第1章 模式方法 1
1.1 模式概况 1
1.2 模式不是孤立存在的 3
1.3 模式无处不在 3
1.4 以人为本 4
1.5 模式可以解决问题和塑造环境 4
1.6 迈向模式语言 5
1.7 模式文档 6
1.8 模式的历史简介 8
1.9 模式社区及其文化 8
第2章 安全基础 11
2.1 概述 11
2.2 安全分类 12
2.2.1 企业业务战略 12
2.2.2 安全战略和策略 12
2.2.3 属性 14
2.2.4 违规 15
2.2.5 风险管理 15
2.2.6 方法 16
2.2.7 服务 16
2.2.8 机制 17
2.3 安全资源概述 18
第3章 安全模式 21
3.1 安全模式的历史 21
3.2 安全模式的特征 22
3.2.1 示例 22
3.2.2 上下文 23
3.2.3 问题 23
3.2.4 解决方案 24
3.2.5 结论 24
3.2.6 参考 24
3.3 选择安全模式的原因 24
3.3.1 解决方案的误解 24
3.3.2 解决方案的“问题” 25
3.3.3 解决方案的适用场合 25
3.3.4 解决方案的决定性因素 25
3.3.5 解决方案的后果 26
3.3.6 外来经验 26
3.3.7 解决方案以外的事情 26
3.4 挖掘安全模式的方法 26
3.4.1 企业安全标准 27
3.4.2 ISO 17799 27
3.4.3 ISO 13335 28
3.4.4 共同准则 28
3.4.5 IT基准安全防护手册 29
3.4.6 企业和系统体系结构资源 30
3.4.7 NIST 30
3.4.8 SANS协会 30
3.4.9 Burton Group 30
3.4.10 操作和运行时资源 30
3.4.11 计算机事件响应小组 31
3.4.12 黑客团体 31
3.4.13 安全公司 31
3.4.14 软件和IT公司 32
3.4.15 新闻组和邮件列表 32
第4章 模式作用域和企业安全 33
4.1 本书中的模式作用域 33
4.2 组织因素 34
4.2.1 读者视角 34
4.2.2 分离和集成的需要 35
4.3 最终组织 36
4.3.1 安全视图概念 36
4.3.2 模式组织 36
4.4 映射到安全分类 37
4.5 企业架构上下文中的组织 38
第5章 安全模式作用域 43
5.1 企业安全和风险管理模式 43
5.1.1 安全需对企业资产进行身份识别 44
5.1.2 资产评估 44
5.1.3 威胁评估 44
5.1.4 漏洞评估 44
5.1.5 风险确定 44
5.1.6 企业安全方法 44
5.1.7 企业安全服务 44
5.1.8 企业合作伙伴通信 44
5.1.9 其他相关模式 45
5.2 身份识别和验证(I&A)模式 45
5.2.1 I&A需求 46
5.2.2 I&A设计备选方案 46
5.2.3 自动化I&A设计备选方案 46
5.2.4 物理和程序性I&A 47
5.2.5 密码设计和使用 47
5.2.6 生物测定设计备选方案 47
5.2.7 面部识别 47
5.2.8 指纹 47
5.2.9 手形 47
5.2.10 虹膜识别 47
5.2.11 视网膜扫描 47
5.2.12 签名验证 48
5.2.13 语音验证 48
5.2.14 PKI设计变量 48
5.2.15 硬件令牌设计备选方案 48
5.2.16 磁卡 48
5.2.17 一次性密码令牌 48
5.2.18 智能卡 48
5.2.19 未注册用户I&A需求 49
5.2.20 行动者注册 49
5.3 访问控制模型模式 49
5.3.1 授权 49
5.3.2 基于角色的访问控制 50
5.3.3 多级安全 50
5.3.4 基准监视器 50
5.3.5 角色权限定义 50
5.4 系统访问控制体系结构模式 50
5.4.1 访问控制需求 51
5.4.2 单访问点 51
5.4.3 检查点 51
5.4.4 安全会话 51
5.4.5 带有错误的完全访问 51
5.4.6 受限访问 51
5.5 操作系统访问控制模式 51
5.5.1 验证器 52
5.5.2 受控流程创建器 52
5.5.3 受控对象工厂 53
5.5.4 受控对象监视器 53
5.5.5 受控虚拟地址空间 53
5.5.6 执行域 53
5.5.7 受控执行环境 53
5.5.8 文件授权 53
5.6 统计模式 53
5.6.1 安全统计需求 54
5.6.2 安全统计设计 54
5.6.3 审计需求 54
5.6.4 审计设计 54
5.6.5 跟踪记录和日志记录需求 55
5.6.6 跟踪记录和日志记录设计 55
5.6.7 入侵检测需求 55
5.6.8 入侵检测设计 55
5.6.9 防抵赖需求 55
