机密性(confidentiality)、隐私(privacy)、保密(secrecy)之间的比较也很棘手。这些术语明显重叠，但显然又不完全一致。如果我的邻居砍掉了栅栏上的藤蔓，结果他的小孩能看到我的花园并戏弄我的狗，这并没有侵犯了我的机密性。对前任老板的事务守口如瓶，这是保密的责任，而非隐私。

本书将以如下方式使用这些词汇：

● 保密，它是一个技术术语，是指用来限制可以访问信息的主体数量的机制的效果，比如密码学或者计算机访问控制。

● 机密性，指的是为其他人或组织保守你所知道的秘密的职责。

● 隐私，是保护你个人信息的能力和权利，并扩展到防止别人入侵你的个人空间(这个词汇的精确定义在不同的国家里差别很大)的能力和权利。隐私可以扩展到家庭，但不能用在类似公司的法人上。

比如，医院的病人具有隐私权，为维护患者的隐私权，医生、护士和其他员工都有为病人保密的责任。医院对于其业务往来没有隐私权，但那些与业务有利害关系的员工有保密的责任。简而言之，隐私是为个体利益保密，而机密性是为机构利益保密。

更深一层的复杂性在于仅仅保护数据(比如消息的内容)是不够的，我们还必须对元数据进行保护，比如谁对谁的讲话记录。例如，很多国家的法律都规定性传播疾病的治疗是秘密的，然而如果私家侦探能够发现某人同性病诊所交换加密邮件，他就会很容易得出结论，即这个人正在该诊所接受治疗(最近，英国某著名模特打赢了一场对一家小报的隐私诉讼，该小报刊登了她离开戒毒会聚会的照片)。因此，在隐私(或机密性)中，匿名(anonymity)是与保密同样重要的因素。更复杂的是，有些作者把我们所说的保密称为消息内容机密性，将我们所说的匿名称为消息源(或目标)机密性。通常，匿名更难以实现。很难独自地实现匿名，经常需要将自己隐藏在一个群体中。同时，我们的法律准则不是为支持匿名而设计的：与进行实际的窃听相比，警方从电话公司获取逐条列记的账单信息要容易得多，这些信息告诉警方谁给谁打电话(而且经常非常有用)。

真实性(authenticity)与完整性(integrity)的含义也可以出现微妙的变化。在安全协议的学术文献里，真实性意味着完整性加时效性：你已经确定是在和真正的主体通话，而不是之前的消息的重放。在银行业的协议里有类似的思想，如果某个国家的银行法规规定支票在六个月之后无效，那么七个月前开出的未兑现的支票虽然具备完整性(假设没有被改过)，但是不再有效。军事用途中，倾向于将真实性应用到主体身份以及他们发布的命令，而完整性应用到存储的数据。因此，我们可以讨论电子战威胁数据库的完整性(它没有被敌人或者墨菲定律破坏)以及将军的命令的真实性(这和学术上的使用方法有交叉)。不过还有一些奇怪的用法，比如，人们可以谈及由敌方的电子战人员发布的欺骗性命令的真实副本(authentic copy)，这里，真实性表示的是复制与存储动作。与之类似，在犯罪现场的警务人员会谈及保持伪造签名的支票的完整性，方法是将它放置到证据袋中。

最后，我们还要澄清一些术语，这些术语用于描述我们要达到的目标。弱点(vulnerability)是系统或环境的一个属性，它与内部或外部威胁(threat)结合，会导致安全失败(security failure)，这是对系统安全策略的违背。安全策略(security policy)是系统保护策略的一种简洁描述(比如，“每个借方都必须有一个等额的贷方与之匹配，所有超过1000美元的交易必须得到两名经理的许可”)。安全目标(security target)是更加详细的规范，阐明了在特定产品中实现安全策略的方法——加密和数字签名机制、访问控制、审计日志等等，同时该规范还被用作评价设计者和实现者是否妥善完成工作的准绳。在这两个级别之间，你还会发现保护轮廓(protection profile)，它与安全目标很像，区别在于保护轮廓是以与设备完全无关的方式撰写的，从而可以在不同产品之间、同一产品的不同版本之间进行对比评价。在本书后面章节中，我将详细阐述安全策略、安全目标和保护轮廓。一般来讲，保护这个词指的是一种特性，比如机密性或完整性，它是以抽象的方式定义的，我们要在一般的系统背景下(而不是某一具体实现中)对其进行理解。