【正文】 邏輯訪問控制通常最后使用入侵檢測系統(tǒng)，包括發(fā)送一個 TCP RESET（ RST）分組給非授權(quán)網(wǎng)絡(luò)通信的發(fā)送源。入侵檢測系統(tǒng)安裝在周邊防火墻內(nèi)和防火墻外結(jié)果不同。表 181列出了不同用戶類型對 KMI/PKI的需求。 KMI/PKI服務(wù) 第一種服務(wù)是對稱密鑰的產(chǎn)生和分發(fā)。數(shù)字證書（ ）恰恰能將公 /私密鑰對中的公鑰部分與其擁有者的身份綁定在一起，并使用密碼技術(shù)保證這種綁定關(guān)系的安全性?；A(chǔ)設(shè)施是由多個組件協(xié)同工作為用戶提供服務(wù)的，這種分布特性增加了對 KMI/PKI的功能和操作上的要求。公開密鑰密碼技術(shù)對數(shù)據(jù)進(jìn)行加密、解密的速度比較慢，因此一般都使用對稱密碼算法對數(shù)據(jù)進(jìn)行加密和解密。由基礎(chǔ)設(shè)施的一個組件產(chǎn)生對稱密鑰或不對稱密鑰。通過一種可驗證的方式將無效的密鑰和證書從系統(tǒng)中刪除。 管理：運行基礎(chǔ)設(shè)施。（見書中表 182 KMI/PKI操作） 1. 用戶需求 （ 1） 對稱密碼 密鑰的來源應(yīng)該是可信的、權(quán)威的、可鑒別的； 在分發(fā)過程中應(yīng)該對密鑰進(jìn)行保護(hù)。 PKI的主要組成部分包括證書授權(quán)（ Certification Authority, CA）、注冊授權(quán)（ Registration Authority, RA）以及證書存儲庫（ Certificate Repository, CR）。完成 RA認(rèn)證用戶這項任務(wù)的人稱為 RA操作員在大多數(shù)PKI中，完成認(rèn)證用戶身份的任務(wù)一般由分散的、離用戶較近的局域注冊授權(quán)（ Local Registration Authority, LRA）完成。 證書。如果用戶相信 CA能將用戶身份信息與公鑰正確地綁定在一起，那么用戶可以將該 CA的公鑰裝入到用戶的加密設(shè)備中。 另一種方法是雙向地交叉認(rèn)證證書。 圖 PKI互操作中的分層信任列表與網(wǎng)狀方法。 在對稱密碼算法中，加密密鑰可以從解密密鑰求得，反之亦然。 對稱密鑰管理的關(guān)鍵因素 圖 對稱密鑰管理活動的關(guān)鍵因素 ① 定購。 ③ 分配。密鑰在等待分發(fā)給用戶或偶然使用時，必須存儲起來。 ⑥ 銷毀。為了恢復(fù)密鑰的篡改，需要通知每一個用戶并提供新的密鑰。目錄也提供對這一分布信息服務(wù)中所表示的所有客體的訪問控制。目錄服務(wù)通常調(diào)用一分層的名字空間，它在邏輯結(jié)構(gòu)上是一棵倒轉(zhuǎn)的樹。目錄服務(wù)提供了根據(jù)客體的個體屬性進(jìn)行搜索的能力。 圖 （ Directory Information Base, DIB）的邏輯結(jié)構(gòu)。 目錄服務(wù)必須具有實際的性能特性，性能可從以下幾方面考慮：易用性、健壯性、服務(wù)恢復(fù)的及時性和響應(yīng)速度。一種是人的訪問要求，通過人機(jī)接口處理信息的獲?。ɡ绨醉撔畔ⅲ?。 信息系統(tǒng)安全工程 圖 系統(tǒng)工程過程 圖 方式進(jìn)行的：挖掘任務(wù)或業(yè)務(wù)需求，定義系統(tǒng)功能，設(shè)計系統(tǒng)，實施系統(tǒng)，有效性評估。同時，ISSE也識別和接受信息保護(hù)風(fēng)險并對其進(jìn)行優(yōu)化。