1、從工程到科學——信息安全知識體系與學科發(fā)展From Engineering up to SciencesInformation Security BoK and Discipline Development,陳鐘 教授、主任北京大學網(wǎng)絡和軟件安全保障教育部重點實驗室信息科學技術學院計算機科學與技術系,2013年6月21日安徽·合肥,第二屆全國信息安全等級保護技術大會,內容提要,現(xiàn)狀與回顧安全：從工程到科學的挑戰(zhàn)

2、學科性質人的因素開放系統(tǒng)安全：從工程到科學的途徑核心論規(guī)范論啟示結束語,2,現(xiàn)狀：從知識結構來看,技能列表+WWHW,Can implement solid security practicesCan perform in depth risk analysisCan configure proper access rights and permissionsCan implement access control

3、Can secure data as it crosses the networkCan implement proper change controlUnderstand methods used to attack resourcesUnderstand the system development life cycleCan perform security auditsCan develop a business c

4、ontinuity planUnderstands laws on and about computer crime,Ability to know What、Why、How and know WHO!,,,,,,,Individual control of personal dataProducts, online services adhere to fair information principlesProtects i

5、ndividual’s right to be left alone,Resilient againstattackProtects confidentiality, integrity, availability of data and systems,Engineering ExcellenceDependable, performs at expected levelsAvailable when needed,Open,

6、 transparent interaction with customers Address issues with products and servicesHelp customers find appropriate solutions,現(xiàn)狀：業(yè)界十年的實踐,Secure by DeploymentNew patch management tools 7 Microsoft Official Curriculum cou

7、rses available at launchOfficial security configuration guidesIntegrated security tools,Secure by DesignMandatory training Built threat modelsConducted code reviews and penetration testingUsed automated code tools

8、Design: Least Privilege,Secure by Default60% less attack surface area by default compared to Windows NT 4.0 SP320+ services changed to be off by defaultService install in a secure state (IIS 6.0 Lockdown Tool),安全框架:

9、SD3+C,CommunicationsWriting Secure Code 2.0Patch Management White Papers,,,Security Development Lifecycle,SDL mapped against Traditional Software Development Lifecycle,,安全軟件工程需要適應軟件即服務的環(huán)境和流程安全軟件工程需要安全架構師全過程開發(fā)與跟蹤！,另一個例

10、子：SEMAT,SEMAT：Software Engineering Method and Theory2009年，由Ivar Jacobson 等三人發(fā)起——尋找軟件工程方法和理論的本質，《SEMAT三年愿景：行動計劃倡議書》中國七所軟件工程學科領先的大學（北大、清華、北航、南大、復旦、武大、上海）為SEMAT的支持單位，并作為SEMAT China Chapter骨干成員，參與了相關的工作和活動最新進展：OMG新標準——軟件工

11、程的本質：內核及語言（2013年3月20日獲得投票通過）,從工程到科學,現(xiàn)狀目標挑戰(zhàn)方法學人度量概念形成,科學與科學方法,科學哲學家和科學家經(jīng)常試圖給何為科學和科學方法提供一個充分的本質主義定義但并不很成功。尼采：科學其實是一種社會的、歷史的和文化的人類活動，它是在發(fā)明而不是在發(fā)現(xiàn)不變的自然規(guī)律。1888 年達爾文曾給科學下過一個定義：“科學就是整理事實、從中發(fā)現(xiàn)規(guī)律，做出結論”：科學的內涵——事實與規(guī)律。反映現(xiàn)實世

12、界各種現(xiàn)象的客觀規(guī)律的知識體系《辭海》1979年版：“科學是關于自然界、社會和思維的知識體系，它是適應人們生產(chǎn)斗爭和階級斗爭的需要而產(chǎn)生和發(fā)展的，它是人們實踐經(jīng)驗的結晶”?！掇o?！?999年版：“科學：運用范疇、定理、定律等思維形式反映現(xiàn)實世界各種現(xiàn)象的本質的規(guī)律的知識體系”法國《百科全書》：“科學首先不同于常識，科學通過分類，以尋求事物之中的條理。此外，科學通過揭示支配事物的規(guī)律，以求說明事物?！?前蘇聯(lián)《大百科全書》：“科學

13、是人類活動的一個范疇，它的職能是總結關于客觀世界的知識，并使之系統(tǒng)化。‘科學’這個概念本身不僅包括獲得新知識的活動，而且還包括這個活動的結果?！薄冬F(xiàn)代科學技術概論》：“可以簡單地說，科學是如實反映客觀事物固有規(guī)律的系統(tǒng)知識?！?工程與科學,工程“工程”是科學的某種應用，通過這一應用，使自然界的物質和能源的特性能夠通過各種結構、機器、產(chǎn)品、系統(tǒng)和過程，以時間最短的和精而少的人力做出高效、可靠且對人類有用的東西。將自然科學的理論應用到

