网络空间安全真相：破除流传已久的行业谬误与偏见

尽管我们殚精竭虑、用心良苦，但由于坊间经验、对世界的错误假设以及人性深处固有的偏见，仍常出现原本可以避免的错误。网络安全的实施、调查和研究因此受到影响。许多看法貌似合理，实则不正确，如片面认定用户是最薄弱的环节；网络安全领域的新手尤其容易采纳不公平和不完整的观点。

　　网络安全三大先锋首次在《网络空间安全真相：破除流传已久的行业谬误与偏见》一书汇集了各种安全误区(一线员工乃至董事会成员的错误观点)，并提出了避免或克服谬误的专业的、实用的建议。

《网络空间安全真相：破除流传已久的行业谬误与偏见》将揭示潜藏的危险，引导你预防可避免的错误、消除错误假设并抵御那些根深蒂固的认知偏见。不论你担任什么职位，也不论安全经验如何，都可从中看到真实的网络安全事件实例，学到识别和克服安全谬误的详细技巧，并能打造更安全的产品。

★了解用户、 管理者和网络安全专业人员常见的175种误区，以及避开这些误区的建议。

★了解类比的利弊、对安全工具的误解以及错误假设的陷阱。最薄弱的环节到底在哪里?

★了解他人对网络安全的理解，帮助用户、开发者、研究者或管理者做出更有效的网络安全决策。

★概述统计数据为什么既可能误导他人，也可能给人启示。

★掌握识别新误区、避免未来陷阱的技能。

Eugene H. Spafford是普渡大学计算机科学教授。在其 35 年的职业生涯中，Spafford博士获得了网络安全领域的所有重要奖项。

Leigh Metcalf博士是卡内基梅隆大学软件工程研究所网络安全 CERT部门的高级网络安全研究分析师。

Josiah Dykstra博士是一名网络安全从业人员、研究员、作家和演讲家，是Designer Security公司的所有者，曾在美国国家安全局工作18年。

第Ⅰ部分 普遍性问题

第1 章 什么是网络空间安全 2

1.1 误区：每个人都知道“网络空间安全”的定义 2

1.2 误区：我们可以衡量系统的安全性 5

1.2.1 信任与风险 7

1.2.2 关于威胁 8

1.2.3 关于安全策略 9

1.2.4 结论 9

1.3 误区：网络安全的首要目标是确保安全 10

1.4 误区：网络安全是关于显而易见的风险 11

1.5 误区：分享更多网络威胁情报可以让事情变得更好 13

1.6 误区：对你重要的事对其他人也重要 14

1.7 误区：某产品将确保你的安全 15

1.8 误区：Mac 比PC 更安全，Linux 比Windows 更安全 16

1.9 误区：开源软件比闭源软件更安全 17

1.10 误区：某技术将保证你的安全 18

1.11 误区：某流程将确保你的安全 18

1.12 误区：“神仙粉”可以让旧想法焕发新生命 19

1.13 误区：密码应经常更换 21

1.14 误区：相信和害怕你看到的每一个黑客演示 23

1.15 误区：网络进攻比防御容易 24

1.16 误区：工业技术不易受攻击 25

1.17 误区：破坏系统是建立自我形象的最佳方式 26

1.18 误区：因为你能做，所以你应该做 26

1.19 误区：更好的安全意味着更糟糕的隐私 28

第2 章 互联网的概念 29

2.1 误区：每个人都知道“互联网”的含义 29

2.2 误区：IP 地址标识唯一的计算机 30

2.3 误区：互联网由中央机构管理和控制 31

2.4 误区：互联网在很大程度上是静态的 32

2.5 误区：网络是静态的 33

2.6 误区：电子邮件是个人隐私 35

2.7 误区：加密货币无法追踪 36

2.8 误区：一切都可以用区块链来解决 37

2.9 误区：互联网就像一座冰山 38

2.10 误区：VPN 让你匿名 38

2.11 误区：有防火墙就足够了 39

第Ⅱ部分 人的问题

第3 章 错误的假设和神奇的思维 44

3.1 误区：人会理性行事，所以责任在用户！ 45

3.2 误区：人们知道关于网络安全问题所需要知道的一切 49

3.3 误区：合规等于(完整)安全 50

