1.2  框架

良好的安全工程要求將四個方面集中在一起。第一是策略，用于指明假定要達(dá)到的目標(biāo)；第二是機(jī)制：密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；第三是保證，也就是每種特定機(jī)制的可靠程度；最后是動機(jī)，也就是系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動力，也包括攻擊者為突破安全策略必須付出的努力。所有這四種要素彼此交互(參見圖1-1)。

我們以9·11恐怖襲擊為例。劫機(jī)者成功地攜帶刀具通過機(jī)場安檢，這并不是機(jī)制失敗，而是策略失敗，因為在當(dāng)時，據(jù)我們所知，刀刃不超過3英寸的刀具是允許攜帶的，安檢的任務(wù)只是阻止槍支與爆炸物。9·11之后，策略發(fā)生了改變：禁止攜帶所有刀具，禁止攜帶大多數(shù)武器(禁止棒球棒，但允許威士忌酒瓶)，但在很多細(xì)節(jié)上進(jìn)行了更改(比如先是禁止攜帶丁烷打火機(jī)，后來又允許攜帶)。這種機(jī)制是脆弱的，因為組合刀具與不含氮的爆炸物都會繞過檢測。保證總是很低的，盡管每月都有大量無害的乘客個人財物被當(dāng)做垃圾，但是被送往安檢的武器(不管是意外的還是出于測試目的)只有不到一半被檢測出來。

一些嚴(yán)肅的分析師指出了在優(yōu)先事項上存在的重大問題。比如，TSA(英國培訓(xùn)服務(wù)局)花費(fèi)了147億美元來對有侵略性的乘客進(jìn)行甄別，但效果相當(dāng)差，而只需要1億美元加固駕駛室的門，就可以消除大多數(shù)風(fēng)險[1024]。航空飛行員安全聯(lián)盟(Airline Pilots Security Alliance)的會長指出，大多數(shù)地勤人員并沒有進(jìn)行篩查，并且，對整夜停放在地面的飛機(jī)，也幾乎沒有給予檢查和關(guān)注。由于大多數(shù)班機(jī)并沒有鎖，因此實(shí)際上很難阻止壞人接近飛機(jī)并放置炸彈，如果壞人擁有飛機(jī)駕駛技能并膽大妄為，他甚至可以編制一個飛行計劃并予以實(shí)施[820]。然而，員工篩查與飛機(jī)保護(hù)并沒有列為優(yōu)先事項。

為什么會做出如此差的策略選擇？其實(shí)很簡單，決策者更傾向于可以看到的控制，而不是有效的控制。結(jié)果是被Bruce Schneier命名的“安全劇場”——?采取的措施是為了給人一種安全的感覺，而不是真正的安全。大多數(shù)人也有夸大恐怖主義威脅的動機(jī)：政客需要恐嚇人們來提高自己的得票率，新聞記者需要賣出更多的報紙，公司需要賣出更多的設(shè)備，安全學(xué)術(shù)界也需要獲得更多研究資助。上面所有這些因素的結(jié)果是，恐怖主義的危害實(shí)際上大多數(shù)來自于過度反應(yīng)。幸運(yùn)的是，隨著時間的推移，選民已經(jīng)領(lǐng)會到這一點(diǎn)。

安全工程師必須理解所有這些方面，我們需要能夠?qū)L(fēng)險與威脅具體化，對哪些事情會出問題做出現(xiàn)實(shí)的評估，并給客戶提出好的建議。要做到這些，需要對不同系統(tǒng)隨著時間推移會出現(xiàn)哪些問題有寬泛的理解，需要了解已經(jīng)實(shí)施了哪些攻擊，攻擊的后果是什么，以及攻擊如何被阻止(如果值得這樣做)。各種相關(guān)歷史案例貫穿了本書。第III部分將專門討論恐怖主義問題?，F(xiàn)在，為了說明一下背景，將給出幾個簡單的安全系統(tǒng)實(shí)例以及它們的設(shè)計目的是為了預(yù)防什么。