我討厭黑盒子。我寫作本書的目的之一就是要將某些慣用的黑盒子拆解開來，公之于眾，這些黑盒子在當(dāng)今的信息安全類書籍中比比皆是。另一方面，我也不希望你勞神費力地鉆入牛角尖去對付那些瑣碎的細(xì)枝末節(jié)(若你果真有此愛好的話，還可以移步去看相關(guān)的RFC文檔)。所以，我通常會一筆帶過那些我確信與當(dāng)前所討論主題并不相干的局部和詳情。至于在上述兩個貌似互斥的目標(biāo)之間，我是否已實現(xiàn)了合理的平衡，還有賴于讀者您的判定。
我已努力追求所提供的內(nèi)容能夠保持與時俱進(jìn)，以便可以涵蓋更加寬泛的諸多議題。我的目標(biāo)是要對每一個議題覆蓋得恰到好處，使得所提供的具體內(nèi)容剛好足夠你去領(lǐng)會相關(guān)的基本安全問題，同時又不至于陷入到無謂的細(xì)節(jié)當(dāng)中不能自拔。我也會嘗試對一些要點進(jìn)行不斷地強調(diào)和反復(fù)重申，以便那些關(guān)鍵性的信息不至于滑出你的視野。
　　我的另一個目標(biāo)是要把這些主題以一種生動鮮活并且充滿趣味的形式呈現(xiàn)出來。如果任何計算機科學(xué)的主題都能夠做到富有樂趣并令人興奮，那么信息安全也理應(yīng)如此。安全是正在進(jìn)行時，安全還處于新聞熱議中——這個話題顯然足夠新鮮活潑，也足以激動人心。
　　我也嘗試在這些素材當(dāng)中注入一點點的幽默感。人們說，幽默源自傷痛。所以，其中的冷暖，請根據(jù)我開玩笑的水平細(xì)細(xì)品味，我只能說我所引領(lǐng)的是一種令人向往的夢幻生活。不管怎樣，大部分真正不良的俏皮話都擠在狹小的腳注里，所以倒不至于太跑題。
　　有些信息安全的教科書會堆砌大塊干燥乏味且一無是處的理論說辭。任何一本這樣的著作，讀來都會像研讀一本微積分教材那般充滿刺激和挑戰(zhàn)。另外的一些讀本所提供的內(nèi)容，則看起來就像是一種對于信息的隨機性收集，而其中的信息卻是顯然毫不相干的事實羅列。這就會給人們留下一種印象，安全實際上根本不是一個有機結(jié)合的主題。此外，還有一些書籍，會將一些高級的管理學(xué)上的老生常談匯集到一起作為主題來介紹。最后，另有一些文本和教義選擇聚焦在信息安全領(lǐng)域中與人相關(guān)的因素上面。雖然所有的這些教授方法都有其自身的定位，但我還是認(rèn)為，首先并且也最為重要的是：對于處在基礎(chǔ)層面的技術(shù)的固有優(yōu)勢和不足，安全工程師必須要有扎扎實實的理解。
　　信息安全是一個龐大的主題，而且又不像其他更為成熟的一些學(xué)科領(lǐng)域，所以對于像這樣的一本書究竟應(yīng)該包含哪些素材，或者到底如何組織才最佳，也都無法給出清晰明確的回答。我選擇圍繞以下4個主要議題來組織本書：
　　密碼學(xué)技術(shù)
　　訪問控制
　　協(xié)議
　　軟件安全
　　根據(jù)我的習(xí)慣，這些議題都是相當(dāng)有彈性的。舉個例子，在訪問控制這一議題之下，我包含了有關(guān)身份認(rèn)證和授權(quán)相關(guān)的傳統(tǒng)主題，同時也包含了諸如防火墻和CAPTCHA驗證碼之類的非傳統(tǒng)主題。關(guān)于軟件的議題尤其靈活，其中包含了形形色色的多個主題，就像安全軟件開發(fā)、惡意軟件、軟件逆向工程以及操作系統(tǒng)之類的內(nèi)容。
