安全工程的含义(7)

机密性(confidentiality)、隐私(privacy)、保密(secrecy)之间的比较也很棘手。这些术语明显重叠,但显然又不完全一致。如果我的邻居砍掉了栅栏上的藤蔓,结果他的小孩能看到我的花园并戏弄我的狗,这并没有侵犯了我的机密性。对前任老板的事务守口如瓶,这是保密的责任,而非隐私。

本书将以如下方式使用这些词汇:

● 保密,它是一个技术术语,是指用来限制可以访问信息的主体数量的机制的效果,比如密码学或者计算机访问控制。

● 机密性,指的是为其他人或组织保守你所知道的秘密的职责。

● 隐私,是保护你个人信息的能力和权利,并扩展到防止别人入侵你的个人空间(这个词汇的精确定义在不同的国家里差别很大)的能力和权利。隐私可以扩展到家庭,但不能用在类似公司的法人上。

比如,医院的病人具有隐私权,为维护患者的隐私权,医生、护士和其他员工都有为病人保密的责任。医院对于其业务往来没有隐私权,但那些与业务有利害关系的员工有保密的责任。简而言之,隐私是为个体利益保密,而机密性是为机构利益保密。

更深一层的复杂性在于仅仅保护数据(比如消息的内容)是不够的,我们还必须对元数据进行保护,比如谁对谁的讲话记录。例如,很多国家的法律都规定性传播疾病的治疗是秘密的,然而如果私家侦探能够发现某人同性病诊所交换加密邮件,他就会很容易得出结论,即这个人正在该诊所接受治疗(最近,英国某著名模特打赢了一场对一家小报的隐私诉讼,该小报刊登了她离开戒毒会聚会的照片)。因此,在隐私(或机密性)中,匿名(anonymity)是与保密同样重要的因素。更复杂的是,有些作者把我们所说的保密称为消息内容机密性,将我们所说的匿名称为消息源(或目标)机密性。通常,匿名更难以实现。很难独自地实现匿名,经常需要将自己隐藏在一个群体中。同时,我们的法律准则不是为支持匿名而设计的:与进行实际的窃听相比,警方从电话公司获取逐条列记的账单信息要容易得多,这些信息告诉警方谁给谁打电话(而且经常非常有用)。

真实性(authenticity)与完整性(integrity)的含义也可以出现微妙的变化。在安全协议的学术文献里,真实性意味着完整性加时效性:你已经确定是在和真正的主体通话,而不是之前的消息的重放。在银行业的协议里有类似的思想,如果某个国家的银行法规规定支票在六个月之后无效,那么七个月前开出的未兑现的支票虽然具备完整性(假设没有被改过),但是不再有效。军事用途中,倾向于将真实性应用到主体身份以及他们发布的命令,而完整性应用到存储的数据。因此,我们可以讨论电子战威胁数据库的完整性(它没有被敌人或者墨菲定律破坏)以及将军的命令的真实性(这和学术上的使用方法有交叉)。不过还有一些奇怪的用法,比如,人们可以谈及由敌方的电子战人员发布的欺骗性命令的真实副本(authentic copy),这里,真实性表示的是复制与存储动作。与之类似,在犯罪现场的警务人员会谈及保持伪造签名的支票的完整性,方法是将它放置到证据袋中。

最后,我们还要澄清一些术语,这些术语用于描述我们要达到的目标。弱点(vulnerability)是系统或环境的一个属性,它与内部或外部威胁(threat)结合,会导致安全失败(security failure),这是对系统安全策略的违背。安全策略(security policy)是系统保护策略的一种简洁描述(比如,“每个借方都必须有一个等额的贷方与之匹配,所有超过1000美元的交易必须得到两名经理的许可”)。安全目标(security target)是更加详细的规范,阐明了在特定产品中实现安全策略的方法——加密和数字签名机制、访问控制、审计日志等等,同时该规范还被用作评价设计者和实现者是否妥善完成工作的准绳。在这两个级别之间,你还会发现保护轮廓(protection profile),它与安全目标很像,区别在于保护轮廓是以与设备完全无关的方式撰写的,从而可以在不同产品之间、同一产品的不同版本之间进行对比评价。在本书后面章节中,我将详细阐述安全策略、安全目标和保护轮廓。一般来讲,保护这个词指的是一种特性,比如机密性或完整性,它是以抽象的方式定义的,我们要在一般的系统背景下(而不是某一具体实现中)对其进行理解。

读书导航