【正文】 系統(tǒng)功能和操作需求是系統(tǒng)能否被認(rèn)同所要考慮的主要方面。在預(yù)定方案中集成經(jīng)選擇、購買或開發(fā)的產(chǎn)品，通過測(cè)試與調(diào)整獲得較高水平的系統(tǒng)功能。 來自 2. 開發(fā) 在本階段，系統(tǒng)開發(fā)方法已經(jīng)被轉(zhuǎn)化為一個(gè)穩(wěn)定的、可生產(chǎn)的、性能代價(jià)比合理的系統(tǒng)設(shè)計(jì)實(shí)踐。 來自 3. 詳細(xì)設(shè)計(jì) 詳細(xì)設(shè)計(jì)產(chǎn)生更低層次的產(chǎn)品規(guī)范、具體的工程與接口控制圖、原型、具體的測(cè)試計(jì)劃與程序和具體的集成供給支持計(jì)劃（ Integrated Logistics Support Plan, ILSP）。執(zhí)行系統(tǒng)功能的人一般都采用確定的工作程序與書面步驟，使用特定的可用軟件、硬件與固件。通過權(quán)衡可以產(chǎn)生各種可能的系統(tǒng)結(jié)構(gòu)。 來自 在發(fā)生沖突的情況下，可以在必要時(shí)放棄低優(yōu)先級(jí)的要求，以縮短時(shí)間、降低成本、減少風(fēng)險(xiǎn)和縮小范圍。保障要求影響系統(tǒng)設(shè)計(jì)與文件歸檔方法，并使用戶確信系統(tǒng)除了實(shí)現(xiàn)開發(fā)者聲稱的功能之外再無其他功能。系統(tǒng)工程師將使用工程語言來描述特定的目標(biāo)。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間有意設(shè)定或自行存在的接口。 ISSE必須考慮組織元素（人和子系統(tǒng)）的任務(wù)可能受到的影響，即無法使用所依賴的信息系統(tǒng)或信息，尤其是喪失機(jī)密性、完整性、可用性、不可否認(rèn)性及其組合。同時(shí)，ISSE也識(shí)別和接受信息保護(hù)風(fēng)險(xiǎn)并對(duì)其進(jìn)行優(yōu)化。一種是人的訪問要求，通過人機(jī)接口處理信息的獲?。ɡ绨醉撔畔ⅲ?。 圖 （ Directory Information Base, DIB）的邏輯結(jié)構(gòu)。目錄服務(wù)通常調(diào)用一分層的名字空間，它在邏輯結(jié)構(gòu)上是一棵倒轉(zhuǎn)的樹。為了恢復(fù)密鑰的篡改，需要通知每一個(gè)用戶并提供新的密鑰。密鑰在等待分發(fā)給用戶或偶然使用時(shí)，必須存儲(chǔ)起來。 對(duì)稱密鑰管理的關(guān)鍵因素 來自 圖 對(duì)稱密鑰管理活動(dòng)的關(guān)鍵因素 來自 ① 定購。 來自 圖 PKI互操作中的分層信任列表與網(wǎng)狀方法。如果用戶相信 CA能將用戶身份信息與公鑰正確地綁定在一起，那么用戶可以將該 CA的公鑰裝入到用戶的加密設(shè)備中。完成 RA認(rèn)證用戶這項(xiàng)任務(wù)的人稱為 RA操作員在大多數(shù)PKI中，完成認(rèn)證用戶身份的任務(wù)一般由分散的、離用戶較近的局域注冊(cè)授權(quán)（ Local Registration Authority, LRA）完成。（見書中表 182 KMI/PKI操作） 來自 1. 用戶需求 （ 1） 對(duì)稱密碼 密鑰的來源應(yīng)該是可信的、權(quán)威的、可鑒別的； 在分發(fā)過程中應(yīng)該對(duì)密鑰進(jìn)行保護(hù)。通過一種可驗(yàn)證的方式將無效的密鑰和證書從系統(tǒng)中刪除。公開密鑰密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密、解密的速度比較慢，因此一般都使用對(duì)稱密碼算法對(duì)數(shù)據(jù)進(jìn)行加密和解密。