列举一些秘密类型的例子来理解这个概念。一个实际秘密的例子可能是你七岁时做的一件事。也许你吃了你姐姐的饼干，或者打破了一盏灯而你却归咎于狗，保守该信息的秘密需要限制对实际信息的访问，只有那些被授予最高级别信任的人才能获得访问该信息的权限，看门人考虑访问请求，会根据信任和需要判断批准与否，知道的人越多，秘密被破解的可能性就越大，所以授权访问的决定是基于需要知道秘密的基础上做出的。

      关系秘密是指其中的关系是需要保密的秘密。有些关系是受管制的，有法律的要求对它们进行保密。比如两个考虑合并的公司之间的关系：在达成协议之前，为了谈判合并的目的，政府要求组织之间的关系是保密的。有时候这种关系的保密是因为其非法性质，如婚外情或犯罪集团的成员。还有一些时候，信息类型之间的关系是需要保护的内容，这类秘密的一个非常著名的例子是“深喉”在水门事件中扮演的角色。很明显，被泄露的数据来自内部人士，而数据本身也被公开了。从参与者的角度来看，最重要的秘密是记者和内幕人士之间的关系，他们采取了极端措施防止这种关系被发现。

      来源和方法秘密是指需要保护信息来源和实现行动目标的方法。保护消息来源和方法秘密可能是棘手的。例如，考虑一个高级的秘密成像平台，它提供了目标的高分辨率图像。这些图像是有用的，而且是秘密的，但是需要额外考虑的是对源的保护。信息源的存在和任何有关信息源存在的线索都必须受到保护。后者是困难的部分：必须采取措施消除或掩盖任何有关源存在的暗示。对于成像平台示例，保护源的一种方法是只分享图像的降级版本。类似地，实现某些目标的方法也需要保护。例如，在受控的湿度和温度环境中混合成分的精确过程可以产生一个更优质的产品。在这个例子中，产品的成分是已知的，方法才是秘密，要想保护这个秘密，就需要多层的操作保护措施。

      行动秘密是指基于具体情况的秘密。行动情况可能在时间或地理上有很大的不同。例如，人们可能都知道正在计划一次爆炸袭击，但实际的袭击时间才是秘密。同样，人们可能知道无无人机在某一区域，但任何时间点的实际位置都可能是秘密。这些类型的秘密是与其他秘密分开考虑的，因为它们具有瞬时性，一旦行动环境发生变化，保密要求就变得毫无意义。

      在试图回答三个策略性问题时，考虑这些不同类型的秘密是非常有帮助的。如果对需要解决的保密挑战类型有一个复杂的理解，那么解决“什么”、“多少”和“多久”方面的问题就会更容易。

      完整性是指需要确保数据和交易的不变性和不可改变的性质。有三种类型的完整性挑战需要注意：数据、交易和通信完整性，我们还将讨论作为完整性概念的不可否认性的概念。

      数据完整性是指实际数据中允许和不允许的差异或变化。这似乎是一个奇怪的概念：为什么会有允许的差异？难道所有的数据不应该保持原始和完整吗？和其他事情一样，这里也有权衡。考虑图像压缩算法，有些是有损的，有些是无损的。有损图像压缩算法在设计上丢失数据，以平衡图像质量和文件大小。图像的分辨率越高，传输所需的带宽就越大，存储所需的存储空间也就越大。如果结果在操作上是适当的，降低图像文件的数据完整性就是可以接受的。这里的关键是要了解什么水平的数据完整性是必需的，什么水平的差异是允许的，以及如何检测数据完整性的恶意变化。

      交易完整性是指交易的不变性和可证明性。一个完善的交易有几个特点：交易的发起人可以证明是发起了交易，交易可以证明是由预定和授权的接收人收到的，而且交易在交换过程中可以证明是不变的。例如，假设人们将一张支票存入一个账户，交易发起的可证明性是由一个人在支票上的签名来支持的，该签名表明它将被存入一个特定的账户；交易接受者的可证明性由银行收据支持，并由显示存款确切数额的最新分类账目进一步支持。对于高交易完整性，需要实施重要的保护措施，以确保交易的高度正确性、一致性和完整性。

      完整性的一个特殊情况称为不可否认性。“repudiate”这个词根的意思是否认。如果任何一方可以否认参与交易或否认交易的内容，那么这就不是一个完整的交易。想想看，如果一个人去银行存了一张支票，拿到了收据，几天后银行却声称这事从未发生过，否认了这笔交易，后果是不是很严重？当交易是执行军事任务的合法命令时，情况就更严重了，任何一方都不希望有推翻交易的能力。执行命令的人想要证明他们是根据上级的合法命令下行事，而上级希望证明他们是根据政策命令采取合法行动，因此，在一个系统中设计不可否认性是一个重要的考虑。

