【正文】 設(shè)計(jì)基礎(chǔ)設(shè)施安全服務(wù)以支持設(shè)計(jì)指南和需求，這些安全服務(wù)包括鑒別。根據(jù)選擇的數(shù)據(jù)等級(jí)分類體制，每種數(shù)據(jù)保護(hù)目標(biāo)應(yīng)按數(shù)據(jù)機(jī)密性、完整性和可用性來(lái)表示和衡量。 安全基礎(chǔ)設(shè)施設(shè)計(jì)的基本目標(biāo)是保護(hù)企業(yè)的資產(chǎn)。除這些因素之外，也應(yīng)該注意可能影響評(píng)估結(jié)果的如下因素：互操作性，系統(tǒng)能正確地通過(guò)外部接口共享信息嗎？可用性，對(duì)用戶可供使用的系統(tǒng)能提高任務(wù)成功性嗎？訓(xùn)練，用戶有資格操作和維護(hù)系統(tǒng)需要的指令的程度？人機(jī)接口，用戶出現(xiàn)錯(cuò)誤的時(shí)候人機(jī)接口能夠正確協(xié)調(diào)嗎？費(fèi)用，建立、更新和維護(hù)系統(tǒng)在經(jīng)濟(jì)上是否可行？ 有效性評(píng)估 來(lái)自 一個(gè)安全基礎(chǔ)設(shè)施應(yīng)提供很多組件的協(xié)同使用，其體系結(jié)構(gòu)可改進(jìn)整個(gè)的安全特性，而不僅是各個(gè)安全組件的特性。第一，系統(tǒng)是否達(dá)到了任務(wù)的需求？第二，系統(tǒng)依照任務(wù)組織所期望的方式操作嗎？對(duì)系統(tǒng)功能和操作來(lái)說(shuō)，可能有些預(yù)期要求是絕對(duì)不能忽視的。此外，也要討論安裝過(guò)程中的變化情況對(duì)系統(tǒng)操作、支持與維護(hù)可能造成的其他風(fēng)險(xiǎn)。這些步驟以需求、體系結(jié)構(gòu)、設(shè)計(jì)和針對(duì)系統(tǒng)建立之初的配置所進(jìn)行測(cè)試的結(jié)果為基礎(chǔ)。但是，滿足這些要求是獲得用戶認(rèn)可并爭(zhēng)取到下一份商業(yè)定單的基礎(chǔ)。對(duì)于將同一系統(tǒng)部署于某個(gè)已知和可模擬環(huán)境的情況，在生產(chǎn)和部署之前也應(yīng)進(jìn)行仔細(xì)測(cè)試。此時(shí)，除非合同中的承諾條款承認(rèn)實(shí)驗(yàn)室環(huán)境下的系統(tǒng)性能測(cè)試結(jié)果，否則必須針對(duì)實(shí)際系統(tǒng)進(jìn)行測(cè)試。集成是為用戶提供一個(gè)全面的集成與測(cè)試，并能夠確保相應(yīng)的設(shè)計(jì)已經(jīng)通過(guò)驗(yàn)證的系統(tǒng)。集成測(cè)試可能導(dǎo)致改變系統(tǒng)組件重新設(shè)計(jì)。早期工作應(yīng)盡可能地規(guī)定系統(tǒng)測(cè)試所需人員、工具、設(shè)備、資金資源，并且進(jìn)行預(yù)算和論證。在驗(yàn)證和綜合測(cè)試過(guò)程中，必須對(duì)所有接口進(jìn)行全面測(cè)試。設(shè)計(jì)工程師要進(jìn)行單元測(cè)試。 來(lái)自 3. 測(cè)試 組件開(kāi)發(fā)出來(lái)后，必須對(duì)組件開(kāi)發(fā)結(jié)果進(jìn)行測(cè)試。如果系統(tǒng)組建正確，后續(xù)工作將能精確反映系統(tǒng)設(shè)計(jì)和工程工作的正確性。為避免不必要的麻煩，組建系統(tǒng)時(shí)應(yīng)遵循生產(chǎn)商規(guī)范。