3.4 误区：身份验证提供了机密性 51

3.5 误区：既然永远都不安全，我为什么要烦恼？ 51

3.6 误区：我太渺小/不重要，不会成为目标 52

3.7 误区：每个人都想抓住我 54

3.8 误区：我只与受信任的网站打交道，所以我的数据是安全的，不会被泄露 56

3.9 误区：隐蔽的安全是合理的安全 57

3.10 误区：可视化和控制的错觉 59

3.11 误区：5 个9 是网络安全的关键 61

3.12 误区：每个人都拥有一流的技术 62

3.13 误区：人们可以预测未来的威胁 64

3.14 误区：安全人员控制安全结果 65

3.15 误区：所有糟糕的结果都是糟糕决策的结果 66

3.16 误区：越安全越好 67

3.17 误区：最佳实践总是最佳的 68

3.18 误区：网上的就肯定是真实/正确的 69

第4 章 谬论和误解 71

4.1 虚假原因谬论：相关性就是因果关系 72

4.2 误区：没有证据就是不存在证据 74

4.3 稻草人黑客谬论 76

4.4 个人偏见谬论 76

4.5 草率归纳谬论 78

4.6 均值回归谬论 78

4.7 基准率谬论 79

4.8 赌徒谬论 81

4.9 忽略黑天鹅 82

4.10 合取和析取谬论 83

4.11 价值效应 84

4.12 资产归属效应 85

4.13 沉没成本谬论 85

4.14 更多谬论 86

4.14.1 外部借鉴 87

4.14.2 有问题的证据 87

4.14.3 诱导性问题 87

4.14.4 错误选择 88

4.14.5 你也一样 88

4.14.6 更多问题 88

第5 章 认知偏见 90

5.1 行动偏见 91

5.2 忽略偏见 93

5.3 幸存者偏见 94

5.4 确认偏见 95

5.5 选择肯定偏见 96

5.6 事后诸葛亮偏见 96

5.7 可用性偏见 98

5.8 社会认同偏见 100

5.9 过度自信偏见 100

5.10 零风险偏见 101

5.11 频率偏见 102

5.12 更多偏见 103

5.12.1 结果偏见 103

5.12.2 折扣偏见 103

5.12.3 地域偏见 103

5.12.4 面额偏见 104

5.12.5 否认偏见或鸵鸟偏见 104

5.12.6 光环偏见 104

5.12.7 争上游心态 104

5.12.8 锚定偏见 105

5.12.9 启动偏见 105

5.12.10 知识偏见 105

5.12.11 维持现状偏见 105

5.12.12 “主义”偏见 106

5.12.13 自私偏见 106

第6 章 不当激励和眼镜蛇效应 107

6.1 误区：安全供应商的目标是确保你的安全 108

6.2 误区：你的网络安全决定只影响你自己 109

6.3 误区：漏洞赏金计划将漏洞从黑客攻击市场中淘汰出局 111

6.4 误区：网络保险使人们承担更少风险 112

6.5 误区：罚款和惩治使风险减少 112

6.6 误区：反击将有助于制止网络犯罪 113

6.7 误区：创新增加安全和隐私泄露事件 114

第7 章 问题与解决方案 116

7.1 误区：在网络安全中，不应有失败 117

7.2 误区：每个问题都有解决方案 118

7.2.1 误区：可以用大数据解决所有问题 119

7.2.2 误区：有且只有一个正确的解决方案 121

7.2.3 误区：每个人都应该以同样的方式解决特定的网络安全问题 122

7.3 误区：传闻是网络安全解决方案的好线索 122

7.4 误区：发现更多“坏事”意味着新系统技术提升 123

7.5 误区：安全流程都应该自动化 124

7.6 误区：专业认证无用论 125

7.6.1 从事网络安全工作是否需要计算机学士学位 126

7.6.2 网络安全认证是否有价值 128

7.6.3 网络安全人才是否短缺 129

7.6.4 学习与实践是否脱节 130

第Ⅲ部分 背景问题

第8 章 类比与抽象的陷阱 134

8.1 误区：网络安全就像物理世界 136

