【正文】 設(shè)計基礎(chǔ)設(shè)施安全服務(wù)以支持設(shè)計指南和需求，這些安全服務(wù)包括鑒別。根據(jù)選擇的數(shù)據(jù)等級分類體制，每種數(shù)據(jù)保護目標(biāo)應(yīng)按數(shù)據(jù)機密性、完整性和可用性來表示和衡量。 安全基礎(chǔ)設(shè)施設(shè)計的基本目標(biāo)是保護企業(yè)的資產(chǎn)。除這些因素之外，也應(yīng)該注意可能影響評估結(jié)果的如下因素：互操作性，系統(tǒng)能正確地通過外部接口共享信息嗎？可用性，對用戶可供使用的系統(tǒng)能提高任務(wù)成功性嗎？訓(xùn)練，用戶有資格操作和維護系統(tǒng)需要的指令的程度？人機接口，用戶出現(xiàn)錯誤的時候人機接口能夠正確協(xié)調(diào)嗎？費用，建立、更新和維護系統(tǒng)在經(jīng)濟上是否可行？ 有效性評估 來自 一個安全基礎(chǔ)設(shè)施應(yīng)提供很多組件的協(xié)同使用，其體系結(jié)構(gòu)可改進整個的安全特性，而不僅是各個安全組件的特性。第一，系統(tǒng)是否達(dá)到了任務(wù)的需求？第二，系統(tǒng)依照任務(wù)組織所期望的方式操作嗎？對系統(tǒng)功能和操作來說，可能有些預(yù)期要求是絕對不能忽視的。此外，也要討論安裝過程中的變化情況對系統(tǒng)操作、支持與維護可能造成的其他風(fēng)險。這些步驟以需求、體系結(jié)構(gòu)、設(shè)計和針對系統(tǒng)建立之初的配置所進行測試的結(jié)果為基礎(chǔ)。但是，滿足這些要求是獲得用戶認(rèn)可并爭取到下一份商業(yè)定單的基礎(chǔ)。對于將同一系統(tǒng)部署于某個已知和可模擬環(huán)境的情況，在生產(chǎn)和部署之前也應(yīng)進行仔細(xì)測試。此時，除非合同中的承諾條款承認(rèn)實驗室環(huán)境下的系統(tǒng)性能測試結(jié)果，否則必須針對實際系統(tǒng)進行測試。集成是為用戶提供一個全面的集成與測試，并能夠確保相應(yīng)的設(shè)計已經(jīng)通過驗證的系統(tǒng)。集成測試可能導(dǎo)致改變系統(tǒng)組件重新設(shè)計。早期工作應(yīng)盡可能地規(guī)定系統(tǒng)測試所需人員、工具、設(shè)備、資金資源，并且進行預(yù)算和論證。在驗證和綜合測試過程中，必須對所有接口進行全面測試。設(shè)計工程師要進行單元測試。 來自 3. 測試 組件開發(fā)出來后，必須對組件開發(fā)結(jié)果進行測試。如果系統(tǒng)組建正確，后續(xù)工作將能精確反映系統(tǒng)設(shè)計和工程工作的正確性。為避免不必要的麻煩，組建系統(tǒng)時應(yīng)遵循生產(chǎn)商規(guī)范。在此之前需要采用相應(yīng)的系統(tǒng)設(shè)計規(guī)范對各系統(tǒng)組件進行測試。對信息系統(tǒng)而言，轉(zhuǎn)化包括所有產(chǎn)品級別的軟件、硬件或固件。在正式?jīng)Q定開發(fā)或購買之前，系統(tǒng)和設(shè)計工程師必須慎重權(quán)衡兩種方式的利弊并進行研究。針對解決方案的集成選擇和獲得，可用產(chǎn)品的基礎(chǔ)是所選擇的系統(tǒng)設(shè)計細(xì)節(jié)。必須考慮涉及所有系統(tǒng)工程主要功能的問題，并且確定其相互依賴關(guān)系或進行權(quán)衡。 系統(tǒng)實施行為形成一個系統(tǒng)驗證調(diào)查結(jié)論。