合肥等保技术大会

1、从工程到科学从工程到科学信息安全知识体系与学科发展信息安全知识体系与学科发展From Engineering up to SciencesFrom Engineering up to SciencesInformation Security BoK and Discipline DevelopmentInformation Security BoK and Discipline Development陈钟 教授、主任北京大学网络和软件安全保障教育部重点实验室信息科学技术学院计算机科学与技术系2013年6月21日安徽合肥第二届全国信息安全等级保护技术大会内容提要内容提要u现状与回顾现状与回顾u安

2、全：从工程到科学的挑战安全：从工程到科学的挑战学科性质学科性质人的因素人的因素开放系统开放系统u安全：从工程到科学的途径安全：从工程到科学的途径核心论核心论规范论规范论u启示启示u结束语结束语2现状：从知识结构来看现状：从知识结构来看技能列表技能列表+WWHWuCan implement solid security practicesuCan perform in depth risk analysisuCan configure proper access rights and permissionsuCan implement access controluCan secure data

3、 as it crosses the networkuCan implement proper change controluUnderstand methods used to attack resourcesuUnderstand the system development life cycleuCan perform security auditsuCan develop a business continuity planuUnderstands laws on and about computer crimeAbility to know What、Why、How and know

4、 WHO!Individual control of personal dataProducts, online services adhere to fair information principlesProtects individuals right to be left alone Resilient againstattack Protects confidentiality, integrity, availability of data and systemsEngineering ExcellenceDependable, performs at expected level

5、sAvailable when neededOpen, transparent interaction with customers Address issues with products and servicesHelp customers find appropriate solutions现状：业界十年的实践现状：业界十年的实践安全框架安全框架: SD: SD3 3+C +C Security Development LifecycleuSDL mapped against Traditional Software Development Lifecycle安全软件工程需要适应软件即服

6、务的环境和流程安全软件工程需要适应软件即服务的环境和流程安全软件工程需要安全架构师全过程开发与跟踪！安全软件工程需要安全架构师全过程开发与跟踪！另一个例子：另一个例子：SEMATuSEMAT：Software Engineering Method and Theory2009年，由年，由Ivar Jacobson 等三人发起等三人发起寻找软件寻找软件工程方法和理论的本质，工程方法和理论的本质，SEMAT三年愿景：行三年愿景：行动计划倡议书动计划倡议书中国七所软件工程学科领先的大学（北大、清华、中国七所软件工程学科领先的大学（北大、清华、北航、南大、复旦、武大、上海）为北航、南大、复旦、武大、上

7、海）为SEMAT的支的支持单位，并作为持单位，并作为SEMAT China Chapter骨干成员，骨干成员，参与了相关的工作和活动参与了相关的工作和活动u最新进展：最新进展：OMG新标准新标准软件工程的本质软件工程的本质：内核及语言（：内核及语言（2013年年3月月20日获得投票通过日获得投票通过）从工程到科学从工程到科学u现状现状u目标目标u挑战挑战u方法学方法学人人度量度量概念形成概念形成科学与科学方法科学与科学方法u 科学科学 哲学家和科学家经常试图给何为科学和科学方法提供一个充分的本哲学家和科学家经常试图给何为科学和科学方法提供一个充分的本质主义定义但并不很成功。质主义定义但并不很成

8、功。 尼采：科学其实是一种社会的、历史的和文化的人类活动，它是在尼采：科学其实是一种社会的、历史的和文化的人类活动，它是在发明而不是在发现不变的自然规律。发明而不是在发现不变的自然规律。 1888 年达尔文曾给科学下过一个定义：年达尔文曾给科学下过一个定义：“科学就是整理事实、从中科学就是整理事实、从中发现规律，做出结论发现规律，做出结论”：科学的内涵：科学的内涵事实与规律。事实与规律。u 反映现实世界各种现象的客观规律的知识体系反映现实世界各种现象的客观规律的知识体系 辞海辞海1979年版：年版：“科学是关于自然界、社会和思维的知识体系科学是关于自然界、社会和思维的知识体系，它是适应人们生产

