【正文】 的危險就越大； 為了對付可能的危害和偶然的使用，需要產(chǎn)生大量的對稱密鑰，這些密鑰必須被安全地傳送和在本地存儲； 來自 分配延遲使得密鑰在使用之前就要產(chǎn)生并分發(fā)出去，所以在延遲時間較長時，會允許對于密鑰的有害訪問； 網(wǎng)絡必須是預先確定的，很難產(chǎn)生動態(tài)的通信網(wǎng)絡； 密鑰必須在所有時間保密； 對于每一次會話通信，密鑰的存活期不能太長； 沒有固定的方式能夠知道誰產(chǎn)生了密鑰； 沒有后向的通信業(yè)務保護，從密鑰周期的開始，任何時間密鑰受到的危害都會使使用該密鑰加密的通信業(yè)務暴露。目錄也提供對這一分布信息服務中所表示的所有客體的訪問控制。圖 ，它提供對稱及非對稱密鑰以及整個企業(yè)的保密性、完整性、標識和鑒別的管理數(shù)據(jù)。這一關聯(lián)在分層組織中進行管理，并由名字關聯(lián)進行索引。在分布式網(wǎng)絡環(huán)境中，需要管理更多的信息，要求更通用的目錄功能。目錄服務通常調(diào)用一分層的名字空間，它在邏輯結(jié)構(gòu)上是一棵倒轉(zhuǎn)的樹?？梢允褂?、 RFC822電子郵件的命名和DNS的域名。目錄服務將數(shù)據(jù)可靠地分布于多個目錄，不管它們分布于整個企業(yè)還是位于一個局域環(huán)境中。此外，通過目錄服務復制數(shù)據(jù)的能力使系統(tǒng)能更好地抗失效和保持可訪問性。目錄服務提供了根據(jù)客體的個體屬性進行搜索的能力。大多數(shù)目錄產(chǎn)品假定訪問目錄信息庫中 99%是查找或搜索，而沒有改變、添加、刪除。一些重要的訪問目錄應用如 DAP和LDAP、電子郵件（ S/MIMI V3）和以 Web為基礎的訪問（ ）。 （ 2） 修改客戶，執(zhí)行查詢，并且能執(zhí)行很強的認證綁定和對選定用戶屬性的修改。 圖 （ Directory Information Base, DIB）的邏輯結(jié)構(gòu)。用戶信息部分包括關于目錄客體的信息，這些信息對DIB的訪問是可見的。 來自 圖 目錄信息庫的邏輯結(jié)構(gòu) 來自 目錄系統(tǒng)是一組定義了目錄信息樹（ Directory Information Tree, DIT）如何構(gòu)造的規(guī)則集合，定義了 DIB中保存的特定信息類型以及用于訪問信息的句法。 （ 2） 每一客體類的屬性，某類客體所允許的屬性集合。 來自 目錄服務必須具有實際的性能特性，性能可從以下幾方面考慮：易用性、健壯性、服務恢復的及時性和響應速度。 健壯性指產(chǎn)品和系統(tǒng)的可靠性和完整性，并根據(jù)平均失效時間 MTBF和平均修復時間 MTTR來說明。在證書管理中，在需要時，吊銷信息的操作必須可用。如果 DSA在戰(zhàn)略環(huán)境中，不應超過 5分鐘，在戰(zhàn)術環(huán)境中應小于 1分鐘。一種是人的訪問要求，通過人機接口處理信息的獲?。ɡ绨醉撔畔ⅲＩ鲜鰞煞N訪問都有性能要求，但是，它們的特征和表示方法卻差別很大。 ISSE是由美國國家安全局發(fā)布的 《 信息保障技術框架（ IATF） 》 的設計和實施信息系統(tǒng)安全工程方法。箭頭表明各行為間的信息流向，而不是行為的順序或時限。 信息系統(tǒng)安全工程 來自 圖 系統(tǒng)工程過程 來自 圖 方式進行的：挖掘任務或業(yè)務需求，定義系統(tǒng)功能，設計系統(tǒng)，實施系統(tǒng)，有效性評估。問題空間表示“解決方案”這一概念的約束條件、風險、策略和一些界限（值）。由解決方案空間所代表的、面向已定義的或一致的目標的系統(tǒng)工程行為和產(chǎn)品在開發(fā)的過程中必須不斷地接受有效性評估，并確定該方案是否違背問題空間所形成的條件。從解決方案空間分離出問題空間這一原則允許創(chuàng)造并且定義與既成的法律和人為制定的政策保持一致的有效解決方案。同時，ISSE也識別和接受信息保護風險并對其進行優(yōu)化。 