【正文】 A. 一門藝術，各種 B. 一門科學，協(xié)同 C. 一項工程，分別 D. 藝術、科學和工程集成于一體，協(xié)同 182 安全基礎設施的主要組成是（）。 ISSE的系統(tǒng)工程過程包括挖掘任務或業(yè)務需求、定義系統(tǒng)功能、設計系統(tǒng)、實施系統(tǒng)以及有效性評估。 信息系統(tǒng)安全工程（ ISSE）是為實現客戶信息保護需求而進行的某種過程。 基礎設施目錄服務是通過一個結構化的命名服務，提供在分布環(huán)境中定位和管理資源的能力。密鑰管理是對稱密鑰技術安全性的關鍵因素。橋 CA的作用是為多個 PKI中的關鍵 CA簽發(fā)交叉認證證書。 PKI管理的對象有密鑰、證書以及證書撤銷列表（ CRL）。 公鑰基礎設施（ PKI）用來管理密鑰和證書。 KMI/PKI是安全服務所必需的組件，其體系結構依賴于其支持的應用。設計基礎設施安全服務以支持設計指南和需求，這些安全服務包括鑒別、授權、賬戶、物理訪問控制和邏輯訪問控制，應分別采取適當的安全機制以實現這些安全服務。根據選擇的數據等級分類體制，每種數據保護目標應按數據機密性、完整性和可用性來表示和衡量。 安全基礎設施設計的基本目標是保護企業(yè)的資產。除這些因素之外，也應該注意可能影響評估結果的如下因素：互操作性，系統(tǒng)能正確地通過外部接口共享信息嗎？可用性，對用戶可供使用的系統(tǒng)能提高任務成功性嗎？訓練，用戶有資格操作和維護系統(tǒng)需要的指令的程度？人機接口，用戶出現錯誤的時候人機接口能夠正確協(xié)調嗎？費用，建立、更新和維護系統(tǒng)在經濟上是否可行？ 有效性評估 一個安全基礎設施應提供很多組件的協(xié)同使用，其體系結構可改進整個的安全特性，而不僅是各個安全組件的特性。第一，系統(tǒng)是否達到了任務的需求？第二，系統(tǒng)依照任務組織所期望的方式操作嗎？對系統(tǒng)功能和操作來說，可能有些預期要求是絕對不能忽視的。此外，也要討論安裝過程中的變化情況對系統(tǒng)操作、支持與維護可能造成的其他風險。這些步驟以需求、體系結構、設計和針對系統(tǒng)建立之初的配置所進行測試的結果為基礎。但是，滿足這些要求是獲得用戶認可并爭取到下一份商業(yè)定單的基礎。對于將同一系統(tǒng)部署于某個已知和可模擬環(huán)境的情況，在生產和部署之前也應進行仔細測試。此時，除非合同中的承諾條款承認實驗室環(huán)境下的系統(tǒng)性能測試結果，否則必須針對實際系統(tǒng)進行測試。集成是為用戶提供一個全面的集成與測試，并能夠確保相應的設計已經通過驗證的系統(tǒng)。集成測試可能導致改變系統(tǒng)組件重新設計。早期工作應盡可能地規(guī)定系統(tǒng)測試所需人員、工具、設備、資金資源，并且進行預算和論證。在驗證和綜合測試過程中，必須對所有接口進行全面測試。設計工程師要進行單元測試。 3. 測試 組件開發(fā)出來后，必須對組件開發(fā)結果進行測試。如果系統(tǒng)組建正確，后續(xù)工作將能精確反映系統(tǒng)設計和工程工作的正確性。為避免不必要的麻煩，組建系統(tǒng)時應遵循生產商規(guī)范。在此之前需要采用相應的系統(tǒng)設計規(guī)范對各系統(tǒng)組件進行測試。對信息系統(tǒng)而言，轉化包括所有產品級別的軟件、硬件或固件。在正式決定開發(fā)或購買之前，系統(tǒng)和設計工程師必須慎重權衡兩種方式的利弊并進行研究。針對解決方案的集成選擇和獲得，可用產品的基礎是所選擇的系統(tǒng)設計細節(jié)。必須考慮涉及所有系統(tǒng)工程主要功能的問題，并且確定其相互依賴關系或進行權衡。 