合肥等保技術(shù)大會

1、從工程到科學(xué)——信息安全知識體系與學(xué)科發(fā)展From Engineering up to SciencesInformation Security BoK and Discipline Development,陳鐘 教授、主任北京大學(xué)網(wǎng)絡(luò)和軟件安全保障教育部重點實驗室信息科學(xué)技術(shù)學(xué)院計算機科學(xué)與技術(shù)系,2013年6月21日安徽·合肥,第二屆全國信息安全等級保護技術(shù)大會,內(nèi)容提要,現(xiàn)狀與回顧安全：從工程到科學(xué)的挑戰(zhàn)

2、學(xué)科性質(zhì)人的因素開放系統(tǒng)安全：從工程到科學(xué)的途徑核心論規(guī)范論啟示結(jié)束語,2,現(xiàn)狀：從知識結(jié)構(gòu)來看,技能列表+WWHW,Can implement solid security practicesCan perform in depth risk analysisCan configure proper access rights and permissionsCan implement access control

3、Can secure data as it crosses the networkCan implement proper change controlUnderstand methods used to attack resourcesUnderstand the system development life cycleCan perform security auditsCan develop a business c

4、ontinuity planUnderstands laws on and about computer crime,Ability to know What、Why、How and know WHO!,,,,,,,Individual control of personal dataProducts, online services adhere to fair information principlesProtects i

5、ndividual’s right to be left alone,Resilient againstattackProtects confidentiality, integrity, availability of data and systems,Engineering ExcellenceDependable, performs at expected levelsAvailable when needed,Open,

6、 transparent interaction with customers Address issues with products and servicesHelp customers find appropriate solutions,現(xiàn)狀：業(yè)界十年的實踐,Secure by DeploymentNew patch management tools 7 Microsoft Official Curriculum cou

7、rses available at launchOfficial security configuration guidesIntegrated security tools,Secure by DesignMandatory training Built threat modelsConducted code reviews and penetration testingUsed automated code tools

8、Design: Least Privilege,Secure by Default60% less attack surface area by default compared to Windows NT 4.0 SP320+ services changed to be off by defaultService install in a secure state (IIS 6.0 Lockdown Tool),安全框架:

9、SD3+C,CommunicationsWriting Secure Code 2.0Patch Management White Papers,,,Security Development Lifecycle,SDL mapped against Traditional Software Development Lifecycle,,安全軟件工程需要適應(yīng)軟件即服務(wù)的環(huán)境和流程安全軟件工程需要安全架構(gòu)師全過程開發(fā)與跟蹤！,另一個例

10、子：SEMAT,SEMAT：Software Engineering Method and Theory2009年，由Ivar Jacobson 等三人發(fā)起——尋找軟件工程方法和理論的本質(zhì)，《SEMAT三年愿景：行動計劃倡議書》中國七所軟件工程學(xué)科領(lǐng)先的大學(xué)（北大、清華、北航、南大、復(fù)旦、武大、上海）為SEMAT的支持單位，并作為SEMAT China Chapter骨干成員，參與了相關(guān)的工作和活動最新進展：OMG新標(biāo)準(zhǔn)——軟件工

11、程的本質(zhì)：內(nèi)核及語言（2013年3月20日獲得投票通過）,從工程到科學(xué),現(xiàn)狀目標(biāo)挑戰(zhàn)方法學(xué)人度量概念形成,科學(xué)與科學(xué)方法,科學(xué)哲學(xué)家和科學(xué)家經(jīng)常試圖給何為科學(xué)和科學(xué)方法提供一個充分的本質(zhì)主義定義但并不很成功。尼采：科學(xué)其實是一種社會的、歷史的和文化的人類活動，它是在發(fā)明而不是在發(fā)現(xiàn)不變的自然規(guī)律。1888 年達爾文曾給科學(xué)下過一個定義：“科學(xué)就是整理事實、從中發(fā)現(xiàn)規(guī)律，做出結(jié)論”：科學(xué)的內(nèi)涵——事實與規(guī)律。反映現(xiàn)實世