在測試過程中，一些非常底層的設(shè)計工作（如小軟件模塊設(shè)計）通常作為系統(tǒng)建造工作的一部分。 來自 系統(tǒng)實施的目的是為所設(shè)計的系統(tǒng)開發(fā)并集成其全部組件。詳細(xì)設(shè)計將產(chǎn)生系統(tǒng)關(guān)鍵設(shè)計評審（ Critical Design Review, CDR）。專業(yè)工程實踐、可靠性、可維護性、可用性、質(zhì)量、安全性和可生產(chǎn)性均能夠提供專家水準(zhǔn)的具體信息。初步設(shè)計的結(jié)果是分配系統(tǒng)基線配置。應(yīng)當(dāng)在初步設(shè)計評審（ Preliminary Design Review, PDR）之前對更高級規(guī)范進行制定和評審。該規(guī)范必須是同規(guī)定的需求相應(yīng)的、完整的和確定的。 來自 2. 初步設(shè)計 進行系統(tǒng)初步設(shè)計至少應(yīng)具備兩個先決條件：確定并且一致的系統(tǒng)要求；結(jié)構(gòu)管理下確定的體系結(jié)構(gòu)。系統(tǒng)工程師可以開始針對系統(tǒng)設(shè)計分配資金、人員、工具和時間資源，為系統(tǒng)分配測試、細(xì)節(jié)、生命周期支持。 來自 在此意義上，系統(tǒng)工程師可以進行方案驗證、集成和制定工作系統(tǒng)，以及要求生效的要求的系統(tǒng)驗證、集成和有效性測試。由于功能被分配給組件，組件必須實現(xiàn)相應(yīng)的功能和性能要求，并且不超出系統(tǒng)規(guī)定的出錯率。當(dāng)系統(tǒng)功能的執(zhí)行需要具備一致性時，這一點尤為重要。他們可以將一些功能分配給軟件、硬件、固件和人。好的系統(tǒng)設(shè)計將確保該系統(tǒng)能夠滿足客戶需求。但是，性能過低的組件可能會損害系統(tǒng)整體性能。 設(shè) 計系統(tǒng) 來自 為達(dá)到應(yīng)用目標(biāo)，系統(tǒng)必須依賴其所有組件，這一點非常重要。在此意義上，系統(tǒng)工程師可以組織一個負(fù)責(zé)開發(fā)具體解決方案的工作組。 來自 本部分工作要求一個受到多方制約的工作組設(shè)計系統(tǒng)的體系結(jié)構(gòu)并制定具體的設(shè)計方案。 來自 ISSE將使用許多系統(tǒng)工程工具來理解功能，并將功能分配給各種信息保護配置項。這樣便導(dǎo)致了子系統(tǒng)和底層組件的可視化。系統(tǒng)工程師必須在連帶和耦合之間進行權(quán)衡，模塊化系統(tǒng)幾乎可以與獨立的子系統(tǒng)一樣定義、設(shè)計、開發(fā)、測試、移植和升級。將更高層次的功能和繼承功能視為一組，使它們與其他功能保持高度的獨立性。 來自 由于功能列表具有分層的特點，它也可以是一個樹型結(jié)構(gòu)。開發(fā)最簡單系統(tǒng)時，系統(tǒng)工程師可能只需功能列表就足夠了。它通過習(xí)慣性的縮寫、標(biāo)號、字體來描述一系列功能的層次結(jié)構(gòu)。 通過圖表描述功能的相互聯(lián)系有多種方法。由于對要求和功能的定義不同，初始功能的級別高低并不相同。尤為重要的一點是，由于需滿足的要求是系統(tǒng)有效性和可用性的基礎(chǔ)，系統(tǒng)負(fù)責(zé)人必須在這些要求和要求特性上取得一致意見。用戶應(yīng)該區(qū)分要求的優(yōu)先級。系統(tǒng)工程師必須解決不同要求之間的沖突，并通過與其他系統(tǒng)責(zé)任人進行協(xié)商的方式淘汰和修改某些要求。