數(shù)字證書（ ）恰恰能將公 /私密鑰對(duì)中的公鑰部分與其擁有者的身份綁定在一起，并使用密碼技術(shù)保證這種綁定關(guān)系的安全性。表 181列出了不同用戶類型對(duì) KMI/PKI的需求。 來自 邏輯訪問控制通常最后使用入侵檢測(cè)系統(tǒng)，包括發(fā)送一個(gè) TCP RESET（ RST）分組給非授權(quán)網(wǎng)絡(luò)通信的發(fā)送源。 來自 邏輯訪問控制是所有安全基礎(chǔ)設(shè)施控制中最引人注目的。這些新手從專門黑客那里得到好處，裁剪黑客工具對(duì)企業(yè)施加嚴(yán)重的破壞?；谟脩舻脑L問控制（ User Based Access Control, UBAC）是根據(jù)各個(gè)用戶的特權(quán)而不是賦予的角色來決定的訪問控制。如應(yīng)用適當(dāng)?shù)闹橇唾Y源解決了大部分問題，引入 SSO解決方案，就能成功地處理大部分企業(yè)范圍的鑒別需求。標(biāo)記卡或標(biāo)記軟件程序使用一個(gè)算法產(chǎn)生通常有 6個(gè)數(shù)字的號(hào)碼，最后的口令碼是該 6個(gè)數(shù)字碼和 PIN的組合。部署階段包括安全解決方案的實(shí)施和設(shè)備安裝。對(duì)某些系統(tǒng)需要高可用性，高達(dá) %，而有些系統(tǒng)可用性要求就較低。 安全基礎(chǔ)設(shè)施的目標(biāo) 來自 當(dāng)設(shè)計(jì)一個(gè)安全基礎(chǔ)設(shè)施時(shí)，把應(yīng)用的最好結(jié)果作為目標(biāo)。這些仿生組件是通過自然本質(zhì)來標(biāo)識(shí)和鑒別用戶的。例如，這個(gè)防火墻不能和安全基礎(chǔ)設(shè)施的其他方面互相聯(lián)系、互相作用，那它只是一個(gè)安全組件，而不是安全基礎(chǔ)設(shè)施的一部分。 安全基礎(chǔ)設(shè)施的組成 來自 平臺(tái)類包括服務(wù)器、客戶端軟件（例如，執(zhí)行操作系統(tǒng)和安全應(yīng)用的控制）。這些安全組件的成功實(shí)施需要了解安全基礎(chǔ)設(shè)施目標(biāo)，否則可能會(huì)不合適地保護(hù)或完全疏忽那些關(guān)鍵資產(chǎn)。這個(gè)目標(biāo)的基本點(diǎn)是數(shù)據(jù)的準(zhǔn)確性和合法性。這樣的測(cè)試目標(biāo)對(duì)改進(jìn) CIRT成員的能力是十分重要的。靜態(tài) UID和口令的組合不能成功地抵御很多方式的攻擊，包括回答攻擊和蠻力攻擊。 與上述方法相反的是單點(diǎn)登錄（ SSO）。明白這些應(yīng)用通信類型以及如何通信有助于設(shè)計(jì)有效的、適當(dāng)?shù)氖跈?quán)控制。 來自 這些結(jié)果對(duì)企業(yè)都是很有價(jià)值的。這些過程還應(yīng)陳述在災(zāi)難事件中通知相應(yīng)的人員采取哪些行動(dòng)，對(duì)應(yīng)用重要的數(shù)據(jù)影響，定義相應(yīng)的法庭過程以及如何降低相關(guān)的風(fēng)險(xiǎn)。這樣以應(yīng)用為目標(biāo)，導(dǎo)出可用的、最安全的邏輯訪問控制集。不僅重要的事件及其內(nèi)容不同，而且使用的數(shù)據(jù)機(jī)密性、完整性和可用性的需求也不同，事件著重點(diǎn)的改變也相當(dāng)大。對(duì)稱密鑰的產(chǎn)生和分發(fā)仍然是政府部門、金融部門和密鑰管理機(jī)制中最主要的部分。同時(shí)應(yīng)用安全需求的敏感性也對(duì) KMI/PKI提出了更多的安全需求。 ④ 證書生成。 增值 PKI過程。 PKI管理的對(duì)象有密鑰、證書以及證書撤銷列表（ Certificate Revocation List, CRL）。將用戶的身份信息及其公鑰用一種可信的方式綁定在一起的一條計(jì)算機(jī)記錄。