编辑推荐
“Bruce Schneier是安全领域的一位闪耀巨星!”—— 英国权威科技新闻网站The Register在一个线连的世界里真正的安全风险是什么?为什么我们的计算机安全是一个类似于封建主义的系统?谁应该真正地掌管网络安全?在网络实时监控的时代,隐私将从何谈起?现在似乎比历史上任何时候都更有安全意识,但我们真的安全吗?本书涵盖了来自安全大师Bruce Schneier的154条关于安全与技术、安全与心理、隐私与监控等一系列忠告。
内容简介
根据Bruce的观点,复杂的计算机系统始终存在可被攻击的弱点,软件、系统、硬件设施、人、企业活动等都是构建安全系统的要素。本书分为8章,分别从技术、心理、政策等不同的角度分析安全的特点。Bruce的见解独到、观点深刻、文笔精湛,影响了全球的安全研究者与实践者,只要你的喜好中包含安全,此书就值得你阅读。
作者简介
Bruce Schneier是一位研究安全人性化方面的国际知名安全技术专家,也是一位多产作家,发表了数百篇文章、随笔和学术论文,他撰写的11本图书总共售出超过50万册。他曾在国会上作证,频繁作客于电视和广播电台,定期出现在新闻中。他的博客(www.schneier.com)和每月通信在全球拥有超过25万的忠实读者。
目 录
目录引言 iii第 1章 商业与经济安全 1整合:灾祸还是进步 1预测:RSA会议规模将如同泄了气的气球般缩减 2如何销售安全 4人们为何甘冒风险 4怎样营销安全理念 5为什么我们接受传真签名 6 LifeLock公司的经验和教训 8问题在于信息的不安全性 11安全ROI,现实还是想象 12数据规则 13购者自慎 14社交网站风险 15你知道你的数据在哪里吗 16信任云的时候要当心 18完美的访问控制是否可能 19记者的新媒体生存之道 21安全和功能蠕变 22雇佣黑客的风险衡量 23 公司应该牺牲安全进行IT消费化吗 24漏洞市场和安全的未来 26如果你想成为一个安全专家 27谈到安全,我们又回到了封建社会 29宣誓效忠的便利 29好的、坏的和丑陋的 30在封建制网络下,你无法控制安全 31第 2章 犯罪、恐怖主义、间谍活动和战争 35美国的困境:安全漏洞,修复还是利用 35摄影师真的是一个威胁吗 37摄像头没有保护我们的安全,但摄像头无处不在 38经典的中间人攻击是如何拯救哥伦比亚人质的 40如何创建完美的虚假身份 41对安全的迷恋,是让我们安全的一种普适方法 43低效恐怖分子的七大特征 44为什么安全真正的代价由社会来买单 46为什么技术手段无法阻止身份盗窃 47恐怖分子可能使用谷歌地图,但是不应该因为恐惧而禁止使用 49阻挡一个网络黑客 50一个企业罪犯利用了市场的缺口 52对生物恐怖主义的恐惧在毒害我们的思想 53提高文书工作出错的代价能够提升准确性 55所谓的网络战争是虚张声势 56为什么对敌人画像成为儿童的游戏 57安全剧场之外 59感受和现实 59拒绝被胁迫 60当今,冷战加密并不现实 62人像刻画让我们更不安全 63解决情报失效 64 监控视频不会让我们更加安全 65扫描器和传感器是保障地铁安全的错误方法 67预防拥挤区域中的恐怖主义攻击 68恐怖攻击都发生在哪里 69很难进行 69恐怖分子越来越少 70小型攻击事件没有价值 70考虑最坏的情况让我们变成了傻瓜,而非更安全 71“网络战争”威胁被大肆炒作 73网络空间战争和未来的网络空间对抗 74为何恐怖警报代码没有意义 76对罕见风险的过度反应 77网络空间军事化的危害大于利处 79波士顿马拉松爆炸:冷静并坚持 80 FBI与CIA之间为何不进行连接 82 FBI新的窃听计划对犯罪分子是重大新闻 84美国的进攻型网络战争策略 86第 3章 安全的人类因素 89安全问题造成的安全漏洞 89丢失设备时,真正的损失是其中包含的数据 