各種要求必須是一致的。極端苛刻的要求是不合適的，它對一些系統(tǒng)性能要求太高，并可能修改其他某些合理要求。 來自 當(dāng)明確所有要求之后，系統(tǒng)工程師必須同其他系統(tǒng)負(fù)責(zé)人商議評估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測試性。此外，政策也可能規(guī)定某些接口、互操作和設(shè)計要求。性能要求的典型形式如下：質(zhì)，多好？量，數(shù)量？每個系統(tǒng)的成本有多高？適用范圍，適用范圍有多大？合時性，使用頻率與響應(yīng)度如何？有備性，可靠性、可維護性、可用性、可生產(chǎn)性。這里的保障可以特指系統(tǒng)的性能要求，也可以特指某種驗證并確認(rèn)系統(tǒng)可靠方法的處理要求（分別對設(shè)計和適用性而言）。除了規(guī)定系統(tǒng)的功能、接口、性能、互操作性、繼承以及設(shè)計需求外，系統(tǒng)工程師也必須與用戶共同決定系統(tǒng)開發(fā)和升級的保障要求。功能要求描述系統(tǒng)需要完成的任務(wù)、動作和行為。系統(tǒng)描述應(yīng)當(dāng)指出為完成用戶任務(wù)所需的信息處理類型（例如對等通信、廣播通信、信息存儲、一般訪問、受限訪問等）。系統(tǒng)描述應(yīng)當(dāng)包括系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入輸出的一般特性。每個目標(biāo)的基本原理必須解釋為：信息保護對象所支持的任務(wù)目標(biāo)、驅(qū)動信息保護目標(biāo)的與任務(wù)相關(guān)的威脅、未實現(xiàn)的目標(biāo)的結(jié)果、支持目標(biāo)的信息保護指導(dǎo)或策略。當(dāng)所有的需求目標(biāo)得以實現(xiàn)時，如果先前從需求到目標(biāo)的解釋正確而且完整，這些需求便得以滿足。各目標(biāo)都有一個描述滿足該目標(biāo)所需條件的有效性量度（ MoE）。目標(biāo)描述能夠通過描述系統(tǒng)的預(yù)期運行效果而滿足需求。 定義系統(tǒng)功能 來自 需求到目標(biāo)、目標(biāo)到要求以及要求到功能的各翻譯環(huán)節(jié)均采用工程語言。 來自 1. 目標(biāo) 在系統(tǒng)開發(fā)的系統(tǒng)功能定義階段，系統(tǒng)工程師必須明確系統(tǒng)要完成的功能，該功能的實現(xiàn)應(yīng)達(dá)到什么程度，以及系統(tǒng)有哪些外部接口。需要一個能夠確保在機構(gòu)內(nèi)部實施該策略的流程，并讓機構(gòu)成員認(rèn)識到，如果不實施該策略將會出現(xiàn)怎樣的后果。 高層管理機構(gòu)要頒布信息保護策略。 來自 為制定一個有效的信息保護策略，需要設(shè)立一個由系統(tǒng)工程專家、 ISSE、用戶代表、權(quán)威認(rèn)證機構(gòu)、設(shè)計專家組成的小組。必須定義下面的信息保護最重要的內(nèi)容：為什么需要信息保護？需要什么樣的保護？怎樣獲得保護？ 與系統(tǒng)工程過程相同，一個機構(gòu)必須考慮本機構(gòu)內(nèi)所有的政策、規(guī)則和標(biāo)準(zhǔn)。對系統(tǒng)威脅的描述涉及信息類型、合法用戶和用戶信息、威脅者的考慮（能力、意圖、自發(fā)性、動機、對任務(wù)的破壞）。其中，針對后者的部分描述涉及環(huán)境和信息系統(tǒng)所面臨的“威脅”。