8.1.1 误区：网络安全就像保卫城堡 137

8.1.2 误区：数字盗窃与实物盗窃一样 138

8.1.3 误区：用户是“最薄弱的环节” 139

8.2 误区：网络安全就像医学和生物学 140

8.3 误区：网络安全就像打仗 142

8.3.1 网络珍珠港 143

8.3.2 网络武器 144

8.3.3 网络恐怖主义 144

8.4 误区：网络安全法与物理世界法律类似 145

8.5 类比和抽象小提示 145

第9 章 法律问题 148

9.1 误区：网络安全法与现实世界法相似 149

9.2 误区：你的法律不适用于我的所在地 150

9.3 误区：我的第一修正案权利受到侵犯！ 151

9.3.1 对法律的无知 152

9.3.2 司法管辖权差异 152

9.4 误区：法律准则取代计算机代码 153

9.4.1 误区：法律可以简单地转换为计算机代码 154

9.4.2 误区：立法者/监管机构/法院对技术的了解足以进行监管 155

9.4.3 误区：法律和法院过度约束开发者 155

9.5 误区：执法部门永远不会回应网络犯罪 157

9.6 误区：可以通过起诉来隐藏信息 158

9.7 误区：提起诉讼以阻止信息泄露是个好主意 159

9.8 误区：条款与条件毫无意义 160

9.9 误区：法律站在我这边，所以我不需要担心 160

第10 章 工具的误区和错误概念 162

10.1 误区：工具越多越好 163

10.2 误区：默认配置始终安全 165

10.3 误区：一种工具可以阻止一切坏事 166

10.4 误区：从工具中确定意图 168

10.5 误区：安全工具本质上是安全和值得信赖的 170

10.6 误区：没有发现意味着一切安好 171

10.6.1 误区：扫描没有发现问题意味着很安全 171

10.6.2 误区：无警报意味着安全 172

10.6.3 误区：没有漏洞报告意味着没有漏洞 174

第11 章 漏洞(弱点) 175

11.1 误区：人们知道关于漏洞的一切 176

11.2 误区：漏洞很稀少 178

11.3 误区：攻击者越来越专业 178

11.4 误区：零日漏洞最重要 179

11.4.1 误区：零日漏洞是最可怕的 179

11.4.2 误区：零日漏洞意味着持久性 182

11.5 误区：所有攻击都取决于某个漏洞 182

11.6 误区：概念的利用和证明是错误的 185

11.7 误区：漏洞仅发生在复杂代码中 186

11.8 误区：先行者应该牺牲安全 188

11.9 误区：补丁总是完美且可用的 189

11.10 误区：随着时间的推移，防御措施依然安全 193

11.11 误区：所有漏洞都可以修复 193

11.12 误区：对漏洞进行评分既简单又易于理解 195

11.13 误区：发现漏洞后会及时通知 196

11.14 误区：漏洞名称反映其重要性 197

第12 章 恶意软件 199

12.1 误区：使用沙盒会得到我想知道的一切 200

12.2 误区：逆向工程会告诉我们需要知道的一切 203

12.3 误区：恶意软件与地理位置相关/不相关 205

12.4 误区：总能确定是谁制造了恶意软件并发动了攻击 207

12.5 误区：恶意软件总是一个难以理解的复杂程序 208

12.6 误区：免费的恶意软件保护就足够了 209

12.7 误区：只有暗处的网站才会感染我 210

12.8 误区：自行安装的软件也可能是友好的 211

12.9 误区：勒索软件是全新的恶意软件 212

12.10 误区：签名软件始终值得信赖 213

12.11 误区：恶意软件名称反映其重要性 215

第13 章 数字取证与事件响应 216

13.1 误区：影视反映网络真实性 217

13.2 误区：事件一旦发生就会立即被发现 218

13.3 误区：事件是离散和独立的 220

13.4 误区：事件的严重程度都相同 220

13.5 误区：标准事件响应技术可以应对勒索软件 221