系統(tǒng)實施行為形成一個系統(tǒng)驗證調查結論。在測試過程中，一些非常底層的設計工作（如小軟件模塊設計）通常作為系統(tǒng)建造工作的一部分。 系統(tǒng)實施的目的是為所設計的系統(tǒng)開發(fā)并集成其全部組件。詳細設計將產生系統(tǒng)關鍵設計評審（ Critical Design Review, CDR）。專業(yè)工程實踐、可靠性、可維護性、可用性、質量、安全性和可生產性均能夠提供專家水準的具體信息。初步設計的結果是分配系統(tǒng)基線配置。應當在初步設計評審（ Preliminary Design Review, PDR）之前對更高級規(guī)范進行制定和評審。該規(guī)范必須是同規(guī)定的需求相應的、完整的和確定的。 2. 初步設計 進行系統(tǒng)初步設計至少應具備兩個先決條件：確定并且一致的系統(tǒng)要求；結構管理下確定的體系結構。系統(tǒng)工程師可以開始針對系統(tǒng)設計分配資金、人員、工具和時間資源，為系統(tǒng)分配測試、細節(jié)、生命周期支持。 在此意義上，系統(tǒng)工程師可以進行方案驗證、集成和制定工作系統(tǒng)，以及要求生效的要求的系統(tǒng)驗證、集成和有效性測試。由于功能被分配給組件，組件必須實現相應的功能和性能要求，并且不超出系統(tǒng)規(guī)定的出錯率。當系統(tǒng)功能的執(zhí)行需要具備一致性時，這一點尤為重要。他們可以將一些功能分配給軟件、硬件、固件和人。好的系統(tǒng)設計將確保該系統(tǒng)能夠滿足客戶需求。但是，性能過低的組件可能會損害系統(tǒng)整體性能。 設 計系統(tǒng) 為達到應用目標，系統(tǒng)必須依賴其所有組件，這一點非常重要。在此意義上，系統(tǒng)工程師可以組織一個負責開發(fā)具體解決方案的工作組。 本部分工作要求一個受到多方制約的工作組設計系統(tǒng)的體系結構并制定具體的設計方案。 ISSE將使用許多系統(tǒng)工程工具來理解功能，并將功能分配給各種信息保護配置項。這樣便導致了子系統(tǒng)和底層組件的可視化。系統(tǒng)工程師必須在連帶和耦合之間進行權衡，模塊化系統(tǒng)幾乎可以與獨立的子系統(tǒng)一樣定義、設計、開發(fā)、測試、移植和升級。將更高層次的功能和繼承功能視為一組，使它們與其他功能保持高度的獨立性。 由于功能列表具有分層的特點，它也可以是一個樹型結構。開發(fā)最簡單系統(tǒng)時，系統(tǒng)工程師可能只需功能列表就足夠了。它通過習慣性的縮寫、標號、字體來描述一系列功能的層次結構。 通過圖表描述功能的相互聯系有多種方法。由于對要求和功能的定義不同，初始功能的級別高低并不相同。尤為重要的一點是，由于需滿足的要求是系統(tǒng)有效性和可用性的基礎，系統(tǒng)負責人必須在這些要求和要求特性上取得一致意見。用戶應該區(qū)分要求的優(yōu)先級。系統(tǒng)工程師必須解決不同要求之間的沖突，并通過與其他系統(tǒng)責任人進行協(xié)商的方式淘汰和修改某些要求。各種要求必須是一致的。極端苛刻的要求是不合適的，它對一些系統(tǒng)性能要求太高，并可能修改其他某些合理要求。 當明確所有要求之后，系統(tǒng)工程師必須同其他系統(tǒng)負責人商議評估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測試性。此外，政策也可能規(guī)定某些接口、互操作和設計要求。性能要求的典型形式如下：質，多好？量，數量？每個系統(tǒng)的成本有多高？適用范圍，適用范圍有多大？合時性，使用頻率與響應度如何？有備性，可靠性、可維護性、可用性、可生產性。