经济学、心理学和安全社会学安德鲁·奥德里兹科数字技术中心明尼苏达大学odlyzko@umn.eduhttp://www.dtc.umn.edu/~odlyzko2003年4月21日版本。摘要：安全不是一种孤立的商品，而是复杂的经济。这就限制了它的有效性。人类社会和人性的相互作用表明，安全将继续作为后续应用。我们必须忍受用相当于铁丝网和口香糖的东西生活无法忍受的挫折边缘。然而，这不太可能成为信息开发和部署的致命障碍技术。将安全视为提供铁皮保护的方式，但相当于减速带，将电子攻击的速度和影响降低到一定程度其他保护机制可以运行的地方。1.简介这是我在“经济安全”概述了安全现在和将来的一些不容忽视的原因继续难以实现。计算机和通信安全吸引了广泛的新闻报道，并在政府和企业决策中占据重要地位制造商。这主要是由于越来越多的实际攻击和发现的漏洞，以及越来越依赖我们社会的信息和通信基础设施。有预测和承诺，情况很快就会改变，工业界将提供安全的系统。然而几乎没有可见的变化。此外，同样的预测和承诺在过去的二十年里，它们一直没有实现。在与此同时，世界并没有陷入停滞。不仅如此，而且，与其他预测相反，甚至没有发生过巨大的灾难，比如一家银行的倒闭，导致信息系统不安全。过去几年真正大规模的金融灾难，例如安然（Enron）、长期资本管理（Long-Term Capital Management）或世通（WorldCom）的员工什么都不欠信息安全系统的不足。我们如何解释这一点？越来越多的观察家认为，人们需要理解安全的非技术方面，特别是经济方面[Anderson1，Anderson2，Geer，Odlyzko3，Schneier]。保安不来免费，因此有必要考虑成本之间的权衡和利益。此外，有必要考虑激励措施许多球员都有兴趣转嫁为他人提供安全，或出于保护等目的使用安全垄断。现在甚至有一系列关于经济和信息安全（参见[WEIS]了解第一个信息，包括摘要和完整的论文）。此注释不试图总结这方面的文献。相反，它简要概述了一些从心理学和社会学中得出的使安全成本高昂的因素实施，因此需要我们观察到的经济权衡制造的。这也有助于解释我们如何应对不安全的系统。信息安全的基本问题是方法混合不好。人们可以更有力地宣称而现代技术总体上并不能很好地融合。然而，在许多人们不必密切参与技术的情况。如果组合优化专家找到了安排飞机的方法为了减少航班间隔时间，社会将从中受益从而提高效率。然而，所有的乘客很可能会注意到他们的票价有点低，或者他们可以找到更方便的联系方式。他们不必知道关于所使用的复杂算法的任何内容。同样，要驾驶过桥，我们只需要保证它是安全的，我们不需要了解桥梁中的材料。建造这座桥所用钢材只有它的一半可能花了一个世纪的时间是无关紧要的。我们只是从中受益技术进步，而不必对其了解太多。不幸的是，有了安全，技术只能与人隔离直到某一点。（SSL/TLS的成功在很大程度上归功于它的工作对用户是隐藏的，所以他们不必做太多但这是一个不寻常的情况。）作为信息技术渗透社会，越来越多的人卷入的。一个系统的安全性取决于它最薄弱的环节，而且在大多数情况下案例人是薄弱环节。广泛传播的互联网幽默是“荣誉系统病毒：”这种病毒对荣誉系统起作用。请将此消息转发给您认识的每个人，然后删除所有硬盘上的文件。谢谢合作。我们可以嘲笑这一点，但实际上会弹出电子邮件告诉人们他们的电脑已经被病毒，并告诉他们查找名为“aol.exe”的文件或其他有点模糊，并将其删除。此外，有一定数量的人一定要遵循这些指示，然后在他们无法连接到AOL。这是一种普遍现象的一部分尼日利亚419骗局（“请帮帮我从利比里亚转移3600万美元，我会给你20%”）。社会工程（“我是计算机支持部的乔，我们需要你的修复计算机错误的密码”）仍然是最重要的富有成效的攻击方法。技术专家的标准反应是要求更多更好教育。然而，这在过去并不奏效，也不太可能在未来工作。