安全之美[试读]
引言
如果有人相信新闻标题可以揭示趋势,那么对于计算机安全领域而言现在是个有趣的时刻。当《安全之美》出版时,我阅读了一个能够打开麦克风和摄像头并窃取数据的软件的部分代码。这个软件在103个国家的超过1200台计算机上安装,尤其是在大使馆和其他敏感的政府部门。另外,一家法庭支持美国调查官在没有得到授权的情况下可以查看电话和Internet记录(只要交谈的另一端是在美国境外)。最新公布的漏洞包括Adobe Acrobat和Adobe Reader的一个缓冲区溢出漏洞(当前常称为漏洞攻击,英文为exploit),允许攻击者在用户打开PDF之后在用户的系统中通过用户的权限执行任意代码。 新闻标题实际上并不... 查看全部[ 引言 ]
为什么安全是美丽的
我要求安全专家John Viega想方设法为本书寻找一些作者,以便向普通计算机用户提供一些与安全有关的观点。除了在媒体上所看到的骇人听闻的关于网络入侵和盗窃的新闻之外,普通人一般都觉得安全是一件乏味的事情。 对许多人而言,安全就是系统管理员喋喋不休地提醒他们创建备份文件夹,无穷无尽的在网页显示之前跳出来的要求输入密码的对话框。办公室职员每次抄读办公桌边的笔记本上所记录的密码时都怒目圆睁小声咒骂(笔记本就放在打印出来的预算材料的上面,事实上办公室管理人员要求应该将它锁在抽屉里面)。如果这就是安全,那还会有谁想从事这个职业呢?谁会从O'Reilly购买一本关于安全的书呢?谁会一次花费半分钟以上的... 查看全部[ 为什么安全是美丽的 ]
本书的读者
《安全之美》适用于那些对计算机技术感兴趣并希望在最尖端领域体验生活的人们。本书的读者包括可能追求职业生涯的学生、具有一定编程背景的人们以及对计算机有着适度或深入了解的人们。 本书的作者在解释技术时尽量放低门槛,使相对新手级的读者也能领略到攻击和防御活动方式的感觉。专家级的读者能够更多地享受讨论的乐趣,因为本书能够加深他们对安全原则的理解,并提供了未来研究的指导方针。... 查看全部[ 本书的读者 ]
捐赠
《安全之美》的作者们向互联网工程任务组(The Internet Engineering Task Force,IETF)捐赠本书的版税。这个组织对于Internet以及其具有远见的自我管理式的迷人模型的发展极为关键。如果没有IETF具有奉献精神的成员们的科学讨论、灵活的标准制定和明智的妥协,Internet的发展是无法想象的。IETF在自己的网页上把自己描述成“由网络设计者、操作者、生产商和研究人员所组成的大型开放式国际社区”。O'Reilly将把版税汇给互联网社会(The Internet Society,ISOC),该组织长期向IETF提供资金和有组织的支持。... 查看全部[ 捐赠 ]
材料的组织
本书内容并没有按任何特定的方案进行排列,但还是经过了整理,以便提供引人入胜的阅读体验,方便读者惊喜地发现新观点。不过,还是将那些讲述相似主题的内容放在了一起。 第1章 心理上的安全陷阱 作者Peiter“Mudge”Zatko 第2章 无线网络:社会工程的沃土 作者Jim Stickley 第3章 美丽的安全度量指标 作者Elizabeth A. Nichols 第4章 安全漏洞的地下经济 作者Chenxi Wang 第5章 美丽的交易:重新思考电子商务的安全 作者Ed Bellis 第6章 捍卫在线广告:新狂野西部的盗匪和警察 作者Benjam... 查看全部[ 材料的组织 ]
使用本书的代码示例
本书是为了帮助你完成工作。通常来说,你可以在你的程序和文档中使用本书的代码。除非你使用了本书的大量代码,否则你无需获取我们的许可。例如,写一个程序用到本书的几段代码不需要获得许可;销售和分发O'Reilly 丛书的代码需要获得许可;引用本书的样例代码来解决一个问题不需要获得许可;使用本书的大量代码到你的产品文档中需要获得许可。 我们不要求你(引用本书时)给出出处,但是如果你这么做,我们对此表示感谢。出处通常包含标题、作者、出版社和 ISBN。例如: “Beautiful Security, edited by Andy Oram and John Viega. Copyright 200... 查看全部[ 使用本书的代码示例 ]
