1.2  框架

良好的安全工程要求將四個(gè)方面集中在一起。第一是策略，用于指明假定要達(dá)到的目標(biāo)；第二是機(jī)制：密碼、訪問(wèn)控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；第三是保證，也就是每種特定機(jī)制的可靠程度；最后是動(dòng)機(jī)，也就是系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力，也包括攻擊者為突破安全策略必須付出的努力。所有這四種要素彼此交互(參見(jiàn)圖1-1)。

我們以9·11恐怖襲擊為例。劫機(jī)者成功地?cái)y帶刀具通過(guò)機(jī)場(chǎng)安檢，這并不是機(jī)制失敗，而是策略失敗，因?yàn)樵诋?dāng)時(shí)，據(jù)我們所知，刀刃不超過(guò)3英寸的刀具是允許攜帶的，安檢的任務(wù)只是阻止槍支與爆炸物。9·11之后，策略發(fā)生了改變：禁止攜帶所有刀具，禁止攜帶大多數(shù)武器(禁止棒球棒，但允許威士忌酒瓶)，但在很多細(xì)節(jié)上進(jìn)行了更改(比如先是禁止攜帶丁烷打火機(jī)，后來(lái)又允許攜帶)。這種機(jī)制是脆弱的，因?yàn)榻M合刀具與不含氮的爆炸物都會(huì)繞過(guò)檢測(cè)。保證總是很低的，盡管每月都有大量無(wú)害的乘客個(gè)人財(cái)物被當(dāng)做垃圾，但是被送往安檢的武器(不管是意外的還是出于測(cè)試目的)只有不到一半被檢測(cè)出來(lái)。

一些嚴(yán)肅的分析師指出了在優(yōu)先事項(xiàng)上存在的重大問(wèn)題。比如，TSA(英國(guó)培訓(xùn)服務(wù)局)花費(fèi)了147億美元來(lái)對(duì)有侵略性的乘客進(jìn)行甄別，但效果相當(dāng)差，而只需要1億美元加固駕駛室的門(mén)，就可以消除大多數(shù)風(fēng)險(xiǎn)[1024]。航空飛行員安全聯(lián)盟(Airline Pilots Security Alliance)的會(huì)長(zhǎng)指出，大多數(shù)地勤人員并沒(méi)有進(jìn)行篩查，并且，對(duì)整夜停放在地面的飛機(jī)，也幾乎沒(méi)有給予檢查和關(guān)注。由于大多數(shù)班機(jī)并沒(méi)有鎖，因此實(shí)際上很難阻止壞人接近飛機(jī)并放置炸彈，如果壞人擁有飛機(jī)駕駛技能并膽大妄為，他甚至可以編制一個(gè)飛行計(jì)劃并予以實(shí)施[820]。然而，員工篩查與飛機(jī)保護(hù)并沒(méi)有列為優(yōu)先事項(xiàng)。

為什么會(huì)做出如此差的策略選擇？其實(shí)很簡(jiǎn)單，決策者更傾向于可以看到的控制，而不是有效的控制。結(jié)果是被Bruce Schneier命名的“安全劇場(chǎng)”——?采取的措施是為了給人一種安全的感覺(jué)，而不是真正的安全。大多數(shù)人也有夸大恐怖主義威脅的動(dòng)機(jī)：政客需要恐嚇人們來(lái)提高自己的得票率，新聞?dòng)浾咝枰u(mài)出更多的報(bào)紙，公司需要賣(mài)出更多的設(shè)備，安全學(xué)術(shù)界也需要獲得更多研究資助。上面所有這些因素的結(jié)果是，恐怖主義的危害實(shí)際上大多數(shù)來(lái)自于過(guò)度反應(yīng)。幸運(yùn)的是，隨著時(shí)間的推移，選民已經(jīng)領(lǐng)會(huì)到這一點(diǎn)。

安全工程師必須理解所有這些方面，我們需要能夠?qū)L(fēng)險(xiǎn)與威脅具體化，對(duì)哪些事情會(huì)出問(wèn)題做出現(xiàn)實(shí)的評(píng)估，并給客戶(hù)提出好的建議。要做到這些，需要對(duì)不同系統(tǒng)隨著時(shí)間推移會(huì)出現(xiàn)哪些問(wèn)題有寬泛的理解，需要了解已經(jīng)實(shí)施了哪些攻擊，攻擊的后果是什么，以及攻擊如何被阻止(如果值得這樣做)。各種相關(guān)歷史案例貫穿了本書(shū)。第III部分將專(zhuān)門(mén)討論恐怖主義問(wèn)題?，F(xiàn)在，為了說(shuō)明一下背景，將給出幾個(gè)簡(jiǎn)單的安全系統(tǒng)實(shí)例以及它們的設(shè)計(jì)目的是為了預(yù)防什么。