本书从国家安全、旅行安全、物联网安全、选举与投票、隐私和监管、商业与安全、人与安全、信息泄露及归因、政策与立法等多个维度阐述了网络和信息安全的重要性，探讨了技术手段对安全性产生的影响为何越来越大，以及人的因素在这一过程中所起到的作用，并为读者剖析了诸多领域中暴露出的或潜在的安全问题，提出了一些应对方案，呼吁政府、企业和消费者重视安全和隐私，以做出更好的决策。

从个人信息安全到
国家信息安全
安全大师Burce Schneier
从技术和社会两个维度深入剖析各类
安全和隐私问题，分享应对策略

我为什么要写这些文章
我写这些随笔是因为我很享受这个过程。写作很有趣，并且我也很擅长写作。我很喜欢分享。在受欢迎并且有影响力的报刊或者杂志上发表文章可以获得更多的读者。在1200字的字数限制内向大众解释一些东西可以很好地锻炼我的思维。
以上原因并不是全部—我写这些是因为这很重要。
我认为自己是个科技专家。科技是复杂的，需要专业知识才能更好地加以理解。科技的世界充满了意外、紧急情况和棘手的问题。在我们用不同方法使用技术的大背景下，它们就是复杂的社会技术系统。这些社会技术系统中也充满了更多的难题。理解这一切是困难的：我们需要理解底层技术和更广泛的社会内容。向大众解释这些就更难了。但这是技术人员需要做的事情。
我们必须这么做，因为理解这些很重要。
真正重要的不是技术部分而是整个社会技术系统。记者乔舒亚·科普斯坦（Joshua Kopstein）在2011年的国会演讲稿中写道：“不明白互联网是如何运作的已经不行了。”他是对的，但他也错了。互联网之所以强大，正是因为你不需要了解它是如何运作的。你可以使用它，就像使用任何其他特殊的、难以理解的技术一样。同样，国会不需要通过了解互联网是如何运作的来更好地立法。只有知道如何运作才能立法并不是我们所期待的。我们知道，政府可以在不精通空气动力学的情况下制定航空法，在不精通医学的情况下制定卫生法，在不精通气象学的情况下应对气候问题。
科普斯坦正确的地方是，政策制定者需要了解足够多的关于互联网如何运作的知识，以便明白科技给社会带来的影响。当他们储备的知识不足时，可以参考技术专家的建议，就像他们在处理航空、医疗以及气候剧变带来的问题时的做法一样。当政策制定者为了自己的目的而忽视科学技术，或者当他们听从说客的建议时，技术政策将开始偏离轨道。作为技术人员，我们的工作就是向更广泛的受众解释我们的工作，不仅是科技工作，还包括如何让科技和社会结合。我们在这方面有独特的视角。
这也是一个重要的观点。科普斯坦说的“已经不行了”也是对的。以前不了解互联网如何运作还可以，但现在不行了。从某种程度上讲，互联网和信息技术是社会的基础。在某些方面，这是一个惊喜。在一开始的时候，人们设计和建造的互联网系统并不重要。收发电子邮件、文件传输、远程访问、访问网页，甚至是电商在过去都是锦上添花般的存在。这些技术在科技人员眼里可能很重要，但对社会来说并不重要。现在情况发生了根本性的变化，互联网对社会来说变得非常重要。社交媒体对于发布观点至关重要，网络对于商业来说至关重要。更重要的是，互联网现在以一种直接的物理方式影响着世界。在未来，随着物联网（IoT）越来越深入我们的社会，互联网将直接影响到人们的生活和财产。当然，这也使得一种前所未有的、无处不在的监视手段成为可能。
这是政策制定者和其他所有人需要了解的。这也是我们需要解释的。
我们可以帮助弥补这一差距的方法之一是为读者书写关于技术的文章。无论我们的专业是安全和隐私，还是人工智能和机器人技术、算法、合成生物学、食品安全学、气象学，或是面向社会的任何其他主要科学，作为技术人员，应该分享我们所知道的。
这正是目前逐渐被大众所熟知的公共利益技术的一个方面。公共利益技术是一个广义的术语，涉及在政府内部或外部从事公共政策工作的技术专家，为公共利益从事技术项目的人员，在技术和政策交叉领域教授课程的学者，等等。在一个社会重大问题及解决方案与科技密不可分的世界中，这正是我们所需要的。
这是我的第三卷文集，时间跨度是2013年7月到2017年12月。其中包括我十几年来一直研究的隐私和监视等方面的文章。它包括一些对我来说很新鲜的话题，比如物联网。其中包括爱德华·斯诺登（Edward Snowden）的NSA文件被公开期间所写的文章。这本书所做的就是把它们做成按主题编排的、易于携带的纸质书的形式，这样放在你的书架上看起来也不错。
在我的职业生涯中，我已经写了600多篇专栏文章。如果不是各位读者的支持，我无法坚持下来。谢谢大家。