      通信完整性是指数据在从一个实体传输到另一个实体时保持不变的性质。在这方面，我们关心的是信息本身没有被破坏。对完整性的挑战可能由许多不同的问题导致，包括系统本身。探索这个问题的一个有趣的方法是玩电话游戏，在这个游戏中，许多人坐成一圈，第一个人尽可能清楚地向下一个人低声耳语，第二个人小声地把消息告诉第三个人，第三个到第四个，以此类推。即使每个人都尽其所能地表达清楚，但链条末端的信息与最初的信息几乎没有相似之处。因此，为了确保通信的完整性，不仅需要关注信息，还需要关注获取信息的渠道。

      可用性是指在操作需要时能够访问和使用数据和系统。很明显，这是最直接的安全属性，但这并不意味着它是简单的或琐碎的。在需要的时候可以访问是什么意思？对于一些组织来说，这很简单。在工作时间内有最大的可用性，并根据需要进行维护。但如果没有停机时间呢？那就变得复杂了。考虑一个跨多个时区的大型企业；如何计算整个企业的可用性需求？是否需要100%的可用性？如果没有非常大的投资，这几乎是不可能的。即使是高度可靠的电话系统也只能以 "五个九 "来衡量可用性，即99.999%的可用性。在考虑可用性时,需要考虑许多不同方面的可用性,包括数据本身，工具(包括计算和其他工具),和基础设施组件(同样包括基于计算的,如网络,以及物理的,如安全区域和保险箱)。

总之，有三种常用的安全属性：

 · 保密性

 · 完整性，包括不可否认的特殊情况，以及

 · 可用性

      检测是完全运行系统的默认状态。一旦系统被设计、开发并实施，所有安全控制就已经到位，希望能正确和稳定的运行，安全团队也已到位，对不利事件的发生保持警惕，这就是检测。一旦发生不利的事件，状态就会转换到反应和校正，并最终回到保护，再一次回到检测。团队在不同阶段之间转换的速度取决于培训、经验、能力和问题的严重程度。

      检测问题的一个设计考虑是检测机制必须在事件发生之前就已经到位。在某些情况下，没有特定的检测机制也能发现问题（比如在报纸的头版看到企业的秘密），但在大多数情况下，这根本是不可能的。如果没有收集实时数据，或者没有建立入侵检测系统，就不会意识到有问题在近乎实时的情况下发生，也无法重建取证证据进行评估。就如同皇冠上的珠宝被强盗强行打开门盗走之后，才在门上安装警报器是没有用的。

受保护的类

      得到受保护类检测挑战可分为两个子类。第一个是保护机制的失效：即使保护机制已经到位，仍然检测出问题。问题被检测到既提醒人们安全已被破坏的事实，又提醒人们需要检查现有的保护措施。第二个子类是保护机制的退化。简单地说，必须不断地评估保护机制，以确保它们得到正确地实施，正确地工作，并保持不受损害。锁会生锈，软件更新会颠覆漏洞反制措施，而且人会变得懒惰，所以确保保护功能是至关重要的。

 不受保护的类

      不受保护类检测面临的挑战是，对你选择不进行保护的问题的第一道防线实际上是检测问题的发生。数据泄露的可能性当时被有意忽略了。放置检测机制以触发对问题的反应，是最大限度地减少潜在损害的方法。

内部类

       内部人员也是如此：根据定义，内部人员在企业内部的运作是受信任的。信任的程度各不相同，但每个内部人士至少都拥有一定程度的信任。检测这种信任的滥用或误用需要与未知类所要求的相同的意识、主动分析和操作监视，但两者有所不同，检测活动应被设计为能够建立目的机构。

反检测类

       最后，对于反检测类，检测工作的重点是确定保护和检测机制何时被破坏。破坏可以以多种方式发生。在某种程度上，这类检测工作结合了其他四个问题的所有方面。

       反应/校正阶段包括在执行完全恢复运行能力所需的活动时，继续运行所需的一系列活动。检测活动和反应/校正活动之间可能会有很大的重叠，特别是对于复杂的问题集，所以最佳做法是让每个活动都有专门的人员、资源和管理结构。反应/校正活动包括(至少)以下工作：调查、取证分析、业务连续性、危机沟通和业务恢复。