12、界各種現(xiàn)象的客觀規(guī)律的知識體系《辭?！?979年版：“科學(xué)是關(guān)于自然界、社會和思維的知識體系，它是適應(yīng)人們生產(chǎn)斗爭和階級斗爭的需要而產(chǎn)生和發(fā)展的，它是人們實踐經(jīng)驗的結(jié)晶”?！掇o?！?999年版：“科學(xué)：運用范疇、定理、定律等思維形式反映現(xiàn)實世界各種現(xiàn)象的本質(zhì)的規(guī)律的知識體系”法國《百科全書》：“科學(xué)首先不同于常識，科學(xué)通過分類，以尋求事物之中的條理。此外，科學(xué)通過揭示支配事物的規(guī)律，以求說明事物?！?前蘇聯(lián)《大百科全書》：“科學(xué)

13、是人類活動的一個范疇，它的職能是總結(jié)關(guān)于客觀世界的知識，并使之系統(tǒng)化。‘科學(xué)’這個概念本身不僅包括獲得新知識的活動，而且還包括這個活動的結(jié)果?！薄冬F(xiàn)代科學(xué)技術(shù)概論》：“可以簡單地說，科學(xué)是如實反映客觀事物固有規(guī)律的系統(tǒng)知識?！?工程與科學(xué),工程“工程”是科學(xué)的某種應(yīng)用，通過這一應(yīng)用，使自然界的物質(zhì)和能源的特性能夠通過各種結(jié)構(gòu)、機器、產(chǎn)品、系統(tǒng)和過程，以時間最短的和精而少的人力做出高效、可靠且對人類有用的東西。將自然科學(xué)的理論應(yīng)用到

14、具體工農(nóng)業(yè)生產(chǎn)部門中形成的各學(xué)科的總稱。如:水利工程、化學(xué)工程、土木建筑工程、遺傳工程、系統(tǒng)工程、生物工程、海洋工程、環(huán)境微生物工程。軟件工程[wiki百科]軟件工程是研究和應(yīng)用如何以系統(tǒng)性的、規(guī)范化的、可定量的過程化方法去開發(fā)和維護軟件，以及如何把經(jīng)過時間考驗而證明正確的管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法結(jié)合起來的學(xué)科。它涉及到程序設(shè)計語言、數(shù)據(jù)庫、軟件開發(fā)工具、系統(tǒng)平臺、標(biāo)準(zhǔn)、設(shè)計模式等方面。軟件工程與計算機科學(xué)軟件的開

15、發(fā)到底是一門科學(xué)還是一門工程，這是一個被爭論了很久的問題。實際上，軟件開發(fā)兼有兩者的特點。但是這并不意味著它們可以被互相混淆。很多人認(rèn)為軟件工程基于計算機科學(xué)和信息科學(xué)就如傳統(tǒng)意義上的工程學(xué)之于物理和化學(xué)一樣。在美國，大約40%的軟件工程師具有計算機科學(xué)的學(xué)位。在世界其他地方，這個比例也差不多。他們并不一定會每天使用計算機科學(xué)方面的知識，但是他們每天都會使用軟件工程方面的知識。,13,重新認(rèn)識一下計算學(xué)科的發(fā)展,今天“計算”成為非常廣泛

16、的概念，軟件工程已經(jīng)發(fā)展成為與計算機科學(xué)完全獨立的新學(xué)科。,Computer Science to Computing Science,,,,CC2005提出了計算機科學(xué)、計算機工程、軟件工程、信息系統(tǒng)與信息技術(shù)等若干獨立學(xué)科，并給出了如下定義：（今年將推出CC2013）計算機科學(xué)涉及計算機理論與算法基礎(chǔ)以及機器人技術(shù)、計算機視覺、智能系統(tǒng)、生物信息學(xué)等領(lǐng)域，主要研究程序設(shè)計方法、計算機網(wǎng)絡(luò)、數(shù)據(jù)庫、人機交互技術(shù)、人工智能等。計算機

17、工程涉及現(xiàn)代計算機系統(tǒng)、計算機控制設(shè)備的軟/硬件設(shè)計、制造、實施和維護，它是計算機科學(xué)與電子工程的交叉學(xué)科，重點解決在軟/硬件和網(wǎng)絡(luò)設(shè)備的設(shè)計過程中面臨的技術(shù)問題。軟件工程關(guān)注于如何以系統(tǒng)的、可控的、高效的方式開發(fā)和維護高質(zhì)量軟件的問題，它將計算機科學(xué)、數(shù)學(xué)、工程學(xué)和管理學(xué)等基本原理應(yīng)用于軟件的開發(fā)與維護之中。信息系統(tǒng)是一門對信息進行分類與管理以及研究如何應(yīng)用的學(xué)科，涉及信息管理以及信息系統(tǒng)分析、設(shè)計、實施、管理和評價。信息技術(shù)是

