本书是当今世界安全工程领域的权威RossJ．Anderson的呕心之作，内容涵盖安全工程的方方面面。具体内容包括：基本安全工程概念描述，协议、加密、访问控制以及分布式系统的安全细节，生物测量学、安全印章、版权等诸多安全保护机制。本书提供的许多内容均是第一次以书籍形式出版；剖析了各种不同系统可能遭受的形式各异的攻击，从银行、医疗系统到报警系统、智能卡、移动通信以及电子商务，同时还提供了相应防护措施；本书还包括如何正确处理计算机安全与法律和社会文化相互影响的管理和策略问题。
　　本书内容丰富、表述准确、概念清晰、针对性极强，堪称安全工程方面的鸿篇巨著。适合所有对安全工程感兴趣的读者。

"如果你正在考虑从事安全工程方面的工作。请读本书：这是所有已经出版的有关端到端安全设计和安全工程的著作中最好的一本；"
　　——Bruce Schneier(世界著名安全技术专家)
　　Pc机和服务器的Internet安全问题现在已经非常令人忧虑．但是很快将会有比PC多得多的设备：移动电话、电冰箱、防盗警报器、心脏监视仪连在网上：面对无数的接入设备和空前复杂的信息系统．安全技术人员该怎样应对因此带来的风险呢?
　　一般讲述计算机安全的书往往把主要篇幅放在访问控制机制、密码算法和协议等局部内容上．本书则以前所未有的广度讨论了各种信息安全方面的问题：书中充满了奇闻轶事和战争故事，可读性强、观点新颖，并融入了大量最新的研究成果
　　本书根据作者在剑桥大学讲授信息安全工程课程的讲义写成，凝聚了作者在安全技术领域20多年来的丰富实践经验和10多年教学经验，可以作为计算机和信息安全专业高校教材　对于从事各种类型信息系统安全的专业人士而言，也是极具价值的参考书
　　本书内容：
　　●安全工程基础，从协议、密码系统和访问控制到分布式系统的细节
　　●生物测量学、安全印章、版权等等诸多安全保护机制深入阐释——本书提供的许多内容均是第一次以图书形式出版
　　●各种不同系统可能遭受的各种形式的攻击，从银行、医疗系统到警报器、智能卡、移动通信以及电子商务，同时还提供了相应的防护措施
　　●管理和策略问题，会正确处理计算机安全与法律和社会文化的相互影响 Ross J．Anderson　任教于英国剑桥大学．并负责领导剑桥大学计算机实验室安全领域的研究—20世纪70年代毕业于剑桥大学．师从己故的ACM会士Roger Neednam。此后在航空电子界、银行界。信息安全界工作多年．领导了数字水印等许多前沿技术的开发：1992年回到剑桥大学任教　他是世界公认的安全权威之一，在各种实际安全系统的设计和理论研究方面涉猎广泛，发表了众多学术论文。