90陌生人的好意 91责怪用户很容易,但最好是绕过他们 93自强制协议的价值 94在IT安全中,声誉就是一切 96何时更换密码 97大想法:Bruce Schneier 99信任世界里的高科技欺诈 101发现欺诈者 103 Lance Armstrong以及专业赛事作弊中的囚徒困境 105违禁药物的竞赛作为一种囚徒困境 106不断进化的问题 107测试和执行 107信任和社会 108宗教选举有多安全 110公众舆论的法庭 113安全意识培训 115新形式的信任 117第 4章 隐私与监管 119“透明社会”的神话 119们的数据,我们自己 121短暂对话的未来 122如何防止数字窥探 124隐私的架构 125在坚持不懈的时代的隐私 127我们应该对互联网的在线隐私有所期待吗 129未经核实但记录在案 130 Google和 Facebook的隐私假象 132互联网:匿名永远存在 134社交网络数据的分类 136监测众包的困难 137互联网是充满了监视的王国 139监管和物联网 140政府的秘密和对告密者的需求 143在起诉之前,调查政府 145第 5章 安全心理学 147安全的思维方式 147安全中感觉和现实的区别 149人类大脑如何看待安全 151风险管理有意义吗 152 Conficker病毒是如何入侵到人类的 154科幻小说作者如何帮助或破坏国家安全 155隐私显著性和社交网络 157安全、团队规模和人类大脑 158人们了解风险——但是安全人员了解人们吗 160自然的恐惧延伸到在线行为 161第 6章 安全与技术 163安全漏洞研究的道德准则 163我已看到未来:它有一个切断开关 164软件制造者应该承担起责任 166从 DNS错误中获得的教训:补丁是不够的 167为什么长期看来公开安全设计细节会使所有人更安全 169波士顿法院对“完全公开”的干预令人失望 170量子密码:它很棒但是毫无意义 172密码是不能被破解的,但是我们怎样选择密码则可以被破解 173美国下一个顶级的哈希函数即将出现 174老虎使用气味,鸟类使用声音——生物识别技术是动物的本能 176秘密的问题是:为什么信息系统使用不安全的密码 177密码隐藏的利弊 179技术不应该让老大们抢先一步 180开锁和互联网 182为恢复对文件的控制,我们与Facebook和其他公司的战斗正式打响 183取消认证的困难 185病毒死了吗 186病毒和协议造成的恐慌每天都在发生,但不要让这困扰你 187用密码来保护现代网络是失败的 189 Stuxnet病毒背后的故事 190软件系统的危害 193科技的变化如何影响安全 194安全工程的重要性 195监控技术 197当技术超越安全 198反思安全 199第 7章 旅行与安全 201携带笔记本电脑和掌上电脑跨境 201 TSA的无效身份证规定 202两种机场违禁品 204改进机场安检 205出国时,笔记本电脑的安全 206攻破机场安全区域 208停止航空安全的恐慌 209浪费金钱和时间 211为什么TSA不能退缩 212机场麻烦简要分析 214第 8章 安全、政策、自由和法律 217为下一任总统提醒:如何让网络安全走上正确的路 217 CRB检查 219国家数据违规通告法案:有效吗 220如何确保策略数据库的安全 222激励措施是如何导致糟糕的安全决定的 223应该取消“隐私期待”测试了 224谁应该主宰网络安全 226协作,不过责任分别承担 228“零容忍”也就意味着自由 229政府应该禁止代码开发外包吗 231安全违规的惩罚 232网络关闭开关提议出现的三个原因 233网络无边界 234 无法预测的影响 234安全缺陷 234网络嗅探是一个危险的行动 235隔离受感染的计算机计划 237关闭华盛顿纪念碑 239白名单和黑名单 241让医学研究更加安全:从网络安全的角度来看 242恐怖要付出代价,但必须落实归责 245权力和网络 246在新的网络国度中隐藏着危险 248 IT的压迫 250公开/私人监控合作 251透明性和可追责性不会对安全造成损害,反而十分重要 252夸大恐怖威胁是明智的政治举措 254
