【正文】 目錄服務(wù) 多級安全 密鑰產(chǎn)生 證書管理 目錄服務(wù) 來自 用戶類型 KMI/PKI服務(wù) VPN密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)網(wǎng)絡(luò)訪問控制密鑰產(chǎn)生證書管理增值服務(wù)目錄服務(wù)遠程訪問服務(wù)密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)多級安全密鑰產(chǎn)生證書管理目錄服務(wù)與其他基礎(chǔ)設(shè)施解決方案不同的是， KMI/PKI將它的安全分布在一組獨立的組件上。 當實施這些控制時，應(yīng)盡可能少地犧牲企業(yè)的生產(chǎn)力和利益，這是必須考慮的因素，雖然要做到這點不容易。雖然這個冒犯者的主機可能繼續(xù)再試，但它的非授權(quán)通信經(jīng)過給定的網(wǎng)絡(luò)段，入侵檢測系統(tǒng)將重新設(shè)置這個會話，因此阻止了該通信到達目的站。可以發(fā)現(xiàn)，使用這個策略是保護應(yīng)用數(shù)據(jù)及其執(zhí)行的系統(tǒng)的最有效方法。如前所述，邏輯訪問控制有時使用鑒別和授權(quán)信息來決定準予或拒絕訪問。 物理訪問控制 來自 除了減少安全漏洞的風險和影響外，服務(wù)的破壞也必須計入物理保護策略。將入侵檢測也作為賬戶管理解決方案的一個組成部分，因為它的自然特性是事件檢測、分析，還有防止，十分類似于事件管理的目的。除了提供性能預(yù)測和趨勢分析之外，這些事件還能確定它的安全輪廓、標識存在的或可能的威脅。UBAC控制從其本性看可提供更細粒度的控制，因為它直接應(yīng)用至每個用戶或單個實體，而不是組或多個實體。 對應(yīng)用功能及其如何實現(xiàn)有了很好的了解后，下一步是決定誰應(yīng)該在什么時間訪問哪些數(shù)據(jù)，還應(yīng)決定誰能得到對應(yīng)用服務(wù)器、數(shù)據(jù)庫或它們常駐網(wǎng)絡(luò)段的物理訪問權(quán)。授權(quán)應(yīng)從應(yīng)用的周圍世界來處理。 SSO準許用戶使用單一賬號和口令的組合來訪問企業(yè)中的很多資源。雖然這種鑒別方法優(yōu)于靜態(tài)方法，可以不再有必要用一次性口令，但大部分標記產(chǎn)生卡和標記軟件程序利用一次性口令，使用一次后就不再有效了。在回答攻擊中，假冒者從以前的鑒別會話中獲取 UID和口令的組合，依靠偷得的 UID和口令給鑒別服務(wù)器回答，以得到訪問權(quán)。 來自 鑒別服務(wù)于 Inter資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源的用戶，相應(yīng)于它們內(nèi)在的風險，需要不同級別的安全。 來自 第三步是設(shè)計基礎(chǔ)設(shè)施安全服務(wù)以直接支持指南和需求。但冗余并不能滿足全部數(shù)據(jù)可行性問題，尤其是近年來增多的拒絕服務(wù)（ DOS）和分布式拒絕服務(wù)（ DDOS）的攻擊。通過產(chǎn)生原始數(shù)據(jù)集檢查和同復(fù)制的數(shù)據(jù)進行比較的程序來管理完整性。將設(shè)計目標放在數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可用性上，會發(fā)現(xiàn)這不僅使應(yīng)用得到安全，而且企業(yè)也得到安全。 來自 安全基礎(chǔ)設(shè)施設(shè)計的基本目標是保護企業(yè)的資產(chǎn)。物理安全設(shè)施的基本目的是防止非授權(quán)者進入以及保護安全基礎(chǔ)設(shè)施的電力供應(yīng)和網(wǎng)絡(luò)連接。執(zhí)行一些電子操作（如智能卡和讀卡器、產(chǎn)生憑證的硬件卡、基于硬件的加密設(shè)備）的設(shè)備也屬于這一類。再如，假如從防火墻能發(fā)送報警至事件管理站，由事件管理站處理成通知網(wǎng)絡(luò)運行中心（ Network Operations Center, NOC）的報警，那么，防火墻可能成為基礎(chǔ)設(shè)施的一部分。 