多少年以来，人们使用锁、围墙、签名、印章、账簿和计量仪器来定义和保护自己的财产及隐私。这些方式已经受到了人类社会的认可，从各国通用的国际条约到人们的风俗习惯。
　　时代是飞速变化的。现在，从银行账目到不动产登记，大部分记录都是电子化的；并且随着购物转移到网络上，各种交易也日益电子化。同样重要但并不那么显著的是，很多日常系统也悄然自动化了。报警器再也不会吵醒邻居，而是悄悄地向警察局发送消息；学生再也不用向宿舍的洗衣机、甩干机投硬币，而是使用能在学校书店充值的智能卡(smartcard)；锁不再是简单的机械物，而是可以通过电子远程控制器或者刷卡来操纵；人们不再租借录像带，而是从人造卫星或者有线电视频道看电影。甚至连最小额的钞票也不再是简单地把油墨
印在纸上，它可能带有数字水印，这样很多假币都可以被机器检验出来。
　　这些安全技术到底有多好呢 很不幸的是，诚实的回答是：　“一点也不像应该的那么好”。新系统经常很快就崩溃，同样的小错误在一个又一个应用软件上重复发生。要实现正确的安全设计，经常需要尝试四、五次，这些步骤实在是太多了。
　　媒体经常报道互联网上的安全漏洞；银行要阻止客户从提款机上“神不知鬼不觉地提款”(phantom withdrawal)；VISA报道说网络信用卡交易产生的争议大幅增加；卫星电视公司追捕着复制智能卡的盗版者；执法部门试图用控制加密的法律监视网络空间。还有更糟糕的——设备的交互式特性。如果不小心按了手机的某个键，重播了上一个号码，这在原来可能只是小事——可是如果有人发明了一台机器，每一次它的号码被呼叫时就送出一罐软饮料。突然间你发现手机账单上有50瓶可乐时，谁来负责任 电话公司、手机制造商还是自动售
货机的经营者 一旦影响你生活的绝大部分电子设备都连网了(微软预期到2010年会这样)，“网络安全”对你来说意味着什么，你又怎样应付它
　　系统除了会出故障之外，很多系统还不能很好地工作。医疗记录系统不允许医生们随意共享个人健康信息，但是仍然不能防止好奇的私家侦探。预算很高的军事系统禁止没有“绝密”许可的任何人获得情报数据，但是却常常设计成几乎每个人工作时都需要这个许可。设计旅客票务系统是为了防止乘客作弊，但是当联邦反垄断检查官分拆了铁路部门以后，他们仍然不能阻止新的铁路公司彼此欺骗。只要设计者们当初多了解一点前人做过的努力和失败，这些问题都可以预见到。
　　安全工程学是一门新学科，它从所有这些混乱中孕育而生。
　　尽管人们很了解大部分基础技术(密码学、软件可靠性、防篡改、安全印刷和审计等)，但是却缺乏有效应用它们的知识和经验。由于各领域都从机械机制一下子转换到了电子机制，工程界还来不及吸取以前的经验教训。我们反复地看到人们在发明同样的四方车轮。
　　转型最可能成功的行业通常是那些可以从其他学科借鉴到技术的领域。例如，把军事上鉴别敌友的设备重新应用到银行现金机上，甚至应用到汽油预付费仪表上。因此，即使一个安全设计者在某个领域有高深的技术(不管他是研究密码的数学家，还是研究钞票印制油墨的化学家)，他在纵观整个学科领域时还是会很拘谨的。安全工程的本质在于了解系统的潜，在威胁，然后采用合适的混合保护措施(既有技术上的，也有组织上的)，来控制这些威胁。
　 了解别人做过的工作，更重要的是了解经验教训，对进行决策是莫大的帮助，还可以节省很多开支。
　　本书的目的是，以21世纪的眼光对安全工程学进行完整的介绍。本书适用于以下四个方面：
　　·作为介绍安全工程学的教材，你可以花几天时间从头到尾读完它。本书主要是给需要了解这门学科的IT专业人员准备的，也可以做大学一个学期的教程。
　　·作为参考书，你可以寻找某类系统的操作概述。本书介绍的系统包括提款机、出租车仪表、雷达干扰发射机和匿名医疗记录数据库等。
　　·介绍一些基础技术，例如密码学、访问控制、推理控制、防篡改和印章。由于篇幅有限，我没有深入讲解；但是对每门学科做了基本说明，给有兴趣的读者提供了阅读列表(还给研究生提供了一个公开研究问题表)。
　　·作为一本有创新的科技作品，我尽力概括了安全工程学需要的基础原理，总结了人们建造系统时应该了解的经验教训。我多年来一直从事安全工作，对此印象深刻。
　　例如，设计者若不知道对于序列密码的简单攻击，他设计的普通防空火力控制雷达很容易受到干扰；同时，由于印制钞票和设计版权标志的人不了解雷达领域熟知的技巧，以至于大部分数字水印遭受到了非常普遍的攻击。
　　我已尽力使这本书保持中立风格；安全工程的书必须如此，因为很多基本技术都是美国的，而很多应用程序都是欧洲的(假如你了解美国大学和研究实验室具有更多的资金，欧洲有更多样化的民族和市场，这就不足为奇了)。此外，欧洲很多成功的革新(从智能卡到CSM移动电话，再到按次计费的电视服务)，穿越了大西洋，现在在美国也已非常盛行。科学和案例研究都是必要的。
　　本书来自于我在剑桥大学讲授的安全工程学教程。我重新整理了笔记，使其具有完整的体系，并增加了许多材料。本书适合于专业的安全管理者和顾问参考；适用于研究密码学的计算机科学教授；适用于要侦破电脑骗局的警探；也适用于为了规范加密和匿名而冥思苦想的策略制定者。最重要的是，面向Dilbert。我的读者主要是程序员或者工程师，他们要设计不管客户、经理和其他任何人怎样做都能长久运转的实用系统。
　　本书分为三个部分：
　　·第一部分着眼于基本概念，由安全协议这个重要概念开始，继而介绍人机界面问题、 访问控制、密码学和分布式系统问题。除了具备基本的计算机知识以外，这部分不需要特别的技术背景。第一部分基于我给二年级大学生开的《安全入门》课程。
　　·第二部分更详细地介绍了许多重要的应用，比如军事通信、医疗记录系统、提款机、移动电话和付费电视。这些用来介绍更多的高级技术和概念。第二部分还从不同角度(比如公司、客户、罪犯、警察和间谍)考虑了信息安全问题。这些材料来源于我在安全方面开设的高级教程、研究工作和经验咨询。
　　·第三部分讲解机构和策略问题：计算机安全怎样与法律、证据和公司策略相互影响；我们怎样才能有信心让系统按照意图正常工作；如何最好地管理整个安全工程产业。
　　我相信，在21世纪，建立一个面对恶意攻击时稳健工作的系统是工程师们面临的最重要、最有趣，也是最艰巨的任务之一。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　Ross J．Anderson
　　　　　　　　　　　　　　　　　　　　　　　　　　　2001年1月于英国剑桥