　　雖然這本書是著眼于對實踐問題的研究，但我還是盡量覆蓋了足夠多的基本原理，以備你可以在這個領(lǐng)域中展開更深入的研究。而且，我也力爭盡可能地最小化所需要的背景知識。特別是，對于數(shù)學(xué)形式的表達(dá)，已經(jīng)控制到了最低限度(在附錄中有簡要的回顧，其中包含了本書中涉及的所有數(shù)學(xué)主題)。盡管存在這些自我強加的限制因素，但我仍然相信，相比除此之外的大部分安全類書籍，這本書容納了更具實質(zhì)性的密碼學(xué)技術(shù)相關(guān)內(nèi)容。此外，所需要的計算機科學(xué)知識背景也被降到了最低——入門級的計算機組成原理課程(或是與此相當(dāng)?shù)慕?jīng)驗)已經(jīng)是綽綽有余了。如果有一些編程經(jīng)驗，再加上一點兒匯編語言的基本知識，將會有助于更好地理解某幾個小節(jié)的內(nèi)容，不過這都不是必需的。還有幾個小節(jié)會涉及一些網(wǎng)絡(luò)技術(shù)基礎(chǔ)知識，所以在附錄中也包含簡短的關(guān)于網(wǎng)絡(luò)技術(shù)的回顧，提供了足夠多的背景材料。
如果你是一名信息技術(shù)方面的專業(yè)人士，正在嘗試學(xué)習(xí)更多有關(guān)安全的內(nèi)容，那么我建議你完整地閱讀本書。不過，如果你想躲過那些最有可能帶來羈絆，同時又對全書的整體性閱讀不會產(chǎn)生重要影響的素材，那么你大可以放心地跳過4.5節(jié)、整個的第6章(雖然6.6節(jié)值得強力推薦)以及8.4節(jié)。
　　如果你正在講授一門安全課程，那么你需要認(rèn)識到，這本書所包含的素材已經(jīng)超過了一個學(xué)期的課程所能涵蓋的內(nèi)容。通常情況下，在我的本科生安全課程中，我所遵循的課程計劃就如表Q-1中給出的課程表。這個課程安排允許有充足的時間去覆蓋一些可選的主題。
　　如果認(rèn)為表Q-1中所示的課程表過于繁忙(共需40個課時)，你可以砍掉第8章的8.9節(jié)，以及第12章和第13章中的某些主題。當(dāng)然，關(guān)于這個課程表，還有許多其他的調(diào)整也都是可行的。
表Q-1 推薦的課程安排
章 名學(xué) 時說 明
第1章 引言1講解全部
第2章 加密基礎(chǔ)3講解全部
第3章 對稱密鑰加密4跳過3.3.5節(jié)
第4章 公開密鑰加密4跳過4.5節(jié)
第5章 哈希函數(shù)及其他3跳過5.6節(jié)、5.7節(jié)中攻擊細(xì)節(jié)部分以及5.9.1節(jié)
第6章 高級密碼分析0跳過整章
第7章 認(rèn)證4講解全部
第8章 授權(quán)2跳過8.4.1、8.4.2和8.10節(jié)
第9章 簡單認(rèn)證協(xié)議4跳過9.4節(jié)
第10章 真實世界中的安全協(xié)議4跳過WEP或GSM部分
第11章 軟件缺陷和惡意軟件4講解全部
第12章 軟件中的安全4跳過12.3節(jié)
第13章 操作系統(tǒng)和安全3講解全部，如果時間允許的話
安全不是旁觀者的運動——進(jìn)行大量的課后問題練習(xí)，對于學(xué)習(xí)本書中提供的素材是非常有必要的。有許多主題，在課后的思考題中會展現(xiàn)得更加淋漓盡致，并且常常還會引入一些附加主題。歸結(jié)到一點，就是你解決的問題越多，你就能夠?qū)W到越多。
基于這本書的一門安全課程，對于個人和團(tuán)體項目而言，都會是理想的選擇。第6章的內(nèi)容對于加密類的項目來說就是非常好的資源，而附注的參考書目則提供了一個查找更多其他項目主題的出發(fā)點。此外，許多課后思考題本身就能很好地融入課堂討論當(dāng)中，或是非常適合作為課內(nèi)的作業(yè)安排(例如，可以參見第10章中的思考題19，或者第11章中的思考題33)。