9、斗争和阶级斗争的需要而产生和发展的，它是，它是适应人们生产斗争和阶级斗争的需要而产生和发展的，它是人们实践经验的结晶人们实践经验的结晶”。 辞海辞海1999年版：年版：“科学：运用范畴、定理、定律等思维形式反科学：运用范畴、定理、定律等思维形式反映现实世界各种现象的本质的规律的知识体系映现实世界各种现象的本质的规律的知识体系” 法国法国百科全书百科全书：“科学首先不同于常识，科学通过分类，以寻科学首先不同于常识，科学通过分类，以寻求事物之中的条理。此外，科学通过揭示支配事物的规律，以求说求事物之中的条理。此外，科学通过揭示支配事物的规律，以求说明事物。明事物。” 前苏联前苏联大百科全书大百科全

10、书：“科学是人类活动的一个范畴，它的职能科学是人类活动的一个范畴，它的职能是总结关于客观世界的知识，并使之系统化。是总结关于客观世界的知识，并使之系统化。科学科学这个概念本这个概念本身不仅包括获得新知识的活动，而且还包括这个活动的结果。身不仅包括获得新知识的活动，而且还包括这个活动的结果。” 现代科学技术概论现代科学技术概论：“可以简单地说，科学是如实反映客观事可以简单地说，科学是如实反映客观事物固有规律的系统知识。物固有规律的系统知识。”工程与科学工程与科学u 工程工程 “工程工程”是科学的某种应用，通过这一应用，使自然界的物质和能源是科学的某种应用，通过这一应用，使自然界的物质和能源的特性

11、能够通过各种结构、机器、产品、系统和过程，以时间最短的特性能够通过各种结构、机器、产品、系统和过程，以时间最短的和精而少的人力做出高效、可靠且对人类有用的东西。的和精而少的人力做出高效、可靠且对人类有用的东西。 将自然科学的理论应用到具体工农业生产部门中形成的各学科的总将自然科学的理论应用到具体工农业生产部门中形成的各学科的总称。如称。如:水利工程、化学工程、土木建筑工程、遗传工程、系统工程水利工程、化学工程、土木建筑工程、遗传工程、系统工程、生物工程、海洋工程、环境微生物工程。、生物工程、海洋工程、环境微生物工程。u 软件工程软件工程wiki百科百科 软件工程是研究和应用如何以系统性的、规范

12、化的、可定量的过程软件工程是研究和应用如何以系统性的、规范化的、可定量的过程化方法去开发和维护软件，以及如何把经过时间考验而证明正确的化方法去开发和维护软件，以及如何把经过时间考验而证明正确的管理技术和当前能够得到的最好的技术方法结合起来的学科。它涉管理技术和当前能够得到的最好的技术方法结合起来的学科。它涉及到程序设计语言、数据库、软件开发工具、系统平台、标准、设及到程序设计语言、数据库、软件开发工具、系统平台、标准、设计模式等方面。计模式等方面。u 软件工程与计算机科学软件工程与计算机科学 软件的开发到底是一门科学还是一门工程，这是一个被争论了很久软件的开发到底是一门科学还是一门工程，这是一

13、个被争论了很久的问题。实际上，软件开发兼有两者的特点。但是这并不意味着它的问题。实际上，软件开发兼有两者的特点。但是这并不意味着它们可以被互相混淆。很多人认为软件工程基于计算机科学和信息科们可以被互相混淆。很多人认为软件工程基于计算机科学和信息科学就如传统意义上的工程学之于物理和化学一样。在美国，大约学就如传统意义上的工程学之于物理和化学一样。在美国，大约40%的软件工程师具有计算机科学的学位。在世界其他地方，这个的软件工程师具有计算机科学的学位。在世界其他地方，这个比例也差不多。他们并不一定会每天使用计算机科学方面的知识，比例也差不多。他们并不一定会每天使用计算机科学方面的知识，但是他们每天