在和Roger Needham合写的一篇论文中，Ross Anderson发明了一个说法“给撒旦的计算机编程”，用来表述计算机安全工程师们面临的问题。这使我对Ross一直充满期望，从那以后我也总是使用这个说法。
　　计算机编程本身并没有多难：埋头苦干，直到计算机能够按预定的方式工作。大型应用程序和操作系统更加复杂些，但是方法基本上相同。编写可靠的计算机程序就困难多了，因为程序需要面临各种随机发生的错误的考验，因为我们每天使用的实际上都是“墨菲计算机(Murphy’scomputer)””。人们已经对设计可靠的软件进行了大量研究，很多关键任务(mis·sion-critical)的应用软件为了冲破墨菲定律的宿命，进行了精心设计。
　　编写安全的计算机程序完全是另外一回事。安全的内容不仅包括保证程序正常工作、没有随机故障，还要日复一日地顶住聪明而恶毒的对手在最不可能的时间以最不可能的方式发出的政击。真的是在给撒旦的计算机编程!
　　安全工程不同于其他任何一种编程。在我的书《网络信息安全的真相》、我的每月时事通讯《Crypto-Gram》，还有其他作品中我都曾反反复复强调这一点。Ross也在本书的每一章里阐述了这个观点。这就是为什么如果你正在从事甚至只是想要从事安全工程的话一定要看这本书的原因。这是第一本，也是惟一一本全面讲述现代安全设计和工程学方面的书籍。
　　本书的出版非常及时。因特网的历史可以分为三次浪潮。第一波以大型机和终端为核心。那时计算机很昂贵、很稀少。第二波是从1992年至今，核心是个人计算机、浏览器和大型应用程序。第三波将从现在开始，你将看到现在网络上的、没联网的和非计算机的各种设备都连接到一起。到2003年，会有比计算机更多的移动电话连上因特网。几年之后，我们将看到很多电冰箱、心脏监听器、公路铁路自动售票机、警报器和电子仪表都能以IP协议相互通信。个人计算机将只是因特网的一小部分。
　　安全工程，尤其在第三次浪潮中，需要你转变思维方式。你不是去了解一个系统怎样工作，而是了解怎样让它不工作。你必须设想计算机内部有一个聪明的、不怀好意的敌人(还记得撒旦的计算机吗?)，要时刻准备新的方法制服它。你必须考虑会使系统崩溃的各种可能，它们大多数是与设计本身无关的。你必须后向、颠倒、横向地考虑每件事情。你必须像外星人一样思维。
　　正如已故伟大的科幻小说家John W．Campbell所说：　“外星人的思维像人类，但不是人类。”计算机安全与此非常相似。Ross属于那些具有外星人思维的少数人之列，现在他把这种思维传授给了人类。祝你阅读愉快。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Bruce Schneier
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 2001年1月

