April 2017 Theme - 提高网络安全:用户问责和社会技术系统
客座编辑导言: Özgür Kafalı and Munindar Singh

随着现代信息系统维护的数据越来越多以及重要性日益增强,安全和隐私漏洞对用户以及系统设计者和开发者的威胁也日益严重。一个突出的网络安全挑战是人为错误。据2015年美国国防部的报告,多数网络安全事件都是由不良的用户和数据管理实践导致的意外滥用。2016年医疗卫生信息与管理系统协会网络安全调查发现医院和医生办公室中存在同样问题。例如,2010年,因为未能擦除医院复印机硬盘上的病人数据,导致一家医院意外泄露35万病人档案,招致美国卫生和人类服务部120万美元的罚款。

不存在纯技术解决方案能够完全控制用户行为和防止数据泄露。因此,研究人员正在越来越多地考虑网络安全的人因方面,重点是用户的责任。社会技术系统(Sociotechnical systems,STS)由社会(人和组织)和技术(计算机和网络)这两个要素构成。我们的想法是,我们可能无法防止特定用户的行动或不行动(从促进灵活性和实用性角度看,我们不应该试图这么做),但我们应该抓住每个用户交互的精确标准。

今日计算2017年4月主题讨论的是STS和支持问责制的计算解决方案。我们选择了六篇文章和一段视频,从安全系统实施到调查医疗保健和在线社交网络中的漏洞,全面展示了问责方法。

问责制的计算模型

在安全和隐私语境中,问责是指确保一个实体的动作能够唯一性地追溯到该实体。欧盟数据保护工作组对问责制的描述是“显示责任如何行使并使之可以核查。”

从计算的角度来看,这些定义提出了很大挑战。当涉及到问责制时,下述安全性和隐私技术功效有限:

  • 基于角色的访问控制机制 简单地保护敏感资产; 他们只控制哪些用户可以采取某些行动的能力,而不关心这些用户何时、如何以及是否真的采取实际行动。访问控制在防止用户执行合法任务可能造成干扰,却可能对非法动作无动于衷。
  • 日志 监视软件系统中的事件,从而支持数字取证操作,或者当数据泄露发生时可审核。但是,现有日志方法不能确保记录与辨认泄露实际原因相关的所有事件。此外,还无法保证只记录泄露相关的事件,亦即日志本身实际上就是侵犯隐私。

为改进可问责性,STS把这些技术方案和社会模型结合起来。新方法寻求建模STS,最新研究对社会规范进行规范化表示,可理解为监管结构,例如承诺、授权和禁令。

本期文章

作为实际原因的程序动作:问责制的组件中,Anupam Datta和他的同事通过调查安全协议与违规之间的因果关系来理解问责制,并就公证受损进行了案例研究。因果分析有助于确定为什么违规会发生,哪一方难辞其咎,以及如何细化协议以防止同类违犯再次发生。作者提出,首先从导致违规的日志跟踪中确定一个最小的动作集合,然后删除无关的动作来寻找真正的原因。作者认为,他们的做法可以准确追究责任,并提供支持性解释确保安全协议的可问责。

RahasNym:防止链接真实身份的假名管理系统描述了一种既让在线系统中的用户对交易负责,又能防止链接其真实身份的方法。Hasini Gunasinghe和ELISA Bertino提出一种用户假名身份,采用加密方式存储他们的真实身份。该方案的目的是确保每当用户交易行为不当时,都有办法解开假名身份,并采取适当行动。

Özgür Kafalı和他的同事在Nane:利用时间规范法确定误用案例中描述了实现用户问责的社会机制。他们对监管规范进行形式化来表示利益相关方的要求,再通过识别违规条件来自动产生潜在滥用案例。违规可用于确定让用户负责意味着需要记录什么。作者认为,自动记录机制不仅可以提高取证操作的效率,同时还能通过日志防止新的隐私侵犯。

聚焦于来自内部威胁的故意误用,AccountableMR:走向负责任的MapReduce系统提出了一种面向分布式文件管理系统的MapReduce模型,它通过对所有数据流标注使用限制(基于访问数据集的原因)来检测滥用。这种用法的原因以分类形式给出,可以验证是否与预期目的相符。Huseyin Ulusoy和他的同事在Apache Hadoop之上实现了AccountableMR,并用来自Twitter、谷歌图片和模拟医院数据中的数据集进行评估。作者认为,这种实现可强制执行细粒度的访问和使用控制,对MapReduce通用计算成本的增加很小。

PriGuard:一种检测在线社交网络中隐私侵犯的语义方法中,Nadin Kökciyan和Pınar Yolum采取语义推理方法来理解在线社交网络中哪些用户事件会导致侵犯隐私。检测算法使用本体和描述逻辑来检测和防止各类违规行为(根据Facebook用户调查确定),相对于在多个场景下的其他检测方法,这种方法在大型网络上表现良好。作者指出PriGuard通过发起按需和主动检查式侵犯检测,实现了社交网络的问责制。

Denis Butin 和 Daniel Le Métayer在端至端隐私问责指南中给出了实现问责措施的指南。他们区分了组织内部的三种问责:即政策、程序和做法。作者系统地分析了数据控制器(收集个人数据的实体)在个人数据整个生命周期中的责任要求,确定审计师所需的关键问责证据,并以“个人数据无关”的审计日志形式提供证据,以防止新的隐私风险。

Video Perspectives

Jeremy Maxwell discusses precision medicine.

行业透视

本月视频来自杰里米·麦克斯韦,他是Allscripts公司信息安全主管,美国健康和人力服务部前安全顾问。麦克斯韦讨论了精准医疗领域与病人知情和数据分割相关的隐私挑战,目的是把基因组学和健康的社会决定纳入诊断和治疗流程以改善医疗。

结论

确保问责制对现代信息系统保护数据安全和隐私至关重要,但不应减损用户灵活性。软件应该允许在用户执行任务时不受到过多干扰,但只要用户行为不端,软件应该能够确保用户负责。为了最大限度地提高用户的自主性并 明确他们的责任,有必要对他们与组织内部系统的交互过程进行建模。

Acknowledgement

Thanks to the US Department of Defense for support under the Science of Security Lablet program.

 

客座编辑

Özgür Kafalı是北卡罗来纳州立大学的计算机科学博士后研究员。他的研究兴趣包括社会技术系统中的计算逻辑及安全和隐私。Kafalı拥有土耳其海峡大学计算机工程博士学位。他的联系方法是rkafali@ncsu.edu

Munindar P. Singh是北卡罗莱纳州立大学计算机科学教授,安全科学Lablet的联合主任。他的研究兴趣包括社会技术系统的工程和治理。Singh是AAAI会士,IEEE会士,IEEE互联网计算 前主编,ACM互联网技术汇刊 现任主编。他的联系方法是singh@ncsu.edu