如何联系我们
请把对本书的评论和问题发给出版社: 美国: O'Reilly Media, Inc. 1005 Gravenstein Highway North Sebastopol, CA 95472 中国: 北京市西城区西直门南大街2号成铭大厦C座807室(100035) 奥莱利技术咨询(北京)有限公司 O'Reilly的每一本书都有专属网页,你可以在那儿找到关于本书的相关信息,包括勘误表、示例代码以及其他的信息。本书的网站地址是: http://www.oreilly.com/catalog/9780596527... 查看全部[ 如何联系我们 ]
引言
在我对软件及其所驱动的工具的攻击生涯中,许多同事认为我采用了一种不符合标准的方法。对于这种说法,我颇感诧异。对我而言,我所采用的方法不仅符合逻辑,而且简单明了。反之,我觉得那些学院派采用的方法对于现实世界的应用程序而言显得过于抽象,难以获得普遍的成功。这些看上去更常规的方法几乎不成章法,没有抓住问题的焦点,甚至完全背道而驰。这些方法往往需要花费数百小时进行逆向工程和应用程序跟踪,才可能在精力耗尽之前发现它们所存在的漏洞。 现在,请不要采用这种错误的方法。我并没有诅咒前面所提到的技巧,事实上我同意它们是发现和利用漏洞的关键工具。但是,我相信可以采用一些捷径,并从另一个视角封装、改进甚至绕过这些... 查看全部[ 引言 ]
1.1 习得性无助和无从选择
社会学家和心理学家发现人类和其他动物存在一种现象,这种现象称为习得性无助。它来源于个人在实现自己的目标或者摆脱坏习惯时屡次遭受的挫折。最终,动物们会采取极端的毁灭性措施,就是从内心深处放弃尝试。即使在出现了实现目标的机会或者存在逃脱的良机时,动物们也会表现得很消极,无法利用这些机会。 为了证明即使是资深和理智的软件工程师也会受这个畏缩毛病的影响,我将描述一个由于向后兼容所导致的不良安全性的例子。 向后兼容是现有的技术部署一直存在的一个问题。发现新的技术,并需要部署到不兼容的(甚至在本质上不同的)现有解决方案中。 在系统演化的每个时刻,开发商需要决定是否必须结束现有解决方案的生命,还是提供... 查看全部[ 1.1 习得性无助和无从选择 ]
1.1.1 实例:Microsoft是如何允许L0phtCrack的
数年前,为了帮助系统管理员发现漏洞,我编写了一个密码破解工具,用于恢复Microsoft的用户密码。当时,这个工具称为L0phtCrack,后来重命名为LC5。再后来,Symantec(得到了它的版权)担心违反国际武器限制公约(ITAR)而将它停用了。(注2)网络和技术书籍上有许多文章描述了L0phtCrack的工作原理,但没人关注它为什么会起作用。L0phtCrack所利用的Microsoft Windows的漏洞可能会产生什么影响呢? 事实上,这个工具直接利用了Windows的加密程序的实现和使用中所存在的大量问题。所有这些问题都源于各种版本的Windows(直到Vista)中继续使用的... 查看全部[ 1.1.1 实例:Microsoft是如何允许L0phtCrack的 ]
1.1.2 密码和身份认证可以从一开始就做得更好
我讲述这个L0phtCrack故事是为了强调一个常见的安全问题。有许多理由支持多种安全实现,即使其中一种被认为优于其他方案。但是如前所述,在许多情况下,这样做的原因是为了支持向后兼容。如果对遗留系统的支持被认为是非常重要的,可以预计在协议和服务方面将会出现相当数量的冗余。 站在安全的角度,现在问题变成了如何在实现向后兼容的同时不降低新系统的安全性。Microsoft的幼稚解决方案嵌入了所有可能性中许多不好的东西:它把不安全的散列值和更安全的散列值存储在一起,通过网络传输这两种散列的表示形式(即使在不需要的情况下),这就为攻击者提供了便利。 记住,习得性无助就是指一个人得出结论,他已经无能为... 查看全部[ 1.1.2 密码和身份认证可以从一开始就做得更好 ]