14、都会使用软件工程方面的知识。但是他们每天都会使用软件工程方面的知识。13重新认识一下计算学科的发展重新认识一下计算学科的发展u今天今天“计算计算”成为非常广泛的概念，成为非常广泛的概念，软件工程软件工程已经发展成为与计算机科学完全已经发展成为与计算机科学完全独立的新学科独立的新学科。Computer Science to Computing ScienceuCC2005提出了计算机科学、计算机工程、软件工程、信息系统与信息提出了计算机科学、计算机工程、软件工程、信息系统与信息技术等若干独立学科，并给出了如下定义：（今年将推出技术等若干独立学科，并给出了如下定义：（今年将推出CC2013）u计算

15、机科学计算机科学涉及计算机理论与算法基础以及机器人技术、计算机视觉、涉及计算机理论与算法基础以及机器人技术、计算机视觉、智能系统、生物信息学等领域，主要研究程序设计方法、计算机网络、智能系统、生物信息学等领域，主要研究程序设计方法、计算机网络、数据库、人机交互技术、人工智能等。数据库、人机交互技术、人工智能等。u计算机工程计算机工程涉及现代计算机系统、计算机控制设备的软涉及现代计算机系统、计算机控制设备的软/硬件设计、制硬件设计、制造、实施和维护，它是计算机科学与电子工程的交叉学科，重点解决在造、实施和维护，它是计算机科学与电子工程的交叉学科，重点解决在软软/硬件和网络设备的设计过程中面临的技

16、术问题。硬件和网络设备的设计过程中面临的技术问题。u软件工程软件工程关注于如何以系统的、可控的、高效的方式开发和维护高质量关注于如何以系统的、可控的、高效的方式开发和维护高质量软件的问题，它将计算机科学、数学、工程学和管理学等基本原理应用软件的问题，它将计算机科学、数学、工程学和管理学等基本原理应用于软件的开发与维护之中。于软件的开发与维护之中。u信息系统信息系统是一门对信息进行分类与管理以及研究如何应用的学科，涉及是一门对信息进行分类与管理以及研究如何应用的学科，涉及信息管理以及信息系统分析、设计、实施、管理和评价。信息管理以及信息系统分析、设计、实施、管理和评价。u信息技术信息技术是一门针

17、对社会与各种企事业单位的信息化需求，提供与实施是一门针对社会与各种企事业单位的信息化需求，提供与实施技术解决方案的学科，涉及计算机软技术解决方案的学科，涉及计算机软/硬件、计算机网络等相关技术与硬件、计算机网络等相关技术与产品的选择、评价、拓展、集成、应用与管理。产品的选择、评价、拓展、集成、应用与管理。Computer Science to Computing ScienceIEEE-CS与与ACM联合组织专家开展了联合组织专家开展了 “软件工程知识体系软件工程知识体系”、 “软件工程专业课程计划软件工程专业课程计划”和和 “软件工程职业道德与专业实践软件工程职业道德与专业实践”等三个研究项

18、目，等三个研究项目， 并取得了重要进展。并取得了重要进展。IEEE发布的发布的2.0软件工程知识体系（软件工程知识体系（SWEBOK） 将将软件工程知识软件工程知识 分解成分解成10个知识域个知识域，即，即 软件需求、软件设计、软件构造、软件测试、软件需求、软件设计、软件构造、软件测试、 软件维护、软件配置管理、软件工程管理、软件维护、软件配置管理、软件工程管理、 软件工程过程、软件工程工具和方法、软件质量软件工程过程、软件工程工具和方法、软件质量， 并组成一个多级层次化的体系结构。并组成一个多级层次化的体系结构。软件工程知识体系软件工程知识体系(SWEBOK)软件工程知识体系软件工程知识体系