該文檔通過用戶語言來描述工程任務(wù)或期望的性能、工程現(xiàn)有性能缺陷與市場機(jī)遇、（市場）環(huán)境以及如何利用系統(tǒng)達(dá)到任務(wù)目標(biāo)和獲得市場定位。 ISSE必須考慮組織元素（人和子系統(tǒng)）的任務(wù)可能受到的影響，即無法使用所依賴的信息系統(tǒng)或信息，尤其是喪失機(jī)密性、完整性、可用性、不可否認(rèn)性及其組合。 圖 ，較高層次的需求建議在較低層次的需求基礎(chǔ)之上，各模塊的需求決定于它在結(jié)構(gòu)圖中的位置。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間有意設(shè)定或自行存在的接口。該小組的成員要共同合作，保證策略的正確性、全面性以及和其他現(xiàn)有策略的連續(xù)性。系統(tǒng)工程師將使用工程語言來描述特定的目標(biāo)。 2. 系統(tǒng)描述 /環(huán)境 技術(shù)系統(tǒng)描述本系統(tǒng)與系統(tǒng)邊界外的元素相互作用的功能與接口。保障要求影響系統(tǒng)設(shè)計與文件歸檔方法，并使用戶確信系統(tǒng)除了實現(xiàn)開發(fā)者聲稱的功能之外再無其他功能。正確解釋目標(biāo)的要求應(yīng)既不苛刻也不模糊。 在發(fā)生沖突的情況下，可以在必要時放棄低優(yōu)先級的要求，以縮短時間、降低成本、減少風(fēng)險和縮小范圍。功能列表對功能進(jìn)行命名，并且描述其定義、行為、何時被調(diào)用、輸入輸出。通過權(quán)衡可以產(chǎn)生各種可能的系統(tǒng)結(jié)構(gòu)。該工作組選擇可用于該方案的產(chǎn)品，采用結(jié)合可重用方案或設(shè)計新方案的方式設(shè)計具體的體系結(jié)構(gòu)解決方案。執(zhí)行系統(tǒng)功能的人一般都采用確定的工作程序與書面步驟，使用特定的可用軟件、硬件與固件。多數(shù)系統(tǒng)需要正式的結(jié)構(gòu)管理（ CM），結(jié)構(gòu)管理應(yīng)當(dāng)作用于體系結(jié)構(gòu)。 3. 詳細(xì)設(shè)計 詳細(xì)設(shè)計產(chǎn)生更低層次的產(chǎn)品規(guī)范、具體的工程與接口控制圖、原型、具體的測試計劃與程序和具體的集成供給支持計劃（ Integrated Logistics Support Plan, ILSP）。這個工作也包括調(diào)查生產(chǎn)該系統(tǒng)的可能性。 2. 開發(fā) 在本階段，系統(tǒng)開發(fā)方法已經(jīng)被轉(zhuǎn)化為一個穩(wěn)定的、可生產(chǎn)的、性能代價比合理的系統(tǒng)設(shè)計實踐。反之，系統(tǒng)將無法按照設(shè)計意圖運行，無法實現(xiàn)設(shè)計和任務(wù)目標(biāo)。在預(yù)定方案中集成經(jīng)選擇、購買或開發(fā)的產(chǎn)品，通過測試與調(diào)整獲得較高水平的系統(tǒng)功能。效用測試和用戶可用性測試不一定完全相同。系統(tǒng)功能和操作需求是系統(tǒng)能否被認(rèn)同所要考慮的主要方面。 KMI/PKI作為一種支撐性安全基礎(chǔ)設(shè)施，其本身并不能直接為用戶提供安全服務(wù)，但是其他安全應(yīng)用的基礎(chǔ)。 在現(xiàn)實世界中，對稱密鑰管理技術(shù)仍然是一種廣泛應(yīng)用的重要技術(shù)。 