正確的動機。下一節(jié)將給出一個框架。之后，為舉例說明安全系統(tǒng)必須處理的不同事物的范疇，我們將快速瀏覽四個應(yīng)用領(lǐng)域：銀行、空軍基地、醫(yī)院和家庭。在展示了安全工程師必須理解和構(gòu)建的某些具體實例之后，我們將嘗試給出一些相關(guān)的定義。