19、(SWEBOK)软件工程知识体系（SWEBOK）软件设计基本概念关键问题结构与体系结构质量分析与评价设计符号策略与方法软件测试基本概念和定义测试级别测试技术测试相关度量测试过程管理软件需求需求工程过程需求获取需求分析需求规格说明需求验证需求管理软件构造降低复杂性预知多样性结构化验证使用外部标准软件维护基本概念维护过程关键问题维护技术软件配置管理配置过程管理配置标识配置控制配置状态报告配置审计软件发布管理与交付软件工程管理组织管理过程项目管理软件工程度量软件工程过程软件过程概念过程基础设施过程度量过程定义定性过程分析过程实施与变更软件工程工具与方法软件工具软件方法软件质量软件质量概念SQA和V&

20、amp;V目的与计划SQA和V&V活动与技术适用于SQA和V&V的度量SWEBOK Guide V3 已经扩展到已经扩展到15个知识域个知识域uStatus as of 21/08/2012u15 KA (knowledge areas) are categorized as follows:Practice of SEEducational Requirements of SE15 个知识域（个知识域（KA）uSoftware RequirementsuSoftware DesignuSoftware ConstructionuSoftware testinguSoftwar

21、e MaintenanceuSoftware Configuration ManagementuSoftware Engineering ManagementuSoftware Engineering ProcessuSoftware Engineering models and MethodsuSoftware qualityuSoftware Engineering Professional PracticeEducational requirements of SEu对软件工程的教育需求：对软件工程的教育需求：Software Engineering EconomicsComputing

22、 FoundationsMathematical FoundationsEngineering Foundations看起来都很重要，但是似乎缺少了看起来都很重要，但是似乎缺少了“本质本质”！SEMAT 不是在不是在SWEBOK中属于那一部分，中属于那一部分， 而是带来而是带来“颠覆性的颠覆性的”思考角度！思考角度！软件工程与计算机科学差别软件工程与计算机科学差别软件工程软件工程计算机科学计算机科学目标目标在在时间时间、资源资源、人员人员这这3个主要限制条件下构个主要限制条件下构建满足用户需求的建满足用户需求的软件软件系统。系统。探索正确的计算和建模方法，从而改进计算方探索正确的计算和建模方法

23、，从而改进计算方法本身。法本身。产品产品软件（比如办公包和软件（比如办公包和编译器编译器）。）。算法算法（比如希尔排序法）和（比如希尔排序法）和抽象抽象的问题（比如的问题（比如哲学家进餐问题）。哲学家进餐问题）。进度与时进度与时间表间表软件专案软件专案都有特定的进度与都有特定的进度与时间表时间表研究研究专案一般不具有设置的进度与时间表专案一般不具有设置的进度与时间表关注点关注点软件工程关注如何为用户实现软件工程关注如何为用户实现价值价值。软件理论关注的是软件本身运行的软件理论关注的是软件本身运行的原理原理，比如，比如时间复杂度时间复杂度，空间复杂度空间复杂度，和算法的正确性。，和算法的正确性。

24、变化程度变化程度随着随着技术技术和用户和用户需求需求的不断变化，软件开发人的不断变化，软件开发人员员必须时刻调整自己的开发以适应当前的需求。必须时刻调整自己的开发以适应当前的需求。同时软件工程本身也处于不断的发展中。同时软件工程本身也处于不断的发展中。对于某一种特定问题的正确解决方法将永远不对于某一种特定问题的正确解决方法将永远不会改变。会改变。需要的需要的其他知识其他知识相关领域的知识。相关领域的知识。数学数学。著名的探索著名的探索者和教育家者和教育家Barry Boehm， David Parnas，佛瑞德佛瑞德布鲁克斯布鲁克斯。Edsger Dijkstra，高德纳，高德纳， Rober

25、t Tarjan， Peter Slater，艾伦艾伦图灵图灵，姚期智姚期智。著名的著名的实践者实践者John Backus， Dan Bricklin， 蒂姆蒂姆伯纳斯伯纳斯-李李， 林纳斯林纳斯托瓦兹托瓦兹， 理查德理查德马修马修斯托曼斯托曼。无。无。例如例如 Peter McBreen 认为，软件工程意味着更高程度的严谨性与经过验证的流程，并不适合现阶段各类型的认为，软件工程意味着更高程度的严谨性与经过验证的流程，并不适合现阶段各类型的软件开发。软件开发。Peter McBreen 在著作在著作Software Craftsmanship: The New Imperative提出了所谓