13.6 误区：事件响应人员切换几个开关，然后一切都神奇地得到修复 222

13.7 误区：攻击总是可溯源的 224

13.8 误区：溯源至关重要 226

13.9 误区：大多数攻击/数据泄露源自组织外部 227

13.10 误区：特洛伊木马辩护已经失效 228

13.11 误区：终端数据足以用于事件检测 229

13.12 误区：从事件中恢复是一个简单且线性的流程 230

第Ⅳ部分 数据问题

第14 章 谎言、该死的谎言和统计数字 234

14.1 误区：运气可以阻止网络攻击 234

14.2 误区：数字的意义十分明确 235

14.3 误区：概率就是确定性 236

14.4 误区：统计就是法则 238

14.4.1 误区：不需要背景知识 239

14.4.2 误区：用统计数据预测未来 240

14.4.3 误区：相关性意味着因果关系 241

14.4.4 误区：分类出错不重要 244

14.5 误区：数据对统计并不重要 246

14.6 误区：人工智能和机器学习可以解决所有网络安全问题 249

第15 章 图解、可视化和错觉 253

15.1 误区：可视化和公告板本质上普遍有用 254

15.2 误区：网络安全数据易于可视化 259

15.1.1 误区：可视化互联网地理位置很有用 260

15.1.2 误区：可视化IP 和端口清晰易懂 260

第16 章 寻求希望 263

16.1 创造一个消除误区的世界 265

16.2 文档的重大价值 266

16.3 综合误区与建议 268

16.3.1 综合误区 268

16.3.2 建议 269

16.4 避免其他陷阱和未来陷阱 270

16.5 结束语 270

——以下内容可扫描封底二维码下载——

附录A 简短的背景说明 271

附录B 单词缩写 278

附录C 参考文献 282

附录D Links 文件 288

假设有一家名为GoodLife Bank的中型地方性银行，有12个实体分行，可提供在线银行服务，并有325 名员工。该行首席信息安全官Terry 想对银行员工进行行为监控，但首席执行官Pat 表示反对。Pat 说：“员工都是好人，他们以前从未窃取过银行的钱，而且我们以前也从未进行过这种监控。将来也不会出现问题，没有必要浪费钱。”

另外假设，有一个名为备份信息部门(DRID)的政府部门，隶属于宣传部(APB)。在员工会议上，新上任的首席信息官询问DRID主管Chris，部门内除了实施美国联邦信息安全管理法(FISMA)的最低标准外，还采取了哪些安全措施。Chris 回答说：“不需要，因为没有人想窃取我们的东西，而且我们也没有别人想要的东西”。

Pat和政府机构的Chris两人都陷入了网络安全的误区。本书中会使用这些虚构(但具有代表性)的机构和人员，因为他们代表了本书需要提及的常见观点和理念。

在网络空间安全专业和应用中，需要掌握许多知识才能有所成就。这些知识可以通过正式教育和实践学习等多种形式来获取。例如，若要保护计算机免受数字威胁，则需要了解硬件和软件的工作原理，应采取哪些防御措施来阻止特定威胁而不是其他威胁，以及如何识别出现错误的情形。但网络安全领域存在一种潜在危险，即在没有依据的情况下，将传统经验或看法作为真理传承。虽然网络安全是一门不断发展的学科，但当有人质疑某种方法时，仍会听到“一直都是这样做的”的说法。人类大脑天生抵制变化，因此需要努力摒弃陈旧的错误观念。

许多文化内容以谚语和故事的形式进行流传。历史和传统是人类故事的核心，但是这些告诉人们应如何做的处世名言不一定真实可靠。民俗和民间传说有时只是用来证明我们已经做了什么或相信了什么，而不是有依据的行动准则。例如为什么在寒冷的天气里出门时需要戴帽子？有人告诉你是因为90%的体温是从头部散发出去的，如果不想感冒，最好戴上帽子。这种说法听起来很有道理。但正确吗？不一定！1有些谬论比其他观点更具迷惑性，更为普及与持久，因此很难被改变。例如，第8 章将讨论用户是“最薄弱的环节”的观点。很多人都持这种观点，但这是带误导性的错误观点。