虽然教育很有用，但反补贴趋势（与[Odlyzko2]中引用的趋势类似），即更多的人将在未来，这些系统将变得越来越复杂。这封信的意思并不是说我们应该采纳失败主义者对信息安全的态度。重点是我们应该现实地看待可以完成的事情。富有成效的比较可能是汽车安全。在过去，它还在继续。汽车的防撞性也更高作为更好的道路工程和更有效的醉酒执法驾驶法规和更多使用安全带使汽车旅行更加安全。在美国，汽车行驶每英里的死亡人数下降到了一个大院1980年至2000年间，按累积系数计算，年增长率为4.7%超过2。然而，由于旅行量的增长（增加了80%），总死亡人数仅从每年50000人下降每年达到42000。此外，在过去几年中死亡人数似乎已趋于稳定。我们的社会已经决定（含蓄地，在没有任何人对此明确投票的情况下）我们愿意忍受每年4.2万人的死亡。措施，如速度限制的大幅降低，或不断降低速度的装置测试驾驶员是否清醒或警觉，是不可接受的。因此，我们设法忍受大量人力司机的限制。在信息和通信技术方面，我们还设法生活在不安全之中。我们很可能会过得很好即使未来系统预计不安全。毕竟，我们生活在物质世界中没有完美的安全保障。锁我们家的门不安全，我们的水电也不安全供应系统。然而，实际上，现有的保障措施就足够了。现在网络空间的问题是，攻击可以更快地进行而且规模比物理领域更大。答案是尽管如此，这并不是要努力构建完全安全的系统这是不可能的。相反，设置足够的“减速带”就足够了减缓攻击并保持其影响可控。原因是方法应该与它在物理世界中的方法相同，也就是说，重要的不仅仅是沟通的内容，而是还有它的背景，以及经济、社会和心理因素为部署安全系统提供保护机制。2.形式方法与人性的不相容安全系统的一个严重问题是它们会成功秘书不可能伪造老板的签名。一如既往在[Odlyzko3]中提到，好的秘书知道什么时候签字是安全的他们的老板要让这些老板的工作量保持可控并加快流动速度有一些证据表明，在流动的组织中对于无纸化办公室，管理人员通常与他们的秘书破坏了这些系统的假定安全。在正式系统中，可以通过构建在委派功能中。然而，根据以往的经验，似乎不太可能同时实现安全性和可接受的灵活性。一般来说，人们喜欢在生活中放松一下。有时这是故意利用的。斯图亚特·哈伯（私人通信）报道称，在营销数字时间戳技术时他和斯科特·斯托内塔发明了，一些会计师确实提出了担忧关于失去追溯文档日期的能力。作为另一个例子，当美国证券交易委员会在2002-2003年作出回应时面对清理公司财务违规行为的压力，它试图让律师负责举报他们遇到的渎职行为。该规则的拟议措辞具有定义[Norris]“重大违规的证据意味着律师有理由相信重大违规行为发生、正在发生或即将发生。”然而，律师们反对这种直截了当的做法替换为“重大违规证据是指基于在这种情况下，对于一个谨慎的人来说是不合理的以及主管律师不得得出以下结论：已发生、正在发生或即将发生重大违规行为。”我们当然可以嘲笑律师，但我们的生活中充满了事例在这里我们延伸了规则。当他们在限速35英里的情况下行驶40英里会收到超速罚单吗？人类生活中也有更深层次的歧义来源。例如，假设你需要去上班，把钥匙留给你和你的邻居一起住房子或公寓，并写上“请让在水管工那里修理热水器。“看起来很简单定义明确的请求。然而，假设在让水管工进来之后，邻居看到水管工让电工进来。你会的当然希望你的邻居能接受这一自然延伸您的请求。假设你的邻居看到了水管工和电工把你的家具搬出去。当然是你在这种情况下，邻居会报警。然而请求很简单：“请让水管工进来修理热水器。”它并没有说要报警。人类话语是基于共同的文化和信息“请让水管工进来修理热水器”体现了基于这种文化的期望。这就是为什么我们不把钥匙留给邻居6岁的孩子女儿带着这样的信息。形式系统中人类问题的一个特别说明性的例子形式推理由Wason选择任务提出。它是一个进化心理学的基石。（参见[ComsidesT]了解更多信息和参考。）在这个任务中，实验对象桌子上放着四张卡片。