5.6.10 防抵赖设计 55
5.6.11 其他相关模式 55
5.7 防火墙体系结构模式 56
5.7.1 数据包过滤防火墙 56
5.7.2 基于代理的防火墙 56
5.7.3 状态防火墙 56
5.8 安全Internet应用程序模式 57
5.8.1 信息隐匿 57
5.8.2 安全通道 57
5.8.3 已知合作伙伴 57
5.8.4 非保护区 58
5.8.5 保护型反向代理 58
5.8.6 集成型反向代理 58
5.8.7 前门 58
5.9 密钥管理模式 58
5.9.1 安全通信 58
5.9.2 密钥生成 59
5.9.3 使用公钥交换会话密钥 59
5.9.4 公钥交换 59
5.9.5 公钥数据库 59
5.9.6 使用服务器端证书交换会话密钥 60
5.9.7 使用证书交换会话密钥 60
5.9.8 认证中心 60
5.9.9 加密智能卡 60
5.9.10 证书撤销 60
5.10 相关安全模式库模式 60
5.10.1 Web应用程序安全 61
5.10.2 可用系统和受保护系统 61
5.10.3 J2EE安全、Web服务和身份管理 61
第6章 企业安全和风险管理 63
6.1 企业资产安全需求标识 65
6.1.1 示例 65
6.1.2 上下文 65
6.1.3 问题 65
6.1.4 解决方案 66
6.1.5 结构 67
6.1.6 动态性 68
6.1.7 实现 68
6.1.8 示例分析 70
6.1.9 已知应用 72
6.1.10 结论 73
6.1.11 参考 74
6.2 资产评估 74
6.2.1 别名 74
6.2.2 示例 74
6.2.3 上下文 75
6.2.4 问题 75
6.2.5 解决方案 75
6.2.6 动态性 75
6.2.7 实现 76
6.2.8 示例分析 79
6.2.9 变体 80
6.2.10 已知应用 80
6.2.11 结论 80
6.3 威胁评估 81
6.3.1 示例 81
6.3.2 上下文 81
6.3.3 问题 81
6.3.4 解决方案 82
6.3.5 动态性 82
6.3.6 实现 83
6.3.7 示例分析 86
6.3.8 已知应用 87
6.3.9 结论 88
6.4 漏洞评估 88
6.4.1 别名 88
6.4.2 示例 88
6.4.3 上下文 89
6.4.4 问题 89
6.4.5 解决方案 89
6.4.6 动态性 90
6.4.7 实现 90
6.4.8 示例分析 94
6.4.9 变体 95
6.4.10 已知应用 96
6.4.11 结论 96
6.5 风险确定 96
6.5.1 别名 97
6.5.2 示例 97
6.5.3 上下文 97
6.5.4 问题 97
6.5.5 解决方案 98
6.5.6 动态性 98
6.5.7 实现 99
6.5.8 示例解析 100
6.5.9 变体 103
6.5.10 已知应用 103
6.5.11 结论 103
6.6 企业安全方法 104
6.6.1 示例 104
6.6.2 上下文 104
6.6.3 问题 104
6.6.4 解决方案 105
6.6.5 结构 105
6.6.6 动态性 105
6.6.7 实现 106
6.6.8 示例分析 110
6.6.9 已知应用 110
6.6.10 结论 112
6.6.11 参考 112
6.7 企业安全服务 112
6.7.1 示例 112
6.7.2 上下文 113
6.7.3 问题 113
6.7.4 解决方案 113
6.7.5 结构 114
6.7.6 实现 114
6.7.7 示例分析 118
6.7.8 已知应用 118
6.7.9 结论 119
6.8 企业合作伙伴通信 120
6.8.1 示例 120
6.8.2 上下文 121
6.8.3 问题 121
6.8.4 解决方案 121
6.8.5 结构 122
6.8.6 实现 122
6.8.7 示例分析 126
6.8.8 变体 127
6.8.9 已知应用 128
6.8.10 结论 128
第7章 身份识别和验证(I&A) 129
7.1 I&A需求 132
7.1.1 示例 132
7.1.2 上下文 133
7.1.3 问题 133
7.1.4 解决方案 133
7.1.5 实现 136
7.1.6 示例分析 138
7.1.7 已知应用 140
7.1.8 结论 140
7.1.9 参考 141
7.2 自动化I&A设计备选方案 141
7.2.1 别名 141
7.2.2 示例 141
7.2.3 上下文 141
7.2.4 问题 142
7.2.5 解决方案 143
7.2.6 实现 143
7.2.7 示例分析 146
7.2.8 已知应用 146
7.2.9 结论 147