蒋佳 刘新喜：暂无简介

第一部分
第1章　什么是安全工程
1．1　例一：银行
1．2　例二：空军基地
1．3　例三：医院
1．4　例四：家庭
1．5　定义
1．6　小结

第2章　协议
2．1　偷听口令的风险
2．2　谁去那里 简单的认证
2．2．1　质询和响应
2．2．2　米格战斗机中间人攻击
2．2．3　反射攻击
2．3　伪造消息
2．4　环境变更
2．5　选择协议攻击
2．6　管理密钥
2．6．1　基本密钥管理
2．6．2　Needham-Schoeder协议
2．6．3　Kerberos
2，7　走向形式化
2．7．1　一个典型的银行智能卡协议
2．7．2　BAN逻辑
2．7．3　认证付费协议
2．7．4　形式化认证的局限性
2．8　小结
研究问题
参考资料

第3章　口令
3．1　基础
3．2　实用心理问题
3．2．1　社会工程
3．2．2　可靠口令输入的困难
3．2．3　记住口令的困难
3．3　系统问题
3．3．1　保护自己还是保护他人
3．3．2　入侵检测问题
3．3．3　可以培训用户吗
3．3．4　日益缺乏数据安全
3．4　口令的技术保护
3．4．1　口令输入攻击
3．4．2　口令存储攻击
3．4．3　绝对限制
3．5　小结
研究问题
参考资料

第4章　访问控制
4．1　引言
4．2　操作系统访问控制
4．2．1　组和角色
4．2．2　访问控制列表
4．2．3　Unix操作系统安全
4．2．4　Windows NT
4．2．5　权能
4．2．6　Windows2000增加的新特性
4．2．7　粒度
4．2．8　沙盒和携带证据代码
4．2．9　对象请求代理
4．3　硬件保护
4．3．1　Intel 80x86／Penfium处理器
4．3．2　ARM处理器
4．3．3　安全处理器
4．3．4　其他处理器
4．4　哪里出了问题
4．4．1　击毁堆栈
4．4．2　其他攻击技术
4．4．3　用户界面失败
4．4．4　为何这么多地方出现错误
4．4．5　补救措施
4．4．6　环境蠕变
4．5　小结
研究问题
参考资料