14、具體工農業(yè)生產(chǎn)部門中形成的各學科的總稱。如:水利工程、化學工程、土木建筑工程、遺傳工程、系統(tǒng)工程、生物工程、海洋工程、環(huán)境微生物工程。軟件工程[wiki百科]軟件工程是研究和應用如何以系統(tǒng)性的、規(guī)范化的、可定量的過程化方法去開發(fā)和維護軟件，以及如何把經(jīng)過時間考驗而證明正確的管理技術和當前能夠得到的最好的技術方法結合起來的學科。它涉及到程序設計語言、數(shù)據(jù)庫、軟件開發(fā)工具、系統(tǒng)平臺、標準、設計模式等方面。軟件工程與計算機科學軟件的開

15、發(fā)到底是一門科學還是一門工程，這是一個被爭論了很久的問題。實際上，軟件開發(fā)兼有兩者的特點。但是這并不意味著它們可以被互相混淆。很多人認為軟件工程基于計算機科學和信息科學就如傳統(tǒng)意義上的工程學之于物理和化學一樣。在美國，大約40%的軟件工程師具有計算機科學的學位。在世界其他地方，這個比例也差不多。他們并不一定會每天使用計算機科學方面的知識，但是他們每天都會使用軟件工程方面的知識。,13,重新認識一下計算學科的發(fā)展,今天“計算”成為非常廣泛

16、的概念，軟件工程已經(jīng)發(fā)展成為與計算機科學完全獨立的新學科。,Computer Science to Computing Science,,,,CC2005提出了計算機科學、計算機工程、軟件工程、信息系統(tǒng)與信息技術等若干獨立學科，并給出了如下定義：（今年將推出CC2013）計算機科學涉及計算機理論與算法基礎以及機器人技術、計算機視覺、智能系統(tǒng)、生物信息學等領域，主要研究程序設計方法、計算機網(wǎng)絡、數(shù)據(jù)庫、人機交互技術、人工智能等。計算機

17、工程涉及現(xiàn)代計算機系統(tǒng)、計算機控制設備的軟/硬件設計、制造、實施和維護，它是計算機科學與電子工程的交叉學科，重點解決在軟/硬件和網(wǎng)絡設備的設計過程中面臨的技術問題。軟件工程關注于如何以系統(tǒng)的、可控的、高效的方式開發(fā)和維護高質量軟件的問題，它將計算機科學、數(shù)學、工程學和管理學等基本原理應用于軟件的開發(fā)與維護之中。信息系統(tǒng)是一門對信息進行分類與管理以及研究如何應用的學科，涉及信息管理以及信息系統(tǒng)分析、設計、實施、管理和評價。信息技術是

18、一門針對社會與各種企事業(yè)單位的信息化需求，提供與實施技術解決方案的學科，涉及計算機軟/硬件、計算機網(wǎng)絡等相關技術與產(chǎn)品的選擇、評價、拓展、集成、應用與管理。,Computer Science to Computing Science,IEEE-CS與ACM聯(lián)合組織專家開展了 “軟件工程知識體系”、 “軟件工程專業(yè)課程計劃”和 “軟件工程職業(yè)道德與專業(yè)實踐”等三個研究項目，

19、 并取得了重要進展。IEEE發(fā)布的2.0軟件工程知識體系（SWEBOK） 將軟件工程知識 分解成10個知識域，即 軟件需求、軟件設計、軟件構造、軟件測試、 軟件維護、軟件配置管理、軟件工程管理、 軟件工程過程、軟件工程工具和方法、軟件質量

20、， 并組成一個多級層次化的體系結構。,軟件工程知識體系(SWEBOK),軟件工程知識體系(SWEBOK),SWEBOK Guide V3 已經(jīng)擴展到15個知識域,Status as of 21/08/201215 KA (knowledge areas) are categorized as follows:Practice of SEEducat

21、ional Requirements of SE,15 個知識域（KA）,Software RequirementsSoftware DesignSoftware ConstructionSoftware testingSoftware MaintenanceSoftware Configuration ManagementSoftware Engineering ManagementSoftware Engineerin

22、g ProcessSoftware Engineering models and MethodsSoftware qualitySoftware Engineering Professional Practice,Educational requirements of SE,對軟件工程的教育需求：Software Engineering EconomicsComputing FoundationsMathematical F