7.2.10 参考 147
7.3 密码设计和使用 147
7.3.1 示例 147
7.3.2 上下文 148
7.3.3 问题 148
7.3.4 解决方案 149
7.3.5 结构 149
7.3.6 实现 149
7.3.7 示例分析 154
7.3.8 变体 155
7.3.9 已知应用 155
7.3.10 结论 155
7.3.11 参考 155
7.4 生物识别设计备选方案 156
7.4.1 示例 156
7.4.2 上下文 156
7.4.3 问题 157
7.4.4 解决方案 158
7.4.5 结构 158
7.4.6 动态性 158
7.4.7 实现 159
7.4.8 示例分析 163
7.4.9 已知应用 163
7.4.10 结论 163
7.4.11 参考 164
第8章 访问控制模型 165
8.1 授权 166
8.1.1 示例 166
8.1.2 上下文 166
8.1.3 问题 166
8.1.4 解决方案 166
8.1.5 结构 166
8.1.6 实现 167
8.1.7 示例分析 167
8.1.8 变体 167
8.1.9 已知应用 168
8.1.10 结论 168
8.1.11 参考 168
8.2 基于角色的访问控制 168
8.2.1 示例 168
8.2.2 上下文 169
8.2.3 问题 169
8.2.4 解决方案 169
8.2.5 结构 169
8.2.6 实现 169
8.2.7 示例分析 170
8.2.8 变体 170
8.2.9 已知应用 170
8.2.10 结论 170
8.2.11 参考 171
8.3 多级安全 171
8.3.1 示例 171
8.3.2 上下文 172
8.3.3 问题 172
8.3.4 解决方案 172
8.3.5 结构 172
8.3.6 实现 172
8.3.7 示例分析 173
8.3.8 已知应用 173
8.3.9 结论 173
8.3.10 参考 173
8.4 引用监控 173
8.4.1 别名 174
8.4.2 示例 174
8.4.3 上下文 174
8.4.4 问题 174
8.4.5 解决方案 174
8.4.6 结构 174
8.4.7 动态性 175
8.4.8 实现 175
8.4.9 示例分析 175
8.4.10 已知应用 175
8.4.11 结论 175
8.4.12 参考 176
8.5 角色权限定义 176
8.5.1 示例 176
8.5.2 上下文 176
8.5.3 问题 176
8.5.4 解决方案 177
8.5.5 实现 177
8.5.6 示例分析 178
8.5.7 已知应用 179
8.5.8 结论 179
8.5.9 参考 180
第9章 系统访问控制体系结构 181
9.1 访问控制需求 182
9.1.1 示例 182
9.1.2 上下文 182
9.1.3 问题 183
9.1.4 解决方案 183
9.1.5 实现 185
9.1.6 示例分析 188
9.1.7 已知应用 189
9.1.8 结论 189
9.1.9 参考 190
9.2 单入口点 190
9.2.1 别名 191
9.2.2 示例 191
9.2.3 上下文 191
9.2.4 问题 191
9.2.5 解决方案 192
9.2.6 结构 193
9.2.7 动态性 193
9.2.8 实现 194
9.2.9 示例分析 195
9.2.10 已知应用 196
9.2.11 结论 196
9.2.12 参考 197
9.3 检查点 197
9.3.1 别名 197
9.3.2 示例 197
9.3.3 上下文 198
9.3.4 问题 198
9.3.5 解决方案 198
9.3.6 结构 199
9.3.7 动态性 200
9.3.8 实现 200
9.3.9 示例分析 202
9.3.10 已知应用 202
9.3.11 结论 203
9.3.12 参考 204
9.4 安全会话 204
9.4.1 别名 204
9.4.2 示例 204
9.4.3 上下文 205
9.4.4 问题 205
9.4.5 解决方案 206
9.4.6 结构 206
9.4.7 动态性 207
9.4.8 实现 208
9.4.9 示例分析 209
9.4.10 已知应用 209
9.4.11 结论 209
9.4.12 参考 210
9.5 包含出错的完全访问 210
9.5.1 别名 211
9.5.2 示例 211
9.5.3 上下文 211
9.5.4 问题 211
9.5.5 解决方案 212
9.5.6 结构 213
9.5.7 动态性 213
9.5.8 实现 214
9.5.9 示例分析 214
9.5.10 变体 214