這里的保障可以特指系統(tǒng)的性能要求，也可以特指某種驗證并確認系統(tǒng)可靠方法的處理要求（分別對設計和適用性而言）。除了規(guī)定系統(tǒng)的功能、接口、性能、互操作性、繼承以及設計需求外，系統(tǒng)工程師也必須與用戶共同決定系統(tǒng)開發(fā)和升級的保障要求。功能要求描述系統(tǒng)需要完成的任務、動作和行為。系統(tǒng)描述應當指出為完成用戶任務所需的信息處理類型（例如對等通信、廣播通信、信息存儲、一般訪問、受限訪問等）。系統(tǒng)描述應當包括系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入輸出的一般特性。每個目標的基本原理必須解釋為：信息保護對象所支持的任務目標、驅動信息保護目標的與任務相關的威脅、未實現的目標的結果、支持目標的信息保護指導或策略。當所有的需求目標得以實現時，如果先前從需求到目標的解釋正確而且完整，這些需求便得以滿足。各目標都有一個描述滿足該目標所需條件的有效性量度（ MoE）。目標描述能夠通過描述系統(tǒng)的預期運行效果而滿足需求。 定義系統(tǒng)功能 需求到目標、目標到要求以及要求到功能的各翻譯環(huán)節(jié)均采用工程語言。 1. 目標 在系統(tǒng)開發(fā)的系統(tǒng)功能定義階段，系統(tǒng)工程師必須明確系統(tǒng)要完成的功能，該功能的實現應達到什么程度，以及系統(tǒng)有哪些外部接口。需要一個能夠確保在機構內部實施該策略的流程，并讓機構成員認識到，如果不實施該策略將會出現怎樣的后果。 高層管理機構要頒布信息保護策略。 為制定一個有效的信息保護策略，需要設立一個由系統(tǒng)工程專家、 ISSE、用戶代表、權威認證機構、設計專家組成的小組。必須定義下面的信息保護最重要的內容：為什么需要信息保護？需要什么樣的保護？怎樣獲得保護？ 與系統(tǒng)工程過程相同，一個機構必須考慮本機構內所有的政策、規(guī)則和標準。對系統(tǒng)威脅的描述涉及信息類型、合法用戶和用戶信息、威脅者的考慮（能力、意圖、自發(fā)性、動機、對任務的破壞）。其中，針對后者的部分描述涉及環(huán)境和信息系統(tǒng)所面臨的“威脅”。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號、能量和物質的雙向信息流。該系統(tǒng)組成要明確信息系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入 /輸出的一般特性。沒有用戶的參與， ISSE很難做出滿足用戶要求的決定。 圖 分層需求圖 ISSE在設計信息系統(tǒng)時必須遵循用戶的層次設置，這樣才能使整個系統(tǒng)的性能達到預期指標。該系統(tǒng)包含信息保護體系結構和機制，并能夠依據用戶所允許的耗費、功能和計劃獲得最佳的信息保護性能。 ISSE提供了識別顧客需求的界面，以確保任務需求包含信息保護需求，并且保證系統(tǒng)功能包含信息保護功能。要發(fā)現用戶信息保護需求，必須了解遺漏、丟失或修改什么信息會對總體任務造成危害。在此意義上， ISSE已經開始探討用戶信息保護需求問題。 圖 系統(tǒng)任務、信息安全威脅和政策對確定信息保護需求的影響 1. 任務的信息保護需求 我們必須考慮信息和信息系統(tǒng)在一個大型任務或特定組織中的作用。當系統(tǒng)發(fā)現需要這種信息安全保護時，信息保護將成為一個必須同時考慮的系統(tǒng)模塊。信息保護應當允許用戶有自己的觀點，不能局限于特定的設計或者應用。 發(fā)掘信息保護需求 ISSE首先調查用戶需求、相關政策、規(guī)則、標準以及系統(tǒng)工程所定義的用戶環(huán)境中的信息所面臨的威脅。