第1章　基礎(chǔ)

誠(chéng)信是基礎(chǔ)，而且往往是堅(jiān)實(shí)的基礎(chǔ)。哪怕我說過的話讓我身陷困境，誠(chéng)信依舊是我立足的基石。——古德

實(shí)現(xiàn)軟件安全既需要運(yùn)用邏輯，又是一項(xiàng)藝術(shù)——一項(xiàng)仰賴直覺來做出判斷的藝術(shù)。它既需要踐行者對(duì)當(dāng)代數(shù)字系統(tǒng)有所掌握，又需要他們對(duì)人與系統(tǒng)之間的交互有所體悟。如果這樣說讓你感到前路維艱，那么你就已經(jīng)體會(huì)到了本書想要詮釋的難點(diǎn)所在。這也解釋了為什么實(shí)現(xiàn)軟件安全自始至終都是一項(xiàng)艱巨的任務(wù)，以及為什么在這個(gè)領(lǐng)域的任何斬獲都需要人們付出艱苦卓絕的努力——哪怕后面的路依然很長(zhǎng)。好消息是，因?yàn)槲覀兠總€(gè)人都可以提升自己的認(rèn)知水平，也都可以切實(shí)地參與其中，所以我們的每一分努力都會(huì)給軟件安全帶來實(shí)質(zhì)性的改善。

首先，我們需要準(zhǔn)確地思考一下何謂安全。安全定義的主觀性頗強(qiáng)，因此厘清安全的基本概念就顯得至關(guān)重要。本書是我在個(gè)人經(jīng)驗(yàn)基礎(chǔ)上進(jìn)行深入思考的結(jié)果。信任是一切安全的基本要素，因?yàn)槊總€(gè)人都需要使用別人的勞動(dòng)成果：當(dāng)代數(shù)字系統(tǒng)已經(jīng)過于復(fù)雜，沒有人可以憑一己之力從硅元素開始打造自己的“數(shù)字王國(guó)”。我們必須信任別人提供的成果（包括硬件、固件、操作系統(tǒng)和編譯器），信任這些并不是由我們親手設(shè)計(jì)和制造的組件。在這樣的基礎(chǔ)上，下面將介紹安全的六大經(jīng)典原則，其中包括信息安全的三大基本原則，以及實(shí)現(xiàn)信息安全三元素的三個(gè)“黃金標(biāo)準(zhǔn)”。最后，鑒于數(shù)字產(chǎn)品和服務(wù)正在越來越多地滲透到現(xiàn)代日常生活中最敏感的領(lǐng)域，本章在信息隱私方面增加了一些應(yīng)該考量的重要因素——其中包括人類因素和社會(huì)因素。

雖然本書的讀者無疑都對(duì)安全、信任和機(jī)密性的含義有所了解，但是在本書中，這些詞采用了具體的技術(shù)表意，其含義值得仔細(xì)品味。鑒于此，我建議讀者認(rèn)真閱讀本章的內(nèi)容。至于那些基礎(chǔ)更好的讀者，請(qǐng)大家試著寫出自己對(duì)這些術(shù)語(yǔ)的定義——每位讀者未來都應(yīng)該嘗試做一做這份家庭作業(yè)。