我要求安全专家John Viega想方设法为本书寻找一些作者,以便向普通计算机用户提供一些与安全有关的观点。除了在媒体上所看到的骇人听闻的关于网络入侵和盗窃的新闻之外,普通人一般都觉得安全是一件乏味的事情。 对许多人而言,安全就是系统管理员喋喋不休地提醒他们创建备份文件夹,无穷无尽的在网页显示之前跳出来的要求输入密码的对话框。办公室职员每次抄读办公桌边的笔记本上所记录的密码时都怒目圆睁小声咒骂(笔记本就放在打印出来的预算材料的上面,事实上办公室管理人员要求应该将它锁在抽屉里面)。如果这就是安全,那还会有谁想从事这个职业呢?谁会从O'Reilly购买一本关于安全的书呢?谁会一次花费半分钟以上的时间去思考安全呢? 对于那些肩负创建安全系统任务的人们,他们所付出的努力看上去是毫无希望的。站在旁边的人不会对他们的工作提供任何协助,业务经理也拒绝在安全上多花一分钱。程序员和系统管理员由于他们必须使用的工具和语言存在没完没了的零日攻击和未打补丁的漏洞也逐渐变得懒散起来。 这就是为什么关于安全的书卖得很差(尽管在过去的一两年里销量有所上扬)。关于如何入侵系统的书要比关于如何保护系统的书好卖得多,这个趋势着实令我震惊。 是的,本书应该改变这个现象。它应该向读者展示安全是一项最为激动人心的职业。它并不枯燥,也没有太多的官僚主义,更没有太多的约束。事实上,它和其他技术一样充满着想象力。 多年以来,我编辑过的大多数编程书籍都提供了关于安全的内容。这样的内容当然是非常实用的,因为它们允许作者讲述一些基本原则和一些良好习惯。但是,我已经对这种做法感到厌烦,因为它为安全话题划了一条分界线。它所灌输的都是一些老生常谈的安全观点,是一些锦上添花或者事后诸葛亮的东西。本书将颠覆这些观念。 John为本书选择了一些作者,他们已经在安全领域证明了自己具有独特的观点,并且有一些新的思路要和大家分享。有些作者设计了数以千计的人所依赖的系统,有些作者在大型公司担任高管职位,有些作者曾为法庭作证并为政府部门工作。所有的作者都在寻找普通人所不知道的问题和解决方案,但是这可能需要几年的时间才会收到成效。 本书的作者指出:有效的安全需要你始终保持警惕。它会打破技术、认知和组织结构的边界。安全界的黑帽们千方百计通过创新来取得成功。因此,负责防御他们的人们同样需要创新。 本书的作者肩负着世界范围内的信息安全使命,让他们抽出时间编写本书是一件很困难的事。事实上,许多作者在平衡本职工作和本书的写作任务时感受到了压力。但是,他们所花的时间是值得的,因为本书将会促进他们实现更远大的目标。如果有更多的人对安全领域产生兴趣,决定进一步对它进行探索,并向尝试通过组织上的变化以实现更好保护的人们给予他们的关注和支持,这本书就值得作者所付出的心血。 2009年3月19日,美国参议院商业、科学和交通委员会举行了一个听证会,它的主题是信息技术专家的缺乏以及这种现象对美国的网络安全的危害。让学生和专业人员对安全问题产生兴趣是一项极为迫切的需求,本书就代表了迈向这个目标的一小步。