网络安全应是有效、公开和合理的。根据经验，人们经常受到偏见或误解的影响而做出错误或次优的选择。少数情况下，人们知道危险但继续前行。不知情和被误导之间有重要的区别。本书的主要目的不是讲授新技术概念(但附带这个效果)，而是聚焦于人们已知的知识领域。

1 身体任何未被遮盖的部分都会使你失去热量。全身赤裸但戴着帽子，会比全身穿戴整齐只光着头更快被冻僵。详细内容可参见[1]。

人们对什么是正确的安全实践存在疑惑，但对糟糕的安全实践(如重复使用密码)却经常意见一致。当然这些糟糕的做法可能并非一直很差，取决于具体参数和条件。

许多糟糕的做法听起来合乎逻辑，对网络安全领域的新手来说尤其如此；即使它们并非正确，但仍会被采纳并重复使用。例如，为什么用户不是最薄弱的环节？本书能帮助你更清楚地思考网络安全问题。

本书直面几十年来积累的民间传说误区，希望读者能够在现实的基础上做出更好的选择。无论网络安全民间传说误区是如何开始的，以及如何传播的，我们都认为人们有良好的意愿，并没有故意试图误导信息。误区不是谎言或故意的误导，误区是关于某些事实或现象的信仰的故事。本书的目标是在一直存有陷阱的地方纠正错误。

本书还想消除人们在面对复杂情况或新情况时产生的偏见。使用探索的方法来做决策，但经常对结果带有偏见。有许多方法适用于日常情况，但计算方法是复杂的，并且对手的行为经常不符合典型的心理模型。了解偏见可能导致的错误决策是很有价值的。

本书的目的不是指责人们的不当行为！并不是每个人都会掉进陷阱，因为有人只相信清单上的某个特定的误区。本书讨论的某些概念可能曾经是正确的，但安全领域在不断进步，环境也在变化。太多人认为网络安全只与技术有关，但事实并非如此。

举个例子，尽管人在网络安全方面发挥着重要作用，但许多计算机科学专业的课程都不包括心理学必修课。

如果你从未接触过本书中描述的逻辑谬论和认知偏见，当你在日常生活中听到错误观点时，不要贬低任何人。相反，请根据本书的建议，从另一个角度理解。我们以谦逊的态度为你呈现本书。我们以前犯过的错，以后还会再犯。1通过这本书我们都学到了新东西！

可以明确的是，很久以前我们了解到的有关网络安全的一切并非都是错误的理念或想法。在20世纪90年代，SSL/TLS被认为是不必要和不重要的。这不是误区，对许多企业来说，这是当时的现状。但现在，它变得异常重要，不可或缺。

曾经的网络安全误区几十年前，一个常见的误区是，反病毒公司制造并发布恶意软件，这样用户就需要购买他们的产品。人们普遍认为反病毒公司人为地制造了需求及解决方案，但这不过是一种阴谋论(这也是David Gerrold 在1972 年创作的科幻小说When HARLIE Was One的情节之一)。

现在不再经常听到这个谬论了。为什么呢？它似乎已经自行消失。如今，大多数人都认识到反病毒软件对于保持良好的网络安全是必要的。有证据表明罪犯、破坏者制造了恶意软件，但没有证据表明反病毒公司正在这样做或者曾经这样做过。

1 好吧，本书的三个作者中至少有两个可能是。

20世纪90年代，这个误解进入鼎盛时期，那么这个误解是如何被解开的？

● 寻找支持这个误解的证据或深入调研是第一步。有人确实进行了调查，但没有发现任何证据。这些结果并没有让这个误解完全消失，但确实削弱了这一说法的真实性。寻找证据是本书建议的验证其他误解的常见手段。