第5章　密码学
5．1　引言
5．2　历史背景
5．2．1　早期序列密码：vigenere表
5．2．2　一次一密法
5．2．3　早期的分组密码：Playfair方法
5．2．4　单向函数
5．2．5　非对称基本加密方法
5．3　随机预言模型
5．3．1　随机函数：哈希函数
5．3．2　随机序列生成器：序列密码
5．3．3　随机置换：分组密码
5．3．4　公钥加密和陷门单向置换
5．3．5　数字签名
5．4　对称加密方法
5．4．1　SP网络
5．4．2　高级加密标准
5．4．3　Feistel加密
5．5　操作模式
5．5．1　电子密码本模式
5．5．2　分组密码链接
5．5．3　输出反馈
5．5．4　计数器加密模式
5．5．5　密码反馈模式
5．5．6　消息验证码模式
5．6　哈希函数
5．6．1　基础加密的额外要求
5．6．2　常用哈希函数及其应用
5．7　非对称加密方法
5．7．1　基于因数分解的加密
5．7．2　基于离散对数的加密
5．7．3　特殊目的的签名方法
5．7．4　认证
5．7．5　非对称加密方法的强度
5．8　小结
研究问题
参考资料

第6章　分布式系统
6．1　并行
6．1．1　使用陈旧的数据与呈扩散状态的花费
6．1．2　通过锁定防止不一致的更新
6．1. 3　更新的顺序
6．1．4　死锁
6．1．5　不收敛的状态
6．1．6　安全时间
6．2　容错和故障恢复
6．2．1　故障模型
6．2．2　恢复什么
6．2．3　冗余在什么层
6．2．4　拒绝服务攻击
6．3　命名
6．3．1　分布式系统的命名观点
6．3．2　哪里出了问题
6．3．3　名字的类型
6．4　小结
研究问题
参考资料
第二部分

第7章　多级安全
7．1　引言
7．2　什么是安全策略模型
7．3　Bell-LaPadula安全策略模型
7．3．1　密级和许可
7．3．2　信息流控制
7．3．3　Bell-LaPadula模型的标准批判
7．3．4　可选模式
7．3．5　Biba模型
7．4　多级安全系统的几个例子
7．4．1　SCOMP
7．4．2　Blacker
7．4．3　MIS Unix、CMW和Trusted Win-dowing
7．4．4　NRL泵
7．4．5　后勤系统
7．4．6　紫色的Penelope
7．4．7　未来的MLS系统
7．5　哪里出了问题
7．5．1　组合系统
7．5．2　串联问题
7．5．3　隐蔽通道
7．5．4　病毒威胁
7．5．5　Polyinstantiation
7．5．6　其他一些实际问题
7．6　MLS更广泛的含义
7．7　小结
研究问题
参考资料

第8章　多边安全
8．1　引言
8．2　分割、长城和BMA模型
8．2．1　分割和网格模型
8．2．2　长城模型
8．2．3　BMA模型
8．2．4　比较分析
8．3　推理控制
8．3．1　在医学推理控制中的基本问题
8．3．2　推理控制的其他应用程序
8．3．3　推理控制理论
8．3．4　一般方法的局限性
8．3．5　缺陷保护的代价
8．4　剩余问题
8．5　小结
研究问题
参考资料

第9章　银行业和簿记系统
9．1　引言
9．1．1　簿记的起源
9．1．2　复式簿记
9．2　银行电脑系统如何工作
9．2．1　Clark-Wilson安全策略模型
9．2．2　责任的分离
9．2．3　哪里出了问题
9．3　大规模支付系统
9．3．1　全世界银行间金融电信协会(SWIFT)
9．3．2　哪里出了问题
9．4　自动柜员机
9．4．1　ATM的基础
9．4．2　哪里出了问题
9．4．3　实际应用
9．5　小结
研究问题
参考资料

第10章　监控系统
10．1　引言
10．2　报警器
10．2．1　威胁模式
10．2．2　为什么不能保护一幅画
10．2．3　传感器失灵
10．2．4　特征交互
10．2．5　攻击通信系统
10．2．6　经验教训
10．3　预付费仪表
10．3．1　需给电表
10．3．2　系统如何工作
10．3．3　什么地方会出错
10．4　计程器、转速表以及卡车速度限制器
10．4．1　哪里出了问题
10．4．2　对策
10．5　小结
研究问题
参考资料

