本书面向负责计算机系统安全的分析师和架构师，介绍如何使用“对象管理集团”（OMG）的专业知识和独特的标准，以准确地了解现有的软件系统，并为系统安全撰写客观度量标准。 OMG的“保证生态系统”(Assurance Ecosystem)提供了一个通用框架用于发现、整合、分析、部署企业的现有系统，其基础是交换系统的标准协议，由OMG的知识发现元模型（KDM）来定义。此外，业务词汇和业务规则的语义（SBVR）定义了一个标准协议用于交换安全策略规则和保证模式。学习这些标准，可掌握如何利用网络安全知识，自动化地保护企业的系统。

本书描述了对象管理组（OMG）的软件安全保证体系，向协作式的网络安全自动化管理迈出了重要的一步，它提供了一种基于标准的方案以便在计算机系统中建立安全性和还原能力。
—— Joe Jarzombek
美国国土安全部、国家网络安全部门、全球网络安全管理组软件质量保证总监

系统安全保证是一个非常复杂、非常困难的主题。本书详细地描述了如何将不同的现有工具组合起来，以可行的方式系统地开发系统安全保证文档，并可以进行调整以便用于特定的领域。本书还提供了非常有用的实例指导，可供安全评估领域的技术人员和管理人员使用，也可供其他领域的技术人员参考。
—— John P. Hopkinson
Kwictech公司安全战略师

当今社会，企业兼并时有发生，应用整合也持续进行着，系统通常包含多种编程语言和运行平台，既包含新内容，也有遗留内容。这样的混合系统有更多的缺陷，且更容易被攻破。
本书针对这些问题提出了系统化的解决方案，是参与系统安全保证的安全分析师和开发人员的重要参考资源。本书介绍如何使用OMG的专家意见和独特标准以整合现有软件，并构造系统安全保证的客观方案。OMG的软件安全保证体系提供了一个通用框架，以发现、整合、分析并发布企业软件的问题。它的基础是系统事实交换标准协议，由OMG知识发现元模型（KDM）定义。此外，业务词汇和规则的语义（SBVR）定义了一个标准协议，以交换安全策略规则和安全保证模式。将这些标准结合起来，可以学会如何利用网络安全社区的知识，并实现保护系统自动化。

本书特点：
●　揭示黑客为何更了解我们的系统
●　用黑屋子里抓黑猫的示例说明发现系统安全问题的过程与方法
●　提供系统的、可重复的、可支付的安全保证方案
●　用螺栓与螺母的关系生动讲解通用系统安全保证内容的事实模型
●　对OMG的软件安全保证体系协议进行概述，该协议在安全保证论据的指导下，整合了风险、架构和代码分析
●　完整的案例研究，演示OMG软件安全保证体系协议的应用
●　提供在线案例学习，阐释使用自动化工具实现系统安全保证的步骤


Nikolai Mansourov　系统安全保证领域的权威人物，OMG的KDM分析部门CTO，OMG KDM规范的编写者和修订任务小组主席。曾担任Klocwork公司首席科学家和总架构师，以及俄国科学院系统编程研究所的部门主任。此外，他还曾发表50多篇相关的论文。

Djenana Campara　系统安全保证领域的权威人物，OMG的KDM分析部门CEO，OMG董事会成员，并担任系统安全保证任务组的主席。2001年创立了Klocwork公司，并担任CTO。她曾因开创性的静态分析技术而获得多项美国专利，曾发表了多篇关于软件转换的论文，并在《经济学家与安全计算》等刊物中多次引用。