18、一門針對社會與各種企事業(yè)單位的信息化需求，提供與實施技術(shù)解決方案的學(xué)科，涉及計算機軟/硬件、計算機網(wǎng)絡(luò)等相關(guān)技術(shù)與產(chǎn)品的選擇、評價、拓展、集成、應(yīng)用與管理。,Computer Science to Computing Science,IEEE-CS與ACM聯(lián)合組織專家開展了 “軟件工程知識體系”、 “軟件工程專業(yè)課程計劃”和 “軟件工程職業(yè)道德與專業(yè)實踐”等三個研究項目，

19、 并取得了重要進展。IEEE發(fā)布的2.0軟件工程知識體系（SWEBOK） 將軟件工程知識 分解成10個知識域，即 軟件需求、軟件設(shè)計、軟件構(gòu)造、軟件測試、 軟件維護、軟件配置管理、軟件工程管理、 軟件工程過程、軟件工程工具和方法、軟件質(zhì)量

20、， 并組成一個多級層次化的體系結(jié)構(gòu)。,軟件工程知識體系(SWEBOK),軟件工程知識體系(SWEBOK),SWEBOK Guide V3 已經(jīng)擴展到15個知識域,Status as of 21/08/201215 KA (knowledge areas) are categorized as follows:Practice of SEEducat

21、ional Requirements of SE,15 個知識域（KA）,Software RequirementsSoftware DesignSoftware ConstructionSoftware testingSoftware MaintenanceSoftware Configuration ManagementSoftware Engineering ManagementSoftware Engineerin

22、g ProcessSoftware Engineering models and MethodsSoftware qualitySoftware Engineering Professional Practice,Educational requirements of SE,對軟件工程的教育需求：Software Engineering EconomicsComputing FoundationsMathematical F

23、oundationsEngineering Foundations,看起來都很重要，但是似乎缺少了“本質(zhì)”！,SEMAT 不是在SWEBOK中屬于那一部分， 而是帶來“顛覆性的”思考角度！,軟件工程與計算機科學(xué)差別,例如 Peter McBreen 認(rèn)為，軟件工程意味著更高程度的嚴(yán)謹(jǐn)性與經(jīng)過驗證的流程，并不適合現(xiàn)階段各類型的軟件開發(fā)。Peter McBreen 在著作《So

24、ftware Craftsmanship: The New Imperative》提出了所謂“craftsmanship”的說法，認(rèn)為現(xiàn)階段軟件開發(fā)成功的關(guān)鍵因素，是開發(fā)者的技能，而不是“manufacturing”軟件的流程。,走向安全科學(xué)的思考,該開始了嗎？在過去幾十年里，特別是Web出現(xiàn)以來，安全研究已經(jīng)獲得了越來越多的關(guān)注和資助。盡管付出了大量努力，但是目前的安全實踐尚未脫離“頭疼醫(yī)頭，腳疼醫(yī)腳”的套路：發(fā)現(xiàn)缺陷、打個補丁、

25、再找缺陷……如此反復(fù)。這種就事論事的方法有時稱為“工程”，亦即針對具體問題開發(fā)專門的解決方案。不同于以往的工程化方法，近幾年安全研究界出現(xiàn)了發(fā)展安全科學(xué)的勢頭。美國國家科學(xué)基金會和美國國防部等主要資助機構(gòu)啟動了一些項目，嘗試將安全研究提升為一門科學(xué)。這些項目背后的動機是建立一套具有較強理論和實證基礎(chǔ)的系統(tǒng)化知識體系，從而使得信息系統(tǒng)安全工程不僅可以抵抗已知攻擊，還能對付未預(yù)料到的攻擊。一個讓人引頸以待的愿景是尋求度量標(biāo)準(zhǔn)，例如描述一個

