1.2 框架
良好的安全工程要求将四个方面集中在一起。第一是策略,用于指明假定要达到的目标;第二是机制:密码、访问控制、硬件防篡改以及为了实现方针而组装的其他机械;第三是保证,也就是每种特定机制的可靠程度;最后是动机,也就是系统保护与维护人员正确履行职责的动力,也包括攻击者为突破安全策略必须付出的努力。所有这四种要素彼此交互(参见图1-1)。
我们以9·11恐怖袭击为例。劫机者成功地携带刀具通过机场安检,这并不是机制失败,而是策略失败,因为在当时,据我们所知,刀刃不超过3英寸的刀具是允许携带的,安检的任务只是阻止枪支与爆炸物。9·11之后,策略发生了改变:禁止携带所有刀具,禁止携带大多数武器(禁止棒球棒,但允许威士忌酒瓶),但在很多细节上进行了更改(比如先是禁止携带丁烷打火机,后来又允许携带)。这种机制是脆弱的,因为组合刀具与不含氮的爆炸物都会绕过检测。保证总是很低的,尽管每月都有大量无害的乘客个人财物被当做垃圾,但是被送往安检的武器(不管是意外的还是出于测试目的)只有不到一半被检测出来。
一些严肃的分析师指出了在优先事项上存在的重大问题。比如,TSA(英国培训服务局)花费了147亿美元来对有侵略性的乘客进行甄别,但效果相当差,而只需要1亿美元加固驾驶室的门,就可以消除大多数风险[1024]。航空飞行员安全联盟(Airline Pilots Security Alliance)的会长指出,大多数地勤人员并没有进行筛查,并且,对整夜停放在地面的飞机,也几乎没有给予检查和关注。由于大多数班机并没有锁,因此实际上很难阻止坏人接近飞机并放置炸弹,如果坏人拥有飞机驾驶技能并胆大妄为,他甚至可以编制一个飞行计划并予以实施[820]。然而,员工筛查与飞机保护并没有列为优先事项。
为什么会做出如此差的策略选择?其实很简单,决策者更倾向于可以看到的控制,而不是有效的控制。结果是被Bruce Schneier命名的“安全剧场”——?采取的措施是为了给人一种安全的感觉,而不是真正的安全。大多数人也有夸大恐怖主义威胁的动机:政客需要恐吓人们来提高自己的得票率,新闻记者需要卖出更多的报纸,公司需要卖出更多的设备,安全学术界也需要获得更多研究资助。上面所有这些因素的结果是,恐怖主义的危害实际上大多数来自于过度反应。幸运的是,随着时间的推移,选民已经领会到这一点。
安全工程师必须理解所有这些方面,我们需要能够将风险与威胁具体化,对哪些事情会出问题做出现实的评估,并给客户提出好的建议。要做到这些,需要对不同系统随着时间推移会出现哪些问题有宽泛的理解,需要了解已经实施了哪些攻击,攻击的后果是什么,以及攻击如何被阻止(如果值得这样做)。各种相关历史案例贯穿了本书。第III部分将专门讨论恐怖主义问题。现在,为了说明一下背景,将给出几个简单的安全系统实例以及它们的设计目的是为了预防什么。
