翻译:中国科学技术大学信息安全专业老师 ■反应:你可以申请一个新的卡号:欺诈交易的损失可以由持卡人、骗子购物的商行或者信用卡的发行商承担。 在这个例子中,骗子“窃取”了你的卡号,但你依然持有这张卡,这和你的卡被盗的情况是不同的。因此在某 些法律框架下,比如在英国,骗子不能被起诉为盗窃你的信用卡卡号。必须制定新的律法来解决这个新的问题。 考虑保护机密信息的选择,我们继续关于保护问题的讨论。有可能仅当秘密被揭露时你才发现已经泄密了,而 在某些情况下,损失是无法挽回的。你的竞争对手可能已经得到了你耗费数年功夫完成的产品设计,在你之前占领 了市场,并获取了全部的利润,而你却歇业了。在这种情形下,预防是唯一的选择。这也解释了为什么历来计算机 安全相当重视对机密信息泄露的预防。 12计算机安全 为了首先获得计算机安全的概念,我们分析一下信息财富是如何受到损害的。最常给出的定义包括以下三个方 ■机密性( confidentiality):防止未经授权的信息透露 完整性( ntegrity):防止未经授权的信息修改 ■可用性( Availability):防止未经授权的信息或资源截留。 读者可以立即就这些话题的优先顺序展开讨论,并且给出一个重新排序的例子。或者读者可以论证说这个列表 不完整——因为列表永远不会完整——并再增加一些内容,比如读者关心通信,可以增加真实性(可靠性 authenticity),若感兴趣电子商务类应用,则可以增加可审计性 accountability) 即使在这样一般的层次上,你仍会发现对于某些安全方面的精确定义有不同意见。因此,我们通常会给出定义 的出处,这样定义的背景就比较清楚了。象美国可信赖计算机系统评价标准(橙皮书12])、欧洲信息技术安全评 价标准( ITSEC[1])和加拿大可信赖计算机产品评价标准( CTCPEC[l50)等,就是安全评价标准(第9章)的 主要来源。上面的定义就出自 ITSEC 113机密性 历史上,安全和保密是紧密联系在一起的。即使在今天,许多人仍然觉得计算机安全的主要目的是阻止未授权 的用户阅读敏感信息。更一般地说,未授权的用户不应该获悉敏感信息。机密性(隐私,机密)即要解决计算机安 全的这个方面的问题。术语“隐私”@ privacy)和“机密”( (secrecy)有时候用来区分个人数据的保护(隐私)和机构 数据的保护(机密)。机密性概念已经被很好地定义了,并且计算机安全中的研究通常集中在这个题目上,因为最 起码它提出了与物理安全不相类似的新问题。有时候安全性( security)和机密性( confidentiality)甚至被用作同义词 在一个纸质文档的世界中,控制对一个文档的访问是很简单的,你只要列出那些允许阅读这个文档的人就可以 了。然而稍微有些不同的是,计算机安全为实现机密性还必须控制写操作。读者将在42节看到更多有关这方面的 内容。 1.14完整性 很难给出一个简洁的完整性定义。一般来说,完整性是要确保每个事物保持它该有的状态。(很抱歉给出这样 个毫无帮助的但却反映了现实的定义。)在计算机安全的范围内,我们可能会满足于这样一个定义,即完整性研 究如何防范未授权的写操作。按照这种解释,完整性是双重机密性,而我们可以指望用类似的技术来同时达到两个 目的。 然而,更进一步的问题象“被授权做某人做的事”和“遵循正确的程序”也已经被包含进完整性术语中。 Clark 和Wlon在他们的颇有影响力的论文32]中采用了这个方法,该论文声称完整性就是这样一种特性: 完整性系统中的任何用户,即使被授权,也不允许以一种会使得公司的资产或帐目记录丢失或被讹误的方式 来修改数据项 如果将完整性与防止所有未授权的行为等同起来,则机密性就成为了完整性的一部分。 迄今为止,我们是通过指出必须控制的用户行为来确定安全性问题。从系统的观点来看,在定义完整性时最好 把注意力集中在系统状态上。橙皮书中关于数据完整性的定义正好就是这种类型的: 数据完整性当被计算机处理的数据与源文件中的数据一样,且没有受到意外的或恶意的修改或破坏时所呈现 的状态 在这里,完整性是外部一致性的同义词。存储在计算机系统中的数据应当正确地反映计算机系统外的某些事实 非常理想的当然是存储在任何计算机系统中的信息都正确地反映事实,然而,仅靠计算机系统内部的机制来保证这 个特性是不可能的。 