來自 為確保信息保護被納入整個系統(tǒng)，必須在最開始進行系統(tǒng)工程設計時便考慮 ISSE。 來自 系統(tǒng)工程過程運作的起點是針對用戶需求、相關策略、規(guī)則和用戶環(huán)境標準的一系列決定。需求由用戶產(chǎn)生，并且不應該對系統(tǒng)設計與執(zhí)行產(chǎn)生過度的約束。該文檔通過用戶語言來描述工程任務或期望的性能、工程現(xiàn)有性能缺陷與市場機遇、（市場）環(huán)境以及如何利用系統(tǒng)達到任務目標和獲得市場定位。然后， ISSE識別信息系統(tǒng)中的具體用戶和信息，以及他們在信息系統(tǒng)中的相互關系、規(guī)則及其在信息保護生命周期各階段所承擔的責任。 在信息保護政策和安全操作概念中， ISSE應該使用通用語言描述如何在一個綜合的信息環(huán)境中獲得所需要的信息安全保護。圖 、威脅和政策如何影響信息保護需求以及如何進行分析。 ISSE必須考慮組織元素（人和子系統(tǒng)）的任務可能受到的影響，即無法使用所依賴的信息系統(tǒng)或信息，尤其是喪失機密性、完整性、可用性、不可否認性及其組合。 信息的重要性眾人皆知，但是人們往往忽視信息保護需求。 ISSE應該做到以下幾點：幫助用戶對自己的信息管理過程進行建模、幫助用戶定義信息威脅、幫助用戶確立信息保護需求的優(yōu)先次序、準備信息保護策略、獲得用戶許可。 ISSE將安全規(guī)則、技術、機制相結(jié)合，并將其應用于解決用戶信息保護的實踐需求，從而建立一個信息保護系統(tǒng)。 圖 ，較高層次的需求建議在較低層次的需求基礎之上，各模塊的需求決定于它在結(jié)構(gòu)圖中的位置。信息和信息系統(tǒng)在支持任務方面必須滿足如下要求：對何種信息記錄（機密信息、金融信息、產(chǎn)權(quán)信息、個人隱私信息等）進行觀察、更新、刪除、初始化或者處理？授權(quán)誰觀察、更新、刪除、初始化和處理信息記錄？經(jīng)授權(quán)的用戶如何履行其責任？經(jīng)授權(quán)的用戶使用何種工具（文檔、硬件、軟件、固件和規(guī)程）履行其責任？清楚地知道個人發(fā)送或者接收的一則消息或一個文件具有怎樣的重要性？ ISSE和系統(tǒng)用戶將精誠合作，使信息系統(tǒng)更好地滿足用戶總?cè)蝿找蟆? 來自 2. 信息管理面臨的威脅 依照 ISSE，技術層面的系統(tǒng)組成應負責識別信息系統(tǒng)的功能和它與外界系統(tǒng)邊界的接口。它描述系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號、能量和物質(zhì)的雙向信息流。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間有意設定或自行存在的接口?！巴{”指某些人采取某種行動，引發(fā)可能造成某個結(jié)果的事件或?qū)ο到y(tǒng)造成危害的潛在事實。 來自 3. 信息保護策略的考慮 對一個機構(gòu)而言，在制定本組織的信息保護策略時必須考慮所有現(xiàn)有的信息保護策略、規(guī)則和標準。必須定義一個機構(gòu)信息策略的以下最重要內(nèi)容：機構(gòu)需要保護的資源 /資產(chǎn)、需要和這些資產(chǎn)發(fā)生關系的個人的角色和責任（作為可操作性任務的一部分）、授權(quán)用戶用到這些資產(chǎn)（有信息安全要求）的合適的方法。該小組的成員要共同合作，保證策略的正確性、全面性以及和其他現(xiàn)有策略的連續(xù)性。該策略必須是明確的，應該使下級機構(gòu)易于制定各自的制度，并且便于機構(gòu)所有成員的理解。盡管必須依據(jù)具體情況的改變及時更新機構(gòu)安全策略，高層策略卻不應經(jīng)常變動。系統(tǒng)工程也要將描述系統(tǒng)應用環(huán)境的自然語言翻譯為定義接口以及系統(tǒng)邊界的工程圖表。系統(tǒng)工程師將使用工程語言來描述特定的目標。