26、系統(tǒng)在哪些情況下、面臨什么樣的威脅時安全性到底如何。,來源：美國NSF資助項目,安全科學(xué)的挑戰(zhàn)——共性,安全科學(xué)面臨的部分挑戰(zhàn)源于如下事實：計算學(xué)科不是一門自然科學(xué)，這一點似乎經(jīng)常引起計算機科學(xué)家的反省和焦慮。Herbert Simon（司馬賀）在數(shù)年前洞察出，計算科學(xué)是一門人工科學(xué)。作為人工科學(xué)，計算不僅需要原理，還需要把通過實證調(diào)查獲得的知識進行系統(tǒng)化的方法，盡管這些原理和調(diào)查的性質(zhì)與物理學(xué)或生物學(xué)中的大相徑庭。不同于對自然世

27、界做出預(yù)測，我們要對IT的表達、架構(gòu)及其實現(xiàn)組織做出斷言。,人是根本、注定科學(xué)的社會性,安全與計算的明顯不同首先表現(xiàn)在安全從根本上不能脫離人：它不僅關(guān)注人，而且人本身就是安全中的活躍角色。就是因為認(rèn)識到人是安全中的活躍因素，才導(dǎo)致引入心理學(xué)的洞見來理解人們?nèi)绾胃拍罨饺诵畔ⅰ槭裁此麄內(nèi)菀资艿侥撤N形式的攻擊，以及如何依據(jù)有局限性的注意力和認(rèn)知能力來協(xié)助他們應(yīng)對威脅。,開放與封閉,其次，安全從根本上講是一個開放系統(tǒng)問題。如果一個系統(tǒng)

28、可以完全限定，那么除了確保正確性和完整性之外，就沒有其它安全挑戰(zhàn)——因為這種情況下任何入侵都會違反某些假設(shè)。系統(tǒng)的開放性意味著參與者及其行為事先不可知。然而，作為一門學(xué)科，計算科學(xué)一直強烈偏向于處理封閉系統(tǒng)。的確，在我們的語言中根深蒂固的觀念是“系統(tǒng)”總是被明確限定：我們說到“系統(tǒng)”時，絕大多數(shù)情況好像是在說一個我們可以隨意處置的盒子。在我們的想象中，用戶是呆在外面與系統(tǒng)進行交互的。對指導(dǎo)安全測試的啟示：可信組件只以適當(dāng)?shù)姆?/p>

29、式調(diào)用資源接口（功能測試）攻擊者會以任意次序調(diào)用資源接口?。ò踩珳y試）,安全科學(xué)的基礎(chǔ)——規(guī)范論,Munindar P. Singh一個角度是：可把系統(tǒng)和安全的規(guī)范性描述（Norms）做為我們所尋求的安全科學(xué)的基礎(chǔ)。具體來說，當(dāng)我們在一般意義上考慮系統(tǒng)時，我們應(yīng)該將用戶和破壞者都視為系統(tǒng)的必要組成部分。即，系統(tǒng)的安全性并不在它的周邊，而正在它的核心。SaaS（System-as-a-Society)：一個系統(tǒng)對應(yīng)于一個社會，無論

30、是整個人類社會，或者更常見的，是一個適當(dāng)?shù)奈⑿蜕鐣?。一個安全屬性就是這個系統(tǒng)的一個規(guī)范，就像社會一樣，所謂安全出了問題，實際上就是違反了某些規(guī)范。,來源：Munindar P. Singh,比較：SEMAT——核心論,SEMAT：Software Engineering Method And Theory2009年，由Ivar Jacobson 等三人發(fā)起——尋找軟件工程方法和理論的本質(zhì)，《SEMAT三年愿景：行動計劃倡議書》，獲得

31、全球SE領(lǐng)域廣泛的支持成果：OMG新標(biāo)準(zhǔn)——軟件工程的本質(zhì)：內(nèi)核及語言，（2013年3月20日獲得投票通過）中國七所軟件工程學(xué)科領(lǐng)先的大學(xué)（北大、清華、北航、南大、復(fù)旦、武大、上海）為SEMAT的支持單位，并作為SEMAT China Chapter骨干成員，參與了相關(guān)的工作和活動內(nèi)核方法論不變的本質(zhì)（內(nèi)核、粒子）+擴展表達各種SE方法其客觀性由廣泛同意的公共基礎(chǔ)來支撐,規(guī)范與開放系統(tǒng),規(guī)范描述某些應(yīng)滿足的條件，比如發(fā)生了好事