第11章　核武器的指挥与控制
11．1　引言
11．2　肯尼迪备忘录
11．3　无条件安全认证码
11．4　共享控制系统
11．5　防篡改与指定行动链接
11．6　条约验证
11．7　哪里出了问题
11．8　保密还是公开
11．9　小结
研究问题
参考资料

第12章　安全印刷和印章
12．1　引言
12．2　历史
12．3　安全印刷
12．3．1　威胁模型
12．3．2　安全印刷技术
12．4　包装和印章
12．4．1　基片特性
12．4．2　粘贴问题
12．5　系统脆弱性
12．5．1　威胁模型的特性
12. 5．2　员工的细心
12．5．3　随机失败的效果
12．5．4　材料控制
12．5．5　不保护正确的事物
12．5．6　检查的成本和性质
12．6　评估方法论
12．7　小结
研究问题
参考资料

第13章　生物测量学
13．1　引言
13．2　手写签名
13．3　面部识别
13．4　指纹
13．5　虹膜编码
13．6　声音识别
13．7　其他系统
13．8　哪里出了问题
13．9　小结
研究问题
参考资料

第14章　物理防篡改
14．1　引言
14．2　历史
14．3　高端物理安全处理器
14．4　评估
14．5　中级--安全处理器
14．5．1　iButton
14．5．2　Dallas 5002
14．5．3　Capstone／Clipper芯片
14．6　智能卡和微控制器
14．6．1　体系结构
14．6．2　安全的演化
14．6．3　技术现状
14．7　哪里出了问题
14．7．1　体系结构错误
14．7．2　模糊性和评估错误
14．7．3　协议失败
14．7．4　功能蠕变
14．8　什么应该受到保护
14．9小结
研究问题
参考资料

第15章　发射安全
15．1　引言
15．2　历史
15．3　技术监视和对策
15．4　被动攻击
15．4．1　通过电源和信号电缆的泄露
15．4．2　通过射频信号的泄露
15．5　主动攻击
15．5．1　风暴型病毒
15．5．2　Nonstop
15．5．3　假信号脉冲
15．5．4　差异故障分析
15．5．5　联合攻击
15．5．6　商业利用
15．5．7　防御
15．6　发射安全攻击有多严重
15．6．1　政府
15．6．2　商业
15．7　小结
研究问题
参考资料

第16章　电子战与信息战
16．1　引言
16．2　基础
16．3　通信系统
16．3．1　信号侦察技术
16．3．2　通信攻击
16．3．3　保护技术
16．3．4　民用与军用的交互
16．4　监视与目标探测
16．4．1　雷达类型
16．4．2　干扰技术
16．4．3　高级雷达与反测量措施
16．4．4　其他传感器与多传感器问题
16．5　敌我识别系统(IFF)
16．6　定向能量武器
16．7　信息战
16．7．1　定义
16．7．2　学说
16．7．3　电子战中潜在的教训
16．7．4　电子战与信息战的区别
16．8　小结
研究问题
参考资料

第17章　电信系统的安全
17．1　引言
17．2　电话盗打
17．2．1　对仪表的攻击
17．2．2　信号攻击
17．2．3　攻击交换机与配置
17．2．4　不安全的终端系统
17．2．5　特征干扰
17．3　移动电话
17．3．1　移动电话复制
17．3．2　GSM系统结构
17．3．3　通信安全机制
17．3．4　下一代产品：3gpp
17．3．5　GSM安全：成功或失败
17．4　群体欺诈
17．5　小结
研究问题
参考资料