在此之前需要采用相應(yīng)的系統(tǒng)設(shè)計(jì)規(guī)范對(duì)各系統(tǒng)組件進(jìn)行測(cè)試。對(duì)信息系統(tǒng)而言，轉(zhuǎn)化包括所有產(chǎn)品級(jí)別的軟件、硬件或固件。在正式?jīng)Q定開(kāi)發(fā)或購(gòu)買(mǎi)之前，系統(tǒng)和設(shè)計(jì)工程師必須慎重權(quán)衡兩種方式的利弊并進(jìn)行研究。針對(duì)解決方案的集成選擇和獲得，可用產(chǎn)品的基礎(chǔ)是所選擇的系統(tǒng)設(shè)計(jì)細(xì)節(jié)。必須考慮涉及所有系統(tǒng)工程主要功能的問(wèn)題，并且確定其相互依賴關(guān)系或進(jìn)行權(quán)衡。 系統(tǒng)實(shí)施行為形成一個(gè)系統(tǒng)驗(yàn)證調(diào)查結(jié)論。在測(cè)試過(guò)程中，一些非常底層的設(shè)計(jì)工作（如小軟件模塊設(shè)計(jì)）通常作為系統(tǒng)建造工作的一部分。 來(lái)自 系統(tǒng)實(shí)施的目的是為所設(shè)計(jì)的系統(tǒng)開(kāi)發(fā)并集成其全部組件。詳細(xì)設(shè)計(jì)將產(chǎn)生系統(tǒng)關(guān)鍵設(shè)計(jì)評(píng)審（ Critical Design Review, CDR）。專業(yè)工程實(shí)踐、可靠性、可維護(hù)性、可用性、質(zhì)量、安全性和可生產(chǎn)性均能夠提供專家水準(zhǔn)的具體信息。初步設(shè)計(jì)的結(jié)果是分配系統(tǒng)基線配置。應(yīng)當(dāng)在初步設(shè)計(jì)評(píng)審（ Preliminary Design Review, PDR）之前對(duì)更高級(jí)規(guī)范進(jìn)行制定和評(píng)審。該規(guī)范必須是同規(guī)定的需求相應(yīng)的、完整的和確定的。 來(lái)自 2. 初步設(shè)計(jì) 進(jìn)行系統(tǒng)初步設(shè)計(jì)至少應(yīng)具備兩個(gè)先決條件：確定并且一致的系統(tǒng)要求；結(jié)構(gòu)管理下確定的體系結(jié)構(gòu)。系統(tǒng)工程師可以開(kāi)始針對(duì)系統(tǒng)設(shè)計(jì)分配資金、人員、工具和時(shí)間資源，為系統(tǒng)分配測(cè)試、細(xì)節(jié)、生命周期支持。 來(lái)自 在此意義上，系統(tǒng)工程師可以進(jìn)行方案驗(yàn)證、集成和制定工作系統(tǒng)，以及要求生效的要求的系統(tǒng)驗(yàn)證、集成和有效性測(cè)試。由于功能被分配給組件，組件必須實(shí)現(xiàn)相應(yīng)的功能和性能要求，并且不超出系統(tǒng)規(guī)定的出錯(cuò)率。當(dāng)系統(tǒng)功能的執(zhí)行需要具備一致性時(shí)，這一點(diǎn)尤為重要。他們可以將一些功能分配給軟件、硬件、固件和人。好的系統(tǒng)設(shè)計(jì)將確保該系統(tǒng)能夠滿足客戶需求。但是，性能過(guò)低的組件可能會(huì)損害系統(tǒng)整體性能。 設(shè) 計(jì)系統(tǒng) 來(lái)自 為達(dá)到應(yīng)用目標(biāo)，系統(tǒng)必須依賴其所有組件，這一點(diǎn)非常重要。在此意義上，系統(tǒng)工程師可以組織一個(gè)負(fù)責(zé)開(kāi)發(fā)具體解決方案的工作組。 來(lái)自 本部分工作要求一個(gè)受到多方制約的工作組設(shè)計(jì)系統(tǒng)的體系結(jié)構(gòu)并制定具體的設(shè)計(jì)方案。 