计算机\安全

早期公众对安全行业的理解主要集中在计算机杀毒软件上，这几年伴随各类法律法规的制定与实施，公众对安全的关注空前绝后。网络安全是国家安全的重要组成部分，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的出台，网络上曾引起众多关注的网络安全事件等，这些都不断扩展着公众对安全的认知。本书进一步延伸了大家对信息安全的理解，从选举安全到旅行安全，从网络战争到安全经济学，每次阅读都让人耳目一新。
兜哥 “AI安全三部曲”作者，蚂蚁集团天堑安全实验室负责人

长久以来，信息安全在大众认知中是一个极富神秘感的科技领域。实际上，在高度依赖信息网络的今天，小至衣食住行，大到国家安定，信息对抗的影子已经无处不在，因而安全自然成为现代人类社会所必需的基础保障。本书立足于信息安全，涵盖科技、经济、法律、军事和政治等方面，既可以为非专业人士揭开信息安全的神秘面纱，也可以帮助专业人士建立更加系统、全面的知识体系。
邹庆 《企业信息安全管理：从0到1》合著者，微博信息安全总经理

这本书是安全和隐私专家布鲁斯·施奈尔的新文集，在书中，他就广泛存在的网络安全、数据隐私和现实世界安全问题进行了探讨，其中不乏令人震惊的安全事件，也有人们可能忽略的问题，涉及国家安全、战争、交通运输、物联网等领域。施奈尔的文章面向的读者并不局限于技术专家，还有领导者、选民或者消费者。他鼓励没有技术背景的读者对现状多思考，以便做出更好的安全决策和投资。
随着互联网和其他技术在日常生活中的普及，我们有必要了解它们是如何工作的，以及它们如何对我们的生活产生影响。如今，社交媒体对公共话语权起着至关重要的作用，网络对商业领域也越来越重要。更重要的是，互联网正在以一种更直接和现实的方式影响着世界。在不久的将来，互联网将使无处不在的监控达到前所未有的水平。
本书对于关心安全和隐私对未来社会产生何种影响的读者来说是一本指南，并在以几下方面提供了深入的见解：
选举和投票
旅行和安全
隐私和监视
犯罪、恐怖主义、间谍活动和战争
物联网
信息泄露和检举
安全政策、自由和法律

布鲁斯·施奈尔（Bruce Schneier）是一名国际知名的安全专家，在密码学、隐私保护等方面都造诣颇深。《经济学人》杂志曾经称他为安全大师，澳大利亚媒体也曾把他评为十大科技作家之一，这些都足以彰显他在信息安全业界的殿堂级人物地位。布鲁斯·施奈尔出版了多本脍炙人口的计算机书籍，每本都称得上是经典著作。其中时间最早、影响力巨大的就是他于1994年出版的《应用密码学》（Applied Cryptography）一书。这次能参与其新著作的翻译工作，我们既深感荣幸，也感到重任在身。
本书是布鲁斯·施奈尔第三本安全文章系列合集，涵盖了从2013年7月到2017年12月期间他在诸多媒体上公开发表的文章。这些文章选题广泛，既有对物联网、密码技术的现状（相对于文章发布的时间）和发展潮流的讲解，也有对隐私、监控等非纯技术性话题的深度思考和讨论。尤其是在信息技术已经深入每个人生活的今天，这些话题足以引起人们的重视和思考，这对于普通民众来说极具意义。
本书共分为10章，主要从政治领域、军事领域、经济领域、科技领域等多个方面来讲述网络安全对于国家和社会的重要性及影响力。网络安全既可能影响到国家政治和安全，也可以作为一种“武器”广泛用于军事领域，不仅深刻地影响到现代社会的经济发展与商业模式，更是影响到信息技术的发展及其在社会中的普及应用。
本书的行文风格仍然符合布鲁斯·施奈尔的一贯作风，即通过朴实无华的语言来向大众介绍信息安全技术的原理以及对社会和民众的影响。本书更像是一种安全方面的散文，阐述了作为一名技术专家，如何让普通民众更加容易地理解信息安全如何影响我们的日常生活，如何渗透到社会的每个角落。这本书不仅体现了作者对于安全、隐私这些领域的深入思考，同时也启迪着信息安全行业从业者该如何发展和应用网络安全，如何去影响民众和社会，如何让科技更好地为人类服务。因此，本书既适合信息安全行业的从业人员阅读，也适合对信息安全有兴趣的读者。
本书由陆璋帆、杨帆、张保成完成翻译。首先要感谢机械工业出版社华章分社的各位编辑老师为我们的译稿提出专业、中肯的意见，让译文更加流畅。其次要感谢工作中的领导和同事给予帮助。最后要感谢我们的家人，是他们在背后默默地支持我们，让我们在工作之余能够全身心地投入到本书的翻译工作中。
由于译者水平和精力有限，书中难免存在翻译生涩或不当之处，欢迎广大读者批评指正。