23、oundationsEngineering Foundations,看起來都很重要，但是似乎缺少了“本質”！,SEMAT 不是在SWEBOK中屬于那一部分， 而是帶來“顛覆性的”思考角度！,軟件工程與計算機科學差別,例如 Peter McBreen 認為，軟件工程意味著更高程度的嚴謹性與經(jīng)過驗證的流程，并不適合現(xiàn)階段各類型的軟件開發(fā)。Peter McBreen 在著作《So

24、ftware Craftsmanship: The New Imperative》提出了所謂“craftsmanship”的說法，認為現(xiàn)階段軟件開發(fā)成功的關鍵因素，是開發(fā)者的技能，而不是“manufacturing”軟件的流程。,走向安全科學的思考,該開始了嗎？在過去幾十年里，特別是Web出現(xiàn)以來，安全研究已經(jīng)獲得了越來越多的關注和資助。盡管付出了大量努力，但是目前的安全實踐尚未脫離“頭疼醫(yī)頭，腳疼醫(yī)腳”的套路：發(fā)現(xiàn)缺陷、打個補丁、

25、再找缺陷……如此反復。這種就事論事的方法有時稱為“工程”，亦即針對具體問題開發(fā)專門的解決方案。不同于以往的工程化方法，近幾年安全研究界出現(xiàn)了發(fā)展安全科學的勢頭。美國國家科學基金會和美國國防部等主要資助機構啟動了一些項目，嘗試將安全研究提升為一門科學。這些項目背后的動機是建立一套具有較強理論和實證基礎的系統(tǒng)化知識體系，從而使得信息系統(tǒng)安全工程不僅可以抵抗已知攻擊，還能對付未預料到的攻擊。一個讓人引頸以待的愿景是尋求度量標準，例如描述一個

26、系統(tǒng)在哪些情況下、面臨什么樣的威脅時安全性到底如何。,來源：美國NSF資助項目,安全科學的挑戰(zhàn)——共性,安全科學面臨的部分挑戰(zhàn)源于如下事實：計算學科不是一門自然科學，這一點似乎經(jīng)常引起計算機科學家的反省和焦慮。Herbert Simon（司馬賀）在數(shù)年前洞察出，計算科學是一門人工科學。作為人工科學，計算不僅需要原理，還需要把通過實證調查獲得的知識進行系統(tǒng)化的方法，盡管這些原理和調查的性質與物理學或生物學中的大相徑庭。不同于對自然世

27、界做出預測，我們要對IT的表達、架構及其實現(xiàn)組織做出斷言。,人是根本、注定科學的社會性,安全與計算的明顯不同首先表現(xiàn)在安全從根本上不能脫離人：它不僅關注人，而且人本身就是安全中的活躍角色。就是因為認識到人是安全中的活躍因素，才導致引入心理學的洞見來理解人們如何概念化私人信息、為什么他們容易受到某種形式的攻擊，以及如何依據(jù)有局限性的注意力和認知能力來協(xié)助他們應對威脅。,開放與封閉,其次，安全從根本上講是一個開放系統(tǒng)問題。如果一個系統(tǒng)

28、可以完全限定，那么除了確保正確性和完整性之外，就沒有其它安全挑戰(zhàn)——因為這種情況下任何入侵都會違反某些假設。系統(tǒng)的開放性意味著參與者及其行為事先不可知。然而，作為一門學科，計算科學一直強烈偏向于處理封閉系統(tǒng)。的確，在我們的語言中根深蒂固的觀念是“系統(tǒng)”總是被明確限定：我們說到“系統(tǒng)”時，絕大多數(shù)情況好像是在說一個我們可以隨意處置的盒子。在我們的想象中，用戶是呆在外面與系統(tǒng)進行交互的。對指導安全測試的啟示：可信組件只以適當?shù)姆?/p>

29、式調用資源接口（功能測試）攻擊者會以任意次序調用資源接口?。ò踩珳y試）,安全科學的基礎——規(guī)范論,Munindar P. Singh一個角度是：可把系統(tǒng)和安全的規(guī)范性描述（Norms）做為我們所尋求的安全科學的基礎。具體來說，當我們在一般意義上考慮系統(tǒng)時，我們應該將用戶和破壞者都視為系統(tǒng)的必要組成部分。即，系統(tǒng)的安全性并不在它的周邊，而正在它的核心。SaaS（System-as-a-Society)：一個系統(tǒng)對應于一個社會，無論