181 安全設(shè)計是（），一個安全基礎(chǔ)設(shè)施應(yīng)提供很多安全組件的（）使用?；A(chǔ)設(shè)施目錄服務(wù)的重要特性包括定義的名字空間、高度的分布性、優(yōu)化的數(shù)據(jù)恢復(fù)以及提供對多種應(yīng)用的訪問。 PKI主要組成包括證書授權(quán)（ CA）、注冊授權(quán)（ RA）、證書存儲庫（ CR）。保護(hù)這些資產(chǎn)的方法是適當(dāng)?shù)夭渴鸶鱾€安全組件于有組織的、協(xié)同的安全基礎(chǔ)設(shè)施中。需要重點指出的是，在安裝過程中必須記錄異常情況，并且注意這些變化對集成和效用測試以及操作步驟可能產(chǎn)生的影響。 一般地，任務(wù)需求所要求開發(fā)的系統(tǒng)應(yīng)該具有惟一性，或者該系統(tǒng)將用于某未知或難以模擬的環(huán)境。方案和接口驗證將保證所開發(fā)的組件能夠正確實現(xiàn)其功能。測試結(jié)束便可以開始建立系統(tǒng)。 系 統(tǒng)實施 1. 采辦 本階段的工作必須在開發(fā)還是購買滿足設(shè)計系統(tǒng)細(xì)節(jié)規(guī)范的組件這二者間做出決定。評審內(nèi)容涉及針對完整性、沖突、兼容性（與接口系統(tǒng)）、可驗證、安全風(fēng)險、集成風(fēng)險和可追蹤性等要求的所有配置項的具體規(guī)范。規(guī)范的細(xì)節(jié)級別從系統(tǒng)級到組件級。系統(tǒng)工程師必須明確各種體系概念以及依據(jù)概念分配給各組件的功能與要求，并同其他系統(tǒng)負(fù)責(zé)人對概念和物理上的可行性取得一致意見。系統(tǒng)設(shè)計必須滿足包括功能、性能、接口、互操作和設(shè)計要求在內(nèi)的一系列要求。 ISSE必須了解信息保護(hù)子系統(tǒng)如何成為整個系統(tǒng)的一部分，如何支持整個系統(tǒng)。這兩種分析的考慮過程要求系統(tǒng)工程師考慮系統(tǒng)集成的相應(yīng)程度和與該程度對應(yīng)的功能。功能分析的主要內(nèi)容是分析功能之間或功能與環(huán)境之間的聯(lián)系。對用戶、客戶或開發(fā)者而言，它們代表同一個特定事物。 內(nèi)部接口、外部接口與互操作性要求是可能產(chǎn)生于系統(tǒng)成員之間或系統(tǒng)與環(huán)境、系統(tǒng)與系統(tǒng)之間的相互作用概念的重要要求。 3. 要求 功能要求由父目標(biāo)處繼承而來。因此目標(biāo)描述必須明確、可測、可驗證。盡管必須依據(jù)具體情況的改變及時更新機(jī)構(gòu)安全策略，高層策略卻不應(yīng)經(jīng)常變動。 3. 信息保護(hù)策略的考慮 對一個機(jī)構(gòu)而言，在制定本組織的信息保護(hù)策略時必須考慮所有現(xiàn)有的信息保護(hù)策略、規(guī)則和標(biāo)準(zhǔn)。 2. 信息管理面臨的威脅 依照 ISSE，技術(shù)層面的系統(tǒng)組成應(yīng)負(fù)責(zé)識別信息系統(tǒng)的功能和它與外界系統(tǒng)邊界的接口。 ISSE應(yīng)該做到以下幾點：幫助用戶對自己的信息管理過程進(jìn)行建模、幫助用戶定義信息威脅、幫助用戶確立信息保護(hù)需求的優(yōu)先次序、準(zhǔn)備信息保護(hù)策略、獲得用戶許可。 在信息保護(hù)政策和安全操作概念中， ISSE應(yīng)該使用通用語言描述如何在一個綜合的信息環(huán)境中獲得所需要的信息安全保護(hù)。 