● 考虑备选的解释和动机，应用奥卡姆剃刀原则：优先使用最直接和最简单的解释。反病毒软件公司要编写病毒，就必须让所有员工守口如瓶，因为如果真相泄露，将毁掉整个业务。同时，为了表明不知道内幕，还需要偶尔放过一些病毒(或在内部放松查杀它们)。此外，还需要雇用演员参加会议，并在网上发布关于“他们”编写病毒软件的帖子。这比与公司无关的无赖作者制造病毒更简单、更有可能吗？

本书将揭开误区的真相，但世界上不会没有谬论，因为人类倾向于创造谬论来解释经验。特别是在进化出快速处理信息的能力后，在无法立即解释某些事情时，我们会构思出一个答案。

未来，误区或谬论可能会变得更加普遍并且更具挑战性。人们可以获取越来越丰富的信息，包括错误信息。我们已经看到了荒谬甚至具有破坏性的错误观点在传播，包括一些关于高空飞行物痕迹、疫苗和太空生物渗透政府的谬论。对于许多人来说，确定什么是真实可信的越来越困难。这就是为什么无论是在网络安全领域还是在其他领域，所有人都需要具备发现谬论的技能，以及纠正它们的技巧。

读者对象

本书主要面向网络安全专业人员和业余爱好者，包括学生、架构师、开发人员、分析师和决策者。当误区被揭穿时，现有的信息安全专业人员可以通过改进网络安全来受益。通过阅读本书，那些刚踏入这个领域的人将更好地理解上下文中的民间传说并预防错误；对于有经验的从业人员，将为他们的技术和方法提供新的灵感，并告诉他们如何避免不经意间陷入破坏良好网络安全的陷阱。本书还指出更有经验的从业人员如何帮助指导其他人。

如果你不是网络安全领域从业人员，这本书仍然适合你。网络防护与每个人有关，肯定也包括你，特别是，决策者和商业领袖需要对网络安全有准确的了解：这些人通常负责接受风险或管理风险，这是整本书的关键内容。

本书并不假定读者在特定领域有特定的职务、经验或深厚的技术知识，只假定他们有鉴别能力、思想开放，并对本书的主题领域有一定的了解。书中提供了参考资料，并在末尾提供了参考资料的清单，我们相信，如果读者需要更多信息，这些资料会有网络空间安全真相：破除流传已久的行业谬误与偏见帮助。专业人士的两个特点是终身学习和在接收新信息后质疑当前的理念；与政治领域不同的是，当有人形成新的观点时，通常都具有积极意义！1

三位合著者——他们分别在学术领域、工程领域和政府机构工作——都研究并撰写了关于网络安全和计算机科学的文章。科学可以通过使用标准化的方法和产生有效的证据来更新、验证及消除网络安全的神话。工程学可以利用科学来创造更强大、更可靠的产品。作者们在科学和工程领域工作，在网络安全设计和研究、事件响应、取证以及其他方面的工作年限加起来接近一个世纪。在职业生涯中，他们看到网络安全领域的从业者因为神话和误解而屡屡犯下本可避免的错误。写这本书正是为了教育学生和从业人员；相信这是第一本将这些信息整合在一起的书。

黑客的误区与传说敏锐的读者会注意到，在这本关于网络安全的书中，使用“黑客”这个词时是很慎重的。尽管黑客最初用于标识熟练的技术爱好者，但不幸的是，现在它的负面含义已经使这个词面目全非。我们支持黑客的这个词的正面含义，所以使用“对手”或“攻击者”这些词来描述那些带有恶意的人，或者使用“恶意网络行为者”(malicious cyber actor)这一短语，这是2011年左右在美国政府出版物中出现的术语。我们也使用“坏人”(bad guy)一词来指一般的恶意网络行为者；这种用法不分性别，“好人”(good guy)也是如此。

黑客并不是唯一的在网络安全中被赋予负面含义的用语。正如在即将讨论的几个误区中看到的，“用户”这个词被不尊重和蔑视地使用。我们鼓励人们对这一问题保持警惕，在使用中进行澄清，或者使用其他替代用语。