26、提出了所谓“craftsmanship”的的说法，认为现阶段软件开发成功的关键因素，是开发者的技能，而不是说法，认为现阶段软件开发成功的关键因素，是开发者的技能，而不是“manufacturing”软件的流程。软件的流程。走向安全科学的思考走向安全科学的思考u该开始了吗？该开始了吗？ 在过去几十年里，特别是在过去几十年里，特别是Web出现以来，安全研究已经获得出现以来，安全研究已经获得了越来越多的关注和资助。尽管付出了大量努力，但是目前了越来越多的关注和资助。尽管付出了大量努力，但是目前的安全实践尚未脱离的安全实践尚未脱离“头疼医头，脚疼医脚头疼医头，脚疼医脚”的套路：发现的套路：发现缺陷、打

27、个补丁、再找缺陷缺陷、打个补丁、再找缺陷如此反复。这种就事论事的如此反复。这种就事论事的方法有时称为方法有时称为“工程工程”，亦即针对具体问题开发专门的解决，亦即针对具体问题开发专门的解决方案。方案。 不同于以往的工程化方法，近几年安全研究界出现了发展安不同于以往的工程化方法，近几年安全研究界出现了发展安全科学的势头。美国国家科学基金会和美国国防部等主要资全科学的势头。美国国家科学基金会和美国国防部等主要资助机构启动了一些项目，尝试将安全研究提升为一门科学。助机构启动了一些项目，尝试将安全研究提升为一门科学。这些项目背后的动机是这些项目背后的动机是建立一套具有较强理论和实证基础的建立一套具有较

28、强理论和实证基础的系统化知识体系，从而使得信息系统安全工程不仅可以抵抗系统化知识体系，从而使得信息系统安全工程不仅可以抵抗已知攻击，还能对付未预料到的攻击。已知攻击，还能对付未预料到的攻击。一个让人引颈以待的一个让人引颈以待的愿景是寻求度量标准，例如描述一个系统在哪些情况下、面愿景是寻求度量标准，例如描述一个系统在哪些情况下、面临什么样的威胁时安全性到底如何。临什么样的威胁时安全性到底如何。 来源：美国来源：美国NSF资助项目资助项目安全科学的挑战安全科学的挑战共性共性u安全科学面临的部分挑战源于如下事实：计算安全科学面临的部分挑战源于如下事实：计算学科不是一门自然科学，这一点似乎经常引起学科

29、不是一门自然科学，这一点似乎经常引起计算机科学家的反省和焦虑。计算机科学家的反省和焦虑。Herbert Simon（司马贺）在数年前洞察出，计算（司马贺）在数年前洞察出，计算科学是一门人工科学。科学是一门人工科学。作为人工科学，计算不仅需要作为人工科学，计算不仅需要原理原理，还需要把通过，还需要把通过实证实证调查获得的调查获得的知识知识进行进行系统化系统化的方法，尽管这些的方法，尽管这些原理和调查的性质与物理学或生物学中的大相径庭原理和调查的性质与物理学或生物学中的大相径庭。不同于对自然世界做出预测，我们要对不同于对自然世界做出预测，我们要对IT的表达、的表达、架构及其实现组织做出断言。架构及

30、其实现组织做出断言。 人是根本、注定科学的社会性人是根本、注定科学的社会性u安全与计算的明显不同安全与计算的明显不同首先表现在安全从根本上不能脱离人：它不首先表现在安全从根本上不能脱离人：它不仅关注人，而且人本身就是安全中的活跃角仅关注人，而且人本身就是安全中的活跃角色。色。就是因为认识到人是安全中的活跃因素，才就是因为认识到人是安全中的活跃因素，才导致引入心理学的洞见来理解人们如何概念导致引入心理学的洞见来理解人们如何概念化私人信息、为什么他们容易受到某种形式化私人信息、为什么他们容易受到某种形式的攻击，以及如何依据有局限性的注意力和的攻击，以及如何依据有局限性的注意力和认知能力来协助他们应