獲得文檔是過程中的一個必要步驟。系統(tǒng)工程師要識別所有的用戶及其與系統(tǒng)交互的本質，識別他們所扮演的角色、承擔的責任以及在該系統(tǒng)生命周期各階段中的授權。另外，要針對具體的情況，綜合考慮信息保護的目標、需求、功用、結構、設計、測試和實際應用中所出現的系統(tǒng)工程設計情況。ISSE行為主要用于以下情況：描述信息保護需求；根據系統(tǒng)工程的前期需要產生信息保護的具體需求；在一個可以接受的信息保護風險下滿足信息保護需求；根據需求，構建一個此信息保護需求的邏輯結構； 根據物理結構和邏輯結構分派信息保護的具體功能；設計系統(tǒng)用于實現信息保護的結構；從整個系統(tǒng)的耗費、規(guī)劃和執(zhí)行效率綜合考慮，在信息保護風險與其他 ISSE問題之間進行權衡；參與涉及其他信息保護和系統(tǒng)學科的綜合研究；將 ISSE過程與系統(tǒng)工程和獲取過程相結合；以驗證信息保護設計方案并確認信息保護的需求為目的，對系統(tǒng)進行測試；根據用戶需要對整個過程進行擴充和裁減，以此支持用戶使用。 ISSE支持系統(tǒng)產品的開發(fā) 生產 銷售全過程的進展、驗證和確認，以便滿足用戶的信息保護需求。這些評估是對問題空間和解決方案空間進行必要修正的基礎。解決方案空間代表了在開發(fā)系統(tǒng)以滿足用戶需求時所有已結束的行為和創(chuàng)造出的產品。該系統(tǒng)工程的過程執(zhí)行原則是：從“解決方案空間”中分離出“問題的空間”?！坝行栽u估”對各行為的產物（產品）進行評估，使之在指定的環(huán)境中依照質量需求標準執(zhí)行功能需求并以此確保系統(tǒng)能夠滿足用戶需求。圖 18 8表明系統(tǒng)工程過程的主要行為，也反映了進程中各行為之間的關系。 信息系統(tǒng)安全工程（ Information System Security Engineering, ISSE）的含義是為實現客戶信息保護需求而進行的某種過程。另一種是通過特定的系統(tǒng)函數（例如在報文轉送時，需要名字到地址的解析功能），這一接口是機器至機器的接口。 對于響應速度的戰(zhàn)術要求，目錄系統(tǒng)提供兩種類型的訪問特性。 目錄服務的實現考慮 服務的恢復涉及單個的目錄存儲代理（ Directory Storage Agent, DSA）為達到某一操作狀態(tài)從客戶（和別的附屬 DSA）到另一 DSA之間轉換的恢復時間。 可用性目標是提供任何目錄服務要 1周 7天、 1天 24小時的可用。 易用性是指系統(tǒng)設計和提供給目錄用戶的工具能方便使用，如單擊、指向、圖標、窗口、腳本和狀態(tài)信息等。 （ 3） 屬性句法，描繪了句法形式和那一屬性使用的匹配規(guī)則。目錄系統(tǒng)由 3部分組成： （ 1） 類，所包含客體的集合。 DIB的操作和管理部分包括用于跟蹤目錄操作的信息元素，如訪問控制信息與數據拷貝的有關信息。目錄服務定義了客體、屬性和相關句法的關系。 （ 3） 管理用戶，除了具有修改客戶所有的重要特性外，還允許管理用戶項和操作信息。 訪問目錄服務的客戶類型有 3類： （ 1） 查詢客戶，執(zhí)行對用戶信息的一般查詢。 基礎設施目錄服務能提供對多種應用的訪問。該設計支持很高的讀寫運算比。 基礎設施目錄服務的特性 優(yōu)化的數據恢復。提供了允許信息分割以及訪問約束和適時的訪問機制。 高度的分布性。這一命名格式可用于加強訪問和減少用戶的位置信息。 基礎設施目錄服務具有以下幾個重要特性： 定義的名字空間。最常見的例子是電話簿支持地址和電話號碼的名字解析關聯。 基礎設施目錄服務 圖 目錄服務模型 基礎設施目錄服務提供