系統(tǒng)工程過程運作的起點是針對用戶需求、相關(guān)策略、規(guī)則和用戶環(huán)境標(biāo)準(zhǔn)的一系列決定。由解決方案空間所代表的、面向已定義的或一致的目標(biāo)的系統(tǒng)工程行為和產(chǎn)品在開發(fā)的過程中必須不斷地接受有效性評估，并確定該方案是否違背問題空間所形成的條件。 ISSE是由美國國家安全局發(fā)布的 《 信息保障技術(shù)框架（ IATF） 》 的設(shè)計和實施信息系統(tǒng)安全工程方法。在證書管理中，在需要時，吊銷信息的操作必須可用。 圖 目錄信息庫的邏輯結(jié)構(gòu) 目錄系統(tǒng)是一組定義了目錄信息樹（ Directory Information Tree, DIT）如何構(gòu)造的規(guī)則集合，定義了 DIB中保存的特定信息類型以及用于訪問信息的句法。一些重要的訪問目錄應(yīng)用如 DAP和LDAP、電子郵件（ S/MIMI V3）和以 Web為基礎(chǔ)的訪問（ ）。目錄服務(wù)將數(shù)據(jù)可靠地分布于多個目錄，不管它們分布于整個企業(yè)還是位于一個局域環(huán)境中。這一關(guān)聯(lián)在分層組織中進(jìn)行管理，并由名字關(guān)聯(lián)進(jìn)行索引。有效的審計可以改進(jìn)對于密鑰的跟蹤，如誰得到授權(quán)訪問密鑰、密鑰在什么時間分發(fā)到什么地方、密鑰什么時候銷毀。 ⑦ 篡改。電子形式的密鑰應(yīng)以加密的形式進(jìn)行存儲，同時應(yīng)采取物理的、人員的和計算機(jī)的安全機(jī)制來限制對密鑰的加密和訪問。可以訪問密鑰的人越多，篡改的可能性就越大。 ② 產(chǎn)生。對稱密鑰應(yīng)用要求所有用戶擁有一個共同的安全密鑰，正確安全地分發(fā)、管理密鑰會十分復(fù)雜和昂貴。 PKI本身使用機(jī)密性安全服務(wù)保護(hù)私鑰在存儲和分發(fā)中的安全性，使用完整性安全服務(wù)對公鑰進(jìn)行認(rèn)證， PKI對公鑰的數(shù)字簽名保證了公鑰與證書中的用戶身份信息的綁定關(guān)系，同時確保了證書中公鑰的完整性。在層次PKI與網(wǎng)狀 PKI之間進(jìn)行互操作可采用橋 CA的概念，橋 CA為多個 PKI中的關(guān)鍵 CA簽發(fā)交叉認(rèn)證證書。多數(shù) PKI中的 CA是按照層次結(jié)構(gòu)組織在一起的，在一個 PKI中，只有一個根 CA，在這種方式中，用戶總可能通過根 CA找到一條連接任意一個 CA的信任路徑。 CRL。 非對稱密鑰。被一個或多個用戶信任并負(fù)責(zé)創(chuàng)建、分發(fā)證書，操作 CA的人稱為管理員。 KMI/PKI的一個主要功能就是對使用公鑰的應(yīng)用提供密鑰和證書的產(chǎn)生、分發(fā)和管理服務(wù)。 在 PKI中，由不同的組件負(fù)責(zé)處理不同的操作。銷毀失效的私鑰。通過一種安全的可認(rèn)證方式將密鑰和證書分發(fā)給用戶。在系統(tǒng)中登記已經(jīng)過認(rèn)證的用戶，使其可以使用 KMI/PKI。對稱密碼技術(shù)一般保護(hù)信息在傳輸和存儲中的機(jī)密性，如傳輸機(jī)密性、文件加密、密鑰協(xié)商。通過目錄服務(wù)，用戶可獲得 PKI提供的公開信息，如公鑰證書、相關(guān)基礎(chǔ)設(shè)施的證書、受損的密鑰信息等。