9.5.11 已知应用 215
9.5.12 结论 215
9.5.13 参考 216
9.6 受限制的访问 216
9.6.1 别名 216
9.6.2 示例 216
9.6.3 上下文 217
9.6.4 问题 217
9.6.5 解决方案 217
9.6.6 结构 218
9.6.7 动态性 218
9.6.8 实现 219
9.6.9 变体 220
9.6.10 已知应用 220
9.6.11 结论 221
9.6.12 参考 222
第10章 操作系统访问控制 223
10.1 验证者 223
10.1.1 示例 224
10.1.2 上下文 224
10.1.3 问题 224
10.1.4 解决方案 224
10.1.5 结构 224
10.1.6 动态性 225
10.1.7 实现 225
10.1.8 示例分析 226
10.1.9 变体 226
10.1.10 已知应用 226
10.1.11 结论 227
10.1.12 参考 227
10.2 受控进程创建者 227
10.2.1 示例 227
10.2.2 上下文 227
10.2.3 问题 227
10.2.4 解决方案 228
10.2.5 结构 228
10.2.6 动态性 229
10.2.7 实现 229
10.2.8 示例分析 229
10.2.9 已知应用 229
10.2.10 结论 229
10.2.11 参考 229
10.3 受控对象工厂 230
10.3.1 示例 230
10.3.2 上下文 230
10.3.3 问题 230
10.3.4 解决方案 230
10.3.5 结构 231
10.3.6 动态性 231
10.3.7 实现 232
10.3.8 示例分析 232
10.3.9 已知应用 232
10.3.10 结论 232
10.3.11 参考 232
10.4 受控对象监控器 233
10.4.1 示例 233
10.4.2 上下文 233
10.4.3 问题 233
10.4.4 解决方案 233
10.4.5 结构 233
10.4.6 动态性 234
10.4.7 示例分析 234
10.4.8 已知应用 234
10.4.9 结论 235
10.4.10 参考 235
10.5 受控虚拟地址空间 235
10.5.1 示例 236
10.5.2 上下文 236
10.5.3 问题 236
10.5.4 解决方案 236
10.5.5 结构 236
10.5.6 实现 237
10.5.7 示例分析 237
10.5.8 已知应用 237
10.5.9 结论 237
10.5.10 参考 238
10.6 执行域 238
10.6.1 示例 238
10.6.2 上下文 238
10.6.3 问题 239
10.6.4 解决方案 239
10.6.5 结构 239
10.6.6 示例分析 239
10.6.7 已知应用 240
10.6.8 结论 240
10.6.9 参考 240
10.7 受控的执行环境 240
10.7.1 示例 241
10.7.2 上下文 241
10.7.3 问题 241
10.7.4 解决方案 241
10.7.5 结构 242
10.7.6 动态性 242
10.7.7 示例分析 243
10.7.8 已知应用 243
10.7.9 结论 243
10.7.10 参考 243
10.8 文件授权 244
10.8.1 示例 244
10.8.2 上下文 244
10.8.3 问题 244
10.8.4 解决方案 245
10.8.5 结构 245
10.8.6 动态性 245
10.8.7 实现 246
10.8.8 示例分析 246
10.8.9 已知应用 246
10.8.10 结论 246
10.8.11 参考 247
第11章 统计 249
11.1 安全统计需求 252
11.1.1 示例 252
11.1.2 上下文 253
11.1.3 问题 253
11.1.4 解决方案 254
11.1.5 实现 255
11.1.6 示例分析 256
11.1.7 已知应用 256
11.1.8 结论 257
11.1.9 参考 258
11.2 审计需求 258
11.2.1 示例 258
11.2.2 上下文 258
11.2.3 问题 258
11.2.4 解决方案 259
11.2.5 实现 260
11.2.6 示例分析 261
11.2.7 已知应用 261
11.2.8 结论 263
11.2.9 参考 264
11.3 审计跟踪和记录需求 264
11.3.1 示例 264
11.3.2 上下文 264
11.3.3 问题 264
11.3.4 解决方案 265
11.3.5 实现 267
11.3.6 示例分析 268