误区的起源

在探讨并消除误区之前，应了解它们的起源以及它们为何如此顽固。一个原因是，技术和威胁在变化，但教育却迟迟不能跟上。除非人们认真对待持续教育，否则当旧的真理变成新的误区时，就很容易落伍。很多时候，当工作量很大，事情发展很快的时候，教育就被放在了较低的优先级。

所有群体中都不同程度地存在误区和错觉。任何个人或组织都不能幸免，即使是网络安全专家。这里有三个例子：

● 2017年Pew研究中心对美国成年人进行的关于网络安全主题的13个问题的调查中，大多数人只能正确回答其中两个问题。只有54%的人能够识别网络钓鱼攻击的例子。2

1 见[2]。

2 见[3]。

● 在对25 名至少选修过一门网络安全课程的学生的访谈中，研究人员发现了四个共同的主题：过度概括、混淆概念、偏见和不正确的假设。例如，许多学生过度概括并形成错觉，认为加密可以实现保密性之外的其他属性：防止操纵、防止盗窃和确保可用性。研究人员将这些错误观点归咎于在网络安全领域缺乏经验。1

● 对一所大学的20 名非专业人员和网络安全工作人员的研究显示，教职员工对网络安全都存在误解。例如，一些员工认为，链接比附件更危险，因为单击它们会自动损害计算机，而其他员工则认为，如果不安装附件，那么附件是无害的。2

误区与迷信的区别

这本关于误区和错觉的书可能会让你想知道它们与迷信的关系。

在有记载的历史中，迷信已经渗透到人类生存的每一个方面，从体育到天气，再到医学。也许你有一双幸运的袜子，或者避免使用数字13或666。也许你相信扫把星或诅咒。从形式上看，这些都是神奇思维的例子。

数字生活也不能幸免于神奇的思维。今天，我们有一个仪式，关闭我们手机上的所有后台应用程序，或重新启动计算机，以“优化它们的性能”3。

根据《魔幻思维的七大法则：如何通过非理性信仰保持快乐、健康和理智》一书的作者Matthew Hutson(马修·霍斯顿)的描述，神奇思维帮助人们理解非理性的世界，给人们带来舒适感、能动性和掌控感。第3章会再次讨论神奇思维这个话题。

误区和迷信是不同的。误区是不正确的事情或错误解释所观察到的现象，而迷信是基于超自然的信仰。金鱼有3秒钟的记忆是一个误区，敲击木头可以抵御厄运是一种迷信。举一个与计算机有关的例子，20世纪80年代的许多孩子相信，对着游戏卡吹气可以解决灰尘问题。取出游戏卡，对着它吹气，然后重新插入，往往能解决“启动时设备接触不良”问题。是灰尘导致了问题的解释是一个误区。

如果他们认为墨盒被鬼魂入侵，把它取出来并举办驱魔仪式，然后重新插入，那就是迷信了。无论哪种方式，取出和重新插入的行为都能解决这个接触不良的问题，并强化这种信念。

本书关注的是误区，而不是迷信。如果认为把水晶粘在笔记本电脑上，并根据星座部署防火墙规则，就能保证系统安全，那么本书不适合你。而是，我们建议你部署良好的备份系统并购买保险。

一些读者可能会想：“等一下，那宗教呢？”本书不打算以任何方式对宗教问题发表意见。迄今还没有看到任何经同行评审的、可复现的研究，能证实祈祷

1 见[4]。

2 见[5]。

3 关于更多奇特的技术行为，请参阅Nova、Nicholas、Miyake、Katherine、Chiu、Walton、Kwon、Nancy合著的“Curious Rituals: Gestural Interaction in the Digital Everyday (2012)”，网址为[6]。