32、（處于活躍狀態(tài)），或沒發(fā)生壞事（處于安全狀態(tài)）。由單方擁有的單一系統(tǒng)，而且是擁有方從自己的視角進行運作時，抱有這樣的傳統(tǒng)觀念未嘗不可。對于開放系統(tǒng)，一般性約束就不是那么有意義：究竟是好是壞，取決于你在問誰。我們必須把規(guī)范建立在審查（accountability）概念基礎(chǔ)上；當(dāng)違反了一個規(guī)范時，我們知道是誰違反的。,規(guī)范與度量（測量）,理解“這樣的規(guī)范對安全科學(xué)的清晰表述”將是至關(guān)重要的。特定的屬性可通過對這些規(guī)范的假設(shè)與遵守來

33、證明。我們可以通過量化這些規(guī)范的預(yù)期成敗來形成特定的度量標(biāo)準(zhǔn)。,開放系統(tǒng)與身份,處理開放系統(tǒng)的中心觀念是身份（digital identity & identification),,,,Service System,Application System,APPIDM,,,,Service System,Application System,身份管理,brucem@lucent.com,標(biāo)識密碼與組合公鑰（CPK）,,,,,,

34、vs,科學(xué)的標(biāo)志：概念的精確定義,概念的精確定義是科學(xué)的必要組成部分，而且也必然是發(fā)展較慢的一個部分。任何實驗和觀測都建立在相應(yīng)概念的基礎(chǔ)上。舉例來說，今天測量質(zhì)量和動量已是常識，但這些概念對中世紀(jì)的學(xué)者—甚至像伽利略這樣早期的科學(xué)家來說并不清楚。從質(zhì)量、動量和動能等現(xiàn)代概念中，還能看到伽利略的前輩們所談?wù)摰脑瓌恿Γ╥mpetus）這個概念的影子，但是今天這個概念已經(jīng)不再作為一個技術(shù)概念而存在。安全科學(xué)目前尚處在前伽利略階段。我們應(yīng)

35、該提出并通過各種方式完善我們的假設(shè)，并且盡可能地開展測量，我們應(yīng)該記住，我們所測量的有可能對安全科學(xué)至關(guān)重要——就像原動力對現(xiàn)代物理學(xué)那樣關(guān)鍵。,挑選一些例子支持規(guī)范論,敵手模型與安全測試功能測試 vs 安全測試CAPCHA區(qū)別“人 與 機器”的操作風(fēng)險評估引入決策過程在必要時可以違反規(guī)范及相關(guān)的條件其它How to switch off the InternetFuture Internet,其他有益的探索,Blu

36、eprint for a science of cybersecurity : ——Fred B. Schneider we needed to put the construction of secure system onto a firm foundation by given developers a body of laws for predicting the consequences of design and imp

37、lementation choices.Science of cyber security JASON Office MITRE CorporationDoD資助，to examine the theory and practice of cyber-security, evaluate whether there are underlying fundamental principles that would make it

38、possible to adopt a more scientific approach, identify what is needed in creating a science of cyber-security, recommend specific ways in which scientific methods can be applied. “Our study identified several sub-fie

39、lds of computer science that are specifically relevant and also provides some recommendations on further developing the science of cyber-security”.“some Science ：Trust、Cryptography, Game Theory, Obfuscation, Machine Le

40、arning, Composition of components”,來源：The Next Wave Vol 19. No.2 2012,啟示,在大力支持安全工程解決方案的同時，我們應(yīng)該開始關(guān)注安全科學(xué)的研究了規(guī)范方法和內(nèi)核方法都是值得關(guān)注和探索的方法論，應(yīng)該引起國內(nèi)學(xué)者的進一步關(guān)注和重視。安全科學(xué)應(yīng)建立在實證研究的基礎(chǔ)上，發(fā)揮產(chǎn)學(xué)研合作的優(yōu)勢是十分重要的。安全科學(xué)研究不僅終極目標(biāo)是重要的，其過程對于深化安全認(rèn)識及提升工程能力更