在复杂的信息环境中，使用统一和有效的安全原理开发IT解决方案时会遇到很多挑战，例如：集成专门的安全功能到计算系统的多个组成架构中的复杂性，开发全面兼容的基本安全需求集的困难性，以及被广泛接受的安全解决方法。虽然随着国际化标准组织的安全评估通用标准(CC)的产生，使得开发可扩展的IT安全架构的困难减少了很多，但在具体过程中仍然存在着很多障碍。
    本章介绍架构安全信息系统的方法论—MASS(Method for Architecting Secure Solutions)。通过对MASS的讨论，可以帮助我们理解和解决当今以电子商务驱动的企业IT基础设施环境中与安全有关的问题，同时掌握提供安全解决方案的一个标准的系统方法，其中包括：在结构化的设计流程中的安全问题定义，安全模型，安全功能文档化等。 
    3.1.MASS的安全模型 
    MASS的安全模型基于Rechtinde 的理论和ISO的安全评估通用准则(CC)。Eberhardt Rechtin在他的著作（Systems Architecting: Creating and Building Complex Systems, Prentice Hall, 1991）中提出了构建系统架构的方法，并且指出了系统（构建的实体），模型（系统的描述），系统架构（系统结构）和总体架构（系统架构的子集，描述了功能以及构建的流程等）这间的区别。IT 解决方案与网络信息系统要保持一致，同时，总体架构表示为网络信息系统的安全架构，安全架构表示为安全系统模型的结构。
    Rechtin 勾画出创建一个模型的几个步骤： 
    ● 紧密相关的功能集合；
    ● 将各部分功能划分成为模块；
    ● 整和各部件和子系统成为一个功能系统。
    安全系统模型表示为安全功能的集合，用术语子系统和子系统之间的相互作用来表示。网络信息系统内与安全相关的功能可以用分布在计算环境内的相关的流程的集合来表示。分布式安全系统的理念贯穿在设计和部署的过程中，在整个网络信息系统的部署中都广泛需要考虑。
    采用通用标准来考虑安全系统模型的整体模型。通用安全标准的级别和集合代表了安全需求的总体要求。通用安全标准反映了安全架构的总体概要，如加密操作和数据保护，而不是IT 安全运行功能的文字表述。为满足这一需求，通用标准的功能分类被重新整和，去掉了级别和集合的结构。通过对网络信息系统中130个组件级别的需求的分析，建议划分为五个功能类别： 
    ● 审计；
    ● 访问控制；
    ● 流控制；
    ● 身份和信任；
    ● 方案整合。
    以上五项与通用标准的功能对应见下表

通用准则的分类结构有一些重叠，但从总体定义的层次结构而言，重叠的部分很小。重叠的大部分内容表述了功能之间的相互作用和相互依存。
    3.1.1.安全子系统
    组件层次的通用准则包括规则，决定类型、功能、行动和机制。在下图中表述的这一结构表示了五个相关的过程或安全子系统。安全子系统的概念已经在前面提到过。在下图中描述的这5个相关的安全子系统扩展了基于操作系统的安全概念，提出了安全相关功能和相互依存的安全功能。

IT安全处理流程和子系统