安全基礎(chǔ)設(shè)施概述 安全基礎(chǔ)設(shè)施概述 來自 以防火墻為例，使用防火墻可以很好地實施安全策略，但是，如果它不能和體系結(jié)構(gòu)中的其他組件很好地連接，就不能構(gòu)成一個安全基礎(chǔ)設(shè)施。這些組件通過其網(wǎng)絡(luò)接口或在軟件中定義的邏輯來監(jiān)控、過濾或限制通信。根據(jù)人的生物特征檢測的設(shè)備也屬于這一類，如指紋讀出器、面部形狀照相機、視網(wǎng)膜掃描器等。有了綜合的安全策略和過程文檔，安全設(shè)計師就能明白什么樣的資產(chǎn)是企業(yè)需要保護的，以及如何保護這些資產(chǎn)。 根據(jù)選擇的數(shù)據(jù)等級分類體制，每種數(shù)據(jù)保護目標應(yīng)按數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可行性來表示和衡量。滿足數(shù)據(jù)機密性要求的典型技術(shù)包括數(shù)據(jù)傳輸、安全在線和離線存儲的加密。數(shù)據(jù)可用性的目標范圍是根據(jù)數(shù)據(jù)可用的重要性而變化的。為了使響應(yīng)組成員能熟練地處理事件（如安全破壞或災(zāi)難恢復(fù)），應(yīng)盡可能多地進行實際培訓(xùn)。在設(shè)計階段，針對評估中發(fā)現(xiàn)的問題，設(shè)計安全解決方案。 鑒別 來自 最普通的鑒別方式是靜態(tài) UID和口令的組合。強的鑒別方法可使用諸如 PIN這類的知識因子和智能卡、標記產(chǎn)生卡、標記軟件程序等的組合。 來自 另一個設(shè)計鑒別體制時需考慮的問題是選擇分布式或集中式的鑒別。這些新的努力包括兼容的問題、部署和功能操作的問題，以及管理的問題等。決定使用什么樣的端口和什么樣的協(xié)議。雖然 RBAC控制很好，適合于具有大量用戶和大量公共或內(nèi)部數(shù)據(jù)資源的服務(wù)，但是對標有機密或嚴格限制的數(shù)據(jù)保護需要更嚴格的控制。然而，情況可能更為復(fù)雜，如若干個相關(guān)的、協(xié)同的、不一樣的事件從不同的代理源發(fā)生，其結(jié)果是發(fā)出更嚴重的報警信息。即使是黑客新手也可能用大量黑客工具來攻擊企業(yè)資產(chǎn)。使用這些組件的方法決定了物理訪問控制策略的質(zhì)量。但這種疏忽有可能會引起水、電等事故，這類事故在安裝物理基礎(chǔ)設(shè)施組件時本來是完全可以避免的。在本例中， HealthApp服務(wù)器和其他服務(wù)器通信首先執(zhí)行一個域名系統(tǒng)（ DNS）的查找來發(fā)現(xiàn)要同它通信的服務(wù)器的 IP地址， HealthApp服務(wù)器和 DNS服務(wù)器之間的 DNS詢問必須是允許的。很多防火墻、路由器、交換機、 VPN網(wǎng)關(guān)和 ID系統(tǒng)可以根據(jù)它的類型（ TCP、UDP或 IPX）、源、目的甚至載荷來限制通信。Inter需要和內(nèi)部網(wǎng)和外聯(lián)網(wǎng)不同的訪問控制水平，不僅必須選擇合適的訪問控制技術(shù)，還必須包括基礎(chǔ)設(shè)施的正確部署位置。 KMI/PKI是安全服務(wù)所必需的組件，其體系結(jié)構(gòu)依賴于其支持的應(yīng)用。前兩種服務(wù)能直接支持用戶應(yīng)用，后兩種服務(wù)是用戶應(yīng)用正常工作所必需的。這種鑒別很重要，因為非對稱密碼提供的安全服務(wù)要依賴于公鑰用戶確保公鑰已與特定的用戶綁定。 第四種服務(wù)是對基礎(chǔ)設(shè)施本身的管理。公開密鑰密碼技術(shù)與證書管理相結(jié)合可以為應(yīng)用提供全方位的安全服務(wù)。 ③ 密鑰生成。 ⑦ 受損恢復(fù)。 來自 制定策略：定義上述操作的應(yīng)用需求。表 182定義了 4種 KMI/PKI服務(wù)對實現(xiàn)每一個操作的基本要求。 證書管理 來自 為了給各種基于公鑰的應(yīng)用提供服務(wù)， PKI的組成包括一系列的軟件、硬件和協(xié)議。 RA并不簽發(fā)證書，一般位于離用戶比較近的地方。根據(jù)數(shù)學(xué)原理，由公開密鑰不可能推導(dǎo)出秘密密鑰，所以公開密鑰不會影響秘密密鑰的安全性。 來自 同其他 PKI相聯(lián)系的、處于不同保護地址中的通信實體，如果信任報文發(fā)送者的證書簽發(fā)者 CA，那么可以對報文發(fā)送者的證書進行鑒別。