采用交叉認(rèn)證不像層次結(jié)構(gòu)組織 CA的 PKI那樣，需要在 CA之間建立上下級(jí)的信任關(guān)系。這一點(diǎn)和公鑰密碼算法不同，從加密密鑰難以計(jì)算出解密密鑰。對(duì)稱密鑰可以通過可信的人或一些保護(hù)技術(shù)（如抗竄擾裝置），以物理形式進(jìn)行分發(fā)?？梢杂卸喾N可能的介質(zhì)存放對(duì)稱密鑰，包括紙（例如手工代碼本、密鑰帶）和電子器件（例如隨機(jī)訪問存儲(chǔ)器（ RAM）、電子可擦寫可編程只讀存儲(chǔ)器（ EEPROM）、可編程只讀存儲(chǔ)器（ PROM））。目錄的設(shè)計(jì)可以根據(jù)客體的內(nèi)容范圍和服務(wù)范圍進(jìn)行分類。該設(shè)計(jì)支持很高的讀寫運(yùn)算比。 易用性是指系統(tǒng)設(shè)計(jì)和提供給目錄用戶的工具能方便使用，如單擊、指向、圖標(biāo)、窗口、腳本和狀態(tài)信息等。該系統(tǒng)工程的過程執(zhí)行原則是：從“解決方案空間”中分離出“問題的空間”。 發(fā)掘信息保護(hù)需求 來自 ISSE首先調(diào)查用戶需求、相關(guān)政策、規(guī)則、標(biāo)準(zhǔn)以及系統(tǒng)工程所定義的用戶環(huán)境中的信息所面臨的威脅。 來自 圖 分層需求圖 來自 ISSE在設(shè)計(jì)信息系統(tǒng)時(shí)必須遵循用戶的層次設(shè)置，這樣才能使整個(gè)系統(tǒng)的性能達(dá)到預(yù)期指標(biāo)。 高層管理機(jī)構(gòu)要頒布信息保護(hù)策略。系統(tǒng)描述應(yīng)當(dāng)包括系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入輸出的一般特性。極端苛刻的要求是不合適的，它對(duì)一些系統(tǒng)性能要求太高，并可能修改其他某些合理要求。開發(fā)最簡(jiǎn)單系統(tǒng)時(shí)，系統(tǒng)工程師可能只需功能列表就足夠了。 設(shè) 計(jì)系統(tǒng) 來自 為達(dá)到應(yīng)用目標(biāo)，系統(tǒng)必須依賴其所有組件，這一點(diǎn)非常重要。 來自 2. 初步設(shè)計(jì) 進(jìn)行系統(tǒng)初步設(shè)計(jì)至少應(yīng)具備兩個(gè)先決條件：確定并且一致的系統(tǒng)要求；結(jié)構(gòu)管理下確定的體系結(jié)構(gòu)。 系統(tǒng)實(shí)施行為形成一個(gè)系統(tǒng)驗(yàn)證調(diào)查結(jié)論。 來自 3. 測(cè)試 組件開發(fā)出來后，必須對(duì)組件開發(fā)結(jié)果進(jìn)行測(cè)試。但是，滿足這些要求是獲得用戶認(rèn)可并爭(zhēng)取到下一份商業(yè)定單的基礎(chǔ)。設(shè)計(jì)基礎(chǔ)設(shè)施安全服務(wù)以支持設(shè)計(jì)指南和需求，這些安全服務(wù)包括鑒別。對(duì)于將同一系統(tǒng)部署于某個(gè)已知和可模擬環(huán)境的情況，在生產(chǎn)和部署之前也應(yīng)進(jìn)行仔細(xì)測(cè)試。如果系統(tǒng)組建正確，后續(xù)工作將能精確反映系統(tǒng)設(shè)計(jì)和工程工作的正確性。在測(cè)試過程中，一些非常底層的設(shè)計(jì)工作（如小軟件模塊設(shè)計(jì)）通常作為系統(tǒng)建造工作的一部分。系統(tǒng)工程師可以開始針對(duì)系統(tǒng)設(shè)計(jì)分配資金、人員、工具和時(shí)間資源，為系統(tǒng)分配測(cè)試、細(xì)節(jié)、生命周期支持。在此意義上，系統(tǒng)工程師可以組織一個(gè)負(fù)責(zé)開發(fā)具體解決方案的工作組。