Claude Langton：我还没有听到任何关于谋杀的消息。
　　Hercule Poirot：你不会听到的。因为到目前为止，谋杀还没有发生。要知道，如果在谋杀发生之前就去调查，那么就可以阻止它。
　　　　——阿加莎·克里斯蒂《波洛探案集：黄蜂的巢》
　　系统安全保证类似于侦探，因为侦探大部分时间都在外面搜集证据：采访潜在的证人，或者搜寻一个具有重要意义的“烟头”。搜集证据是至关重要的，证据驱动着调查，调查要遵循事实，而在进行侦探时还应该花些时间来计划如何进行调查。最后，证据要展示在法官和陪审团面前。
　　系统安全保证需要调查系统中的安全漏洞，漏洞是指系统中允许攻击者进行网络犯罪的弱点。系统漏洞可以是有意或无意植入系统中的，也可能是因为遗漏所造成的，甚至是因为存在设计问题的协议造成的。通常来讲，漏洞是跟某一特定种类的系统相关的，即某个系统中的漏洞在其他系统中未必成为漏洞。这正如我们教育孩子时，告诫他们不要跟陌生人讲话，而对于一个销售人员来说，同陌生人讲话是再正常不过的事情了。所以，漏洞是使得网络系统易于遭受攻击的地方，也是导致不安全的地方。
　　系统安全保证相当于在网络遭受攻击之前执行的取证调查。然而，系统安全保证需要搜集足够的证据，以得到一个综合的结论：该系统可防御某种类型的攻击。系统安全保证是确保我们的系统更加安全、更加可靠、可抵抗网络犯罪的一种方法。网络系统的安全风险是现实存在的，在一个新系统投入运行前，必须明白和承认这些风险。最后，广大用户需要明白并承认使用该网络系统的风险。所以，研发人员和公司需要对发布新的网络系统负责，而监管机构和广大用户是“陪审团”，公司需要向他们阐明系统的安全性。系统安全保证是建立清晰的、全面的、可防御的案例，以保证系统可以安全、可靠地运行，并且不存在漏洞。发布系统安全保证案例意味着开诚布公地与“陪审团”交流，解决他们所提出的尖锐问题，以此建立信任。
　　安全保证案例不是单单通过声明就能得到的，其可信度必须要有证据支撑。我们可以搜集很多东西作为证据来支撑关于系统安全性和可靠性的声明。但是不同的证据有着不同的证明能力，有些证据比其他证据更具有说服力。例如：某个著名专家声明“我相信这个投票机是安全的”，这很具有说服力。但是，另一个资深的道德黑客说：“历经五天攻击，我也没能成功入侵这个系统。”这个声明可能更具有说服力。因为它是基于具体的、与所关心的系统直接相关的调查式行动得出的，而不是纯粹的专家意见。显然，第二个声明者对于所关心的系统更了解，这使得第二个声明比第一个更具有说服力。
　　表面上看来，防御方对于系统具有更深刻的认识，并在设计初期就考虑了安全问题以有效避免出现漏洞，从而得到一个健壮的系统。然而，防御方并不能面面俱到。有些系统由商业组件、遗留系统组件和开源组件组成，其安全性是未知的，这样混合得到的系统更加脆弱，易于遭受攻击而被破坏。所以，尽管在系统生命周期的初始阶段就开始考虑了系统的安全性，但系统仍然存在很多未知的缺陷，并且处于开发者的控制范围之外。况且，系统开发者并不能很好地预见会造成网络攻击的漏洞，因为他们缺乏攻击者的视角，即可以设计系统攻击的犯罪潜质。最后，系统知识的生命周期很短，随着开发者不断更换项目，对于之前的系统知识只会慢慢遗忘。所以，只有代码，甚至是机器码才是唯一可信的关于系统的知识。
　　黑客往往比我们更了解我们的系统，这一点我们必须要正视。优秀的黑客不断地研究我们的系统，并找到新颖的方法来入侵我们的系统。他们这样做一是为了好玩，二是为了利益。网络犯罪之所以成为人们讨论的焦点，是因为攻击者在成功入侵系统后，会将攻击方法在黑客之间共享，从而形成更大的犯罪圈。这些犯罪圈中的人则更关注利用这些漏洞来获取利益，而非乐趣。网络犯罪更为严重的是攻击者的规模可以很大，而又分散于世界的各个角落，跨越了国界。黑客们不仅共享攻击技术，还武装自己，编写很容易就可以使用的脚本，使得攻击成为可重复的、可支付的。而今利用我们系统中漏洞的恶意软件已经可以养活有组织的犯罪集团，而这些犯罪集团正在形成更大的犯罪产业。