可以影响安全事件导致的宕机时间。此外，如果认为计算机中心受到恶魔攻击，本书也不会帮助你——烧鼠尾草和雇用驱魔人，请不要感到惊讶，这两者都没有任何用处。

基本观点

作者根据自己的经验、研究成果和同行的意见撰写本书。有些基本观点是所有内容的基础，希望能将它们作为在安全领域组织工作的原则。

首先，网络安全不只是保护计算机和网络。网络安全用于保护支撑社会的技术和数据。计算机不是一个独立的学术研究领域，而是一个支持和促成现代生活的技术领域。计算机用于银行、公用事业系统、商业、学校、执法机构、医疗、娱乐等。生活依赖于计算机系统的正确运行。如果计算机停止工作，公民在社会中互动的能力就会消失，而且往往是以突然和意外的方式消失。因此，当提及击退计算机攻击或保护计算机时，不仅针对计算机和网络，从根本意义上说，是指保护社会和文明生活。

其次，网络安全涵盖了计算机，但主要涉及人。人为计算机编程，设计和制造计算机，购买计算机并部署它们。是的，人也会滥用计算机。不应该忽视这样一个事实：计算机是人使用的工具，是为人准备的，是由人制造的。解决网络安全问题需要关注人及人的行为。

最后，有时计算机会出现故障。事实也是如此，人也会犯错。通常情况下，计算机出现故障是因为设计或运行计算机的人出现了错误或疏忽；计算机硬件已经变得越来越可靠。不应该试图通过指责计算机来为计算机系统的不良行为开脱，如 “计算机决定的”或“计算机犯的错”。这些问题通常是编写软件、输入数据或操作系统的人的错误。使用人工智能(AI)和机器学习(ML)的系统也是如此——问题在于这些系统是如何训练的，以及谁决定采用它们的输出。在每种情况下，都是人承担责任。当一辆汽车闯红灯时，常规做法是把责任归咎于司机，而不是车辆或灯光。

本书的路线图

本书分为四部分——普遍性问题、人的问题、背景问题和数据问题——提出了175个以上的谬论、偏见和误解。章节按主题组织，将类似的误区组合在一起。这些章节可以独立阅读或连续阅读。各章中的标题确定了具体的误区或主题。每一节解释一个误区或错误概念，给出实践中的例子，并讨论如何避免。有些章节是技术性的，如关于漏洞、恶意软件和取证的章节。其他章节则描述了网络安全是如何被思维和决策所影响的，比如关于逻辑谬误和沟通的章节。书中材料包含具体的技术安全建议——大部分项目都是关于人们的看法、决定和行动。这是因为，正如我们所指出的，大多数网络安全问题是由人造成的。1

许多书都讨论了如何构建技术解决方案，通常是对根本问题打补丁(往往是不完美的)。而本书的目的是帮助你解决根本问题。

附录A 提供了文中使用的概念和术语的简短解释。例如，如果对防火墙或log4j漏洞不熟悉，可在附录A中阅读简短的解释。要提醒的是，这些解释并不是作为教程！

附录A只是为了帮助读者理解材料，并掌握基本思想。因此，如果遇到一个不认识的术语，请在附录A中寻找。可能会有，但不一定。

网络安全，以及一般的计算机领域，充斥着各种首字母缩写词。本书努力将每一个首字母缩写词在第一次使用时展开；然而，也可能存在一个陌生的首字母缩写词，读者在读过几章后就不再记得了。因此，附录B提供了一个缩写词表，如果遇到一个不熟悉的缩写词，可从中找到该术语的全称。如果这仍然是一个谜，建议使用你最喜欢的搜索引擎来获得一些额外的背景信息。

附录C提供了一些参考资料供进一步探讨：书籍、学术论文、报告和标准文件。

这些资料按章节进行编排，与本书各章对应。本书的目的是提供可以进一步探索的起点，正如第1章中所指出的，网络安全是一个奇妙的旅程，而不仅仅是一个目的地!

附录D是Links文件。在阅读正文的过程中，不时会看到网址编号，形式是[*]，即放在方括号中编号。这些链接统一放在Links文件(可扫描封底二维码下载)中。例如，在第1章中遇到[1]时，可访问Links文件中标题“第1章”下的第1个链接。

各章中穿插了原创的手绘插图，为各种误区提供了轻松的视角。这些图片展示了谬论的精髓，也会给人们带来欢乐，它们是对文字的异想天开的补充。

1 见[7]。