08-22：安全方法论：安全建设参考架构体系的核心逻辑到底是什么？

你好，我是你的朋友晓兵。又到了周四的时间，这里是锐安全《安全到底》栏目的第161篇、总第213篇原创文章《安全方法论：安全建设参考架构体系的核心逻辑到底是什么？》，今天大约需要4分钟时间，希望能给你带来启发。

从今天起，咱们逐步拆解《安全建设参考架构体系全景图》里“安全方法论”部分的要素，所以要先搞清楚的问题是：为什么要在建设架构里谈方法论，方法论有什么用等问题。

在安全领域里，有一个大家不经常但却总会提及的科学哲学词汇，它就是“范式（paradigm）”。范式本质上讲是一种普适性的理论体系、理论框架。

范式的概念和理论是美国著名科学哲学家托马斯·库恩(Thomas Kuhn)提出并在《科学革命的结构》(The Structure of Scientific Revolutions)（1962）一书中系统阐述的。

范式分为三种类型：一是作为一种信念和形而上学思辨，称为哲学范式或元范式；二是作为一种科学习惯、学术传统、具体的科学成就，称为社会学范式；三是作为一种依靠本身成功示范的工具、解疑难的方法、用来类比的图像，称为人工范式或构造范式。

在库恩看来，“科学革命”的实质就是“范式转换”。是少部分人在广泛接受的科学范式里，发现现有理论解决不了的“例外”，尝试用竞争性的理论取而代之，进而排挤掉“不可通约”的原有范式。比如，从蒸汽机到计算机，可以引起产业结构（范式）的变化。

关于范式的用法，图灵奖获得者、前微软技术研究员吉姆·格雷（Jim Gray）提出了科学发现的四种范式：基于直接观察的第一范式：经验科学；基于观察与归纳推导的第二范式：理论科学；基于数值计算的第三范式：计算科学；基于数据密集型的第四范式：数据科学。

同时也有人提出了基于科学智能与机器猜想的第五范式：智能科学。

范式其实就是“尺度”，不同的尺度有完全不同的逻辑空间，会产生全新的体系和框架，因此范式其实是科学创新的源泉。

而在本文，范式是描述架构的最顶级概念和理论层面的最高共识，因此，安全范式就是安全方法论的底层逻辑，不同范式体系下，就产生了不同的理论、架构、技术与产品。

比如，安全行业里就有“以网络为中心”、“以数据为中心”、以“身份为中心”等不同的范式。

所以，研究安全方法论的意义就在于：它向我们展示了安全的思考之美，扩展了我们安全的认知边界。

当我们掌握了这些方法论的思考逻辑之后，就拥有了一个找到新范式的基本素质，如果我们能够发现一个新的范式，那就能基于该范式定义出新的技术与产品空间，或许能够打开一片新蓝海。

当然，关于《安全建设参考架构体系全景图》里的其它要素，有朋友问了一个这样的问题：“这些框架都学会了，是不是就等于屠龙刀？”

其实这句话是对的。这每一个架构就像一门武功，你学会了天下武功，并不一定会天下第一，但是却拥有了一个最大战斗力的思考工具，用它，可以拆解一切需求、产生任意架构、组成任何解决方案。

恭喜你，又看完了一篇文章。从今天起，和我一起洞察安全本质，这里是锐安全，今天就到这里，咱们下周四再见。

[1]  百度百科.范式.https://baike.baidu.com/item/%E8%8C%83%E5%BC%8F/22773?fr=ge_ala

[2]  微软亚洲研究院.科学智能（AI4Science）赋能科学发现的第五范式.https://zhuanlan.zhihu.com/p/538824926

[3]  刘志毅 经济观察报.第五范式的出现：科学智能+机器猜想 | 数字之道.https://www.thepaper.cn/newsDetail_forward_20959531