《安全策略管理PPT课件》由会员分享,可在线阅读,更多相关《安全策略管理PPT课件(35页珍藏版)》请在金锄头文库上搜索。
1、第第5章章 信息安全策略管理信息安全策略管理内容提要内容提要信息安全策略的概念信息安全策略的概念信息安全策略的层次信息安全策略的层次 信息安全策略的制定信息安全策略的制定信息安全策略的管理及相关技术信息安全策略的管理及相关技术5.1 信息安全策略的概念信息安全策略的概念信息安全策略的概念信息安全策略的概念信息安全策略从本质上来说是描述组织具信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如有哪些重要信息资产,并说明这些信息资产如何被保护的一个何被保护的一个计划计划。安全策略将系统的状态分为两个集合安全策略将系统的状态分为两个集合:已授权的和未授权的。已授权的和未授权的
2、。5.1 信息安全策略的概念信息安全策略的概念制定信息安全策略的目的制定信息安全策略的目的p如何使用组织中的信息系统资源如何使用组织中的信息系统资源p如何处理敏感信息如何处理敏感信息p如何采用安全技术产品如何采用安全技术产品信息安全策略通过为每个组织成员提供基本的信息安全策略通过为每个组织成员提供基本的原则、指南和定义,从而在组织中建立一套信息资原则、指南和定义,从而在组织中建立一套信息资源保护标准,防止人员的不安全行为引入风险。源保护标准,防止人员的不安全行为引入风险。安全策略是进一步制定控制规则和安全程序的安全策略是进一步制定控制规则和安全程序的必要基础。必要基础。5.1 信息安全策略的概
3、念信息安全策略的概念信息安全策略能够解决的问题信息安全策略能够解决的问题p敏感信息如何被处理?敏感信息如何被处理?p如何正确地维护用户身份与口令,以及其他账号信息如何正确地维护用户身份与口令,以及其他账号信息?p如何对潜在的安全事件和入侵企图进行响应?如何对潜在的安全事件和入侵企图进行响应?p如何以安全的方式实现内部网及互联网的连接如何以安全的方式实现内部网及互联网的连接?p怎样正确使用电子邮件系统?怎样正确使用电子邮件系统?5.2 信息安全策略的层次信息安全策略的层次 信息安全策略的层次信息安全策略的层次 p信息安全方针信息安全方针p具体的信息安全策略具体的信息安全策略5.2.1 信息安全方
4、针信息安全方针信息安全方针的概念信息安全方针的概念信息安全方针就是组织的信息安全委员会或管理机构制信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件,是用于指导组织如何对资产,包括敏定的一个高层文件,是用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。感性信息进行管理、保护和分配的规则和指示。信息安全方针应包含的内容信息安全方针应包含的内容p信息安全的定义,总体目标和范围,安全对信息共享的信息安全的定义,总体目标和范围,安全对信息共享的重要性;重要性;p管理层意图、支持目标和信息安全原则的阐述;管理层意图、支持目标和信息安全原则的阐述;p信息安全控制的简要说
5、明,以及依从法律法规要求对组信息安全控制的简要说明,以及依从法律法规要求对组织的重要性;织的重要性;p信息安全管理的一般和具体责任定义,包括报告安全事信息安全管理的一般和具体责任定义,包括报告安全事故等。故等。5.2.2 具体的信息安全策略具体的信息安全策略策略包含一套规则,规定了在机构内可接受和不可接受策略包含一套规则,规定了在机构内可接受和不可接受的行为。的行为。为了执行策略,机构必须实施一套标准,以准确定义在为了执行策略,机构必须实施一套标准,以准确定义在工作场所哪些行为是违反规定的,以及机构对该行为的惩工作场所哪些行为是违反规定的,以及机构对该行为的惩罚标准。罚标准。标准是对策略的行为