30、是整個人類社會，或者更常見的，是一個適當?shù)奈⑿蜕鐣?。一個安全屬性就是這個系統(tǒng)的一個規(guī)范，就像社會一樣，所謂安全出了問題，實際上就是違反了某些規(guī)范。,來源：Munindar P. Singh,比較：SEMAT——核心論,SEMAT：Software Engineering Method And Theory2009年，由Ivar Jacobson 等三人發(fā)起——尋找軟件工程方法和理論的本質，《SEMAT三年愿景：行動計劃倡議書》，獲得

31、全球SE領域廣泛的支持成果：OMG新標準——軟件工程的本質：內核及語言，（2013年3月20日獲得投票通過）中國七所軟件工程學科領先的大學（北大、清華、北航、南大、復旦、武大、上海）為SEMAT的支持單位，并作為SEMAT China Chapter骨干成員，參與了相關的工作和活動內核方法論不變的本質（內核、粒子）+擴展表達各種SE方法其客觀性由廣泛同意的公共基礎來支撐,規(guī)范與開放系統(tǒng),規(guī)范描述某些應滿足的條件，比如發(fā)生了好事

32、（處于活躍狀態(tài)），或沒發(fā)生壞事（處于安全狀態(tài)）。由單方擁有的單一系統(tǒng)，而且是擁有方從自己的視角進行運作時，抱有這樣的傳統(tǒng)觀念未嘗不可。對于開放系統(tǒng)，一般性約束就不是那么有意義：究竟是好是壞，取決于你在問誰。我們必須把規(guī)范建立在審查（accountability）概念基礎上；當違反了一個規(guī)范時，我們知道是誰違反的。,規(guī)范與度量（測量）,理解“這樣的規(guī)范對安全科學的清晰表述”將是至關重要的。特定的屬性可通過對這些規(guī)范的假設與遵守來

33、證明。我們可以通過量化這些規(guī)范的預期成敗來形成特定的度量標準。,開放系統(tǒng)與身份,處理開放系統(tǒng)的中心觀念是身份（digital identity & identification),,,,Service System,Application System,APPIDM,,,,Service System,Application System,身份管理,brucem@lucent.com,標識密碼與組合公鑰（CPK）,,,,,,

34、vs,科學的標志：概念的精確定義,概念的精確定義是科學的必要組成部分，而且也必然是發(fā)展較慢的一個部分。任何實驗和觀測都建立在相應概念的基礎上。舉例來說，今天測量質量和動量已是常識，但這些概念對中世紀的學者—甚至像伽利略這樣早期的科學家來說并不清楚。從質量、動量和動能等現(xiàn)代概念中，還能看到伽利略的前輩們所談論的原動力（impetus）這個概念的影子，但是今天這個概念已經(jīng)不再作為一個技術概念而存在。安全科學目前尚處在前伽利略階段。我們應

35、該提出并通過各種方式完善我們的假設，并且盡可能地開展測量，我們應該記住，我們所測量的有可能對安全科學至關重要——就像原動力對現(xiàn)代物理學那樣關鍵。,挑選一些例子支持規(guī)范論,敵手模型與安全測試功能測試 vs 安全測試CAPCHA區(qū)別“人 與 機器”的操作風險評估引入決策過程在必要時可以違反規(guī)范及相關的條件其它How to switch off the InternetFuture Internet,其他有益的探索,Blu

36、eprint for a science of cybersecurity : ——Fred B. Schneider we needed to put the construction of secure system onto a firm foundation by given developers a body of laws for predicting the consequences of design and imp

37、lementation choices.Science of cyber security JASON Office MITRE CorporationDoD資助，to examine the theory and practice of cyber-security, evaluate whether there are underlying fundamental principles that would make it

38、possible to adopt a more scientific approach, identify what is needed in creating a science of cyber-security, recommend specific ways in which scientific methods can be applied. “Our study identified several sub-fie

39、lds of computer science that are specifically relevant and also provides some recommendations on further developing the science of cyber-security”.“some Science ：Trust、Cryptography, Game Theory, Obfuscation, Machine Le

40、arning, Composition of components”,來源：The Next Wave Vol 19. No.2 2012,啟示,在大力支持安全工程解決方案的同時，我們應該開始關注安全科學的研究了規(guī)范方法和內核方法都是值得關注和探索的方法論，應該引起國內學者的進一步關注和重視。安全科學應建立在實證研究的基礎上，發(fā)揮產(chǎn)學研合作的優(yōu)勢是十分重要的。安全科學研究不僅終極目標是重要的，其過程對于深化安全認識及提升工程能力更