每张卡片都是关于一个特定的个人、Alice、Bob、Charlie或Donna，并在每一方写上声明关于那个人的行为。受试者的任务是在读卡片的顶面，这些卡片中的哪一张需要移交，以确定个人是否满意一些明确的规则。例如，我们可能会被告知Alice、Bob、，查理和唐娜都住在费城，规则可能是这样的“如果一个人从费城旅行到芝加哥，他或她会坐飞机。”对于每个人来说，卡片的一面说明了他去了哪里，另一个是他们如何到达那里的。爱丽丝卡片的顶部可能会说她去了巴尔的摩，鲍伯可能会说他开车，查理说他去了芝加哥，唐娜说她飞了。对于有逻辑思维的人，很明显，这正是鲍勃和查理的卡片必须交上来。但实际上，只有大约四分之一的受试者能够理解这一点。Wason选择任务令人惊讶的部分是当问题再次出现。假设现在爱丽丝、鲍勃、查理和唐娜据说是家里的孩子，父母有一条规定“如果孩子吃冰淇淋当甜点，他或她必须洗碗饭后。“接下来，假设爱丽丝卡片的顶部写着她吃水果当甜点，鲍勃饭后看电视，查理说他吃了冰淇淋，唐娜说她洗碗。大多数技术专家立即表示，这完全是同一个问题和以前一样，只是措辞有所改变。规则仍然是形式“如果X那么Y”，只有X和Y在这两种情况下不同，所以同样正是鲍伯和查理的牌要上交检查规则是否满足。然而，在普通人群中，与之相比，大约四分之三的人成功完成了这项任务早期版本只有四分之一。此（连同其他其他单词和一些不同设置的实验）被解释为表明我们有专门的心理回路检测社交场合的作弊行为。对大多数人使用正式方法的困难进行的扩展讨论安全系统的构思、开发、，并由技术人员部署。他们属于适应正式制度的人类。他们通常有对人的因素和社会关系缺乏耐心。特别地，他们倾向于期望其他人以他们的方式思考，并且有技巧在形式上思考安全的设计和正确操作系统需要。虽然人们在形式推理方面确实有困难，但我们不应忘记他们在许多计算机不擅长的任务上表现得非常出色。几乎所有四岁的女孩都有能力说话，理解口语，甚至认出人脸我们能够使用的最强大、最复杂的计算机系统生成。这些能力使人们能够在社交场合发挥作用，尤其是应对不安全的系统。特别是，因为信息和通信系统并非孤立运行，以及相反，他们服务于一个复杂的社会，这是有背景的大多数提供额外安全边际的电子交易。3.数字签名与传真签名20世纪80年代是密码学民用研究的黄金时代和安全性。20世纪70年代种植的种子正在发芽技术专家对一个勇敢的新世界的美好希望尚未破灭与他们在20世纪90年代所做的一样清楚的冷现实。然而，20世纪80年代也正是传真时代，传真变得无处不在。通过传真，我们收到传真签名。当安全研究人员开发公钥时基础设施，担心数字签名的定义，传真签名变得越来越普遍，现在起着至关重要的作用在经济中。然而，实际上没有什么比从正式的角度来看，传真签名。人们可以很容易地复制从一个文档到另一个文档的签名，这是无法察觉的在传真上。那么，除了方便胜过安全？一个教训是签名是“请让水管工来修理”热水器“承载着难以正式化的文化包袱。事实证明，普通股没有严格的法律定义签名。我们可能认为我们知道什么是有效的签名，但实际情况相当复杂。“X”很可能是有效的签名，即使是来自通常签名的人全部。（例如，她的手可能打了石膏。）另一方面手，一个非常普通的签名可能是无效的，比如说如果签名者是做的时候喝醉了，或者把枪举在头上。此外，任何数字或物理签名，即使是自愿作出的，对于合同的法律执行可能无效。大多数合同都不允许未成年人签订。即使是成年人不允许执行一些被视为违反的合同社会政策，如将自己或孩子卖为奴隶。我们的法律制度体现了许多不同于社会的文化规范对社会，甚至在社会内部随着时间的变化而变化）。另一个教训是，我们的社会甚至以某种方式运作起来当签名随着传真的传播变得不那么安全时签名。此外，很容易认为传真签名为经济增长做出了巨大贡献。这是怎么发生的？这个因为几乎每个传真通信都有上下文。4.