网络攻防学习笔记 Day52

策略判定点（PDP）被分解为两个逻辑组件：策略引擎（Policy Engine,PE）和策略管理器（Policy Administrator,PA）。

策略引擎（PE）。该组件负责最终决定是否授予访问主体对资源（客体）的访问权限。

策略管理器（PA）。该组件负责建立或关闭主体与资源之间的连接（是逻辑连接，而非物理连接）。它将生成客户端用于访问企业资源的任何身份认证和身体认证令牌（authentication token）或凭证（credential）。

策略执行点（PEP）。该组件负责启用、监视并最终终止主体和企业资源之间的连接。

持续诊断和缓解（CDM）系统。该系统收集企业资产（assets）的状态信息，并负责对配置和软件组件进行更新或升级。

行业合规系统（Industry Compliance System,ICS）。该系统确保企业遵守与其相关的任何监管制度（如 FISMA，健康或财经行业信息安全要求等）。

威胁情报源（Threat Intelligence Feed,TIF）。该系统提供内部或外部来源的安全情报，帮助策略引擎做出访问决策。

数据访问策略（Data Access Policy,DAP）。这是一组有关访问企业资源的属性、规则和策略。

企业公钥基础设施（PKI）。企业 PKI 负责生成由企业颁发给资源、参与者和应用程序的证书，并将其记录在案。

身份管理系统（ID Management System，IDMS）。IDMS 负责创建、存储和管理企业用户账户和身份记录（例如，轻量级目录访问协议 LDAP 服务器），包含必要的用户信息（如姓名、电子邮件地址、证书等）和其他企业特征（如角色、访问属性或分配的系统）。

网络和系统活动日志（Network and System Activity Logs,NSAL）。这个系统聚合了资产日志、网络流量、资源访问操作和其他事件。

安全信息和事件管理（Security Information and EventManagement,SIEM）系统。系统收集以安全为中心的信息以供后续分析。分析结果将用于完善安全策略，并预警对企业资产发起的可能攻击。

零信任架构中，不再给网络参与者定义和分配基于二元决策的策略，而是持续监视参与者的网络活动，并据此持续更新其信任评分，然后使用这个评分作为授权策略判定的依据之一。