31、对威胁。认知能力来协助他们应对威胁。 开放与封闭开放与封闭u其次，安全从根本上讲是一个开放系统问题。其次，安全从根本上讲是一个开放系统问题。 如果一个系统可以完全限定，那么除了确保正确性和完整性如果一个系统可以完全限定，那么除了确保正确性和完整性之外，就没有其它安全挑战之外，就没有其它安全挑战因为这种情况下任何入侵都因为这种情况下任何入侵都会违反某些假设。会违反某些假设。 系统的开放性意味着参与者及其行为事先不可知。系统的开放性意味着参与者及其行为事先不可知。 然而，作为一门学科，计算科学一直强烈偏向于处理封闭系然而，作为一门学科，计算科学一直强烈偏向于处理封闭系统。统。 的确，在我们的语言中

32、根深蒂固的观念是的确，在我们的语言中根深蒂固的观念是“系统系统”总是被明总是被明确限定：我们说到确限定：我们说到“系统系统”时，绝大多数情况好像是在说一时，绝大多数情况好像是在说一个我们可以随意处置的盒子。个我们可以随意处置的盒子。 在我们的想象中，用户是呆在外面与系统进行交互的。在我们的想象中，用户是呆在外面与系统进行交互的。u对指导安全测试的启示：对指导安全测试的启示： 可信组件只以适当的方式调用资源接口（功能测试）可信组件只以适当的方式调用资源接口（功能测试） 攻击者会以任意次序调用资源接口！（安全测试）攻击者会以任意次序调用资源接口！（安全测试）安全科学的基础安全科学的基础规范论规范论

33、uMunindar P. Singhu一个角度是：可把系统和安全的规范性描述（一个角度是：可把系统和安全的规范性描述（Norms）做为我们所寻求的安全科学的基础。）做为我们所寻求的安全科学的基础。具体来说，当我们在一般意义上考虑系统时，具体来说，当我们在一般意义上考虑系统时，我们我们应该将用户和破坏者都视为系统的必要组成部分。应该将用户和破坏者都视为系统的必要组成部分。即，系统的安全性并不在它的周边，而正在它的核即，系统的安全性并不在它的周边，而正在它的核心。心。SaaS（System-as-a-Society)：一个系统对应于一个：一个系统对应于一个社会，无论是整个人类社会，或者更常见的，是

34、一社会，无论是整个人类社会，或者更常见的，是一个适当的微型社会。个适当的微型社会。一个安全属性就是这个系统的一个规范，就像社会一个安全属性就是这个系统的一个规范，就像社会一样，所谓安全出了问题，实际上就是违反了某些一样，所谓安全出了问题，实际上就是违反了某些规范。规范。 来源：来源：Munindar P. Singh比较：比较：SEMAT核心论核心论uSEMAT：Software Engineering Method And Theory2009年，由年，由Ivar Jacobson 等三人发起等三人发起寻找软件寻找软件工程方法和理论的本质，工程方法和理论的本质，SEMAT三年愿景：行三年愿景

35、：行动计划倡议书动计划倡议书，获得全球，获得全球SE领域广泛的支持领域广泛的支持成果：成果：OMG新标准新标准软件工程的本质：内核及软件工程的本质：内核及语言，（语言，（2013年年3月月20日获得投票通过）日获得投票通过）中国七所软件工程学科领先的大学（北大、清华、中国七所软件工程学科领先的大学（北大、清华、北航、南大、复旦、武大、上海）为北航、南大、复旦、武大、上海）为SEMAT的支的支持单位，并作为持单位，并作为SEMAT China Chapter骨干成员，骨干成员，参与了相关的工作和活动参与了相关的工作和活动u内核方法论内核方法论不变的本质（内核、粒子）不变的本质（内核、粒子）+扩展

