In Chapter 3, I introduced some bas

Trong chương 3, tôi giới thiệu một số khái niệm cơ bản bảo mật và thuật ngữ. Con số 30.2,một phiên bản hơi sửa đổi của hình 3.9, là một lời nhắc nhở của một số các khái niệm cơ bản. Để giúp bạn hiểu các khái niệm này, hãy xem xét kịch bản sau đây.Duy trì một hệ thống thông tin bệnh viện infomzation cá nhân trên các bệnh nhân vớivấn đề sức khỏe tâm thần và phương pháp điều trị của họ. Vì vấn đề sức khỏe tâm thầnđặc biệt nhạy cảm, nó là cần thiết rằng bệnh nhân bảo mật được duy trì.Hệ thống này đã có thể truy cập từ các bệnh viện khác nhau và phòng khám vì vậy nó cóđược thiết lập để cho người dùng truy cập vào hệ thống thông qua một trình duyệt web. Bệnh việnnhân viên phải đăng nhập vào hệ thống này sử dụng một tên người dùng và mật khẩu. Hệ thốngyêu cầu mật khẩu phải ít nhất tám ký tự dài nhưng cho phép bất kỳ mật khẩuđược thiết lập mà không kiểm tra hơn nữa.Một tên tội phạm được kể lại rằng một ngôi sao thể thao cũng trả đang nhận được điều trị cho tâm thầnvấn đề sức khỏe. Ông muốn truy cập bất hợp pháp thông tin tại đâyHệ thống, do đó, rằng ông có thể tống tiền ngôi sao. Bởi đặt ra như là một thân nhân có liên quanvà nói chuyện với y tá tại bệnh viện sức khỏe tâm thần, ông phát hiện ra làm thế nào đểtruy cập vào hệ thống. Bằng cách kiểm tra tên hiệu, ông phát hiện ra những cái tên của một sốcủa người dân cho phép truy cập. Ông sau đó cố gắng đăng nhập vào hệ thống bằng cáchsử dụng các tên và có hệ thống đoán mật khẩu có thể

In Chapter 3, I introduced some basic security concepts and terminology. Figure 30.2,
a slightly modified version of Figure 3.9, is a reminder of some of these basic concepts. To help you understand these concepts, consider the following scenario.
A hospital information system maintains personal infomzation on patients with
mental health problems and their treatments. As mental health issues are
particularly sensitive, it is essential that patient confidentiality be maintained.
This system has to be accessible from different hospitals and clinics so it has
been set up so that users access the system through a web browser. Hospital
staff must log on to this system using a username and password. The system
requires passwords to be at least eight letters long but allows any password
to be set without further checking.
A criminal is told that a well-paid sports star is receiving treatment for mental
health problems. He would like to gain illegal access to information in this
system so that he can blackmail the star. By posing as a concerned relative
and talking with the nurses in the mental health clinic, he discovers how to
access the system. By checking name badges, he discovers the names of some
of the people allowed access. He then attempts to log on to the system by
using these names and systematically guessing possible passwords