1.1.3 客户的习得性无助—无从选择
正如我们所看到的那样,Microsoft在向后兼容方面作出的选择所导致的不良安全问题可能会让他们的顾客在环境、技术能力以及接受改变的意愿方面产生自暴自弃的观点(不管是否正当)。我把当前网络上的另一个(甚至更大的)安全问题归因于开发商的习得性无助和顾客的无从选择这两个因素的结合。大量的审查显示,大多数网络交换机的生产商有意把交换机设计为“失败时打开”而不是“失败时关闭”。交换机用于在数据链路层上的系统之间移动数据包。在这种情况下,“失败时关闭”意味着设备要么关闭并停止发挥作用,或者以一种“安全的”方式停止操作。这样,数据就不会通过存在问题的系统被传递。反之,“失败时打开”意味着系统停止执行任何智... 查看全部[ 1.1.3 客户的习得性无助—无从选择 ]
1.2 确认陷阱
大约1997年8月的某天,我和Hobbit(我的一位朋友,是一位非凡的黑客(注4))与Microsoft的一位执行官和一位资深工程师(注5)共进晚餐。他们想知道我们为什么能够这么轻而易举地在Microsoft的产品中找到这么多的缺陷。虽然有些细节记得不是特别清楚了,但我相信当时我们是非常诚恳地进行了回答,表示我们的方法是向系统输入一些随机的垃圾。这是一种简明的缺陷和安全测试技巧,有时称为“模糊(fuzzing)”,现在主要的计算机科学出版物都记录了这种方法。但是,当时“黑客”社区还没有普遍采用模糊方法。 我们告诉这位工程师,我们对于Windows在面临垃圾输入时如此频繁地遭到失败而颇为吃惊。... 查看全部[ 1.2 确认陷阱 ]
1.2.1 概念简介
Microsoft的产品测试的目的是为了确认他们对软件行为的信任,而不是为了打击这种信任。软件架构师和工程师经常会遇到这种盲点。在1968年的一篇论文中,Peter Wason指出“为了获得正确的解决方案,有必要产生一种意愿,就是试图推翻假设,并对那些常常确信是正确的直观想法进行测试”(注6)。他通过一个简单的智力测试演示了确认陷阱。 找一些人并通知他们正在进行一个小实验。我们将向参与者提供一个整数数列,它们遵循一个规则,参与者的任务就是猜出这个规则。为了确定这个规则,参与者可以说出另外的数列,然后我们告诉他这个数列是否符合这个未知的规则。当参与者认为他已经猜中了这个规则时,就可以把它说出来... 查看全部[ 1.2.1 概念简介 ]
1.2.2 分析师确认陷阱
考虑一位在一个三字母机构(如CIA、FBI)工作的情报分析师。这位分析师希望创建有效、实用的分析报告,以提升她的职业地位。这位分析师从多个来源采集信息,包括她以前所创建的报告。接着,她把这些报告提交给自己的上司。这个过程看上去很简单,但实际上包含了一个潜在的确认陷阱。在她的上司审阅她的工作之前,很可能上司以前也是一位分析师,并且创建了一些报告,并被现在这位分析师作为参考材料。换句话说,输入决策的创建者同时又是决策的审阅者的情况并非罕见。 显然,分析师会产生一种倾向,就是把她的报告与上司的报告保持一致,而不是与之相悖。她很可能会有意识地这样做,特别是当她试图在该社区或机构内获得更好的职业生涯时... 查看全部[ 1.2.2 分析师确认陷阱 ]
1.2.3 陈腐的威胁模型
在上届总统任职期间,我担任了政府部门的一个关键人员小组的顾问。我的重要任务之一是对有些人所收到的关于网络功能(包括攻击性和防御性)的报告发表自己的看法,并指出报告中的哪些研究领域有效或者具有前途。我常常不得不指出,最初的报告在对手模型和技术方面的不准确达到了令人痛心疾首的程度。报告中所描述的技术、策略和功能与具有良好的经济能力和高度的工作动力的对手可能采用的技术相比实在差得太远。报告中所描述的许多只有强有力的国家级对手才有可能使用的技术和策略对于当前的网络发烧友而言只是雕虫小技。 这些报告试图理解网络威胁是如何演变的,但它们却是根据以前的技术进行推断的,显得毫无新意。技术已经发展了,但模型却... 查看全部[ 1.2.3 陈腐的威胁模型 ]