　　攻击者和防御者都钟爱自动化的代码分析工具，用于检测系统漏洞。然而，事实上双方有根本的不同点：攻击者可以进行特定的或碰巧的漏洞检测，而这些方法却不适合于防御者，防御者需要系统地、精细地了解系统风险并设计安全机制。因此，我们应当把重点放在通过系统、合理地调查安全威胁来实现系统的安全保证上。
　　那么如何才能使得网络防御是系统的、可重复的和可支付的？解决之道在于采用综合治理方案：积累公共网络安全知识，建立自动化的工具来扩大防御者的优势，从而超越攻击者。建立这些协作性方案需要注意如下几个方面。首先，需要标准化的协议将用于处理现代复杂系统的分析工具组织起来。通常，一个公司或者安全研究人员所做的工作有一定的局限性，会使得解决方案有诸多限制、效率低下、方案折中。同时还需要一个支持互操作组件的更大市场，与使用乐高积木块类似，通过不同厂商的组件，组建强健的分析方案。其次，需要开发标准协议以支持网络安全内容的存储和信息交换。为了使得网络安全内容和漏洞知识是可重复的、可支付的，它们必须是机器可识别的，并且对于防御者是可用的。换句话说，对于安全保证来说，既要有工具组成的基本系统，还要有机器可识别的内容。
　　我们之所以将本书命名为《System Assurance: Beyond Detecting Vulnerabilities》，是因为系统的、可重复的、可支付的网络防御远远超出了漏洞检测方面的知识，此外本书还包括系统知识、风险和威胁知识、安全防护知识、安全保证论据知识，以及回答系统为什么安全的相应证据。换句话说，当检测到至少一个潜在漏洞并将其作为证据呈现时，就可以声明系统是不安全的。但是，如果没有检测到任何漏洞，就真的意味着系统是安全的吗？实际上并不是这样的。为了证明系统是安全的，还需要有力的证据，包括：工具被正确使用；在理解不同人编写的代码时，没有任何歧义；没有任何代码被落下，等等。系统安全保证工具远远超出了漏洞检测的范围，它还要包括提供证据以支持系统安全的声明。
　　我们被授权参加正在解决此问题的网络安全社区，其中，对象管理组（Object Management Group，OMG）是一个开放成员的非营利性国际计算机组织，目的是开发企业整合标准。本书介绍了对象管理组的软件安全保证体系（Software Assurance Ecosystem,SAE），这是一个发现、整合、分析、发布现存软件系统中事实的通用框架，它的基础是系统事实交换的标准协议，是对象管理组的知识发现元模型（Knowledge Discovery Metamodel，KDM）。业务词汇和业务规则的语义（Semantics of Business Vocabularies and Business Rules,SBVR）定义了安全策略规则和安全保证模型交换的标准协议。综合使用这些标准，网络安全社区就可以积累并发布机器可识别的网络安全内容，并实现系统保护的自动化。最后，安全保证论据已由对象管理组的软件安全保证案例元模型（Software Assurance Case Metamodel，SACM）定义为机器可识别的内容。我们描述了一个特有的系统安全保证方法，它充分利用了对象管理组的软件安全保证体系标准，最终形成一个综合系统模型（Integrated System Model），该系统是一个通用表示形式，用于系统分析和证据收集。
