《信息安全工程》第一版于2001年5月出版，從那時至今，世界已經(jīng)發(fā)生了巨大變化。

那時，系統(tǒng)安全在微軟是最后考慮的事項，而現(xiàn)在則是最優(yōu)先考慮的要素之一。惡意軟件的數(shù)量不斷增長，帶來的麻煩不斷增多。盡管已做了大量的防御工作——?我們已經(jīng)看到，Windows NT被XP取代，之后是Vista，并且偶爾發(fā)布的服務補丁也被每月發(fā)布的安全補丁所替代——?但攻擊者在攻擊方面付出的努力要更大。那些編寫病毒的人不再是為了樂趣，而是為了追逐利益，最近幾年中，已經(jīng)可以看到各領域?qū)I(yè)人士共同完成攻擊行為的犯罪經(jīng)濟學的影子。垃圾郵件制造者、病毒編寫者、釣魚者、經(jīng)濟詐騙犯以及間諜彼此之間頻繁地進行交易。

密碼學也在不斷向前發(fā)展。高級加密標準已嵌入到越來越多的產(chǎn)品中，公鑰領域也取得了很多有趣的進展。但在算法問題得到解決后，我們又面臨著大量的實現(xiàn)問題，隱通道、設計存在漏洞的API以及協(xié)議失敗等都不斷地對系統(tǒng)造成破壞。與以前相比，應用密碼學更難以實現(xiàn)安全目標。

普適計算也帶來了新挑戰(zhàn)。隨著計算機與通信設備越來越多地以不可見的方式嵌入到大量領域，過去只是影響“相應計算機”的問題開始影響所有類型的設備。對熱敏電阻溫度計或空調(diào)機而言，安全又有怎樣的內(nèi)涵？

智能設備的多樣性帶來了不同的興趣和參與者。安全不僅是關于怎樣將破壞分子拒于門外，而且日益與權力和控制的爭奪關聯(lián)在一起。DRM導致內(nèi)容與平臺產(chǎn)業(yè)相互之間以及與消費者之間的明爭暗斗；附件控制用于將打印機與其銷售商提供的耗材綁定，但導致了反壟斷訴訟。安全還與汽車乃至電子醫(yī)療保健設備的安危相關。安全工程需要理解的不僅是密碼學和操作系統(tǒng)，還要理解經(jīng)濟學和人為因素。

數(shù)字設備的無處不在意味著，“計算機安全”不再僅僅是少數(shù)系統(tǒng)專家研究的問題。幾乎所有的白領犯罪(以及大部分嚴重暴力類型的犯罪行為)都涉及計算機或移動電話，因此，就像需要知道如何駕車一樣，偵探也需要理解計算機取證方式。越來越多的律師、會計師、管理人員和其他沒有經(jīng)過正規(guī)工程訓練的人都將不得不理解系統(tǒng)安全問題，以便完成自己的工作。

在線服務的快速增長——從Google、Facebook到大規(guī)模的多方游戲，也在改變著世界。在線應用程序中的錯誤在被發(fā)現(xiàn)后可以快速地進行修復，但隨著應用程序日趨復雜，其負面效應難于預測。對操作系統(tǒng)或銀行服務而言，我們對其安全的內(nèi)涵可能有合理的理解，但對在線服務而言則不敢下此斷言，因為在其生命周期內(nèi)都是不斷演化的。我們正在進入一個社會-技術系統(tǒng)不斷演化的新世界，并且需要理解這種演化如何推動以及由誰控制的深奧問題。

然而，最大的變化是由2001年9月11日的恐怖襲擊事件以及我們對該事件的反應驅(qū)動的。這已經(jīng)以多種方式改變了感覺和優(yōu)先級，并改變了安全產(chǎn)業(yè)的形態(tài)?？植乐髁x不僅是關于風險的，還涉及對于風險的感知、對感知的操縱等，從而向安全內(nèi)涵中添加了心理學與政治等因素。對政治爭論，安全工程師也有責任。在對恐怖主義犯罪不當反應導致巨大資源浪費與非受迫性策略錯誤的地方，我們不得不向人們問一些簡單的問題：我們要防止的是什么？已提出的機制能否真正奏效？

Ross Anderson