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號、能量和物質(zhì)的雙向信息流。該系統(tǒng)組成要明確信息系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入 /輸出的一般特性。沒有用戶的參與， ISSE很難做出滿足用戶要求的決定。 來自 圖 分層需求圖 來自 ISSE在設(shè)計信息系統(tǒng)時必須遵循用戶的層次設(shè)置，這樣才能使整個系統(tǒng)的性能達(dá)到預(yù)期指標(biāo)。該系統(tǒng)包含信息保護體系結(jié)構(gòu)和機制，并能夠依據(jù)用戶所允許的耗費、功能和計劃獲得最佳的信息保護性能。 來自 ISSE提供了識別顧客需求的界面，以確保任務(wù)需求包含信息保護需求，并且保證系統(tǒng)功能包含信息保護功能。要發(fā)現(xiàn)用戶信息保護需求，必須了解遺漏、丟失或修改什么信息會對總體任務(wù)造成危害。在此意義上， ISSE已經(jīng)開始探討用戶信息保護需求問題。 來自 圖 系統(tǒng)任務(wù)、信息安全威脅和政策對確定信息保護需求的影響 來自 1. 任務(wù)的信息保護需求 我們必須考慮信息和信息系統(tǒng)在一個大型任務(wù)或特定組織中的作用。當(dāng)系統(tǒng)發(fā)現(xiàn)需要這種信息安全保護時，信息保護將成為一個必須同時考慮的系統(tǒng)模塊。信息保護應(yīng)當(dāng)允許用戶有自己的觀點，不能局限于特定的設(shè)計或者應(yīng)用。 發(fā)掘信息保護需求 來自 ISSE首先調(diào)查用戶需求、相關(guān)政策、規(guī)則、標(biāo)準(zhǔn)以及系統(tǒng)工程所定義的用戶環(huán)境中的信息所面臨的威脅。獲得文檔是過程中的一個必要步驟。系統(tǒng)工程師要識別所有的用戶及其與系統(tǒng)交互的本質(zhì)，識別他們所扮演的角色、承擔(dān)的責(zé)任以及在該系統(tǒng)生命周期各階段中的授權(quán)。另外，要針對具體的情況，綜合考慮信息保護的目標(biāo)、需求、功用、結(jié)構(gòu)、設(shè)計、測試和實際應(yīng)用中所出現(xiàn)的系統(tǒng)工程設(shè)計情況。ISSE行為主要用于以下情況：描述信息保護需求；根據(jù)系統(tǒng)工程的前期需要產(chǎn)生信息保護的具體需求；在一個可以接受的信息保護風(fēng)險下滿足信息保護需求；根據(jù)需求，構(gòu)建一個此信息保護需求的邏輯結(jié)構(gòu)； 來自 根據(jù)物理結(jié)構(gòu)和邏輯結(jié)構(gòu)分派信息保護的具體功能；設(shè)計系統(tǒng)用于實現(xiàn)信息保護的結(jié)構(gòu)；從整個系統(tǒng)的耗費、規(guī)劃和執(zhí)行效率綜合考慮，在信息保護風(fēng)險與其他 ISSE問題之間進行權(quán)衡；參與涉及其他信息保護和系統(tǒng)學(xué)科的綜合研究；將 ISSE過程與系統(tǒng)工程和獲取過程相結(jié)合；以驗證信息保護設(shè)計方案并確認(rèn)信息保護的需求為目的，對系統(tǒng)進行測試；根據(jù)用戶需要對整個過程進行擴充和裁減，以此支持用戶使用。 來自 ISSE支持系統(tǒng)產(chǎn)品的開發(fā) 生產(chǎn) 銷售全過程的進展、驗證和確認(rèn)，以便滿足用戶的信息保護需求。這些評估是對問題空間和解決方案空間進行必要修正的基礎(chǔ)。解決方案空間代表了在開發(fā)系統(tǒng)以滿足用戶需求時所有已結(jié)束的行為和創(chuàng)造出的產(chǎn)品。