當接收一個證書時，只要瀏覽器能在待驗證證書與其受信任的 CA證書之間建立起一個信任鏈路，瀏覽器就可以驗證證書。在線證書驗證的過程是將證書傳遞給網(wǎng)絡(luò)上的服務(wù)器，讓該服務(wù)器根據(jù)其驗證規(guī)則來實現(xiàn)對證書有效性的驗證。甚至隨著非對稱密碼技術(shù)應(yīng)用的不斷發(fā)展，許多新出現(xiàn)的應(yīng)用，例如多點傳送，將仍然要求安全的對稱密鑰和非對稱密碼系統(tǒng)。必須有檢測受到篡改的密鑰以及使系統(tǒng)恢復(fù)安全的方法和規(guī)定，并能有效地確定受到的危害程度。對稱密鑰通常是隨機的比特流，因此需要一個性質(zhì)控制過程保證比特流的隨機性。 來自 ④ 存儲。盡管注入加密密鑰只需要最少的保護，但對于相應(yīng)的解密密鑰卻需要非常高的保護來限制它注入的頻度。安全密鑰的篡改可能會暴露所有它加密的通信流，使假定的對于未來通信流的認證失效。 來自 基礎(chǔ)設(shè)施目錄服務(wù)是通過一個結(jié)構(gòu)化的命名服務(wù)，提供在分布環(huán)境中定位和管理資源的能力。 來自 基礎(chǔ)設(shè)施目錄服務(wù)具有以下幾個重要特性： 定義的名字空間。 基礎(chǔ)設(shè)施目錄服務(wù)的特性 來自 優(yōu)化的數(shù)據(jù)恢復(fù)。 來自 （ 3） 管理用戶，除了具有修改客戶所有的重要特性外，還允許管理用戶項和操作信息。 （ 3） 屬性句法，描繪了句法形式和那一屬性使用的匹配規(guī)則。 對于響應(yīng)速度的戰(zhàn)術(shù)要求，目錄系統(tǒng)提供兩種類型的訪問特性?！坝行栽u估”對各行為的產(chǎn)物（產(chǎn)品）進行評估，使之在指定的環(huán)境中依照質(zhì)量需求標準執(zhí)行功能需求并以此確保系統(tǒng)能夠滿足用戶需求。 來自 ISSE支持系統(tǒng)產(chǎn)品的開發(fā) 生產(chǎn) 銷售全過程的進展、驗證和確認，以便滿足用戶的信息保護需求。獲得文檔是過程中的一個必要步驟。 來自 圖 系統(tǒng)任務(wù)、信息安全威脅和政策對確定信息保護需求的影響 來自 1. 任務(wù)的信息保護需求 我們必須考慮信息和信息系統(tǒng)在一個大型任務(wù)或特定組織中的作用。該系統(tǒng)包含信息保護體系結(jié)構(gòu)和機制，并能夠依據(jù)用戶所允許的耗費、功能和計劃獲得最佳的信息保護性能。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號、能量和物質(zhì)的雙向信息流。 來自 為制定一個有效的信息保護策略，需要設(shè)立一個由系統(tǒng)工程專家、 ISSE、用戶代表、權(quán)威認證機構(gòu)、設(shè)計專家組成的小組。 定義系統(tǒng)功能 來自 需求到目標、目標到要求以及要求到功能的各翻譯環(huán)節(jié)均采用工程語言。每個目標的基本原理必須解釋為：信息保護對象所支持的任務(wù)目標、驅(qū)動信息保護目標的與任務(wù)相關(guān)的威脅、未實現(xiàn)的目標的結(jié)果、支持目標的信息保護指導(dǎo)或策略。除了規(guī)定系統(tǒng)的功能、接口、性能、互操作性、繼承以及設(shè)計需求外，系統(tǒng)工程師也必須與用戶共同決定系統(tǒng)開發(fā)和升級的保障要求。 來自 當明確所有要求之后，系統(tǒng)工程師必須同其他系統(tǒng)負責人商議評估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測試性。用戶應(yīng)該區(qū)分要求的優(yōu)先級。它通過習(xí)慣性的縮寫、標號、字體來描述一系列功能的層次結(jié)構(gòu)。系統(tǒng)工程師必須在連帶和耦合之間進行權(quán)衡，模塊化系統(tǒng)幾乎可以與獨立的子系統(tǒng)一樣定義、設(shè)計、開發(fā)、測試、移植和升級。在此意義上，系統(tǒng)工程師可以組織一個負責開發(fā)具體解決方案的工作組。他們可以將一些功能分配給軟件、硬件、固件和人。系統(tǒng)工程師可以開始針對系統(tǒng)設(shè)計分配資金、人員、工具和時間資源，為系統(tǒng)分配測試、細節(jié)、生命周期支持。初步設(shè)計的結(jié)果是分配系統(tǒng)基線配置。