前 言
引言我喜欢写短评。我喜欢短评的长度: 600到 1200字的字数是我最喜爱的;我喜欢短评的格式:用一个严格的论据来证明一个特定的观点;而且,我喜欢短评的风格:我擅长向大众解释复杂的话题。写一本书通常需要付出更多,不仅仅篇幅更长,写书所花费的时间也更长。而短评不同,我可以在一个灵感到来的清晨完成一篇短评,并且顺利的话第二天就能发表出去。当然,并不是每次都那么顺利。一些短评比较难写,一些十分难写。我喜欢在写一个话题之前考虑几天,也就意味着在发生了一个新事件之后,我通常不会第一时间做出评论。编辑们当然痛恨这一点,他们渴望得到一些能跟上最新动态的东西。但是写作还是我所擅长的事情,也是我一直在做的事情。自从 1992年以来,我为各种出版物撰写了大约 500篇短评、专栏和文章。这些文字都可以从我的网站——www.schneier. com上找到——这些文字也被整理成两部著作。第一部著作 Schneier on Security中涵盖了自 2002年 4月至 2008年 2月的作品。而本部著作包含了自 2008年 3月至 2013年 6月的作品。整体回顾一下我的作品,我有一些经验、一些观察,以及对于想要出版自己作品的人的一些忠告。虽然我的作品主要与安全有关,但这些建议大多数都是通用的。 .观点是廉价的。CharlesMcCabe的名言提到“任何呆子都能够认识事实,但是提出观点是一门艺术”。他的说法是正确的,但是却并不意味着所有呆子都没有观点。在互联网上,到处都是各种各样的观点。我很少能够从写短评中获得报酬。不过有几年 Wired付钱请我为他们撰写一个专栏,那是一段有趣的时光,不过最后他们也意识到没必要为我付钱,因为不管怎样我都会继续写作。并不是说把想法写出来赚钱不可能——当然是可能的——只是现在越来越难,越来越少见。.说服别人是很困难——也很少见的。我的目标是撰写有说服力的短评,但是我怀疑这些短评能不能实际上说服别人。通常是,那些已经认同我的观点的人在阅读我的文章,他们试图用一些新的方式理解问题,或者发现一些新的说服别人的说辞。 .很难不重复自己的观点。我为不同的读者撰写,通常又是关于类似的话题。我常常重复自己的观点。如果我喜欢一个句子,我会重复使用。如果对于一个话题有一段很好的说法,我也会重复使用。我曾经半业余地写餐馆评论,我常常会抱怨用来表达“这个很好吃”的方法多么贫乏。在我的安全类文章中,这个问题并不严重,但是有时还是觉得表达方式不够用。 .故事在重复。一次又一次,我 5年或者 10年前撰写的短评,又与一些新事件有关。我 2001年撰写的关于数据挖掘的文章,在波士顿马拉松爆炸案发生之后又变得重要。 1998年撰写的关于指纹扫描的文章,在苹果公司发布带有指纹扫描的 iPhone时又引起讨论。 2008年撰写的关于某国网络攻击的文章,自从发表之后,隔段时间就被提起。体育运动中的药物检测、 TSA安全、隐私的价值、无处不在的监控,以及针对个人枪击犯罪的安全,这些话题都一次又一次地在新闻事件中得到关注。有时候我找出一篇旧文章,加入一些新的介绍信息,然后重新发表。不过大多数时候我都会尝试找到一个新观点。我不喜欢重复旧事情,即使这些事情又变成新的。 .编辑的改编。有些时候他们只是稍微改编一下,但是大多数情况下他们改动很多地方。有些时候他们的改动是对文章的提高,但是有些时候他们的改动只是让文章变得不同。可以拒绝对文章没有提高的改编。有一次我拒绝一个出版商发表我的文章,因为他们对内容做了太多更改,而且拒绝改回原样。