第2页共36 创建日期:2003-11翻译：中国科学技术大学信息安全专业老师 第 2 页 共 36 页 创建日期：2003-11 ■反应：你可以申请一个新的卡号；欺诈交易的损失可以由持卡人、骗子购物的商行或者信用卡的发行商承担。 在这个例子中，骗子“窃取”了你的卡号，但你依然持有这张卡，这和你的卡被盗的情况是不同的。因此在某 些法律框架下，比如在英国，骗子不能被起诉为盗窃你的信用卡卡号。必须制定新的律法来解决这个新的问题。 考虑保护机密信息的选择，我们继续关于保护问题的讨论。有可能仅当秘密被揭露时你才发现已经泄密了，而 在某些情况下，损失是无法挽回的。你的竞争对手可能已经得到了你耗费数年功夫完成的产品设计，在你之前占领 了市场，并获取了全部的利润，而你却歇业了。在这种情形下，预防是唯一的选择。这也解释了为什么历来计算机 安全相当重视对机密信息泄露的预防。 1.1.2 计算机安全 为了首先获得计算机安全的概念，我们分析一下信息财富是如何受到损害的。最常给出的定义包括以下三个方 面： ■机密性(Confidentiality)：防止未经授权的信息透露。 ■完整性(Integrity)：防止未经授权的信息修改。 ■可用性(Availability)：防止未经授权的信息或资源截留。 读者可以立即就这些话题的优先顺序展开讨论，并且给出一个重新排序的例子。或者读者可以论证说这个列表 不完整——因为列表永远不会完整——并再增加一些内容，比如读者关心通信，可以增加真实性(可靠性， authenticity)，若感兴趣电子商务类应用，则可以增加可审计性(accountability)。 即使在这样一般的层次上，你仍会发现对于某些安全方面的精确定义有不同意见。因此，我们通常会给出定义 的出处，这样定义的背景就比较清楚了。象美国可信赖计算机系统评价标准（橙皮书[112]）、欧洲信息技术安全评 价标准（ITSEC[117]）和加拿大可信赖计算机产品评价标准（CTCPEC[150]）等，就是安全评价标准（第 9 章）的 主要来源。上面的定义就出自 ITSEC。 1.1.3 机密性 历史上，安全和保密是紧密联系在一起的。即使在今天，许多人仍然觉得计算机安全的主要目的是阻止未授权 的用户阅读敏感信息。更一般地说，未授权的用户不应该获悉敏感信息。机密性（隐私，机密）即要解决计算机安 全的这个方面的问题。术语“隐私”(privacy)和“机密”(secrecy)有时候用来区分个人数据的保护（隐私）和机构 数据的保护（机密）。机密性概念已经被很好地定义了，并且计算机安全中的研究通常集中在这个题目上，因为最 起码它提出了与物理安全不相类似的新问题。有时候安全性(security)和机密性(confidentiality)甚至被用作同义词。 在一个纸质文档的世界中，控制对一个文档的访问是很简单的，你只要列出那些允许阅读这个文档的人就可以 了。然而稍微有些不同的是，计算机安全为实现机密性还必须控制写操作。读者将在 4.2 节看到更多有关这方面的 内容。 1.1.4 完整性 很难给出一个简洁的完整性定义。一般来说，完整性是要确保每个事物保持它该有的状态。（很抱歉给出这样 一个毫无帮助的但却反映了现实的定义。）在计算机安全的范围内，我们可能会满足于这样一个定义，即完整性研 究如何防范未授权的写操作。按照这种解释，完整性是双重机密性，而我们可以指望用类似的技术来同时达到两个 目的。 然而，更进一步的问题象“被授权做某人做的事”和“遵循正确的程序”也已经被包含进完整性术语中。Clark 和 Wilson 在他们的颇有影响力的论文[32]中采用了这个方法，该论文声称完整性就是这样一种特性： 完整性 系统中的任何用户，即使被授权，也不允许以一种会使得公司的资产或帐目记录丢失或被讹误的方式 来修改数据项。 如果将完整性与防止所有未授权的行为等同起来，则机密性就成为了完整性的一部分。 迄今为止，我们是通过指出必须控制的用户行为来确定安全性问题。从系统的观点来看，在定义完整性时最好 把注意力集中在系统状态上。橙皮书中关于数据完整性的定义正好就是这种类型的： 数据完整性 当被计算机处理的数据与源文件中的数据一样，且没有受到意外的或恶意的修改或破坏时所呈现 的状态。 在这里，完整性是外部一致性的同义词。存储在计算机系统中的数据应当正确地反映计算机系统外的某些事实。 非常理想的当然是存储在任何计算机系统中的信息都正确地反映事实，然而，仅靠计算机系统内部的机制来保证这 个特性是不可能的