來(lái)自 ISSE將使用許多系統(tǒng)工程工具來(lái)理解功能，并將功能分配給各種信息保護(hù)配置項(xiàng)。這樣便導(dǎo)致了子系統(tǒng)和底層組件的可視化。系統(tǒng)工程師必須在連帶和耦合之間進(jìn)行權(quán)衡，模塊化系統(tǒng)幾乎可以與獨(dú)立的子系統(tǒng)一樣定義、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、移植和升級(jí)。將更高層次的功能和繼承功能視為一組，使它們與其他功能保持高度的獨(dú)立性。 來(lái)自 由于功能列表具有分層的特點(diǎn)，它也可以是一個(gè)樹(shù)型結(jié)構(gòu)。開(kāi)發(fā)最簡(jiǎn)單系統(tǒng)時(shí)，系統(tǒng)工程師可能只需功能列表就足夠了。它通過(guò)習(xí)慣性的縮寫(xiě)、標(biāo)號(hào)、字體來(lái)描述一系列功能的層次結(jié)構(gòu)。 通過(guò)圖表描述功能的相互聯(lián)系有多種方法。由于對(duì)要求和功能的定義不同，初始功能的級(jí)別高低并不相同。尤為重要的一點(diǎn)是，由于需滿足的要求是系統(tǒng)有效性和可用性的基礎(chǔ)，系統(tǒng)負(fù)責(zé)人必須在這些要求和要求特性上取得一致意見(jiàn)。用戶應(yīng)該區(qū)分要求的優(yōu)先級(jí)。系統(tǒng)工程師必須解決不同要求之間的沖突，并通過(guò)與其他系統(tǒng)責(zé)任人進(jìn)行協(xié)商的方式淘汰和修改某些要求。各種要求必須是一致的。極端苛刻的要求是不合適的，它對(duì)一些系統(tǒng)性能要求太高，并可能修改其他某些合理要求。 來(lái)自 當(dāng)明確所有要求之后，系統(tǒng)工程師必須同其他系統(tǒng)負(fù)責(zé)人商議評(píng)估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測(cè)試性。此外，政策也可能規(guī)定某些接口、互操作和設(shè)計(jì)要求。性能要求的典型形式如下：質(zhì)，多好？量，數(shù)量？每個(gè)系統(tǒng)的成本有多高？適用范圍，適用范圍有多大？合時(shí)性，使用頻率與響應(yīng)度如何？有備性，可靠性、可維護(hù)性、可用性、可生產(chǎn)性。這里的保障可以特指系統(tǒng)的性能要求，也可以特指某種驗(yàn)證并確認(rèn)系統(tǒng)可靠方法的處理要求（分別對(duì)設(shè)計(jì)和適用性而言）。除了規(guī)定系統(tǒng)的功能、接口、性能、互操作性、繼承以及設(shè)計(jì)需求外，系統(tǒng)工程師也必須與用戶共同決定系統(tǒng)開(kāi)發(fā)和升級(jí)的保障要求。功能要求描述系統(tǒng)需要完成的任務(wù)、動(dòng)作和行為。系統(tǒng)描述應(yīng)當(dāng)指出為完成用戶任務(wù)所需的信息處理類型（例如對(duì)等通信、廣播通信、信息存儲(chǔ)、一般訪問(wèn)、受限訪問(wèn)等）。系統(tǒng)描述應(yīng)當(dāng)包括系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入輸出的一般特性。每個(gè)目標(biāo)的基本原理必須解釋為：信息保護(hù)對(duì)象所支持的任務(wù)目標(biāo)、驅(qū)動(dòng)信息保護(hù)目標(biāo)的與任務(wù)相關(guān)的威脅、未實(shí)現(xiàn)的目標(biāo)的結(jié)果、支持目標(biāo)的信息保護(hù)指導(dǎo)或策略。