　　這本教科書的網(wǎng)站地址是：http://WWW.cs.sjsu.edu/-stamp/infosec/。在這里，你可以找到PowerPoint幻燈片文件，在課后思考題中提到的所有文件、勘誤表等等。如果我是第一次講授這門課程，我會特別愿意使用這些PowerPoint幻燈片文件，畢竟它們已經(jīng)歷了“實戰(zhàn)”的千錘百煉，并且經(jīng)過了若干輪的反復(fù)改進(jìn)。此外，出版方還可以為教師提供一本問題解答手冊。
　　關(guān)于如何使用附錄也值得在此做些說明。附錄F.1與第8章8.9節(jié)和8.10節(jié)的內(nèi)容相關(guān)，也與整個第III部分內(nèi)容有關(guān)。即便在網(wǎng)絡(luò)技術(shù)方面有扎實的基礎(chǔ)，這部分素材也很可能仍然是值得去回顧的，因為網(wǎng)絡(luò)術(shù)語并不總是能夠保持一致，并且這里的內(nèi)容聚焦于安全方面。
　　附錄F.2的數(shù)學(xué)基礎(chǔ)則要負(fù)責(zé)對貫穿全書的多個不同地方提供解釋和支持�；�本的模運算(附錄F.2.2)分別出現(xiàn)在第3章和第5章的幾個小節(jié)當(dāng)中，而相對比較高級的一些概念則是第4章和第9章的9.5節(jié)中所必需的。我已經(jīng)發(fā)現(xiàn)，我的絕大多數(shù)學(xué)生都需要重新溫習(xí)有關(guān)模運算的基礎(chǔ)知識。其實，只需要花上大約20到30分鐘的課堂時間，就可以遍歷有關(guān)模運算的這些素材。相比不管不顧一頭扎到公開密鑰加密技術(shù)當(dāng)中，花這點兒時間還是很值得的。請相信我。
　　在附錄F.2.3中，我們就排列置換進(jìn)行了簡要的討論，這是第3章中最為凸顯的一個概念。而基本的離散概率知識(附錄F.2.4)則在本書中多處都會遇到。最后，附錄F.2.5中提供的基礎(chǔ)線性代數(shù)理論只有在6.5節(jié)才需要用到。
　　就像任何龐大而且復(fù)雜的軟件組件必然會包含有bug一樣，這本書也不可避免地會有錯誤。我真心地希望聽到你找出了任何的錯誤——無論大或小。我將會在本教材的網(wǎng)站上維護(hù)一個持續(xù)更新的勘誤表。另外，如果你對這本書未來的版本有任何意見或建議，請不要猶豫，立刻告訴我。
　　第2版有什么新的內(nèi)容呢？
　　對于第2版來說，一個主要的變化就是，課后思考題的數(shù)量和分類都有大幅增加。除了新增的和改進(jìn)的課后思考題之外，也增加了一些新的主題，還有一些新的背景知識和素材也被包含了進(jìn)來。實際上，所有現(xiàn)存的內(nèi)容都經(jīng)過了更新和澄清，并且所有已知的錯誤均已獲得了修正。新加入的主題的例子包括實際的RSA計時攻擊、關(guān)于僵尸網(wǎng)絡(luò)的討論以及安全證書涉及的范圍等。新增加的背景素材包括關(guān)于Enigma密碼機的一小節(jié)內(nèi)容，另外還有一部分內(nèi)容談到了經(jīng)典的“橘皮書”之安全觀。
　　信息安全是一個快速發(fā)展的領(lǐng)域，自本書第1版于2005年出版以來，業(yè)界已經(jīng)發(fā)生了不少重大的變化。但是不管怎樣，本書的基本結(jié)構(gòu)仍然保持不變。我相信本書的組織和議題的列舉在過去這5年當(dāng)中已經(jīng)受住了考驗。正因為如此，第2版在內(nèi)容上的改變更多是一種進(jìn)化，而并非革命。