　　对象管理组（OMG）的软件安全保证体系的核心叫做通用事实模型（Common Fact Model，CFM），它是一个形式化的方法，为信息交换、通用XML交换格式和面向事实的整合建立通用词汇库。
　　本书涉及内容广泛。第一部分（第1～3章）介绍了网络安全基础知识，用于建立系统的、可重复的、可支付的网络防御解决方案，以及对象管理组创建软件安全保证体系的动机。接着讨论了系统安全保证的本质及其与漏洞检测的区别，并简要介绍了对象管理组的软件安全保证体系的标准。对象管理组的软件安全保证体系描述了一个端到端的方法，该体系综合了风险分析、架构分析和代码分析方法来建立一个完整的安全保证方案，该体系以KDM的面向事实的可重复的系统安全保证方法（FactOriented Repeatable System Assurance，FORSA）为基础。
　　第二部分（第4～7章）介绍了网络安全知识的不同方面，以建立网络安全论据。这些知识包括系统知识、与安全威胁和风险相关的知识以及漏洞知识。最后，描述了网络安全内容的新格式，即机器可识别的漏洞模式。在描述网络安全知识时，我们使用业务词汇和业务规则的语义（SBVR）来概述通用网络安全词汇，而这些词汇由通用事实模型和SBVR标准开发生成。
　　第三部分（第8～11章）介绍了对象管理组的软件安全保证体系的协议。首先，介绍了通用事实模型（CFM）方法的细节。然后，描述了业务词汇和业务规则的语义（SBVR）标准。最后，介绍了知识发现元模型（KDM）。读者可以通过阅读规范来了解更多的对象管理组标准。
　　第四部分（第12章）通过一个端到端的案例研究来讲解系统安全保证项目的某些部分，以阐释第3章所定义的系统安全保证方法（System Assurance Methodology，ASM）、综合系统模型和系统安全保证案例。
本书还包括一个在线附录，详细地介绍了如何使用综合系统模型为安全保证案例收集证据。附录是针对技术人员的，并包括了KDM Analytics中KDM Workbench工具的截图。这也是没有将该部分材料作为本书主要部分的原因。
　　本书英文网站是：wwwbookselseviercom,本书英文书号为ISBN 9780123814142可上网查询该附录。也可从华章网站下载：wwwhzbookcom。——编辑注 
　　本书主要面向以下读者：希望更详尽地理解系统安全保证是什么，如何证明一个系统的安全状况，及如何进行综合安全评价；希望了解基于架构的安全评价过程、建立系统安全保证案例和搜集系统安全证据的安全专业人员。
　　安全专业人员在阅读本书后可以熟悉标准的系统安全保证方法。本书还可以引导读者了解对象管理组的知识发现元模型、通用事实模型和相关标准，这有利于建立支持互操作的解决方案，充实网络安全内容，并通过多个工具厂商来形成解决方案。对象管理组软件安全保证体系中越来越多的组件成为开源项目，这对于大学里的安全研究人员、开源软件开发人员具有相当大的吸引力。
　　本书对安全保证研究实验机构也很有价值，因为本书提供了将多种商业工具整合为一个功能强大的、高度自动化的评价方案的蓝图，在这个整合过程中，知识发现元模型（KDM）和通用事实模型（CFM）发挥了巨大作用。
　　安全工具厂商也可以从本书学习如何通过简单的导入导出以插入端到端的方案，从而利用安全体系，并扩大产品市场份额。
　　接受系统安全服务的用户可以从本书受益。除了获得更好、更便宜、更快、更综合的系统安全评估外，还可以了解并非由清晰的、具有说服力的论据所支持的漏洞检测的缺陷。
　　系统设计相关人员也可以从本书受益，本书可以帮助理解开放标准的、协作式网络安全的架构。这样就可以选择最好的工具来满足要求，并要求厂商开发额外的功能，使得工具开发厂商和安全研究人员能够高效地协作。在网络攻击面前，这对于做好安全工作至关重要。