1.2.4 正确理解功能
随着L0pht对安全的成功破坏以及像L0phtCrack这样的工具变得广为人知,政府不得不对我们的队伍勉强产生了一点兴趣,希望理解我们能够做些什么。我勉强答应邀请白宫的一群人参观我们的工作,并向他们简单介绍了我们的情况。不得不说,L0pht成员们对于一大群政府代表的来访感到不安,但最终我和其他成员成功说服了每个人,允许这些“政府人员”来到我们的“秘密”地点。 当晚,在会议结束并共进晚餐之后,我陪同政府代表们走到停车场并向他们道别,然后看着他们走向自己的汽车,以确保他们全都离开。当我看到他们停下来悄悄谈话时,心里就疑神疑鬼的。 我快步走到人群中,冲着他们嚷道:“你们不能这样!回到办公室以后,... 查看全部[ 1.2.4 正确理解功能 ]
1.3 功能锁定
功能锁定表示无法看到超出某些东西的常见用法范围的其他用法。这与第一印象的概念有点相似,即第一次接触到信息时(例如一篇新闻报告的偏向性标题或起诉方对案件的陈述)所留下的印象,常常会永远地影响听众对这种信息接下来的感知。 当有人提到“锤子”时,一般人首先想到的是一种用于造房子的实用工具。很少有人在听到锤子时立即把它与一种攻击性武器联系在一起。类似,人们在听到“火焰喷射器”这个词时脑海里立即会浮现一幅军事武器的图像,很晚(即使有的话)才有可能想到它是一种通过先发制人的燃烧策略防止火势蔓延的消防工具。 功能锁定就是指不能理解一种工具的最常见用法或“默认”用法之外的其他用法。如果一个人认为一种工具只... 查看全部[ 1.3 功能锁定 ]
1.3.1 安全位置的潜在风险
既然对功能锁定已经有了一个基本的理解,现在读者可能会疑惑它是如何与计算机和网络产生关联的。 许多人把诸如漏洞扫描器和反病毒软件这样的安全产品看成是能够增加系统或组织安全性的工具。但是,如果这只是你的唯一观点,就有可能遇到功能锁定问题。这类技术的每一个都可能非常复杂,由数千行代码组成。在一个环境中引进它们同时也引进了很大的出现新的漏洞和攻击表面的可能性。 以早年的漏洞扫描器为例,我在自己所在公司的内部网络上设置了一些特殊的系统。这些系统是恶意服务器,目的是攻击当前大多数流行的漏洞扫描器中的客户端漏洞。当时我并没有意识到客户端的漏洞攻击在几年后的恶意软件感染中将会非常频繁地出现。 例如,IS... 查看全部[ 1.3.1 安全位置的潜在风险 ]
1.3.2 降低成本与未来收益:ISP实例
安全的最大阻碍来自公司高层对安全需求的负面认识。其中有些认识代表了功能锁定。 几个月前,在著名的分布式拒绝服务攻击Internet上主要服务供应商和商业实体(包括eBay、CNN、Yahoo!),并导致它们临时关闭前,(注7)我曾有机会为一家一级ISP分析骨干路由器配置。经过这些核心路由器的IP流量的主体是TCP流量,特别是HTTP通信。UDP所占据的比例要少得多,至于ICMP则少得可怜。我很惊奇地发现,这些路由器对流量缺乏任何控制,只是采用了一些最低限度的过滤器,以防止某些形式的对这些路由器本身的未授权访问。但是,当我建议对核心路由器的配置进行更改,侧重于保护这家ISP的顾客时,这下轮到公... 查看全部[ 1.3.2 降低成本与未来收益:ISP实例 ]
1.3.3 降低成本与未来收益:能源实例
我的工作有一部分涉及详细检查各家电力公司的后端控制系统,有时候还包括石油公司的后端系统。我评估了它们与其他系统和网络的相互联系是如何被保护和跟踪的。令人吃惊的是,石油和电力行业虽然使用了相似的系统和协议,但它们在配置和安全方面的操作和运行存在极大的差别。 换种礼貌的说法,电力公司的网络是一团糟。电力控制系统和网络可以通过公共的Internet访问。用于通用的系统由许多任务所共享,文字处理和其他日常工作与那些关键的功能混杂在一起,后者应该局限于专用的系统内部,以防止操作的潜在干扰和破坏。在好几个地方,系统和网络的布局随心所欲,根本没有考虑过优化的甚至是准确的操作。实现者在完成一项任务之后就转移... 查看全部[ 1.3.3 降低成本与未来收益:能源实例 ]