11.3.7 已知应用 269
11.3.8 结论 270
11.4 入侵检测需求 270
11.4.1 示例 270
11.4.2 上下文 271
11.4.3 问题 271
11.4.4 解决方案 271
11.4.5 实现 272
11.4.6 示例分析 274
11.4.7 已知应用 275
11.4.8 结论 275
11.4.9 参考 276
11.5 不可抵赖的需求 276
11.5.1 示例 276
11.5.2 上下文 276
11.5.3 问题 276
11.5.4 解决方案 277
11.5.5 实现 278
11.5.6 示例分析 279
11.5.7 已知应用 279
11.5.8 结论 280
第12章 防火墙体系结构 281
12.1 数据包筛选防火墙 282
12.1.1 示例 282
12.1.2 上下文 282
12.1.3 问题 282
12.1.4 解决方案 282
12.1.5 结构 283
12.1.6 动态性 283
12.1.7 实现 284
12.1.8 示例分析 285
12.1.9 已知应用 285
12.1.10 结论 285
12.1.11 另见 286
12.2 基于代理的防火墙 286
12.2.1 别名 286
12.2.2 示例 286
12.2.3 上下文 286
12.2.4 问题 286
12.2.5 解决方案 287
12.2.6 结构 287
12.2.7 动态性 288
12.2.8 实现 288
12.2.9 示例分析 289
12.2.10 已知应用 289
12.2.11 结论 289
12.2.12 参考 289
12.3 状态防火墙 289
12.3.1 示例 290
12.3.2 上下文 290
12.3.3 问题 290
12.3.4 解决方案 290
12.3.5 结构 290
12.3.6 动态性 291
12.3.7 实现 292
12.3.8 示例分析 292
12.3.9 变体 292
12.3.10 已知应用 292
12.3.11 结论 293
12.3.12 参考 293
第13章 安全的Internet应用程序 295
13.1 信息含糊 296
13.1.1 示例 296
13.1.2 上下文 297
13.1.3 问题 297
13.1.4 解决方案 297
13.1.5 结构 298
13.1.6 实现 298
13.1.7 示例分析 300
13.1.8 已知应用 301
13.1.9 结论 301
13.2 安全通道 301
13.2.1 示例 302
13.2.2 上下文 302
13.2.3 问题 302
13.2.4 解决方案 303
13.2.5 结构 303
13.2.6 动态性 304
13.2.7 实现 305
13.2.8 示例分析 306
13.2.9 变体 306
13.2.10 已知应用 307
13.2.11 结论 307
13.3 已知的参与者 307
13.3.1 示例 307
13.3.2 上下文 308
13.3.3 问题 308
13.3.4 解决方案 308
13.3.5 结构 309
13.3.6 动态性 309
13.3.7 实现 311
13.3.8 示例分析 311
13.3.9 已知应用 311
13.3.10 变体 312
13.3.11 结论 312
13.4 解除武装区域 312
13.4.1 示例 312
13.4.2 上下文 313
13.4.3 问题 313
13.4.4 解决方案 314
13.4.5 结构 314
13.4.6 动态性 315
13.4.7 实现 316
13.4.8 示例分析 317
13.4.9 变体 317
13.4.10 已知应用 317
13.4.11 结论 318
13.5 保护反向代理 318
13.5.1 示例 318
13.5.2 上下文 319
13.5.3 问题 319
13.5.4 解决方案 320
13.5.5 结构 320
13.5.6 动态性 321
13.5.7 实现 322
13.5.8 示例分析 323
13.5.9 变体 323
13.5.10 已知应用 323
13.5.11 结论 323
13.5.12 参考 324
13.6 集成反向代理 324
13.6.1 示例 325
13.6.2 上下文 325
13.6.3 问题 326
13.6.4 解决方案 326
13.6.5 结构 326
13.6.6 动态性 326
13.6.7 实现 327
13.6.8 变体 328
13.6.9 已知应用 329
13.6.10 结论 329
13.6.11 参考 330
13.7 前门 330
13.7.1 别名 330
13.7.2 示例 330