社会、法律和经济制衡虽然传真签名已经广泛使用，但其使用受到了限制。它们不用于具有重大价值的最终合同，例如购房。这意味着传真通信的不安全性不容易利用以获得巨大收益。防止虐待的额外保护传真的不安全性由使用传真的上下文提供。有带传真的电话记录，里面有纸迹此外，意外的大规模资金转移触发审查。因此，成功的欺诈不容易发生通过纯粹的技术手段。内幕人士（如安然、世通和无数其他企业）更危险。我们的商业、政府和学术企业规模庞大有许多正式规则和条例的组织。然而，最重要的是这些企业的运作通常基于各种社会关系和不成文规则。因此，最有效的员工在劳资纠纷管理中的施压策略就是“为统治而工作”。一般来说，社会和组织方面对大型企业甚至整个经济体的了解甚少被低估了。投入资本的标准量化计量或者获得技术并不能解释诸如前东德地区远远落后于前西德德国。还有其他令人困惑的观察结果，例如典型的缺乏重大中断对经济产出的可衡量影响，例如地震和暴风雪。目前正在尝试理解社会是如何运作的，包括对新概念的探索例如“社会资本”。但总的来说，必须这样说我们的知识还很浅薄。信息和通信技术在使我们复杂的社会能够顺利运转，但它的一小部分。这提供了面对正式制度不安全。此外，同样的局限性使安全系统的设计、部署和有效运行变得困难也适用于攻击者。大多数罪犯都很愚蠢。甚至那些不傻的人发现很难遵守安全防范措施是成功犯罪所必需的（例如不显眼的消费他们的非法收益）。即使是像基地组织一样坚定的袭击者曾多次发生安全漏洞。当然，通常的经济激励措施适用于大多数攻击者，即他们追求物质收益、资源有限等。人类社会的自然恢复力再次表明生物防御系统和技术防御系统之间的类比。面对不断演变的对手，但它提供了足够的防御当时的情况。信息安全的标准思维是绝对的需要安全性。然而，我们确实拥有快速增长的显示即使是不完美安全的价值的数据。体验付费电视产业的发展无疑具有指导意义。尽管他们的系统定期破解，结合法律、技术和商业方法保持了该行业的增长和盈利。还有一些加密技术应用于为产品提供锁定功能，如更换打印机墨盒市场[SCC]。通常，只需要实现“减速带”经济价值。5.结论一般的结论是，安全不存在“银弹”。在一个由不适合正式安全的人组成的社会中系统，我们最希望做的就是提供“减速带”将网络攻击的威胁从传统的威胁降低到我们面临的威胁来源。工具书类[Anderson1]R.J.Anderson，责任与计算机安全-九原则，ESORICS 94。可在.[Anderson2]R.J.Anderson，“安全工程-建筑指南《可靠分布式系统》，Wiley，2001年。[CosmidesT]L.Cosmides和J.Tooby，《进化心理学：入门》，可在获取.[Geer]D.Geer，在《风险文摘》中，风险管理就是钱在哪里，第20卷，第6期，1998年11月12日。可在.[Norris]F.Norris，在这场法律双重否定中没有积极因素，纽约《泰晤士报》，2003年1月24日。[Odlyzko1]A.M.Odlyz ko，《电子商务的坎坷之路》，pp。378-389，摘自《WebNet 96-World Conf.Web Soc.Proc.》，H.Maurer编辑。，AACE，1996年。可在.A.M.Odlyzko，《无形的有形问题》计算机：对信息设备持怀疑态度，第一个星期一，第4卷，第9期（1999年9月），.也可在.[Odlyzko3]A.M.Odlyz ko，密码学的丰富性和普及性计算，iMP：信息影响杂志，2000年6月，.也可在.[SCC]Static Control Corporation，计算机芯片在碳粉中的使用墨盒及其对市场的影响：过去、现在和未来，白色2002年10月23日的文件，可在.[Schneier]B.Schneier，“秘密和谎言：数字安全《网络世界》，威利出版社，2000年。[WEIS]经济和信息安全研讨会，5月16-17, 2002. 课程和论文或摘要可在.