1.4 小结
在本章中,我提供了一些经典的安全失败的例子,并在脱离工具、实践和个人决策的情况下对它们进行跟踪,以探索如何进行思考的基本原则。我们可以采用与自然倾向相反的更明智方式应用我们的资源,以提高安全性。 □ 我们可以保证最初的决定并不会影响创造性的思维,以克服习得性无助和无从选择。 □ 我们可以寻找不同人群的输入并强制自己试图推翻自己的假设,以克服确认陷阱。 □ 我们可以通过寻求工具的替代用法并通过其他路径来实现目标,以克服功能锁定。 所有这些都需要实践。但是对它们进行实践的机会每天都会出现。如果更多的人致力于此,这种常常称为非比寻常的方法将越来越不稀奇。... 查看全部[ 1.4 小结 ]
引言
如今,许多人都已经听说过关于无线设备安全的问题。从2000年最初发布Wi-Fi时,无线设备安全就已经是许多安全专家所关注的领域了。早在2001年,有线等效保密(Wired Equivalent Privacy,WEP)访问协议就被发现存在严重的缺陷。虽然设计这个协议的目的就是为了阻止非法用户访问无线设备,但是攻击者在几分钟之内就可以绕过它的安全保护机制。随着2003年Wi-Fi网络安全存取(Wi-Fi Protected Access,WPA)协议的公布,无线设备的安全性已经得到了极大的提高。尽管如此,大多数偏执的系统管理员仍然对它的安全性表示怀疑。尤其是在发现了WPA的几个新的漏洞之后,他们... 查看全部[ 引言 ]
2.1 轻松赚钱
这是一个日常攻击场景。假设你在美国的一个主要机场稍作停留之后准备启程时,把目光转向登机监视器寻找自己的入口时,发现每位旅客都在哀叹:“飞机又延误了。”这时,你已经成为众多“难民”的一员,将在机场的舒适安静环境中度过接下来的6个小时。 这时你的视线离开监视器,四处搜寻可用的电源插座,以挽救快要没电的笔记本电池。我经历过很多次这样的搜寻,每次都是慢慢地在整个区域到处查找,比如每排座位的后面或者是某根杆子的背面。你可能会注意到,寻找这种隐秘插座的人在路过时,似乎是在盯着你的脚下,却又做的不是太明显。我觉得这类似于穴居人在寻找火种。每个人都想拥有它,但只有少数人能够找到,而一旦你找到了,那么你会极具... 查看全部[ 2.1 轻松赚钱 ]
2.2 无线也疯狂
在描绘了前沿的无线攻击技术以及如何进行相应的防范之后,我们再回过头来讨论众所周知的Wi-Fi安全问题以及使其成为日常威胁的社会条件。 习惯于以以太网技术为基础的局域网网络用户和管理员很难理解无线的相对不可控性。局域网使用的是非常不安全的协议(嗅探和篡改、系统伪装和实施拒绝服务攻击都是很常见的),但是有线电缆的物理限制性能够缓解一些安全问题,你不可能在网线内部部署一个恶意的系统。而无线技术故意去掉了我们习以为常的物理安全层,使得网络流量会泄露出去,甚至能够跨域有形的围墙和围栏之类的物理界限。 如果我在本章开始提到的,管理员(假设他们使用部署任何安全措施时都足够细致)一开始是采用WEP来保证接... 查看全部[ 2.2 无线也疯狂 ]
2.2.1 无线侧信道
担心无线接入点被伪造是一回事,但是负责保证网络安全的系统管理员还有更多方面需要考虑。 一些企业很久之前就认为浏览互联网网站对他们的网络造成了很大的风险,因此完全屏蔽了网络浏览。过去这种办法看起来很有效,但是最近随着开放的无线接入点遍地开花,威胁再次显露出来。许多用户发现他们可以在工作的时候带着一个USB无线设备或者使用笔记本电脑中的无线设备来登录到临近公司的无线网络。 随着大约五年前“战争粉迹”(warchalking)(译注1)的出现,开始流行黑客们使用别人的无线接入服务。这个术语是指黑客在有开放的无线网络的场所留下来的标记。在有黑客看到这种标记时,就知道能够使用笔记本来连接这里的无线网... 查看全部[ 2.2.1 无线侧信道 ]