6、规则更详细的描述标准是对策略的行为规则更详细的描述。在实施过程中,机构应当针对各种违规行为制定一套标在实施过程中,机构应当针对各种违规行为制定一套标准,并列出这些行为的详细资料。实践、过程和指导方针准,并列出这些行为的详细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。解释了员工应当怎样遵守策略。5.2.2 具体的信息安全策略具体的信息安全策略企业信息安全企业信息安全策略策略基于问题的安基于问题的安全策略全策略基于系统的安基于系统的安全策略全策略5.2.2.1 企业信息安全策略企业信息安全策略企业信息安全策略(企业信息安全策略( EISP)安全项目策略、总安安全项目策略、总安全策略、全策
7、略、IT 安全策略、高级信息安全策略,也就是为整个安全策略、高级信息安全策略,也就是为整个机构安全工作制定战略方向、范围和策略基调。机构安全工作制定战略方向、范围和策略基调。pEISP 为信息安全的各个领域分配责任,包括信息安全策为信息安全的各个领域分配责任,包括信息安全策略的维护、策略的实施、最终用户的责任。略的维护、策略的实施、最终用户的责任。 pEISP 还特别规定了信息安全项目的制定、实施和管理要还特别规定了信息安全项目的制定、实施和管理要求求 。 pEISP 是一个执行级的文档,是由是一个执行级的文档,是由 CISO 与与 CIO 磋商后磋商后起草的。通常起草的。通常 2 耀耀 10
8、 页长,它构成了页长,它构成了 IT 环境的安全理环境的安全理念。念。EISP 一般不需要做经常或日常的修改,除非机构的一般不需要做经常或日常的修改,除非机构的战略方向发生了变化。战略方向发生了变化。 5.2.2.1 企业信息安全策略企业信息安全策略企业信息安全策略(企业信息安全策略( EISP)的组成)的组成尽管各个机构的企业信息安全策略有差别,但大多数尽管各个机构的企业信息安全策略有差别,但大多数 EISP 文档应该包括以下要素:文档应该包括以下要素: p关于企业安全理念的总体看法关于企业安全理念的总体看法p机构的信息安全部门结构和实施信息安全策略人员信息机构的信息安全部门结构和实施信息安
9、全策略人员信息p机构所有成员共同的安全责任(员工、承包人、顾问、机构所有成员共同的安全责任(员工、承包人、顾问、合伙人和访问者)合伙人和访问者)p机构所有成员明确的、特有的安全责任机构所有成员明确的、特有的安全责任注意:应把机构的任务和目标纳入注意:应把机构的任务和目标纳入 EISP 中中例:一个好的例:一个好的 EISP 的组成部分的组成部分 5.2.2.1 企业信息安全策略企业信息安全策略5.2.2.1 企业信息安全策略企业信息安全策略5.2.2.2 基于问题的安全策略基于问题的安全策略基于问题的安全策略(基于问题的安全策略( ISSP,Issue-Specific Security Po
10、licy)提供了详细的、目标明确的指南,以此来)提供了详细的、目标明确的指南,以此来指导所有机指导所有机构成员如何使用基于技术的系统构成员如何使用基于技术的系统。一个有效的一个有效的 ISSP 是各方(机构和成员)之间的协议是各方(机构和成员)之间的协议,并,并且显示,为了保障技术不会以不恰当方式被使用,机构已经做且显示,为了保障技术不会以不恰当方式被使用,机构已经做出了极大的努力。出了极大的努力。ISSP应该让机构成员认识到,策略的目标不是为机构的信应该让机构成员认识到,策略的目标不是为机构的信息系统遭受破坏后起诉有关责任人提供法律依据,而是为了就息系统遭受破坏后起诉有关责任人提供法律依据,
11、而是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个共识,哪些技术能否应用到系统中而达成共识。一旦达成了这个共识,员工就可以不用寻求领导批准,而任意使用各种类型的技术。员工就可以不用寻求领导批准,而任意使用各种类型的技术。 5.2.2.2 基于问题的安全策略基于问题的安全策略基于问题的安全策略(基于问题的安全策略( ISSP)应完成的目标)应完成的目标p明确地指出机构期望其员工如何使用基于技术的系统。明确地指出机构期望其员工如何使用基于技术的系统。p记录了基于技术的系统的控制过程,并确定这个控制过记录了基于技术的系统的控制过程,并确定这个控制过程和相关的负责机构。程和相关的负责机构。p