在測試過程中，一些非常底層的設(shè)計工作（如小軟件模塊設(shè)計）通常作為系統(tǒng)建造工作的一部分。在正式?jīng)Q定開發(fā)或購買之前，系統(tǒng)和設(shè)計工程師必須慎重權(quán)衡兩種方式的利弊并進行研究。如果系統(tǒng)組建正確，后續(xù)工作將能精確反映系統(tǒng)設(shè)計和工程工作的正確性。早期工作應(yīng)盡可能地規(guī)定系統(tǒng)測試所需人員、工具、設(shè)備、資金資源，并且進行預(yù)算和論證。對于將同一系統(tǒng)部署于某個已知和可模擬環(huán)境的情況，在生產(chǎn)和部署之前也應(yīng)進行仔細測試。第一，系統(tǒng)是否達到了任務(wù)的需求？第二，系統(tǒng)依照任務(wù)組織所期望的方式操作嗎？對系統(tǒng)功能和操作來說，可能有些預(yù)期要求是絕對不能忽視的。設(shè)計基礎(chǔ)設(shè)施安全服務(wù)以支持設(shè)計指南和需求，這些安全服務(wù)包括鑒別。除這些因素之外，也應(yīng)該注意可能影響評估結(jié)果的如下因素：互操作性，系統(tǒng)能正確地通過外部接口共享信息嗎？可用性，對用戶可供使用的系統(tǒng)能提高任務(wù)成功性嗎？訓(xùn)練，用戶有資格操作和維護系統(tǒng)需要的指令的程度？人機接口，用戶出現(xiàn)錯誤的時候人機接口能夠正確協(xié)調(diào)嗎？費用，建立、更新和維護系統(tǒng)在經(jīng)濟上是否可行？ 有效性評估 來自 一個安全基礎(chǔ)設(shè)施應(yīng)提供很多組件的協(xié)同使用，其體系結(jié)構(gòu)可改進整個的安全特性，而不僅是各個安全組件的特性。但是，滿足這些要求是獲得用戶認可并爭取到下一份商業(yè)定單的基礎(chǔ)。集成測試可能導(dǎo)致改變系統(tǒng)組件重新設(shè)計。 來自 3. 測試 組件開發(fā)出來后，必須對組件開發(fā)結(jié)果進行測試。對信息系統(tǒng)而言，轉(zhuǎn)化包括所有產(chǎn)品級別的軟件、硬件或固件。 系統(tǒng)實施行為形成一個系統(tǒng)驗證調(diào)查結(jié)論。專業(yè)工程實踐、可靠性、可維護性、可用性、質(zhì)量、安全性和可生產(chǎn)性均能夠提供專家水準的具體信息。 來自 2. 初步設(shè)計 進行系統(tǒng)初步設(shè)計至少應(yīng)具備兩個先決條件：確定并且一致的系統(tǒng)要求；結(jié)構(gòu)管理下確定的體系結(jié)構(gòu)。當系統(tǒng)功能的執(zhí)行需要具備一致性時，這一點尤為重要。 設(shè) 計系統(tǒng) 來自 為達到應(yīng)用目標，系統(tǒng)必須依賴其所有組件，這一點非常重要。這樣便導(dǎo)致了子系統(tǒng)和底層組件的可視化。開發(fā)最簡單系統(tǒng)時，系統(tǒng)工程師可能只需功能列表就足夠了。尤為重要的一點是，由于需滿足的要求是系統(tǒng)有效性和可用性的基礎(chǔ)，系統(tǒng)負責人必須在這些要求和要求特性上取得一致意見。極端苛刻的要求是不合適的，它對一些系統(tǒng)性能要求太高，并可能修改其他某些合理要求。這里的保障可以特指系統(tǒng)的性能要求，也可以特指某種驗證并確認系統(tǒng)可靠方法的處理要求（分別對設(shè)計和適用性而言）。系統(tǒng)描述應(yīng)當包括系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入輸出的一般特性。目標描述能夠通過描述系統(tǒng)的預(yù)期運行效果而滿足需求。 高層管理機構(gòu)要頒布信息保護策略。其中，針對后者的部分描述涉及環(huán)境和信息系統(tǒng)所面臨的“威脅”。 來自 圖 分層需求圖 來自 ISSE在設(shè)計信息系統(tǒng)時必須遵循用戶的層次設(shè)置，這樣才能使整個系統(tǒng)的性能達到預(yù)期指標。在此意義上， ISSE已經(jīng)開始探討用戶信息保護需求問題。 發(fā)掘信息保護需求 來自 ISSE首先調(diào)查用戶需求、相關(guān)政策、規(guī)則、標準以及系統(tǒng)工程所定義的用戶環(huán)境中的信息所面臨的威脅。ISSE行為主要用于以下情況：描述信息保護需求；根據(jù)系統(tǒng)工程的前期