计算机\网络

本书描述的对象管理组（OMG）的软件安全保证体系，向协作式的网络安全自动化管理迈出了重要的一步，它提供了一种基于标准的方案以便在计算机系统中建立安全性和还原能力。
——Joe Jarzombek
美国国土安全部，国家网络安全部门，全球网络安全管理组，软件质量保证总监

系统安全保证是一个非常复杂、非常困难的主题。本书详细地描述了如何将不同的现有工具组合起来，以可行的方式系统地开发系统安全保证文档，并可以进行调整以便用于特定的领域。本书还提供了非常有用的实例指导，可供安全评估领域的技术人员和管理人员使用，也可供其他领域的技术人员参考。
——John P. Hopkinson
Kwictech公司安全战略师

当今社会，企业兼并时有发生，应用整合也持续进行着，系统通常包含多种编程语言和运行平台，既包含新内容，也有遗留内容。这样的混合系统有更多的缺陷，且更容易被攻破。
本书针对这些问题提出了系统化的解决方案，是参与系统安全保证的安全分析师和开发人员的重要参考资源。本书介绍如何使用OMG的专家意见和独特标准以整合现有软件，并构造系统安全保证的客观方案。OMG的安全保证体系提供了一个通用框架，以发现、整合、分析并发布企业软件的问题。它的基础是系统事实交换标准协议，由OMG知识发现元模型（KDM）定义。此外，业务词汇和规则的语义(SBVR)定义了一个标准协议，以交换安全策略规则和安全保证模式。将这些标准结合起来，可以学会如何利用网络安全社区的知识，并实现自动化地保护系统。

本书特点：
 揭示黑客为何更了解我们的系统
 用黑屋子里抓黑猫的示例说明发现系统安全问题的过程与方法
 提供了系统的、可重复的、可支付的安全保证方案
 用螺栓与螺母的关系生动讲解通用系统安全保证内容的事实模型
 对OMG软件安全保证体系协议进行概述，该协议在安全保证论据的指导下，整合了风险、架构和代码分析
 完整的案例研究，演示OMG软件安全保证体系协议的应用
 提供在线的案例学习，阐释了使用自动化工具实现系统安全保证的步骤

公元20世纪末，《TimeLife》杂志将Johannes Gutenberg发明的印刷机评为第二个千年里最为重要的发明，这说明印刷机比其他发明更深刻地影响了人们的生活。麻醉剂和种痘技术的发明革新了医疗领域，汽车和飞机的发明增加了人们的活动范围，电灯的发明也触发了众多的社会变革，但这些发明都不如印刷机的发明对人类的影响大，因为印刷机的发明促进了文化更广范围地传播。
　　印刷机中可交换部件这一概念使得印刷出版具有了灵活性，并成为一场具有如此影响力的变革。很久以前，书都是手工抄写得来的，抄写一本书很可能花费一人一年的时间，显然，只有极少的书可以抄写出来并流传下来。Gutenberg并没有发明印刷术或活字印刷，印刷术早在几千年之前就已经出现了，活字印刷也在一千年前就出现了。尽管是他把活字印刷引入西方并为活字印刷进行了机械化生产的改造，但是，他最重要的贡献在于将这些技术组合使用，并对社会的变革产生了深刻的影响。
　　本书的读者多为计算机从业人员，而计算机在《TimeLife》杂志列表上的排名远低于Gutenberg的印刷机，这一点儿都不奇怪，因为计算机只是在上个千年快结束时才出现的，那时它的影响才刚开始显现。那时我们只经历了计算机对人类产生影响的很小一部分，现在每天对计算机的使用都在迅速地改变着世界。但是，随着计算机快速的发展和革命性的改变，也出现了不少问题，比如：计算机可能被黑客入侵，我们所依赖的、以获得安全和隐私的代码也可能存在缺陷，使得代码并不是按照我们所预期的那样运行。
　　一些安全专家也在尝试使计算机更为安全。本书作者Nikolai Mansourov博士和Djenana Campara女士对OMG的软件质量保证体系所做的贡献，以及编写本书以便提供支持工作，为一场革命性的变革提供了基础，这场变革会改变软件如何决定和展示。基于这些知识，可以对软件获得更深刻的认识，并标识出潜在的漏洞。
　　OMG的软件质量保证体系的主要优势是：以很多人开发的、并被广泛认可的标准为基础。这种基于标准的方法使得软件质量保证体系的组件可以与其他组件进行交换，这些交换可能是为了更高效地处理另一种编程语言。这种方法还使得组件之间可以进行交换，这与Gutenberg所发明的印刷机非常类似。人们正是使用这些组件构建了我们当今所使用的大多数产品。同理，由这个软件质量保证体系提供的可交换性，还能够从本质上改变如何在软件系统内标识缺陷并将其作为证据的方法。
　　软件质量保证（SwA）所基于的标准毫无疑问是至关重要的。贯穿于全书，本书作者详细地阐释了这些根本的标准，以及如何将它们组合起来以形成软件质量保证体系。对他们使计算变得更安全、更可靠方面所做的贡献致以崇高的敬意。
Larry Wagoner博士