當(dāng)所有的需求目標(biāo)得以實(shí)現(xiàn)時(shí)，如果先前從需求到目標(biāo)的解釋正確而且完整，這些需求便得以滿足。各目標(biāo)都有一個(gè)描述滿足該目標(biāo)所需條件的有效性量度（ MoE）。目標(biāo)描述能夠通過(guò)描述系統(tǒng)的預(yù)期運(yùn)行效果而滿足需求。 定義系統(tǒng)功能 來(lái)自 需求到目標(biāo)、目標(biāo)到要求以及要求到功能的各翻譯環(huán)節(jié)均采用工程語(yǔ)言。 來(lái)自 1. 目標(biāo) 在系統(tǒng)開(kāi)發(fā)的系統(tǒng)功能定義階段，系統(tǒng)工程師必須明確系統(tǒng)要完成的功能，該功能的實(shí)現(xiàn)應(yīng)達(dá)到什么程度，以及系統(tǒng)有哪些外部接口。需要一個(gè)能夠確保在機(jī)構(gòu)內(nèi)部實(shí)施該策略的流程，并讓機(jī)構(gòu)成員認(rèn)識(shí)到，如果不實(shí)施該策略將會(huì)出現(xiàn)怎樣的后果。 高層管理機(jī)構(gòu)要頒布信息保護(hù)策略。 來(lái)自 為制定一個(gè)有效的信息保護(hù)策略，需要設(shè)立一個(gè)由系統(tǒng)工程專家、 ISSE、用戶代表、權(quán)威認(rèn)證機(jī)構(gòu)、設(shè)計(jì)專家組成的小組。必須定義下面的信息保護(hù)最重要的內(nèi)容：為什么需要信息保護(hù)？需要什么樣的保護(hù)？怎樣獲得保護(hù)？ 與系統(tǒng)工程過(guò)程相同，一個(gè)機(jī)構(gòu)必須考慮本機(jī)構(gòu)內(nèi)所有的政策、規(guī)則和標(biāo)準(zhǔn)。對(duì)系統(tǒng)威脅的描述涉及信息類型、合法用戶和用戶信息、威脅者的考慮（能力、意圖、自發(fā)性、動(dòng)機(jī)、對(duì)任務(wù)的破壞）。其中，針對(duì)后者的部分描述涉及環(huán)境和信息系統(tǒng)所面臨的“威脅”。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號(hào)、能量和物質(zhì)的雙向信息流。該系統(tǒng)組成要明確信息系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入 /輸出的一般特性。沒(méi)有用戶的參與， ISSE很難做出滿足用戶要求的決定。 來(lái)自 圖 分層需求圖 來(lái)自 ISSE在設(shè)計(jì)信息系統(tǒng)時(shí)必須遵循用戶的層次設(shè)置，這樣才能使整個(gè)系統(tǒng)的性能達(dá)到預(yù)期指標(biāo)。該系統(tǒng)包含信息保護(hù)體系結(jié)構(gòu)和機(jī)制，并能夠依據(jù)用戶所允許的耗費(fèi)、功能和計(jì)劃獲得最佳的信息保護(hù)性能。 來(lái)自 ISSE提供了識(shí)別顧客需求的界面，以確保任務(wù)需求包含信息保護(hù)需求，并且保證系統(tǒng)功能包含信息保護(hù)功能。要發(fā)現(xiàn)用戶信息保護(hù)需求，必須了解遺漏、丟失或修改什么信息會(huì)對(duì)總體任務(wù)造成危害。在此意義上， ISSE已經(jīng)開(kāi)始探討用戶信息保護(hù)需求問(wèn)題。 來(lái)自 圖 系統(tǒng)任務(wù)、信息安全威脅和政策對(duì)確定信息保護(hù)需求的影響 來(lái)自 1. 