12、当机构的员工由于使用不当,或者非法操作系统而造成当机构的员工由于使用不当,或者非法操作系统而造成了损失,它可以保护机构不承担该责任。了损失,它可以保护机构不承担该责任。ISSP 的特性的特性 p它是针对特定的、基于技术的系统它是针对特定的、基于技术的系统p它要求不断地升级它要求不断地升级p它包含一个问题陈述,解释了机构对特定问题的态度它包含一个问题陈述,解释了机构对特定问题的态度5.2.2.2 基于问题的安全策略基于问题的安全策略基于问题的安全策略(基于问题的安全策略( ISSP)的组成)的组成p目标声明目标声明p授权访问和设备的使用授权访问和设备的使用p设备的禁止使用设备的禁止使用p系统管理
13、系统管理p违反策略违反策略p策略检查和修改策略检查和修改p责任的限制责任的限制5.2.2.2.1 ISSP 的组成的组成目标声明目标声明概括策略的范围和适用性,用于解决以下问题:概括策略的范围和适用性,用于解决以下问题:p这个策略服务于什么目标?这个策略服务于什么目标?p由谁来负责实施策略?由谁来负责实施策略?p策略文档涉及到哪些技术问题?策略文档涉及到哪些技术问题?授权访问和设备的使用授权访问和设备的使用 解释了谁可以使用策略所规定的技术,用于什么目解释了谁可以使用策略所规定的技术,用于什么目的。该部分规定了以的。该部分规定了以“公正和负责任的使用公正和负责任的使用”方式使用方式使用设备和机
14、构的其他资产,并且阐述了关键法律问题,例设备和机构的其他资产,并且阐述了关键法律问题,例如个人信息和隐私的保护。如个人信息和隐私的保护。 注意:注意:机构的信息系统是该机构的专有财产,用户并没机构的信息系统是该机构的专有财产,用户并没有特殊的使用权有特殊的使用权。 5.2.2.2.1 ISSP 的组成的组成设备的禁止使用设备的禁止使用 阐述了设备禁止使用的范围,如:私人使用、破坏阐述了设备禁止使用的范围,如:私人使用、破坏性使用或者误用、冒犯或者侵扰的材料,以及侵犯版权、性使用或者误用、冒犯或者侵扰的材料,以及侵犯版权、未经批准的东西和其他涉及知识产权的活动。未经批准的东西和其他涉及知识产权的
15、活动。注意:注意:一个机构可以灵活地组合授权访问、设备的使用和一个机构可以灵活地组合授权访问、设备的使用和设备的禁止使用,形成设备的禁止使用,形成“恰当的使用策略恰当的使用策略”。 系统管理系统管理 指定用户和系统管理员的责任,以便让各方都知道指定用户和系统管理员的责任,以便让各方都知道他们应该负责什么。他们应该负责什么。 一家公司可能希望发布具体的规则来指导员工如何一家公司可能希望发布具体的规则来指导员工如何使用电子邮件和电子文档、如何存储电子文档、授权雇使用电子邮件和电子文档、如何存储电子文档、授权雇主如何监控,以及如何保护电子邮件和其他电子文档的主如何监控,以及如何保护电子邮件和其他电子
16、文档的物理和电子安全。物理和电子安全。 5.2.2.2.1 ISSP 的组成的组成违反策略违反策略 规定了对违规行为的惩罚和员工的反馈方式,惩罚规定了对违规行为的惩罚和员工的反馈方式,惩罚应该针对每种违规类型而设计;这部分也应该提供针对应该针对每种违规类型而设计;这部分也应该提供针对怎样报告已观察到的或可疑的违规行为怎样报告已观察到的或可疑的违规行为 。 策略检查和修改策略检查和修改 明确明确ISSP 的具体检查和修改方法,以便保证用户手的具体检查和修改方法,以便保证用户手上总是有反映机构当前技术和需求的指导方针。上总是有反映机构当前技术和需求的指导方针。 责任的限制责任的限制 对一系列的对一
17、系列的“拒绝承担责任声明拒绝承担责任声明”做了概要说明做了概要说明 ,如果员工使用公司的技术时,违反了公司的策略或法律,如果员工使用公司的技术时,违反了公司的策略或法律,假设管理者不知道或不同意这种违规行为,那么公司将假设管理者不知道或不同意这种违规行为,那么公司将不会保护他们,并且不会为他们的行为负责。不会保护他们,并且不会为他们的行为负责。 5.2.2.2.2 ISSP 的制定和管理的制定和管理 制定和管理制定和管理 ISSP 的方法有很多种,常见的有的方法有很多种,常见的有3 种:种:创建一定数量独立的创建一定数量独立的 ISSP 文档,每个策略文档都文档,每个策略文档都对应一个具体的问
