安全,隐私和监控

客座编辑导言•Irena Bojanova和Jeffery Voas•2016年6月

阅读其他语种的客座编辑导言
西班牙语 | 英文

译者:奥斯瓦尔多·佩雷斯 和 黄铁军


倾听客户编辑导言

英语:

 

西班牙:

 

Chinese:

安全,隐私和监视

安全和隐私世界正在迅速变化。很长时间以来,我们总认为安全和隐私这两个目标可以并行不悖,在我们的想象中,两者能够同时达成,而且可以共存。不过,近来我们已经认识到,安全和隐私有时是互斥的。例如,2015年加州圣贝纳迪诺发生恐怖袭击后,美国联邦调查局与苹果公司就对是否破解杀手的iPhone发生争执。

我们会看到越来越多的“安全隐私”而非“安全隐私”的例子,这也给我们带来了第三个话题:监控(surveillance)。监控(surveil)已经成为系统工程师需要应对的一种新“-ility(能力属性)”。物联网(IOT)把我们手机中的以及公共场合、家庭内部、工作场所的无以数计的各种传感器一网打尽,生成了大量数据,很可能以保障安全之名侵犯隐私。监控系统天网恢恢,的确一定程度能够增强安全性——即使它只用于协助刑事调查和起诉,不能防止犯罪——但与此同时监控也剥夺了守法公民保护隐私的希望。

今日计算2016年6月号推荐六篇来自IEEE计算机学会数字图书馆(CSDL)的文章:三篇有关安全和隐私两难问题,另外三篇关于监视如何介入传统的安全和隐私“能力”。我们希望,把焦点放在监控这个尚未深入探讨的话题上,有助于阐明这个业已成为信任问题的问题。此外,我们还安排了两段侧重于安全和隐私挑战和机遇的视频。

主题文章

随着软件安全性的持续增长和发展,公司需要实施的合理化建议。在“软件安全性调查的四个发现(Four Software Security Findings)中,Gary McGraw透露了对78家公司(包括Adobe,美国银行以及英特尔)多年数据进行分析得出的结论。研究人员采用“在成熟度模型中构筑安全(BSIMM)”来观察和衡量企业的安全举措,认为当企业理解以下四点时才能真正保护自己的资产:(1)在软件安全中不存在“特别雪花”;(2)每家公司都需要一个软件安全组;(3)经验和成熟大不相同;和(4)软件安全应均匀分布。

互联网潜在地能够同时提供自由和保护,但也可以被滥用,滋生压迫,而不是创造安全。George Hurlburt和他的同事在“安全亦或隐私?角度问题(Security or Privacy?A Matter of Perspective)中讨论了我们如何定义“足够安全”和”足够私密”。论文说明了安全和隐私之间的潜在关系,并描述了这些关系的一些特征。

Juhee Kwon和M. Eric Johnson在“保护患者数据——卫生保健安全的经济视角(Protecting Patient Data — The Economic Perspective of Healthcare Security)”中探讨了卫生保健行业及相关美国法规中的安全问题。法规之一就是2009年的面向经济和临床健康的卫生信息技术(HITECH)法案,该法案有助于电子病历的采用,还含有解决安全投资失败的法律和市场机制。作者分析了安全策略的影响,专注于运营成熟度、病人的安全隐患意识和信息安全的公益本性。他们的结论是:无论哪种卫生保健组织,都应加强对市场驱动的安全投资的监管。

Shari Lawrence Pfleeger的“火眼昭昭:监控及其进化(The Eyes Have It: Surveillance and How It Evolved)”介绍了监控的发展史,以帮助读者了解如何负责地、恰当地设计、构建和使用监控技术。她分析了监控相关政策并指出,技术现在已经放大了监控的后果以及这些后果的范围。

在“个人数据和政府监控(Personal Data and Government Surveillance)”中,Daniel E. Geer Jr.讨论了隐私和政府监控问题,特别是改变心态(shifting mindsets)、数字征召(digital conscripts)、闪坠(flash crashes)和可观察性(observability)。Geer指出,“自由的代价就是犯罪的可能”,我们有责任做出选择:寻求只有基于无处不在的数据才能达成的保护、便利和服务;只害怕害怕本身,或害怕害怕的缺失;成为问题的一部分,或成为解决方案的一部分。

在“不安全的监控:远程计算机搜索的技术问题(Insecure Surveillance: Technical Issues with Remote Computer Searches)”中,Steven M. Bellovin, Matt Blaze和Susan Landau讨论了授权搜索远程计算机这项对美联邦法规的修改动议何以会造成严重的安全问题,并可能对刑事调查造成损害。作者认为,所有民主国家都应关注管辖权、均衡性、私密性、侵扰、证据保全以及有效执法和殃及无辜之间的平衡。

Mary Theofanos论“安全疲劳”

 

Logan Mailloux:用建模和仿真理解和研究量子密码。

展望视频

《IT Professional》 2016年9/10月号将发表两篇讨论“网络安全或隐私”的文章,我们很高兴把相关的预览视频提前献给大家。

在第一个视频中,美国国家标准与技术研究院的Mary Theofanos讨论了用户作为系统组成部分的问题,这意味着如何获得可用的安全性,以及我们如何能够兼得可用性和安全性。她介绍了“安全疲劳”,即用户厌倦了对网络安全进行决策的努力,因此选择放弃决策。Theofanos的结论是可用的安全应该“帮助用户做正确的事,让他们很难做错事,并在发生错事时能够帮他们恢复。”敬请期待将要出现在《IT Professional》的这篇名为《安全疲劳》的同行评议文章。

量子计算的最新发展必将深刻影响现代密码学的安全性和私密性。在第二段视频中,美国空军研究所的Logan Mailloux讨论了如何使用建模和仿真手段来理解和研究量子密码,特别是量子密钥分配(QKD)系统中的实施安全漏洞。敬请期待将要出现在《IT Professional》的这篇已经同行评议的《后量子密码学:量子计算进展对IT专业人员意味着什么》。

结论

感谢您阅读我们的“安全,隐私和监控”专题。研究的地平线在不断延伸,我们希望这里介绍的文章和视频将激发出创新性的新思想。

我们欢迎您对下面这些令人兴奋的话题发表评论和观点。例如:

  • 安全和隐私如何从整体上塑造和改变IT行业、企业和社会?
  • 安全和隐私的两难问题如何在未来五到十年得到解决?
  • 实际生活中你对监控有什么体验,你曾面对什么样的安全和隐私问题?
  • 安全监管机构和研究人员如何协作才更有利于IT安全?

请把你的见解、创意和经验在下面的评论部分进行分享。

客座编辑

Irena Bojanova是IEEE计算机学会出版理事会诚信委员会主席,《IT Professional》杂志副主编,IEEE高级会员。可通过电子邮件irena.bojanova@computer.org联系她。

Jeffrey Voas《Computer》杂志安全栏目的编辑,IEEE会士。他的联系方式是j.voas@ieee.org

Average (0 Votes)
The average rating is 0.0 stars out of 5.

Article Comments

Please log in to comment.