系統(tǒng)工程師必須能將目標同此前提出的需要相聯(lián)系，并且能夠從理論上加以解釋。因此目標描述必須明確、可測、可驗證。 來自 信息保護目標與系統(tǒng)目標具有相同的特性，都具有MoE，而且對信息保護需求是明確的、可測量的、可驗證的、可跟蹤的。 來自 2. 系統(tǒng)描述 /環(huán)境 技術系統(tǒng)描述本系統(tǒng)與系統(tǒng)邊界外的元素相互作用的功能與接口。系統(tǒng)描述包括針對信息、信號、能量和資源在系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間雙向流動的描述。 來自 3. 要求 功能要求由父目標處繼承而來。當轉(zhuǎn)化為性能需求時，目標有效性度量則定義功能需求的實現(xiàn)程度。保障要求影響系統(tǒng)設計與文件歸檔方法，并使用戶確信系統(tǒng)除了實現(xiàn)開發(fā)者聲稱的功能之外再無其他功能。 來自 為確定一套能夠滿足需求并代表可接受的風險、生命周期成本和進度的性能的要求集，系統(tǒng)工程師在為一套要求或其他要求進行性能分配時必須進行多方面的權(quán)衡考慮。 內(nèi)部接口、外部接口與互操作性要求是可能產(chǎn)生于系統(tǒng)成員之間或系統(tǒng)與環(huán)境、系統(tǒng)與系統(tǒng)之間的相互作用概念的重要要求。為實現(xiàn)系統(tǒng)功能，系統(tǒng)工程師可能需要依據(jù)這些要求提出其他要求。正確解釋目標的要求應既不苛刻也不模糊。所有正確的要求都必不可少，并且它們的集合足以滿足用戶需求。對用戶、客戶或開發(fā)者而言，它們代表同一個特定事物。除非政策規(guī)定了一定的設計方案，否則要求應當與系統(tǒng)實施保持獨立。 來自 在發(fā)生沖突的情況下，可以在必要時放棄低優(yōu)先級的要求，以縮短時間、降低成本、減少風險和縮小范圍。 來自 4. 功能分析 功能由要求決定，每個要求產(chǎn)生一項或幾項功能。功能分析的主要內(nèi)容是分析功能之間或功能與環(huán)境之間的聯(lián)系。最簡單的圖表是文本功能列表。功能列表對功能進行命名，并且描述其定義、行為、何時被調(diào)用、輸入輸出。但通常情況下，功能列表只是最初級的功能分析。這兩種分析的考慮過程要求系統(tǒng)工程師考慮系統(tǒng)集成的相應程度和與該程度對應的功能。這是定義一個模塊化結(jié)構(gòu)的部分工作，模塊化結(jié)構(gòu)具有連帶關系（每一個模塊或子系統(tǒng)產(chǎn)生一個系統(tǒng)功能，該系統(tǒng)功能由緊密聯(lián)系的低層功能構(gòu)成），同時也具有弱耦合結(jié)構(gòu)（各模塊或子系統(tǒng)之間在很大程度上保持相互獨立）。通過權(quán)衡可以產(chǎn)生各種可能的系統(tǒng)結(jié)構(gòu)。這些組件和子系統(tǒng)具有各自的功能。 ISSE必須了解信息保護子系統(tǒng)如何成為整個系統(tǒng)的一部分，如何支持整個系統(tǒng)。系統(tǒng)工程師對體系結(jié)構(gòu)解決方案進行分類并識別所有類似的可重用方案。該工作組選擇可用于該方案的產(chǎn)品，采用結(jié)合可重用方案或設計新方案的方式設計具體的體系結(jié)構(gòu)解決方案。因此，耗費過多精力對某個組件進行優(yōu)化只是對精力和資源的一種浪費。系統(tǒng)設計必須滿足包括功能、性能、接口、互操作和設計要求在內(nèi)的一系列要求。 來自 1. 功能分配 在這個過程中，系統(tǒng)工程師必須明確在實現(xiàn)其功能時應采取的物理形式。執(zhí)行系統(tǒng)功能的人一般都采用確定的工作程序與書面步驟，使用特定的可用軟件、硬件與固件。因此，一些功能可由人和機器共同完成。系統(tǒng)工程師必須明確各種體系概念以及依據(jù)概念分配給各組件的功能與要求，并同其他系統(tǒng)負責人對概念和物理上的可行性取得一致意見。必須記錄達到預期效果的可用、驗證和集成測試計劃并將其與要求和體系結(jié)構(gòu)相聯(lián)系。