第18章　网络攻击与防御
18．1　引言
18．1．1　最普通的攻击手段
18．1．2　技术问题：脚本小子和打包防御
18．2　网络协议攻击
18．2．1　局域网攻击
18．2．2　使用因特网协议和机制的攻击
18．3　防御网络攻击
18．3．1　配置管理
18．3．2　防火墙
18．3．3　防火墙的作用和局限性
18．3．4　加密技术
18．4　特洛伊、病毒和蠕虫
18．4．1　早期的恶意代码
18．4．2　因特网蠕虫
18．4．3　病毒和蠕虫如何工作
18．4．4　竞争
18．4．5　近期历史
18．4．6　防病毒措施
18．5　入侵检测
18．5．1　入侵检测类型
18．5．2　入侵检测的普遍局限性
18．5．3　检测网络攻击的特殊问题
18．6　小结
研究问题
参考资料

第19章　保护电子商务系统
19．1　引言
19．2　电子商务的电报史
19．3　信用卡介绍
19．3．1　欺骗行为
19．3．2　伪造
19．3．3　自动欺骗检测
19．3．4　经济学
19．4　在线信用卡欺骗：大肆宣传以及现实情况
19．5　密码保护机制
19．5．1　安全套接层
19．5．2　安全电子事务(SET)
19．5．3　公共密钥基础设施(PKl)
19．5．4　电子数据交换(EDl)和B2B系统
19．5．5　电子钱包和微支付
19．6　网络经济
19．7　具有竞争力的应用和公司间的冲突
19．8　还有什么其他容易出现的问题
19．9　商家能做些什么
19．10　小结
研究问题
参考资料

第20章　版权和隐私保护
20．1　引言
20．2　版权
20．2．1　软件
20．2．2　书刊
20．2．3　音频
20．2．4　视频和付费电视
20．2．5　DVD
20．3　信息隐藏
20．3．1　DVD标记概念
20．3．2　常规信息隐藏技术
20．3．3　对版权标记的攻击
20．3．4　版权标记方案的应用
20．4　隐私机制
20．4．1　内容隐藏：PGP
20．4．2　内容否认--隐写术
20．4．3　联合隐藏--remailer和译解密码者
20．4．4　联合拒绝--数字货币
20．4．5　其他应用和问题
20．5　小结
研究问题
参考资料
第三部分

第21章　电子策略
21．1　引言
21．2　密码技术策略
21．2．1　警方窃听的历史
21．2．2　流量分析的历史
21．2．3　对外国目标的通信情报
21．2．4　密码策略的历史
21．2．5　讨论
21．3　版权
21．3．1　数字千年版权法案
21．3．2　即将出现的欧洲法令和UCITA
21．4　数据保护
21．4．1　欧洲数据保护的历史
21．4．2　欧洲和美国间的差异
21．4．3　目前的趋势
21．5　证据的问题
21．5．1　证据的有效性
21．5．2　证据的可靠性
21．5．3　电子签名
21．5．4　证据的负担
21．6　其他公共部门的问题
21．6．1　服务交付
21．6．2　社会排挤和歧视
21．6．3　税收保护
21．6．4　选举
21．7　小结
研究问题
参考资料

第22章　管理问题
22．1　引言
22．2　管理安全项目
22．2．1　三家超市的故事
22．2．2　平衡风险和报酬
22．2．3　组织问题
22．3　方法论
22．3．1　自顶向下设计
22．3．2　反复设计
22．3．3　来自安全关键型系统的教训
22．4　安全需求工程
22．4．1　管理需求的发展
22．4．2　管理项目需求
22．4．3　并行处理
22．5　风险管理
22．6　经济问题
X．7　小结
研究问题
参考资料

第23章　系统评估与保证
23．1　引言
23．2　保证
23．2．1　不正当的经济动机
23．2．2　项目保证
23．2．3　处理保证
23．2．4　保证增长
23．2．5　进化和安全保证
23．3　评估
23．3．1　信赖方的评估
23．3．2　通用准则
23．3．3　什么容易出现问题
23．4　前面的路
23．4．1　半开放设计
23．4．2　开放源代码
23．4．3　Penetrate-and-Patch、CERT和bugtraq
23．4．4　教育
23．5　小结
研究问题
参考资料
结束语
参考文献