1.5 實(shí)例3——?醫(yī)院
在介紹了軍事與食品衛(wèi)生后,我們來討論一下醫(yī)療保健領(lǐng)域。醫(yī)院有大量有趣的保護(hù)要求——?大部分與病人的安全和隱私相關(guān)。
(1) 病歷系統(tǒng)不應(yīng)該讓所有員工都能看到每個(gè)病人的記錄,否則就可能會(huì)侵犯病人的隱私。系統(tǒng)應(yīng)該實(shí)現(xiàn)類似這樣的規(guī)則:“護(hù)士可以看到90天之內(nèi)在本科室護(hù)理過的任何病人的記錄。”傳統(tǒng)的計(jì)算機(jī)安全機(jī)制很難做到這一點(diǎn),因?yàn)榻巧珪?huì)變化(護(hù)士從一個(gè)科室調(diào)到另一個(gè)科室),此外,系統(tǒng)之間存在跨系統(tǒng)依賴(如果病歷系統(tǒng)的訪問控制決策最終依賴于人事系統(tǒng),那么人事系統(tǒng)就會(huì)變成對(duì)安全、隱私或者兩者都非常關(guān)鍵的系統(tǒng))。
(2) 在用于研究時(shí),病歷通常被匿名化,但是這很難做得很好。只對(duì)病人的姓名加密一般是不夠的,因?yàn)槭褂萌缦碌牟樵儯骸安榭?966年9月15日接受鎖骨骨折治療的59歲男性病人的所有記錄”,一般就足以查詢到一位已知在大學(xué)時(shí)受此類外傷的名人的記錄。但是如果記錄不能夠被適當(dāng)?shù)啬涿捅仨氉裱鼑?yán)格的規(guī)則來處理數(shù)據(jù),這樣就增加了醫(yī)學(xué)研究的成本。
(3) 基于Web的技術(shù)給醫(yī)療保健帶來了一些有趣的新的安全保證問題。比如,由于藥物目錄等參考書移到了網(wǎng)絡(luò)上,醫(yī)生就必須保證那些性命攸關(guān)的數(shù)據(jù)(例如每個(gè)體重的劑量數(shù)字)和有關(guān)部門公布的完全相同,并且沒有以某種方式改動(dòng)過。另一個(gè)實(shí)例是,醫(yī)生開始從家里或者在上門服務(wù)期間用筆記本電腦甚至PDA訪問病人記錄,使得合適的電子身份驗(yàn)證和加密工具變得必需。
(4) 新技術(shù)可能會(huì)引入未知的風(fēng)險(xiǎn)。醫(yī)院管理人員應(yīng)理解對(duì)備份過程的需求,以應(yīng)對(duì)斷電、電話服務(wù)中斷等情況,但醫(yī)療手段越來越依賴網(wǎng)絡(luò),而且這些方式經(jīng)常沒有記錄在文檔中。比如,英國的醫(yī)院開始使用在線式放射系統(tǒng):X光片不再從X光機(jī)拍好后放到大信封中并送往手術(shù)室,而是經(jīng)由遠(yuǎn)處的服務(wù)器。因此,網(wǎng)絡(luò)故障可以像電源故障那樣導(dǎo)致醫(yī)生手術(shù)中斷。突然之間,Internet變成了安全關(guān)鍵系統(tǒng),而拒絕服務(wù)攻擊也可能殺死一個(gè)人。
稍后將更詳細(xì)地分析醫(yī)療系統(tǒng)安全。比起銀行IT和軍事系統(tǒng),這是一個(gè)新興領(lǐng)域,但是在所有發(fā)達(dá)國家,醫(yī)療保健在GNP(國民生產(chǎn)總值)里占的比例都比銀行IT或軍事系統(tǒng)大,而且隨著醫(yī)院對(duì)IT的采納速度越來越快,醫(yī)療IT系統(tǒng)開始變得重要起來。特別是在美國,設(shè)置了隱私最低標(biāo)準(zhǔn)的HIPAA法規(guī)使得這一部分成為信息安全產(chǎn)業(yè)的主要客戶。
1.6 實(shí)例4——?家庭
你可能不認(rèn)為普通的家庭會(huì)用到任何安全系統(tǒng),但請(qǐng)考慮如下內(nèi)容:
(1) 很多家庭都在使用著前面介紹過的一些系統(tǒng)。你可能通過基于Web的電子銀行系統(tǒng)付賬,幾年之內(nèi)你將可以對(duì)你的醫(yī)療記錄進(jìn)行加密在線訪問。防盜警報(bào)器每隔幾分鐘向安全公司發(fā)送加密的“一切正?!毙盘?hào),而不會(huì)在有人闖入時(shí)吵醒鄰居。
(2) 你的汽車很可能會(huì)裝有電子防盜鎖,它向鑰匙鏈上的無線應(yīng)答器發(fā)送加密的信號(hào)要求提供應(yīng)答,啟動(dòng)車之前應(yīng)答器必須給出正確的應(yīng)答信號(hào),這使得偷車的行徑更加困難,并降低了保險(xiǎn)費(fèi)。但這也增加了家中汽車被盜的數(shù)量,因?yàn)楦`賊會(huì)先入室行竊以拿到車鑰匙。最麻煩的是劫車犯罪會(huì)激增:那些想得到一輛用于逃亡的汽車的罪犯可能直接拿槍對(duì)準(zhǔn)車主。
(3) 早期的移動(dòng)電話很容易被壞人“克隆”,用戶可能忽然間發(fā)現(xiàn)賬單上多了幾百甚至幾千美元?,F(xiàn)在的GSM數(shù)字移動(dòng)電話采用與車鎖類似的加密的質(zhì)詢-應(yīng)答協(xié)議進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。
(4) 只要你保持為訂閱交費(fèi),衛(wèi)星電視機(jī)頂盒就會(huì)對(duì)電影進(jìn)行解碼。DVD播放器采用基于密碼學(xué)和版權(quán)標(biāo)志的復(fù)制控制機(jī)制來限制復(fù)制光盤(或者在指定的地區(qū)以外播放光盤)。身份驗(yàn)證協(xié)議也可用于在家庭網(wǎng)絡(luò)中構(gòu)建安全的通信(包括WiFi、藍(lán)牙與HomePlug)。
(5) 在很多國家和地區(qū),無法獲得信貸的家庭可以得到用于電和氣的預(yù)付費(fèi)儀表,可以使用智能卡或其他電子密鑰將儀表充滿,智能卡還可以在本地商店中再次充值。很多大學(xué)使用類似的技術(shù)讓學(xué)生為復(fù)印機(jī)、洗衣機(jī)的使用甚至軟飲料付費(fèi)。
(6) 最重要的是,家庭提供了物理安全與隔離的港灣。技術(shù)進(jìn)展將以很多種方式對(duì)其產(chǎn)生影響。鎖匠行業(yè)的進(jìn)展意味著多數(shù)常見家用鎖很容易被攻破,這會(huì)很重要嗎?研究表明,竊賊對(duì)鎖的擔(dān)心比不上對(duì)家中有人的擔(dān)心,因此或許這沒有那么重要,但報(bào)警裝置可能變得更加重要,因?yàn)樗鼈兛梢栽诩抑袥]人時(shí)使竊賊無法逼近。電子入侵可能隨著時(shí)間的推移成為一個(gè)更大的問題,因?yàn)樵絹碓蕉嗟脑O(shè)備開始與中央服務(wù)進(jìn)行通信。家庭的安全開始依賴遠(yuǎn)程系統(tǒng),而你對(duì)這些遠(yuǎn)程系統(tǒng)無法控制。
因此,你可能已經(jīng)使用了很多被設(shè)計(jì)為執(zhí)行一些保護(hù)策略的系統(tǒng)或其他大量使用電子機(jī)制的系統(tǒng)。在未來的幾十年里,這樣的系統(tǒng)會(huì)迅速增加。根據(jù)以往的經(jīng)驗(yàn),很多系統(tǒng)會(huì)設(shè)計(jì)得很糟糕。必要的技能還沒有被足夠廣泛地傳播。
本書旨在使你能夠更好地設(shè)計(jì)這樣的系統(tǒng)。為此,工程師和程序員需要了解有哪些系統(tǒng)、這些系統(tǒng)如何工作,以及至少同樣重要的——?過去這些系統(tǒng)是如何失敗的。土木工程師從倒塌的橋中學(xué)到的經(jīng)驗(yàn)教訓(xùn)遠(yuǎn)遠(yuǎn)超過了屹立百年的橋,在安全工程領(lǐng)域,道理同樣如此。