它通過習(xí)慣性的縮寫、標(biāo)號(hào)、字體來描述一系列功能的層次結(jié)構(gòu)。 來自 當(dāng)明確所有要求之后，系統(tǒng)工程師必須同其他系統(tǒng)負(fù)責(zé)人商議評(píng)估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測(cè)試性。每個(gè)目標(biāo)的基本原理必須解釋為：信息保護(hù)對(duì)象所支持的任務(wù)目標(biāo)、驅(qū)動(dòng)信息保護(hù)目標(biāo)的與任務(wù)相關(guān)的威脅、未實(shí)現(xiàn)的目標(biāo)的結(jié)果、支持目標(biāo)的信息保護(hù)指導(dǎo)或策略。 來自 為制定一個(gè)有效的信息保護(hù)策略，需要設(shè)立一個(gè)由系統(tǒng)工程專家、 ISSE、用戶代表、權(quán)威認(rèn)證機(jī)構(gòu)、設(shè)計(jì)專家組成的小組。該系統(tǒng)包含信息保護(hù)體系結(jié)構(gòu)和機(jī)制，并能夠依據(jù)用戶所允許的耗費(fèi)、功能和計(jì)劃獲得最佳的信息保護(hù)性能。獲得文檔是過程中的一個(gè)必要步驟?！坝行栽u(píng)估”對(duì)各行為的產(chǎn)物（產(chǎn)品）進(jìn)行評(píng)估，使之在指定的環(huán)境中依照質(zhì)量需求標(biāo)準(zhǔn)執(zhí)行功能需求并以此確保系統(tǒng)能夠滿足用戶需求。 （ 3） 屬性句法，描繪了句法形式和那一屬性使用的匹配規(guī)則。 基礎(chǔ)設(shè)施目錄服務(wù)的特性 來自 優(yōu)化的數(shù)據(jù)恢復(fù)。 來自 基礎(chǔ)設(shè)施目錄服務(wù)是通過一個(gè)結(jié)構(gòu)化的命名服務(wù)，提供在分布環(huán)境中定位和管理資源的能力。盡管注入加密密鑰只需要最少的保護(hù)，但對(duì)于相應(yīng)的解密密鑰卻需要非常高的保護(hù)來限制它注入的頻度。對(duì)稱密鑰通常是隨機(jī)的比特流，因此需要一個(gè)性質(zhì)控制過程保證比特流的隨機(jī)性。甚至隨著非對(duì)稱密碼技術(shù)應(yīng)用的不斷發(fā)展，許多新出現(xiàn)的應(yīng)用，例如多點(diǎn)傳送，將仍然要求安全的對(duì)稱密鑰和非對(duì)稱密碼系統(tǒng)。當(dāng)接收一個(gè)證書時(shí)，只要瀏覽器能在待驗(yàn)證證書與其受信任的 CA證書之間建立起一個(gè)信任鏈路，瀏覽器就可以驗(yàn)證證書。根據(jù)數(shù)學(xué)原理，由公開密鑰不可能推導(dǎo)出秘密密鑰，所以公開密鑰不會(huì)影響秘密密鑰的安全性。 證書管理 來自 為了給各種基于公鑰的應(yīng)用提供服務(wù)， PKI的組成包括一系列的軟件、硬件和協(xié)議。 來自 制定策略：定義上述操作的應(yīng)用需求。 ③ 密鑰生成。 第四種服務(wù)是對(duì)基礎(chǔ)設(shè)施本身的管理。前兩種服務(wù)能直接支持用戶應(yīng)用，后兩種服務(wù)是用戶應(yīng)用正常工作所必需的。Inter需要和內(nèi)部網(wǎng)和外聯(lián)網(wǎng)不同的訪問控制水平，不僅必須選擇合適的訪問控制技術(shù)，還必須包括基礎(chǔ)設(shè)施的正確部署位置。在本例中， HealthApp服務(wù)器和其他服務(wù)器通信首先執(zhí)行一個(gè)域名系統(tǒng)（ DNS）的查找來發(fā)現(xiàn)要同它通信的服務(wù)器的 IP地址， HealthApp服務(wù)器和 DNS服務(wù)器之間的 DNS詢問必須是允許的。使用這些組件的方法決定了物理訪問控制策略的質(zhì)量。然而，情況可能更為復(fù)雜，如若干個(gè)相關(guān)的、協(xié)同的、不一樣的事件從不同的代理源發(fā)生，其結(jié)果是發(fā)出更嚴(yán)重的報(bào)警信息。