译者序
前言
作者简介
第1章　犯罪、恐怖主义、间谍活动、战争1
网络冲突与国家安全1
反恐任务扩大3
叙利亚电子军网络攻击6
情报的局限6
计算机网络渗透与计算机网络攻击9
iPhone加密和加密战争的回归10
攻击归因和网络冲突12
体育场的金属探测器15
勒索软件的未来17
第2章　旅行安全19
入侵飞机19
重新审视机场安全21
第3章　物联网24
攻击你的设备24
嵌入式系统的安全风险25
三星电视监视观众28
大众汽车与作弊软件30
DMCA和物联网32
现实世界的安全与物联网34
Dyn DDoS攻击的教训36
物联网监管39
安全与物联网42
僵尸网络53
物联网网络安全：B计划是什么55
第4章　安全与科技57
NSA的密码能力57
iPhone的指纹认证59
事件响应的未来61
无人机自卫和法律63
用算法代替判断65
Class Break67
第5章　选举与投票69
候选人会毫不犹豫地使用操纵性广告来获得投票69
选举系统的安全性71
选举的安全性72
网络攻击与2016年总统选举75
第6章　隐私和监管77
恢复对政府和互联网的信任77
NSA对互联网的征用79
阴谋论和NSA81
如何在NSA的监控下保持自身安全83
孤岛环境86
为什么NSA对大数据收集的抗辩毫无意义88
防御加密后门90
公共/私人监视伙伴关系的破裂94
监控是一种商业模型95
根据人们在网络空间的活动寻找他们的位置97
通过算法监控99
元数据 = 监控102
每个人都希望你能够安全，除了他们103
为什么加密105
自动人脸识别和监控106
物联网设备在背后默默“讨论”你109
安全和监控的对抗111
加密的价值113
国会在互联网使用方面删除了FCC相关隐私保护条款114
基础设施漏洞使监控变得简单117
第7章　商业与安全经济学120
封建式安全漫谈 120
公私合作的监控关系 123
公司应该上云吗124
物联网中的安全经济学128
第8章　人与安全131
人机信任失败131
政府保密与代沟132
选择安全密码134
Heartbleed漏洞事件中人的因素137
数据删除带来的安全性139
生活在“黄色状态”140
安全设计：停止让用户改变142
安全编排和事件响应144
第9章　信息泄露、黑客入侵、秘密曝光、公开检举147
我们需要政府检举人来公开政府的秘密147
防止信息泄露150
为什么政府应该帮助那些泄密者152
索尼被入侵事件的教训154
谈索尼被入侵之后156
网络空间中的攻击归因158
关于有组织的秘密曝光160
第三方数据的安全风险162
政治秘密曝光的抬头164
数据是有毒资产165
凭证窃取成为一种攻击载体168
有人在学习如何毁坏互联网169
谁在公布NSA和CIA的机密？原因是什么171
影子经纪人是谁174
关于征信机构Equifax的数据泄露事件176
第10章　安全、政策、自由与法律179
对新发现的风险的担忧179
撤销互联网181
互联网中的权力之战183
NSA如何威胁国家安全189
谁应该存储NSA的监控数据191
阅后即焚的App193
曝光漏洞还是囤积漏洞195
对警方托词的限制199
何时认为机器违法201
网络攻击的大众化203
使用法律对抗科技204
为FBI破解iPhone206
合法的入侵与持续的漏洞208
NSA正在囤积漏洞210
WannaCry与漏洞 214
NSA的文件反映出有人尝试入侵选民投票系统216
通过司法保护我们的数据免于警方的随意搜查218