多數(shù)系統(tǒng)需要正式的結(jié)構(gòu)管理（ CM），結(jié)構(gòu)管理應當作用于體系結(jié)構(gòu)。一旦體系結(jié)構(gòu)確定，系統(tǒng)和設計工程師就必須確定用于描述開發(fā)內(nèi)容的規(guī)范。規(guī)范的細節(jié)級別從系統(tǒng)級到組件級。 PDR產(chǎn)生用于調(diào)查完備性、沖突、兼容性（與接口系統(tǒng)）、可驗證性、安全風險、綜合風險和可驗證等要求的高級規(guī)范。 來自 3. 詳細設計 詳細設計產(chǎn)生更低層次的產(chǎn)品規(guī)范、具體的工程與接口控制圖、原型、具體的測試計劃與程序和具體的集成供給支持計劃（ Integrated Logistics Support Plan, ILSP）。這些信息可用于確定資源購買或資源開發(fā)的內(nèi)容與方式。評審內(nèi)容涉及針對完整性、沖突、兼容性（與接口系統(tǒng)）、可驗證、安全風險、集成風險和可追蹤性等要求的所有配置項的具體規(guī)范。緊接的下一步工作是對系統(tǒng)進行測試和驗證，確定系統(tǒng)是否滿足要求。這個工作也包括調(diào)查生產(chǎn)該系統(tǒng)的可能性。它為所建立的系統(tǒng)遵循系統(tǒng)設計要求并為滿足任務性能需求提供證據(jù)。 系 統(tǒng)實施 來自 1. 采辦 本階段的工作必須在開發(fā)還是購買滿足設計系統(tǒng)細節(jié)規(guī)范的組件這二者間做出決定。這些產(chǎn)品是采用購買、租用還是借用的方式，決定于許多已知因素（組件價格、是否容易獲得、形式、是否合適、功能等）或未知因素（在特殊系統(tǒng)中的可靠性、組件性能的不足可能對系統(tǒng)性能造成的風險、該組件將來是否可用或可被替代等）。 來自 2. 開發(fā) 在本階段，系統(tǒng)開發(fā)方法已經(jīng)被轉(zhuǎn)化為一個穩(wěn)定的、可生產(chǎn)的、性能代價比合理的系統(tǒng)設計實踐。 一旦開發(fā)出或購買到組件，系統(tǒng)工程的下一步工作就是組織建立系統(tǒng)。測試結(jié)束便可以開始建立系統(tǒng)。 組建過程的完成將對后續(xù)工作產(chǎn)生重大影響。反之，系統(tǒng)將無法按照設計意圖運行，無法實現(xiàn)設計和任務目標。在定義方案之后，系統(tǒng)和設計工程師要寫出測試過程和預期的測試結(jié)果。方案和接口驗證將保證所開發(fā)的組件能夠正確實現(xiàn)其功能。 來自 綜合測試用于驗證較高級的系統(tǒng)性能水平。在預定方案中集成經(jīng)選擇、購買或開發(fā)的產(chǎn)品，通過測試與調(diào)整獲得較高水平的系統(tǒng)功能。系統(tǒng)功能測試報告用于記錄測試成功或失敗的結(jié)果。 來自 一般地，任務需求所要求開發(fā)的系統(tǒng)應該具有惟一性，或者該系統(tǒng)將用于某未知或難以模擬的環(huán)境。這種情況通常與某個政府機構(gòu)有關。效用測試和用戶可用性測試不一定完全相同。 來自 在系統(tǒng)驗證、系統(tǒng)集成和系統(tǒng)效用測試之后，尤為重要的是針對系統(tǒng)的安裝、操作、維護和支持步驟進行歸檔。需要重點指出的是，在安裝過程中必須記錄異常情況，并且注意這些變化對集成和效用測試以及操作步驟可能產(chǎn)生的影響。 來自 在評估系統(tǒng)效用時，必須檢測兩個主要的因素。系統(tǒng)功能和操作需求是系統(tǒng)能否被認同所要考慮的主要方面。安全基礎設施的主要組成有 4部分：網(wǎng)絡、平臺、物理設施、處理過程。保護這些資產(chǎn)的方法是適當?shù)夭渴鸶鱾€安全組件于有組織的、協(xié)同的安全基礎設施中。 本章小結(jié) 來自 安全基礎設施設計指南中最重要的是要保證企業(yè)安全策略與過程和當前經(jīng)營業(yè)務目標相一致