Nikolai Mansourov, Djenana Campara著：暂无简介

莫凡 赵见星 杨勇 莫非 译：暂无简介

这不是本轻松的书，无论是对于读者还是译者，都不轻松。最大的难点，不是它谈及的知识，不是它引用的术语，而是它站的角度。不同于其他介绍安全技术的书籍，本书的视野相当开阔，高屋建瓴地指点安全工作可能涉及的每个环节。如果作者的本意是想把安全工作从刺刀见红的战术层面提升到运筹帷幄的战略层面，从各有异同的实践中抽象出广泛适用的理论，那么，他成功地做到了这一点。但是要理解一套理论，显然比掌握一门技术需要更多的思考和精力。
　　我们学习安全技术，总是爱问一个问题：哪款工具最好用？我们总爱幻想掌握那么一款工具，能够一劳永逸地解决所有问题。市面上大多数安全类书籍也迎合了这一需要，对一款或者一类工具进行介绍，当然，其中也不乏优秀者，字里行间不经意就流露出丰富的实战经验，只是我们读着读着，很容易就只见树木不见森林。
　　安全技术领域包含了方方面面，仅凭一款工具甚至仅靠一个高手来包打天下都是强人所难，单枪匹马行侠仗义的英雄年代已经过去，分工合作才是这个时代最基本的生存法则。“安全”二字今天已经进化成一条环环相扣互相依存的产业链，可能涉及不同的工具、不同的社区，如何组织它们最快、最好地达到不同的目的，也许才是更需要安全从业人员关注的问题。
　　本书最大的特点，正是将日常繁琐纷乱的各类安全事务进行概括抽象，根据目的的不同分门别类，又以流程为线索串连起来，让安全人员在跳入茫茫的具体而琐屑的事务海洋之前，能够理清头绪，明确目的，时时刻刻都能回答这样三个简单而为难的问题：“我在做什么”、“我要做什么”以及“我需要做什么”，而不至于在扑面而来的大小事务中迷失了自己，空耗了时间和精力。
　　本书由莫凡、赵见星、杨勇、莫非共同承担了翻译工作，尽管我们在翻译时字斟句酌，但受限于时间和精力，以及自身的经验和视野，译文难免存在疏漏，恳请广大读者包容和不吝斧正。

