安全目的的相互依赖性

　五个安全目的是相互依赖的。几乎不可能在没有考虑其他目的的情况下单独完成某个目的。我们将在下面讨论它，图1-1描述了这一情形：

图 1－1安全目的的依赖关系

在图1-1中，显示了这样一种依赖关系：

保密性依赖于完整性，如果系统的完整性丧失，则没有理由期望保密性机制仍然有效。

完整性依赖于保密性，如果某项信息的保密性丧失（如，超级用户口令丢失），则完整性机制很可能被绕过。

可用性和可追踪性依赖于保密性和完整性：

• 如果某项信息的保密性丧失（如，超级用户口令丢失），则实现这两项目的的机制很容易被绕过。
• 如果系统完整性丧失，则对这些机制实现的有效性方面的信心也不复存在。　　所有这些目的都依赖于保证。当设计一个系统时，设计师或工程师确立一个信心级别作为目标。通过如下方法实现这一目标：（1）定义并满足其它四个目的的功能要求；（2）在实现中保证质量。保证突出了一个事实，即对要保护的系统，不仅要必须提供预定的功能，还要保证不会发生不希望的动作。

  ２.０　安全服务模型

  　图2-1给出了基础的技术安全服务模型，它描述了在实现IT安全能力中用到的主要服务和支持要素、以及它们之间的主要关系。这一模型还根据服务的主要目的将它们归为如下几类：

  • 　支持（Support）：这类服务是通用性的，而且是大多数IT安全能力的基础；
  • 　预防（Prevent）：这类服务关注于防止安全破坏的发生；
  • 　恢复（Recover）：此类别中的服务关注于对安全破坏进行检测，并将系统从中恢复出来。

    图 2－1安全服务模型