在编辑改动太大的时候,有时候我甚至希望撤回我的稿件。 .标题不是你的问题。标题并不是由评论作者来决定。如果比较幸运,你能够在出版前知道标题,但是很可能不知道。标题是出版商吸引读者阅读你文章的媒介。因此,标题通常比你认为的更加情绪化,或者更加简单,缺乏描述。随他去吧——你无法改变这一点。 .链接会失效。这很让人沮丧,链接会失效。文章中包含的一些链接,可能一段时间之后再去访问,会返回一个“页面无效”的错误。在我上一部短评集中,我在最后包含了大量链接。我也打算在这本书中这样做,但是检查链接的时候,发现几乎十分之一的链接都已经失效了。其实这些文章并不久远,最远的不过是 6年前的文章,最新的是最近撰写的。 .难免犯错。不要害怕承认错误。如果你是对一些实时发生的事情写一些评论,你的文字中有时候会出现一些错误——关于事实、逻辑、结论、观点的——几乎所有事情都有可能出错。出现错误时,承认这些错误。不要推诿,不要找借口,承认犯了错,你会感觉更好,而且你的读者也会更加尊重你。 .观点也会改变。不要害怕你想法的改变。如果你写的东西是关于持续很久的事情的,你的想法可能会改变。可能你发现了新的事实,使得你得出不同的结论。可能你会从新角度思考问题,因此得出不同的结论。这不是问题,只要解释清楚就可以。John Maynard Keynes曾经说过:“当事实改变时,我改变我的观点,先生,您呢?”千真万确。 .你写的要能够被读者读到。世界上充满了很多有好想法的人,但是他们从来不把这些想法写出来扩散出去。我对于写作的第一条原则就是,如果不先写出来,就没办法改进。因此,先写出第一个版本。这真的是唯一的方法,能让你意识到你论证中薄弱的部分。(世界上也有很多把糟糕的想法扩散给大家的人,但这是另外一个问题。) .试读的读者很重要。积累一些稳定的试读读者。在文章发表前,找越多的人进行试读,你的文章就会写得越好。不要害怕批评。把你的自尊心从写作中驱离出去,这是接受批评的关键一点。然后试着去理解并利用这些评论。不能让你的自尊心干扰你理解试读读者给出的评论。我是这样认为的,不管怎样,大家总会批评我的作品,如果是在草稿阶段批评,我还有机会在出版前进行修改。几乎我的所有作品在早期的草稿阶段都得到过读者的评论,并依据评论做了修改和提高。如果没有这些修改和提高,我的一些作品可能会十分糟糕。在撰写一本书的时候,感谢那些阅读并提出评论的人很容易。但如果是短评,就不可能像写书一样。因此在这里,在这本短评集中,我感谢所有曾经对我的短评文稿提出意见的人: David M. Perry, Greg Guerin, Steve Bass, Bill Herdle, David Prentiss, Vicki Laidler, Stephen Leigh, Moshe Yudkowsky, Jon Callas, Doug Whiting, Stefan Lucks以及 Jesse Walker。如果我不小心漏掉了哪位的名字,在此进行道歉。我没有做记录记下每个人,我知道我也没有记住每一个人。最后,欢迎阅读我的第二部短评集。我想,每个人在这里都能够根据自己的喜好学到一些东西,只要是喜好中包含安全:技术和安全,经济和安全,心理和安全,政治和安全。我会继续写作,并且可能在 5年或者几年之后出版第三部短评集。感谢你的阅读。 Bruce Schneier
媒体评论
“Bruce Schneier是安全领域的一位闪耀巨星!”—— 英国权威科技新闻网站The Register“有关购物、沟通,以及在线交易领域,换句话说,几乎每一位实践计算机安全的人的必备基础。”—— 经济学家“一本有关安全到底是什么,通透清新、丰富多彩的书。”——David Ropeik,《How Risky Is It,Really?》一书的作者
<!-- detail 说明end -->