2.2.2 无线接入点自身如何
如果我提到TJX,你会想到什么?如果你经常关注过去两年的主流新闻,你可能首先想到的是这家公司曾被盗过许多信用卡账号。这件事在2006年12月才被人们发现,黑客攻入了他们的网络并不断地下载了至少四千五百七十万个信用卡账号,而且据推测这个数据更接近于两亿(TJX事件在第3章中有详细介绍,作者是Elizabeth A. Nichols)。专家预测TJX公司需要花费1亿美元左右才能弥补此事带来的后遗症,在这个时候,越来越多的证据表明,更多的公司每天都面临着同样的安全缺陷:未加保护的无线接入点。 在2007年11月,Motorola公司提供安全和无线网络监控服务的AirDefense部门发布了一项关于... 查看全部[ 2.2.2 无线接入点自身如何 ]
2.3 无线仍然是未来
从酒店和机场到企业办公大楼和超市,无线接入的需求仍然在持续增长。和互联网一样,更多的安全风险将会暴露出来。企业、管理员,甚至是普通用户对这些安全威胁的重视仍然是个问题。使用开放的无线接入点是有风险的,用户需要明白这一点并做出相应的举措。除此之外,如果没有做好无线接入点的安全保护将会导致更加严重的危害,这正如TJX公司的案例。如果你打算采用新技术,那么必须考虑到所有的后果。... 查看全部[ 2.3 无线仍然是未来 ]
2.1.1 设置攻击
在工作之余,有人雇我去布置安全陷阱以用于测试。我已经在整个美国多次实施了这种特别的攻击。每一次我都能收集到信用卡信息。虽然骗局看似复杂,但让人如此担忧的情况却可以很容易的实施。 在我去布置攻击的场地之前,我会先制作像WiFly这样的一个虚构的公司登录页面,这个页面看上去很可信,而且外观绝对专业。它还提供了一个用于填写信用卡信息的表单。 到了场地之后,我打开一个普通的笔记本电脑并购买了该地提供的真正的互联网接入服务。如果是在没有互联网提供商的地方,我就会用我的手机来进行连接。即使网络速度会很慢,但这没有关系,因为当受害者在使用接入服务时,就已经被骗了。 接着,我给笔记本安装上一个无线路由设... 查看全部[ 2.1.1 设置攻击 ]
引言
当你可以对自己所论及的东西进行度量,并可以用数字表达它时,你就对它有了相当程度的了解。当你无法对它进行度量,无法用数字表达它时,说明你对它缺乏了解,也就无法达到满意的程度。它可能是知识的起点,但你觉得很难把它推进到科学的状态。—William Thomson, Kelvin勋爵,1883 界定现代和过去的革命性思想就是对风险的掌握;未来并不是上帝的一时兴趣,人类在自然界面前并不是全然被动的。在人类找到办法跨越这个边界之前,未来仍然是过去的一面镜子,它是在预测未来事件方面占据垄断地位的巫师和占卜者的独有领地。—Peter Bernstein,1996 本章开始时的两段引语捕捉到了测量之美... 查看全部[ 引言 ]
3.1 安全度量指标的类比:健康
医学研究通过度量指标提高了人类健康的科学性和实践性。和安全一样,健康也是无形的。我们可以感觉到它,但不能触摸到它。和安全一样,健康也是为了实现某些缺乏的东西,即由于精神上或身体上的不适而寻求健康监护,就像由于机密性、完整性或可用性不足而寻求安全一样。许多安全专业人员把这些特征(不可触摸和“纠正负面因素”)作为IT安全难以找到一种定量的、严格的、可解析的方法的原因。但是,医学研究却是一个闪亮的反面例子。因此,对医学领域所应用的一些度量指标的观察有助于我们通过例子来讨论安全的度量指标。 让我们从观察大的问题开始,也就是美丽的安全度量指标应该实现什么目标: 1) 我的安全状况怎么样? 2) ... 查看全部[ 3.1 安全度量指标的类比:健康 ]
3.1.1 不合理的期待