任務(wù)的信息保護(hù)需求 我們必須考慮信息和信息系統(tǒng)在一個(gè)大型任務(wù)或特定組織中的作用。當(dāng)系統(tǒng)發(fā)現(xiàn)需要這種信息安全保護(hù)時(shí)，信息保護(hù)將成為一個(gè)必須同時(shí)考慮的系統(tǒng)模塊。信息保護(hù)應(yīng)當(dāng)允許用戶有自己的觀點(diǎn)，不能局限于特定的設(shè)計(jì)或者應(yīng)用。 發(fā)掘信息保護(hù)需求 來(lái)自 ISSE首先調(diào)查用戶需求、相關(guān)政策、規(guī)則、標(biāo)準(zhǔn)以及系統(tǒng)工程所定義的用戶環(huán)境中的信息所面臨的威脅。獲得文檔是過(guò)程中的一個(gè)必要步驟。系統(tǒng)工程師要識(shí)別所有的用戶及其與系統(tǒng)交互的本質(zhì)，識(shí)別他們所扮演的角色、承擔(dān)的責(zé)任以及在該系統(tǒng)生命周期各階段中的授權(quán)。另外，要針對(duì)具體的情況，綜合考慮信息保護(hù)的目標(biāo)、需求、功用、結(jié)構(gòu)、設(shè)計(jì)、測(cè)試和實(shí)際應(yīng)用中所出現(xiàn)的系統(tǒng)工程設(shè)計(jì)情況。ISSE行為主要用于以下情況：描述信息保護(hù)需求；根據(jù)系統(tǒng)工程的前期需要產(chǎn)生信息保護(hù)的具體需求；在一個(gè)可以接受的信息保護(hù)風(fēng)險(xiǎn)下滿足信息保護(hù)需求；根據(jù)需求，構(gòu)建一個(gè)此信息保護(hù)需求的邏輯結(jié)構(gòu)； 來(lái)自 根據(jù)物理結(jié)構(gòu)和邏輯結(jié)構(gòu)分派信息保護(hù)的具體功能；設(shè)計(jì)系統(tǒng)用于實(shí)現(xiàn)信息保護(hù)的結(jié)構(gòu)；從整個(gè)系統(tǒng)的耗費(fèi)、規(guī)劃和執(zhí)行效率綜合考慮，在信息保護(hù)風(fēng)險(xiǎn)與其他 ISSE問(wèn)題之間進(jìn)行權(quán)衡；參與涉及其他信息保護(hù)和系統(tǒng)學(xué)科的綜合研究；將 ISSE過(guò)程與系統(tǒng)工程和獲取過(guò)程相結(jié)合；以驗(yàn)證信息保護(hù)設(shè)計(jì)方案并確認(rèn)信息保護(hù)的需求為目的，對(duì)系統(tǒng)進(jìn)行測(cè)試；根據(jù)用戶需要對(duì)整個(gè)過(guò)程進(jìn)行擴(kuò)充和裁減，以此支持用戶使用。 來(lái)自 ISSE支持系統(tǒng)產(chǎn)品的開(kāi)發(fā) 生產(chǎn) 銷售全過(guò)程的進(jìn)展、驗(yàn)證和確認(rèn)，以便滿足用戶的信息保護(hù)需求。這些評(píng)估是對(duì)問(wèn)題空間和解決方案空間進(jìn)行必要修正的基礎(chǔ)。解決方案空間代表了在開(kāi)發(fā)系統(tǒng)以滿足用戶需求時(shí)所有已結(jié)束的行為和創(chuàng)造出的產(chǎn)品。該系統(tǒng)工程的過(guò)程執(zhí)行原則是：從“解決方案空間”中分離出“問(wèn)題的空間”。“有效性評(píng)估”對(duì)各行為的產(chǎn)物（產(chǎn)品）進(jìn)行評(píng)估，使之在指定的環(huán)境中依照質(zhì)量需求標(biāo)準(zhǔn)執(zhí)行功能需求并以此確保系統(tǒng)能夠滿足用戶需求。圖 18 8表明系統(tǒng)工程過(guò)程的主要行為，也反映了進(jìn)程中各行為之間的關(guān)系。 