36、表达各种扩展表达各种SE方法方法其客观性由广泛同意的公共基础来支撑其客观性由广泛同意的公共基础来支撑规范与开放系统规范与开放系统u规范描述某些应满足的条件，比如发生了好事规范描述某些应满足的条件，比如发生了好事（处于活跃状态），或没发生坏事（处于安全（处于活跃状态），或没发生坏事（处于安全状态）。状态）。由单方拥有的单一系统，而且是拥有方从自己的视由单方拥有的单一系统，而且是拥有方从自己的视角进行运作时，抱有这样的传统观念未尝不可。角进行运作时，抱有这样的传统观念未尝不可。u对于开放系统，一般性约束就不是那么有意义对于开放系统，一般性约束就不是那么有意义：究竟是好是坏，取决于你在问谁。：究竟是

37、好是坏，取决于你在问谁。我们必须把规范建立在审查（我们必须把规范建立在审查（accountability）概念）概念基础上；基础上；当违反了一个规范时，我们知道是谁违反的。当违反了一个规范时，我们知道是谁违反的。 规范与度量（测量）规范与度量（测量）u 理解理解“这样的规范对安全科学的清晰表这样的规范对安全科学的清晰表述述”将是至关重要的。将是至关重要的。特定的属性可通过对这些规范的假设与遵守特定的属性可通过对这些规范的假设与遵守来证明。来证明。我们可以通过量化这些规范的预期成败来形我们可以通过量化这些规范的预期成败来形成特定的度量标准。成特定的度量标准。开放系统与身份开放系统与身份u处理开放

38、系统的中心观念是身份（处理开放系统的中心观念是身份（digital identity & identification)OSIDMAppOSAppAPPIDMAPPIDMAPPIDMIDM as ServiceOSAppAPPAPPAPPIDMOSAppServiceServiceIDMServiceIDMServiceIDMOSAppServiceServiceServiceIDMServiceService SystemApplication System身份管理属性管理授权身份认证访问控制审计OSIDMAppAPPIDMOSAppAPPIDMAPPIDMAPPIDMIDM as

39、Service身份管理属性管理授权身份认证访问控制审计OSAppAPPAPPAPPIDMOSAppServiceServiceIDMServiceIDMServiceIDMOSAppServiceServiceServiceIDMServiceService SystemApplication Systemvs科学的标志：概念的精确定义科学的标志：概念的精确定义u 概念的精确定义是科学的必要组成部分，而且也必然概念的精确定义是科学的必要组成部分，而且也必然是发展较慢的一个部分。是发展较慢的一个部分。 任何实验和观测都建立在相应概念的基础上。举例来说，今任何实验和观测都建立在相应概念的基础上。举

40、例来说，今天测量质量和动量已是常识，但这些概念对中世纪的学者天测量质量和动量已是常识，但这些概念对中世纪的学者甚至像伽利略这样早期的科学家来说并不清楚。从质量、动甚至像伽利略这样早期的科学家来说并不清楚。从质量、动量和动能等现代概念中，还能看到伽利略的前辈们所谈论的量和动能等现代概念中，还能看到伽利略的前辈们所谈论的原动力（原动力（impetus）这个概念的影子，但是今天这个概念已经）这个概念的影子，但是今天这个概念已经不再作为一个技术概念而存在。不再作为一个技术概念而存在。u安全科学目前尚处在前伽利略阶段。我们应该提出并安全科学目前尚处在前伽利略阶段。我们应该提出并通过各种方式完善我们的假设，并且尽可能地开展测通过各种方式完善我们的假设，并且尽可能地开展测量，量，u我们应该记住，我们所测量的有可能对安全科学至关我们应该记住，我们所测量的有可能对安全科学至关重要重要就像原动力对现代物理学那样关键。就像原动力对现代物理学那样关键。 挑选一些例子支持规范论挑选一些例子支持规范论u敌手模型与安全测试敌手模型与安全测试功能测试功能测试 vs 安全测试安全测试uCAPCHA区别区别“人人 与与 机器机器”的操作的操作u风险评估引入决策过程风险评估引入决策过程在必要时可以违反规范及相关的条件在必要时可以违反规范及相关的条件u其它其它How to switch off t