13.7.3 上下文 331
13.7.4 问题 331
13.7.5 解决方案 332
13.7.6 结构 332
13.7.7 动态性 332
13.7.8 实现 333
13.7.9 变体 334
13.7.10 已知应用 334
13.7.11 结论 334
13.7.12 参考 335
第14章 案例研究:IP电话 337
14.1 IP电话概述 337
14.2 IP电话的基础 338
14.2.1 IP电话组件 339
14.2.2 终端系统 339
14.2.3 IP电话服务器 339
14.2.4 网关 340
14.2.5 IP电话信令和媒体流 340
14.2.6 高级场景概述 340
14.2.7 假设 341
14.2.8 业务需求 341
14.3 IP电话组件的弱点 342
14.4 IP电话用例 342
14.4.1 进行呼叫 343
14.4.2 登录 343
14.4.3 注销 343
14.4.4 配置个人设置 344
14.4.5 配置管理设置 344
14.4.6 配置系统 345
14.5 使用模式保护IP电话 345
14.5.1 标识资产 346
14.5.2 标识业务因素 346
14.5.3 业务因素和资产之间的关系 347
14.5.4 标识安全需求 347
14.5.5 根据业务因素确定安全类型 347
14.5.6 评估、细化 348
14.6 应用相应的安全模式 349
14.6.1 进行呼叫 350
14.6.2 IP电话服务器的配置 350
14.6.3 配置终端系统 350
14.6.4 注册 351
14.7 总结 351
第15章 辅助概念 353
15.1 安全原理和安全模式 353
15.1.1 基于相对面选择原理 355
15.1.2 基于成熟级别选择原理 357
15.1.3 思想倾向原理简介 360
15.1.4 作为技术问题的安全性 360
15.1.5 作为业务问题的安全性 361
15.1.6 未受控制的访问 361
15.1.7 需要保护 361
15.1.8 需要了解 361
15.1.9 风险无意识 361
15.1.10 管理风险 362
15.1.11 风险避免 362
15.1.12 单点解决方案 362
15.1.13 实体对实体的安全性 362
15.1.14 端对端的安全性 362
15.1.15 违反法律 363
15.1.16 服从法律 363
15.1.17 安全无意识 363
15.1.18 安全性之前的安全 363
15.1.19 含糊的安全性 363
15.1.20 保持开放 364
15.1.21 使其复杂 364
15.1.22 保持简单 364
15.1.23 信任安全性 364
15.1.24 安全地失败 364
15.1.25 信任供应商 364
15.1.26 方法之前的安全性目标 364
15.1.27 堡垒心态 365
15.1.28 基于时间的安全性 365
15.1.29 信任雇员 365
15.1.30 不信任任何人 365
15.1.31 引入体系结构原理 365
15.1.32 安全防护 365
15.1.33 周边防御 365
15.1.34 分隔和征服 366
15.1.35 作为战场的网络 366
15.1.36 和平或战争 366
15.1.37 免疫系统 366
15.1.38 分层的安全性 366
15.1.39 深度防御 366
15.1.40 监视看守者 366
15.1.41 征募用户 367
15.1.42 引入执行原理 367
15.1.43 任何代价的安全性 367
15.1.44 投资收益 367
15.1.45 搁置安全性 367
15.1.46 每种改变中的安全性 367
15.1.47 忽略安全补丁 367
15.1.48 主动控制和维护 368
15.1.49 等待审计员 368
15.1.50 通过时间成熟 368
15.1.51 只有自顶向下的途径 368
15.1.52 问题驱动 368
15.1.53 到分析为止 368
15.1.54 协作 368
15.1.55 忽略安全事故 369
15.1.56 响应安全事故 369
15.2 使用误用案例增强安全模式 369
15.2.1 基本概念 369
15.2.2 表示安全模式 370
15.2.3 在组织和用户级别中的安全模式 372
15.2.4 参考 373
第16章 结束语 375
16.1 复杂性是安全性最坏的敌人 375
16.2 安全性完全是关于对总是有限的资源的权衡 375
16.3 只有将其分解为可管理的部分才可以处理复杂性 376
16.4 使用它们,给出反馈,作出贡献 376
16.5 问题反馈 377
参考文献 379