來(lái)自 信息系統(tǒng)安全工程（ Information System Security Engineering, ISSE）的含義是為實(shí)現(xiàn)客戶信息保護(hù)需求而進(jìn)行的某種過(guò)程。另一種是通過(guò)特定的系統(tǒng)函數(shù)（例如在報(bào)文轉(zhuǎn)送時(shí)，需要名字到地址的解析功能），這一接口是機(jī)器至機(jī)器的接口。 對(duì)于響應(yīng)速度的戰(zhàn)術(shù)要求，目錄系統(tǒng)提供兩種類型的訪問(wèn)特性。 目錄服務(wù)的實(shí)現(xiàn)考慮 來(lái)自 服務(wù)的恢復(fù)涉及單個(gè)的目錄存儲(chǔ)代理（ Directory Storage Agent, DSA）為達(dá)到某一操作狀態(tài)從客戶（和別的附屬 DSA）到另一 DSA之間轉(zhuǎn)換的恢復(fù)時(shí)間。 可用性目標(biāo)是提供任何目錄服務(wù)要 1周 7天、 1天 24小時(shí)的可用。 易用性是指系統(tǒng)設(shè)計(jì)和提供給目錄用戶的工具能方便使用，如單擊、指向、圖標(biāo)、窗口、腳本和狀態(tài)信息等。 （ 3） 屬性句法，描繪了句法形式和那一屬性使用的匹配規(guī)則。目錄系統(tǒng)由 3部分組成： （ 1） 類，所包含客體的集合。 DIB的操作和管理部分包括用于跟蹤目錄操作的信息元素，如訪問(wèn)控制信息與數(shù)據(jù)拷貝的有關(guān)信息。目錄服務(wù)定義了客體、屬性和相關(guān)句法的關(guān)系。 來(lái)自 （ 3） 管理用戶，除了具有修改客戶所有的重要特性外，還允許管理用戶項(xiàng)和操作信息。 訪問(wèn)目錄服務(wù)的客戶類型有 3類： （ 1） 查詢客戶，執(zhí)行對(duì)用戶信息的一般查詢。 基礎(chǔ)設(shè)施目錄服務(wù)能提供對(duì)多種應(yīng)用的訪問(wèn)。該設(shè)計(jì)支持很高的讀寫(xiě)運(yùn)算比。 基礎(chǔ)設(shè)施目錄服務(wù)的特性 來(lái)自 優(yōu)化的數(shù)據(jù)恢復(fù)。提供了允許信息分割以及訪問(wèn)約束和適時(shí)的訪問(wèn)機(jī)制。 高度的分布性。這一命名格式可用于加強(qiáng)訪問(wèn)和減少用戶的位置信息。 來(lái)自 基礎(chǔ)設(shè)施目錄服務(wù)具有以下幾個(gè)重要特性： 定義的名字空間。最常見(jiàn)的例子是電話簿支持地址和電話號(hào)碼的名字解析關(guān)聯(lián)。 基礎(chǔ)設(shè)施目錄服務(wù) 來(lái)自 圖 目錄服務(wù)模型 來(lái)自 基礎(chǔ)設(shè)施目錄服務(wù)提供了信息的多個(gè)元素與特殊的人與設(shè)備相關(guān)聯(lián)的方式。目錄的設(shè)計(jì)可以根據(jù)客體的內(nèi)容范圍和服務(wù)范圍進(jìn)行分類。 來(lái)自 基礎(chǔ)設(shè)施目錄服務(wù)是通過(guò)一個(gè)結(jié)構(gòu)化的命名服務(wù)，提供在分布環(huán)境中定位和管理資源的能力。 來(lái)自 1. 通信網(wǎng)絡(luò)中的每一個(gè)人可以盡可能長(zhǎng)久地使用一個(gè)密鑰，在安全策略允許的情況下，可以經(jīng)常或很少改變密鑰； 密鑰在本地產(chǎn)生可以使采購(gòu)的分發(fā)的問(wèn)題最小化，不需要和中心權(quán)威機(jī)構(gòu)通信； 對(duì)稱密鑰的結(jié)構(gòu)相當(dāng)簡(jiǎn)單，主