該系統(tǒng)工程的過程執(zhí)行原則是：從“解決方案空間”中分離出“問題的空間”?！坝行栽u估”對各行為的產(chǎn)物（產(chǎn)品）進行評估，使之在指定的環(huán)境中依照質(zhì)量需求標(biāo)準(zhǔn)執(zhí)行功能需求并以此確保系統(tǒng)能夠滿足用戶需求。圖 18 8表明系統(tǒng)工程過程的主要行為，也反映了進程中各行為之間的關(guān)系。 來自 信息系統(tǒng)安全工程（ Information System Security Engineering, ISSE）的含義是為實現(xiàn)客戶信息保護需求而進行的某種過程。另一種是通過特定的系統(tǒng)函數(shù)（例如在報文轉(zhuǎn)送時，需要名字到地址的解析功能），這一接口是機器至機器的接口。 對于響應(yīng)速度的戰(zhàn)術(shù)要求，目錄系統(tǒng)提供兩種類型的訪問特性。 目錄服務(wù)的實現(xiàn)考慮 來自 服務(wù)的恢復(fù)涉及單個的目錄存儲代理（ Directory Storage Agent, DSA）為達(dá)到某一操作狀態(tài)從客戶（和別的附屬 DSA）到另一 DSA之間轉(zhuǎn)換的恢復(fù)時間。 可用性目標(biāo)是提供任何目錄服務(wù)要 1周 7天、 1天 24小時的可用。 易用性是指系統(tǒng)設(shè)計和提供給目錄用戶的工具能方便使用，如單擊、指向、圖標(biāo)、窗口、腳本和狀態(tài)信息等。 （ 3） 屬性句法，描繪了句法形式和那一屬性使用的匹配規(guī)則。目錄系統(tǒng)由 3部分組成： （ 1） 類，所包含客體的集合。 DIB的操作和管理部分包括用于跟蹤目錄操作的信息元素，如訪問控制信息與數(shù)據(jù)拷貝的有關(guān)信息。目錄服務(wù)定義了客體、屬性和相關(guān)句法的關(guān)系。 來自 （ 3） 管理用戶，除了具有修改客戶所有的重要特性外，還允許管理用戶項和操作信息。 訪問目錄服務(wù)的客戶類型有 3類： （ 1） 查詢客戶，執(zhí)行對用戶信息的一般查詢。 基礎(chǔ)設(shè)施目錄服務(wù)能提供對多種應(yīng)用的訪問。該設(shè)計支持很高的讀寫運算比。 基礎(chǔ)設(shè)施目錄服務(wù)的特性 來自 優(yōu)化的數(shù)據(jù)恢復(fù)。提供了允許信息分割以及訪問約束和適時的訪問機制。 高度的分布性。這一命名格式可用于加強訪問和減少用戶的位置信息。 來自 基礎(chǔ)設(shè)施目錄服務(wù)具有以下幾個重要特性： 定義的名字空間。最常見的例子是電話簿支持地址和電話號碼的名字解析關(guān)聯(lián)。 基礎(chǔ)設(shè)施目錄服務(wù) 來自 圖 目錄服務(wù)模型 來自 基礎(chǔ)設(shè)施目錄服務(wù)提供了信息的多個元素與特殊的人與設(shè)備相關(guān)聯(lián)的方式。目錄的設(shè)計可以根據(jù)客體的內(nèi)容范圍和服務(wù)范圍進行分類。 來自 基礎(chǔ)設(shè)施目錄服務(wù)是通過一個結(jié)構(gòu)化的命名服務(wù)，提供在分布環(huán)境中定位和管理資源的能力。 來自 1. 通信網(wǎng)絡(luò)中的每一個人可以盡可能長久地使用一個密鑰，在安全策略允許的情況下，可以經(jīng)?；蚝苌俑淖兠荑€； 密鑰在本地產(chǎn)生可以使采購的分發(fā)的問題最小化，不需要和中心權(quán)威機構(gòu)通信； 對稱密鑰的結(jié)構(gòu)相當(dāng)簡單，主