1.5 實例3——?醫(yī)院
在介紹了軍事與食品衛(wèi)生后,我們來討論一下醫(yī)療保健領域。醫(yī)院有大量有趣的保護要求——?大部分與病人的安全和隱私相關。
(1) 病歷系統(tǒng)不應該讓所有員工都能看到每個病人的記錄,否則就可能會侵犯病人的隱私。系統(tǒng)應該實現(xiàn)類似這樣的規(guī)則:“護士可以看到90天之內在本科室護理過的任何病人的記錄?!眰鹘y(tǒng)的計算機安全機制很難做到這一點,因為角色會變化(護士從一個科室調到另一個科室),此外,系統(tǒng)之間存在跨系統(tǒng)依賴(如果病歷系統(tǒng)的訪問控制決策最終依賴于人事系統(tǒng),那么人事系統(tǒng)就會變成對安全、隱私或者兩者都非常關鍵的系統(tǒng))。
(2) 在用于研究時,病歷通常被匿名化,但是這很難做得很好。只對病人的姓名加密一般是不夠的,因為使用如下的查詢:“查看1966年9月15日接受鎖骨骨折治療的59歲男性病人的所有記錄”,一般就足以查詢到一位已知在大學時受此類外傷的名人的記錄。但是如果記錄不能夠被適當?shù)啬涿?,就必須遵循更嚴格的?guī)則來處理數(shù)據,這樣就增加了醫(yī)學研究的成本。
(3) 基于Web的技術給醫(yī)療保健帶來了一些有趣的新的安全保證問題。比如,由于藥物目錄等參考書移到了網絡上,醫(yī)生就必須保證那些性命攸關的數(shù)據(例如每個體重的劑量數(shù)字)和有關部門公布的完全相同,并且沒有以某種方式改動過。另一個實例是,醫(yī)生開始從家里或者在上門服務期間用筆記本電腦甚至PDA訪問病人記錄,使得合適的電子身份驗證和加密工具變得必需。
(4) 新技術可能會引入未知的風險。醫(yī)院管理人員應理解對備份過程的需求,以應對斷電、電話服務中斷等情況,但醫(yī)療手段越來越依賴網絡,而且這些方式經常沒有記錄在文檔中。比如,英國的醫(yī)院開始使用在線式放射系統(tǒng):X光片不再從X光機拍好后放到大信封中并送往手術室,而是經由遠處的服務器。因此,網絡故障可以像電源故障那樣導致醫(yī)生手術中斷。突然之間,Internet變成了安全關鍵系統(tǒng),而拒絕服務攻擊也可能殺死一個人。
稍后將更詳細地分析醫(yī)療系統(tǒng)安全。比起銀行IT和軍事系統(tǒng),這是一個新興領域,但是在所有發(fā)達國家,醫(yī)療保健在GNP(國民生產總值)里占的比例都比銀行IT或軍事系統(tǒng)大,而且隨著醫(yī)院對IT的采納速度越來越快,醫(yī)療IT系統(tǒng)開始變得重要起來。特別是在美國,設置了隱私最低標準的HIPAA法規(guī)使得這一部分成為信息安全產業(yè)的主要客戶。
1.6 實例4——?家庭
你可能不認為普通的家庭會用到任何安全系統(tǒng),但請考慮如下內容:
(1) 很多家庭都在使用著前面介紹過的一些系統(tǒng)。你可能通過基于Web的電子銀行系統(tǒng)付賬,幾年之內你將可以對你的醫(yī)療記錄進行加密在線訪問。防盜警報器每隔幾分鐘向安全公司發(fā)送加密的“一切正?!毙盘?,而不會在有人闖入時吵醒鄰居。
(2) 你的汽車很可能會裝有電子防盜鎖,它向鑰匙鏈上的無線應答器發(fā)送加密的信號要求提供應答,啟動車之前應答器必須給出正確的應答信號,這使得偷車的行徑更加困難,并降低了保險費。但這也增加了家中汽車被盜的數(shù)量,因為竊賊會先入室行竊以拿到車鑰匙。最麻煩的是劫車犯罪會激增:那些想得到一輛用于逃亡的汽車的罪犯可能直接拿槍對準車主。
(3) 早期的移動電話很容易被壞人“克隆”,用戶可能忽然間發(fā)現(xiàn)賬單上多了幾百甚至幾千美元。現(xiàn)在的GSM數(shù)字移動電話采用與車鎖類似的加密的質詢-應答協(xié)議進行網絡身份驗證。
(4) 只要你保持為訂閱交費,衛(wèi)星電視機頂盒就會對電影進行解碼。DVD播放器采用基于密碼學和版權標志的復制控制機制來限制復制光盤(或者在指定的地區(qū)以外播放光盤)。身份驗證協(xié)議也可用于在家庭網絡中構建安全的通信(包括WiFi、藍牙與HomePlug)。
(5) 在很多國家和地區(qū),無法獲得信貸的家庭可以得到用于電和氣的預付費儀表,可以使用智能卡或其他電子密鑰將儀表充滿,智能卡還可以在本地商店中再次充值。很多大學使用類似的技術讓學生為復印機、洗衣機的使用甚至軟飲料付費。
(6) 最重要的是,家庭提供了物理安全與隔離的港灣。技術進展將以很多種方式對其產生影響。鎖匠行業(yè)的進展意味著多數(shù)常見家用鎖很容易被攻破,這會很重要嗎?研究表明,竊賊對鎖的擔心比不上對家中有人的擔心,因此或許這沒有那么重要,但報警裝置可能變得更加重要,因為它們可以在家中沒人時使竊賊無法逼近。電子入侵可能隨著時間的推移成為一個更大的問題,因為越來越多的設備開始與中央服務進行通信。家庭的安全開始依賴遠程系統(tǒng),而你對這些遠程系統(tǒng)無法控制。
因此,你可能已經使用了很多被設計為執(zhí)行一些保護策略的系統(tǒng)或其他大量使用電子機制的系統(tǒng)。在未來的幾十年里,這樣的系統(tǒng)會迅速增加。根據以往的經驗,很多系統(tǒng)會設計得很糟糕。必要的技能還沒有被足夠廣泛地傳播。
本書旨在使你能夠更好地設計這樣的系統(tǒng)。為此,工程師和程序員需要了解有哪些系統(tǒng)、這些系統(tǒng)如何工作,以及至少同樣重要的——?過去這些系統(tǒng)是如何失敗的。土木工程師從倒塌的橋中學到的經驗教訓遠遠超過了屹立百年的橋,在安全工程領域,道理同樣如此。