综上所述，安全架构有三个工程阶段：

 · 保护

 · 检测

 · 反应/校正

风险（决策要素）

       所有的决策都是基于风险的决策，即使一个人在决策时没有主动考虑风险。如凌晨2点走在街上时，人们会做出与该活动相关的基于决策的风险评估；当决定购买某种类型的计算机系统时，人们会考虑几种类型的风险，包括公司可能倒闭并使公司没有支持的风险。风险最小化是至关重要的。

       风险决策有两个要素：对当前时间状态下的风险的评估（现在的风险）和对风险要素随时间推移的潜在变化的评估（未来的风险）。作为一个需要评估的实体，人们可以把风险看作是负面事件发生的概率和由此所带来的影响力的组合。

       现在的风险是利用目前存在的信息对风险要素的评估。在信息安全领域，很难得到关于可怕事件发生概率的实际数据。因此，通常是通过调查威胁、漏洞和反制措施等因素来估计发生可怕事件的几率来执行分析。威胁是利用漏洞做可怕的事情，漏洞可以被威胁利用，反制措施降低了威胁成功利用漏洞的能力。

       威胁有两种：自然的和人为的。自然威胁包括火灾、飓风、洪水、地震和奇怪的陨石。是的，安全规划确实需要考虑这些因素。例如，如果你在洪水泛滥地区运营，当你做风险决定时，会考虑把你的服务器场放在高于洪水区的楼层；如果你生活在地震多发地区，比如日本，你可能会想要投资抗震技术。人为的威胁是源于人类思想的问题，可以通过人的行为或通过人的代理，包括动物、机器人和软件来实现。

       当考虑构成可行性威胁的因素时，我们可以从一些方面进行分析。一个可信的威胁需要能力和意图。如果潜在的威胁有能力但没有意图，我们称其为受信任的内部人员。如果潜在的威胁有意图但没有能力，那么这种威胁所能完成的事情就非常少。意图可以是个人本身的，也可以是通过编入威胁代理的(通过软件、培训或设计)。此外，能力需要几个要素。真正有能力的威胁需要三个特征：

 · 行动所需的知识、技能和能力；

 · 用于计划、制定和执行行动的资源；

 · 接触目标的机会。

      了解这些要素有助于设计反制措施，如何减少或消除任何或所有的威胁？如何减少受信任的内部人员产生恶意行为的可能？如何减少威胁获得行动所需资源的概率？当考虑到这些因素时，很快就会发现有一些简单的或困难的事情可以实施。这里列出了为应对风险活动所能做的事情的摘要：

意图：

 · 促使威胁不形成意图

 · 通过暗示人身伤害或危险来恐吓威胁

 · 通过暗示对名誉、生计等的损害来恐吓威胁。

 · 通过心理动机阻止行动

知识、技能和能力：

 · 限制安全细节知识——对细节和工程数据保密；对计划和程序保密

 · 使用需要高度专业技能或培训的技术、工具和设备

 · 将安全要素结合起来，以限制威胁所需要的知识技能和能力轻易发展的可能性

 · 为非商业现成的独特系统的开发付费

访问权限：

 · 通过设置障碍拒绝访问

 · 使用锁等技术拒绝访问

 · 拒绝通过检查点访问

 · 通过内部审核程序控制访问

 · 尽量减少对所有人的访问

 · 限制访问速度

 · 限制出口速度

       漏洞可以认为有两种类型：意外的和故意的。意外的漏洞是由于缺乏理解、粗心大意或意外的结果造成的。这里的危险在于在分析完成之前你并不知道它们的存在，所做的努力必须包括对这种问题的搜索。大型企业使用的一种方法是通过“悬赏漏洞”来寻找漏洞，这对某些机构可能有效，但对其他机构可能是绝对错误的。另一方面，通过设计存在的漏洞应该是基于风险决策的结果，如决定连接易受攻击的网络开展业务或使用一个不太理想的工程解决方案，因为一个更好的方案是负担不起的。必须监视这些类型的漏洞，并且应该考虑检测措施，以便对任何企图利用这些漏洞进行威胁时发出警报。

      考虑到威胁、漏洞和对策，就可以洞察到可能的攻击概率，以及攻击可能带来的影响，全面衡量每个潜在因素的相对重要性，然后就可以根据环境中风险的各个方面，决定做什么或不做什么。

