1.2  框架

良好的安全工程要求將四個方面集中在一起。第一是策略，用于指明假定要達到的目標；第二是機制：密碼、訪問控制、硬件防篡改以及為了實現(xiàn)方針而組裝的其他機械；第三是保證，也就是每種特定機制的可靠程度；最后是動機，也就是系統(tǒng)保護與維護人員正確履行職責的動力，也包括攻擊者為突破安全策略必須付出的努力。所有這四種要素彼此交互(參見圖1-1)。

我們以9·11恐怖襲擊為例。劫機者成功地攜帶刀具通過機場安檢，這并不是機制失敗，而是策略失敗，因為在當時，據(jù)我們所知，刀刃不超過3英寸的刀具是允許攜帶的，安檢的任務(wù)只是阻止槍支與爆炸物。9·11之后，策略發(fā)生了改變：禁止攜帶所有刀具，禁止攜帶大多數(shù)武器(禁止棒球棒，但允許威士忌酒瓶)，但在很多細節(jié)上進行了更改(比如先是禁止攜帶丁烷打火機，后來又允許攜帶)。這種機制是脆弱的，因為組合刀具與不含氮的爆炸物都會繞過檢測。保證總是很低的，盡管每月都有大量無害的乘客個人財物被當做垃圾，但是被送往安檢的武器(不管是意外的還是出于測試目的)只有不到一半被檢測出來。

一些嚴肅的分析師指出了在優(yōu)先事項上存在的重大問題。比如，TSA(英國培訓服務(wù)局)花費了147億美元來對有侵略性的乘客進行甄別，但效果相當差，而只需要1億美元加固駕駛室的門，就可以消除大多數(shù)風險[1024]。航空飛行員安全聯(lián)盟(Airline Pilots Security Alliance)的會長指出，大多數(shù)地勤人員并沒有進行篩查，并且，對整夜停放在地面的飛機，也幾乎沒有給予檢查和關(guān)注。由于大多數(shù)班機并沒有鎖，因此實際上很難阻止壞人接近飛機并放置炸彈，如果壞人擁有飛機駕駛技能并膽大妄為，他甚至可以編制一個飛行計劃并予以實施[820]。然而，員工篩查與飛機保護并沒有列為優(yōu)先事項。

為什么會做出如此差的策略選擇？其實很簡單，決策者更傾向于可以看到的控制，而不是有效的控制。結(jié)果是被Bruce Schneier命名的“安全劇場”——?采取的措施是為了給人一種安全的感覺，而不是真正的安全。大多數(shù)人也有夸大恐怖主義威脅的動機：政客需要恐嚇人們來提高自己的得票率，新聞記者需要賣出更多的報紙，公司需要賣出更多的設(shè)備，安全學術(shù)界也需要獲得更多研究資助。上面所有這些因素的結(jié)果是，恐怖主義的危害實際上大多數(shù)來自于過度反應(yīng)。幸運的是，隨著時間的推移，選民已經(jīng)領(lǐng)會到這一點。

安全工程師必須理解所有這些方面，我們需要能夠?qū)L險與威脅具體化，對哪些事情會出問題做出現(xiàn)實的評估，并給客戶提出好的建議。要做到這些，需要對不同系統(tǒng)隨著時間推移會出現(xiàn)哪些問題有寬泛的理解，需要了解已經(jīng)實施了哪些攻擊，攻擊的后果是什么，以及攻擊如何被阻止(如果值得這樣做)。各種相關(guān)歷史案例貫穿了本書。第III部分將專門討論恐怖主義問題?，F(xiàn)在，為了說明一下背景，將給出幾個簡單的安全系統(tǒng)實例以及它們的設(shè)計目的是為了預(yù)防什么。