译者序
序言
前言
第1章为什么黑客更了解我们的系统
11网络操作的风险
12黑客屡次攻击成功的原因
13网络系统防御的挑战
131理解和评估安全风险的难点
132复杂的供应链
133复杂的系统集成
134系统评估方法的局限性
135白盒漏洞测试的限制
136黑盒漏洞测试的限制
14本书内容简介
141成本范围内的系统化和可重复防御措施
142OMG软件安全保证体系
143通用词汇表管理语言模型
15本书目标读者
参考文献
第2章受信产品
21如何确信漆黑房间不存在黑猫
22安全保证性质
221风险评估、安全工程和安全保证
222安全保证案例
23安全保证过程概述
231信任产生
232信任成本
参考文献
第3章如何建立信任
31系统生命周期内的安全保证
32系统安全保证过程中的活动
321项目定义
322项目准备
323安全保证论据开发
324安全架构分析
325证据分析
326安全保证案例交付
参考文献
第4章网络安全论据元素——系统知识
41什么是系统
42系统边界
43系统描述解析
44系统描述的概念承诺
45系统架构
46框架架构例子
47系统元素
48多视角看系统知识
49运营概念
410网络配置
411系统生命周期和安全保证
4111系统生命周期阶段
4112可用系统
4113供应链
4114系统生命周期过程
4115通用词汇表和综合系统模型作用
参考文献
第5章网络安全论据元素——安全威胁知识
51概述
52基本的网络安全元素
521资产
522影响
523威胁
524防御措施
525漏洞
526风险
53威胁识别的通用词汇表
531定义资产的可辨别词汇表
532威胁和危害
533定义损害和影响的可辨别词汇表
534定义威胁的可辨别词汇表
535威胁场景和攻击
536定义漏洞的可辨别词汇表
537定义防御措施的可辨别词汇表
538风险
54系统性威胁识别
55安全保证策略
551损害论据
552入口点论据
553威胁论据
554漏洞论据
555安全需求论据
56威胁识别的安全保证
参考文献
第6章网络安全论据元素——安全漏洞知识
61知识单元的安全漏洞
611漏洞的概念
612知识单元的安全漏洞简史
613漏洞和系统生命周期
614枚举知识产品的漏洞
62漏洞数据库
621USCERT
622开源漏洞数据库
63漏洞生命周期
64NIST安全内容自动化协议（SCAP）体系
641SCAP体系概述
642SCAP体系的信息交换
参考文献
第7章新的安全保证内容——漏洞模式
71当前SCAP体系之外
72厂商无关的漏洞模式
73软件故障模式
731防御措施集合和相应的SFP
732直接损害集合和相应的SFP
74软件故障模式实例
参考文献
第8章OMG软件安全保证体系
81概述
82OMG软件安全保证体系：协助提升网络安全
参考文献
第9章通用安全保证内容事实模型
91系统安全保证内容
92目标
93设计信息交换协议的标准
94权衡与取舍
95信息交换协议
96事实模型的“螺母和螺栓”
961对象
962名词概念
963关于对象存在的事实
964个体概念
965概念间关系
966动词概念
967特征
968条件概念
969视角和视图
9610信息交换和安全保证
9611面向事实的整合
9612事实的自动推导
97事实的表示
971用XML表示事实
972用Prolog表示事实和模式
98通用模式
99系统安全保证事实
参考文献
第10章语义模型
101事实模型和语义模型
102背景
103SBVR概述
104如何使用SBVR
1041简单词汇
1042词汇项
1043陈述
1044用于新概念规范化定义的陈述
105描述元含义的SBVR词汇表
106描述表示形式的SBVR词汇表
107描述外延的SBVR词汇表
108引用模式
109SBVR语义公式
参考文献
第11章系统事实交换标准协议
111背景
112KDM词汇表的组织
1121基础设施层
1122程序元素层
1123资源层
1124抽象层
113发现系统事实的过程
114发现基线系统事实
1141目录视图
1142编译视图
1143数据视图
1144UI视图
1145代码视图
1146平台视图
1147事件视图
115执行架构分析
1151结构视图
1152概念视图
参考文献
第12章案例研究
121引言
122背景
123运营概念
1231执行摘要
1232目的
1233位置
1234运营授权
1235系统架构
1236系统假设
1237外部依赖
1238实现假设
1239与其他系统的接口
12310安全假设
12311外部安全注意事项
12312内部安全注意事项
124SBVR中Clicks2Bricks的业务词汇表和安全策略
125建立综合系统模型
1251建立基线系统模型
1252使用系统架构事实以提升基线模型
126将网络安全事实映射到系统事实
127安全保证案例
参考文献