在應(yīng)用對稱密鑰的團(tuán)體中，一個成員在其密鑰的生命周期中只使用同一個密鑰與其他成員進(jìn)行保密通信。同樣，基礎(chǔ)設(shè)施中的安全策略管理、信息保障的水平等都要高于用戶應(yīng)用的安全級別。有兩個十分重要的支撐性基礎(chǔ)設(shè)施： 密鑰管理基礎(chǔ)設(shè)施 /公鑰基礎(chǔ)設(shè)施，用于產(chǎn)生、公布和管理密鑰與證書等安全憑證。周邊的建立將決定哪些系統(tǒng)和網(wǎng)絡(luò)是最可信的（內(nèi)部的），哪些系統(tǒng)和網(wǎng)絡(luò)有點可信（ DMZ），哪些系統(tǒng)和網(wǎng)絡(luò)根本不可信。對應(yīng)用訪問的保護(hù)，邏輯訪問控制通常使用在應(yīng)用本身。這些控制最好先集中在應(yīng)用上，然后再控制低層協(xié)議。安全基礎(chǔ)設(shè)施放置和冗余是一樣重要的。 物理訪問控制有關(guān)安全基礎(chǔ)設(shè)施的組件，和其他安全設(shè)施一起減少資源濫用的效應(yīng)。 事件的時間界限和事件覆蓋的范圍一樣重要。大部分操作系統(tǒng)能配置生成賬戶日志，對各種系統(tǒng)里發(fā)生的事件向管理者發(fā)出報警。將應(yīng)用訪問限制在特定的群體和一天中的特定時間，就能減少受攻擊的可能。這些努力包括了解你的應(yīng)用，以及如何和客戶機(jī)、數(shù)據(jù)庫通信，以及其他服務(wù)器處理過程。它也減輕了管理的負(fù)擔(dān)，管理員需跟蹤的賬戶大大減少，由于用戶忘記自己的口令而需要重新設(shè)置的負(fù)擔(dān)也減輕了。像智能卡這些設(shè)備，當(dāng)若干次非法企圖后會自己失效，因此這些可攜帶的卡即使丟失或被偷竊，也不會有很大風(fēng)險。這兩種方式的攻擊都廣泛使用，從而削弱了靜態(tài)方法的完整性。 通用的鑒別用戶的方法包括靜態(tài)用戶名（ UID）和口令、強(qiáng)的兩因子鑒別、一次性口令鑒別以及單點登錄（ Single SignOn, SSO）鑒別。對安全服務(wù)的設(shè)計、部署和運行應(yīng)遵循專門的方法。如有不一致，在設(shè)計和構(gòu)造安全基礎(chǔ)設(shè)施之前，應(yīng)對這些策略和過程做必要的修改。保護(hù)數(shù)據(jù)不被更改或破壞，可以用類似反病毒這樣的簡單解決方法，也可以用部署關(guān)鍵通路存儲解決方案、高可用性的防火墻簇以及企業(yè)范圍的變更管理等復(fù)雜的解決方案。 圖 以應(yīng)用為目標(biāo)的安全設(shè)計概念 數(shù)據(jù)機(jī)密性的前提是防止非授權(quán)者看到非公共使用的數(shù)據(jù)。這些資產(chǎn)包括硬件、軟件、網(wǎng)絡(luò)組件以及知識財產(chǎn)。企業(yè)安全策略的目的是定義企業(yè)資產(chǎn)保護(hù)的范圍以及對這些資產(chǎn)所需的專門保護(hù)機(jī)制。應(yīng)用級訪問控制能提供鑒別、授權(quán)、基于主機(jī)的入侵檢測和分析、病毒檢測和清除、事件賬戶管理和分析等功能。如果將防火墻和入侵檢測、強(qiáng)的身份鑒別、加密的隧道（ VPN）等組件協(xié)同作用，就能設(shè)計成一個基本的安全基礎(chǔ)設(shè)施。第 18章 安全基礎(chǔ)設(shè)施設(shè)計原理 安全基礎(chǔ)設(shè)施概述 安全基礎(chǔ)設(shè)施的目標(biāo) 安全基礎(chǔ)設(shè)施的的設(shè)計指南 密鑰管理基礎(chǔ)設(shè)施