在医学和IT安全中,前面那些问题是没有办法回答的。用科学术语表示,它们是不规范的(这已经是客气的说法了)。第一个问题是关于定义的。健康或安全的定义是什么呢?如果一个人的指甲边上长了倒刺,是不是就可以认为他是不健康的?或者用类似的说法,如果一台服务器没有打补丁,是不是就可以断定整个公司的IT基础设施就是不安全的? 第二个问题涉及环境。那里怎么会长倒刺,它是不是很麻烦呢?病人的病史或其他体征是不是能够提示什么?他是不是经常咬指甲?如果倒刺长在一个小提琴演奏家的手上,它的影响显然与长在一个与音乐无关的办公人员手上截然不同。为了对一项IT资产中的一个漏洞进行评估,显然应该考虑漏洞的危险程度、该资产的... 查看全部[ 3.1.1 不合理的期待 ]
3.1.2 数据透明性
首先让我们观察文化。医学社区具有强大并且体制化的数据共享机制,对于想学习更多的知识并传播他们的研究结果的研究人员而言,这是非常关键的先决条件。我们可以这样,如果发现了一个可能会导致死亡或患病的紧急健康威胁,将会发生什么情况?调查人员将会被紧急召集起来,对来自不同机构不同专业的专家们展开问询。所涉及的专家包括:主治医师、咨询顾问、护士、看护人、疾病控制预防中心(CDC)的免疫专家、保险公司、药物生产商和医院。他们的发现将会受到媒体和政客的检阅,得到医疗服务人员深入讨论,并被编入医学教材和其他职业教育出版物中,快速、准确地引起大众的注意。 反之,我们可以注意操作ATM网络的银行的行为。20世纪8... 查看全部[ 3.1.2 数据透明性 ]
3.1.3 合理的度量指标
用于衡量健康合理的医学方法向患者提供了一个合理的指导方针,使他们可以评估自己的健康状况,同时又保持合理的预期。尽管病人会问:“我的健康程度如何?”但他们知道这实际上是一个无法回答的问题,多数医生只会给出一个相对谨慎的回答,例如“目前看来一切正常”。如果病人还想究根问底,医生可能会再加上一些套话,例如“您的生命体征非常正常。您的所有测试结果都是正常的。您并没有超重,但您最好能够戒烟。”他们只是提供了一个总结,列出了一些不包含权重的正面或负面事实。这些事实都直接或间接来自这些度量指标。在有些情况下,如果病人坚持询问,他们会使用像胆固醇和骨质疏松这种专门用来应付门外汉的医学术语。 重要的是,医生不... 查看全部[ 3.1.3 合理的度量指标 ]
3.2 安全度量指标的实例
度量指标可以为医学从业人员提供帮助,它为个体或人群健康的量化提供了一个框架,并为如何与非专业人群进行交流提供了指导方针。度量指标可不可以在安全领域发挥同样的作用呢?如前所述,安全领域缺乏自愿的数据共享。但在有些时候,当后果足够可怕时,消息就难以被捂住,接踵而来的调查结果就会被公开。在本节中,我们将分析两个灾难性的安全事故,并讨论有效的安全度量指标计划是如何缓解甚至消除灾难和损失的。... 查看全部[ 3.2 安全度量指标的实例 ]
3.2.1 巴林银行:内部侵害
3.2.1 巴林银行:内部侵害 首先让我们观察侵害可能导致的最可怕后果:破产。这个侵害实际上是由一个叫Nick Leeson的人所犯下的一连串错误行为所导致的。这个过程持续了4年,最终导致了巴林银行的破产,并在1995年以1英镑的价格卖给了ING集团。 玩家 巴林银行是英国最古老的商业银行,成立于1762年。它具有非常悠久和光辉的历史,路易斯安那并购案、拿破仑战争、加拿大太平洋铁路的修筑以及伊利运河的开挖等重大历史事件都留下了它的身影。英国政府通过巴林银行清算它在美国以及其他地方的财产,为第二次世界大战期间的战事筹集资金。黛安娜王妃就是巴林家族的一位成员的曾孙女。巴林银行还是伊丽沙白... 查看全部[ 3.2.1 巴林银行:内部侵害 ]
书名: 安全之美
作者:
出版社: 机械工业出版社华章公司
原作名: Beautiful Security: Leading Security Experts Explain How They Think
译者: 徐 波 | 沈晓斌
出版年: 2011-4-28
页数: 253
定价: 65.00元
装帧: 平装
丛书: O‘Reilly-“之美”系列
ISBN: 9787111334774