決定使用什么樣的端口和什么樣的協(xié)議。 來自 另一個(gè)設(shè)計(jì)鑒別體制時(shí)需考慮的問題是選擇分布式或集中式的鑒別。 鑒別 來自 最普通的鑒別方式是靜態(tài) UID和口令的組合。為了使響應(yīng)組成員能熟練地處理事件（如安全破壞或?yàn)?zāi)難恢復(fù)），應(yīng)盡可能多地進(jìn)行實(shí)際培訓(xùn)。滿足數(shù)據(jù)機(jī)密性要求的典型技術(shù)包括數(shù)據(jù)傳輸、安全在線和離線存儲(chǔ)的加密。有了綜合的安全策略和過程文檔，安全設(shè)計(jì)師就能明白什么樣的資產(chǎn)是企業(yè)需要保護(hù)的，以及如何保護(hù)這些資產(chǎn)。這些組件通過其網(wǎng)絡(luò)接口或在軟件中定義的邏輯來監(jiān)控、過濾或限制通信。再如，假如從防火墻能發(fā)送報(bào)警至事件管理站，由事件管理站處理成通知網(wǎng)絡(luò)運(yùn)行中心（ Network Operations Center, NOC）的報(bào)警，那么，防火墻可能成為基礎(chǔ)設(shè)施的一部分。物理安全設(shè)施的基本目的是防止非授權(quán)者進(jìn)入以及保護(hù)安全基礎(chǔ)設(shè)施的電力供應(yīng)和網(wǎng)絡(luò)連接。將設(shè)計(jì)目標(biāo)放在數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)可用性上，會(huì)發(fā)現(xiàn)這不僅使應(yīng)用得到安全，而且企業(yè)也得到安全。但冗余并不能滿足全部數(shù)據(jù)可行性問題，尤其是近年來增多的拒絕服務(wù)（ DOS）和分布式拒絕服務(wù)（ DDOS）的攻擊。 來自 鑒別服務(wù)于 Inter資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源的用戶，相應(yīng)于它們內(nèi)在的風(fēng)險(xiǎn)，需要不同級(jí)別的安全。雖然這種鑒別方法優(yōu)于靜態(tài)方法，可以不再有必要用一次性口令，但大部分標(biāo)記產(chǎn)生卡和標(biāo)記軟件程序利用一次性口令，使用一次后就不再有效了。授權(quán)應(yīng)從應(yīng)用的周圍世界來處理。UBAC控制從其本性看可提供更細(xì)粒度的控制，因?yàn)樗苯討?yīng)用至每個(gè)用戶或單個(gè)實(shí)體，而不是組或多個(gè)實(shí)體。將入侵檢測(cè)也作為賬戶管理解決方案的一個(gè)組成部分，因?yàn)樗淖匀惶匦允鞘录z測(cè)、分析，還有防止，十分類似于事件管理的目的。如前所述，邏輯訪問控制有時(shí)使用鑒別和授權(quán)信息來決定準(zhǔn)予或拒絕訪問。雖然這個(gè)冒犯者的主機(jī)可能繼續(xù)再試，但它的非授權(quán)通信經(jīng)過給定的網(wǎng)絡(luò)段，入侵檢測(cè)系統(tǒng)將重新設(shè)置這個(gè)會(huì)話，因此阻止了該通信到達(dá)目的站。 來自 表 181 KMI/PKI支持不同類型的用戶服務(wù) 用戶類型 KMI/PKI服務(wù) VPN 密鑰產(chǎn)生 證書管理 密鑰恢復(fù) 目錄服務(wù) 網(wǎng)絡(luò)訪問控制 密鑰產(chǎn)生 證書管理 增值服務(wù) 目錄服務(wù) 遠(yuǎn)程訪問服務(wù) 密鑰產(chǎn)生 證書管理 密鑰恢復(fù) 目錄服務(wù) 多級(jí)安全 密鑰產(chǎn)生 證書管理 目錄服務(wù) 來自 用戶類型 KMI/PKI服務(wù) VPN密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)網(wǎng)絡(luò)訪問控制密鑰