写点什么

网络攻防学习笔记 Day52

发布于: 2 小时前
网络攻防学习笔记 Day52

策略判定点(PDP)被分解为两个逻辑组件:策略引擎(Policy Engine,PE)和策略管理器(Policy Administrator,PA)。


策略引擎(PE)。该组件负责最终决定是否授予访问主体对资源(客体)的访问权限。


策略管理器(PA)。该组件负责建立或关闭主体与资源之间的连接(是逻辑连接,而非物理连接)。它将生成客户端用于访问企业资源的任何身份认证和身体认证令牌(authentication token)或凭证(credential)。


策略执行点(PEP)。该组件负责启用、监视并最终终止主体和企业资源之间的连接。


持续诊断和缓解(CDM)系统。该系统收集企业资产(assets)的状态信息,并负责对配置和软件组件进行更新或升级。


行业合规系统(Industry Compliance System,ICS)。该系统确保企业遵守与其相关的任何监管制度(如 FISMA,健康或财经行业信息安全要求等)。


威胁情报源(Threat Intelligence Feed,TIF)。该系统提供内部或外部来源的安全情报,帮助策略引擎做出访问决策。


数据访问策略(Data Access Policy,DAP)。这是一组有关访问企业资源的属性、规则和策略。


企业公钥基础设施(PKI)。企业 PKI 负责生成由企业颁发给资源、参与者和应用程序的证书,并将其记录在案。


身份管理系统(ID Management System,IDMS)。IDMS 负责创建、存储和管理企业用户账户和身份记录(例如,轻量级目录访问协议 LDAP 服务器),包含必要的用户信息(如姓名、电子邮件地址、证书等)和其他企业特征(如角色、访问属性或分配的系统)。


网络和系统活动日志(Network and System Activity Logs,NSAL)。这个系统聚合了资产日志、网络流量、资源访问操作和其他事件。


安全信息和事件管理(Security Information and EventManagement,SIEM)系统。系统收集以安全为中心的信息以供后续分析。分析结果将用于完善安全策略,并预警对企业资产发起的可能攻击。


零信任架构中,不再给网络参与者定义和分配基于二元决策的策略,而是持续监视参与者的网络活动,并据此持续更新其信任评分,然后使用这个评分作为授权策略判定的依据之一

发布于: 2 小时前阅读数: 3
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day52