      未来的风险分析着眼于情况变化的潜力。风险决策的每个元素都具有随时间变化的潜力。为了对可能导致决策效果缓和的变化做一个合格的分析，有必要做一个对未来的分析。例如，在1987年做出的剽窃论文的决定可能是一个完全合乎逻辑的决定，虽然被发现的影响会非常大，但抄袭被发现的概率相对较低。快进到互联网时代，抄袭检查是自动化的，而且是众包的，情况发生了巨大的变化。这个在1987年似乎合乎逻辑的决定，由于无法预见的技术演变而发生了逆转。

      在考虑现在作出的决定对未来的影响时，应该考虑到如果有必要或希望改变某项决定将会有多么困难，有些决定根本无法改变的，这些是要点决定。比如剽窃论文的例子就是一个要点决定，一旦出版，就不能收回了。有些决定可以改变，但要付出代价。如果有人不小心雇了间谍，还可以解雇他，然后进行清理，可能会造成一些损失，但这是可以改变的决定。有些决定由于成本问题很难改变。例如，为会计和财务管理便于普及制定的软件套件标准化的决定，会产生长期的影响。一个更夸张的例子是，资助一艘新的航空母舰的决定可能会产生巨大的未来风险变数：技术上的巨大变化可能使航空母舰过时。

      总之，风险决策是现在为未来的事件作出的，因此在做出决策时应该考虑未来的所有可能。在决策的有效期内，应该对未来的事件进行监测，以了解正在出现的情况以及变化可能产生的潜在影响。

信息安全解决方案的系统工程

     利用上面介绍的十块拼图，现在有了工具来思考开发和管理信息系统安全解决方案的架构方法。回顾一下，这十块拼图的内容是：

 · 三个政策问题

 · 三种安全属性

 · 三个安全阶段

 · 风险决策要素

      在此基础上，可以得出企业的安全要求，然后系统地确定一套流程、技术和工程方法来解决这些问题。所有这些都是在风险管理范围内完成的：所有决策都是风险决策。

明确企业的安全需求

      了解企业的安全需求是为该企业开发和管理安全解决方案的第一步。我们不可能满足所有的要求，因为这将耗费更多的资源，并对运营产生更多的影响，超出可容忍的范围。但是，知道哪些需求没有得到满足，就可以监视未满足的需求。将解决方案组合在一起构成一个系统或系统工程。此外，每个解决方案都是有时间 限制的，因此必须定期重新评估系统，并对解决方案集进行修订、更新和改进。这不是一个点状解决方案的努力，而是一个生命周期的努力。

      在系统工程中有三种基本类型的需求。这些需求被称为显性需求、隐性需求和衍生需求。通过系统地考虑三个策略问题和三个安全属性，确定系统的信息安全需求。下表是一个3×3的矩阵，具体说明了在策略问题和安全属性方面需要什么。在这个表中，策略问题被简化了，以便于阅读。但请记住，考虑矩阵中每个单元格的问题的全部含义是很重要的。单元格被重新编号，以便在在讨论需求时参考。请参阅此表以了解系统安全需求的示例。

       当考虑到每个单元时，就确定了需求。例如，在单元格C-1中，完整的策略问题考虑是：

       哪些数据、系统和操作元素需要保密？

       哪些元素不需要保密保护？

       然后，随着C-2和C-3的进行，人们可以详细说明需要多少保密保护，以及需要保持多长时间。这是一个系统的，直接的过程。在系统中有许多复杂的因素，所以一个强烈的建议是，这项工作应该由一个对所分析的系统具有多方面知识的多样化团队来进行。

显性需求

      第一个要确定的需求是显性需求。这些被定义为系统中需要的东西，与任何实施或技术解决方案无关。例如，在C-1单元中确定一个显性需求，是必须对传感器的存在保密。这是一种需要明确说明的需求类型，因为它反映了一个特定的保密需求。

衍生需求

      除了显式和隐式需求，还有衍生需求。衍生需求是环境的必要条件。不幸的是，这些有时只是系统中的假设，还可能会导致滑稽的结果，例如向客户交付一个完全符合要求的系统，但由于它缺乏用户界面而完全无法使用。

      衍生需求是重要的考虑因素，通常最好从审查隐性需求开始。秘密传感器系统的隐含要求之一是，所有观察或使用传感器或传感器产品的人都必须得到授权。从这个单一的隐性需求可以衍生出许多需求。一是存在一个系统来审查个人的可信度，只有经过审查的人才有权使用该传感器。另一个是有控制措施，以确保只有经过审查和授权的个人才能进入传感器和传感器所在的区域。