18、题。对应一个具体的问题。只创建一个综合的文档,该文档旨在覆盖所有的问只创建一个综合的文档,该文档旨在覆盖所有的问题。题。创建一个创建一个 ISSP 文档的模板,当维护每一个具体问文档的模板,当维护每一个具体问题需求的时,可以按这个模板创建和管理统一的策题需求的时,可以按这个模板创建和管理统一的策略。略。5.2.2.2.2 ISSP 的制定和管理的制定和管理 3 种方法的优点和缺点种方法的优点和缺点 :5.2.2.3 基于系统的策略基于系统的策略基于系统的策略(基于系统的策略(SysSPs,System-Specific Policy)是采用技术或管理措施来控制设备的配置,在配)是采用技术或管理
19、措施来控制设备的配置,在配置和维护系统时置和维护系统时起到标准和过程指导的作用起到标准和过程指导的作用。例如,例如, SysSPs可能描述了网络防火墙的配置和操作规可能描述了网络防火墙的配置和操作规程。该文档可能包括管理目标声明;网络工程师选择、配程。该文档可能包括管理目标声明;网络工程师选择、配置和操作防火墙的指南;访问控制列表(为每个授权用户置和操作防火墙的指南;访问控制列表(为每个授权用户定义访问级别)。定义访问级别)。SysSPs的组成的组成p管理指南管理指南p技术规范技术规范5.2.2.3 基于系统的策略基于系统的策略基于系统的策略(基于系统的策略(SysSPs)管理指南)管理指南
20、SysSPs管理指南由管理层制定,用来指导技术的实现管理指南由管理层制定,用来指导技术的实现和配置,该指南还规定了机构内部员工支持信息安全的行和配置,该指南还规定了机构内部员工支持信息安全的行为规则。为规则。 例如,一个机构可能不希望它的员工利用机构的网络访例如,一个机构可能不希望它的员工利用机构的网络访问因特网;在这种情况下,应该按照这种规则配置防火墙。问因特网;在这种情况下,应该按照这种规则配置防火墙。基于系统的策略可以和基于问题的安全策略(基于系统的策略可以和基于问题的安全策略( ISSP)同时制定,或者在相关的同时制定,或者在相关的 ISSPs制定之前准备。制定之前准备。 5.2.2.
21、3 基于系统的策略基于系统的策略基于系统的策略(基于系统的策略(SysSPs)技术规范)技术规范 有两种方法实现这种技术控制:有两种方法实现这种技术控制:访问控制列表访问控制列表和和配置规则配置规则。 p访问控制列表访问控制列表访问控制列表(访问控制列表(ACLs)包括用户访问列表、矩阵和权限)包括用户访问列表、矩阵和权限列表,它控制了用户的权限和特权。列表,它控制了用户的权限和特权。ACLs控制了对文档存储系统、中间设备或其他网络通信控制了对文档存储系统、中间设备或其他网络通信设备的访问。设备的访问。一个权限列表详细规定了哪些设备用户或组可以访问。权一个权限列表详细规定了哪些设备用户或组可以
22、访问。权限规定常常采用复杂矩阵的形式,而不是简单的列表。限规定常常采用复杂矩阵的形式,而不是简单的列表。NT/2000 把把 ACLs转变成一种配置单元,系统管理员用这转变成一种配置单元,系统管理员用这个配置单元可以控制系统访问。个配置单元可以控制系统访问。 5.2.2.3 基于系统的策略基于系统的策略p访问控制列表访问控制列表访问控制列表(访问控制列表(ACLs)使管理员能够根据用户)使管理员能够根据用户、计算机、访问时间、甚至特殊的文档来限制对系、计算机、访问时间、甚至特殊的文档来限制对系统的访问。一般说来,统的访问。一般说来,ACLs规定以下几个方面:规定以下几个方面: 谁可以使用系统谁
23、可以使用系统授权用户可以访问什么授权用户可以访问什么授权用户在何时可以访问系统授权用户在何时可以访问系统授权用户在何地可以访问系统授权用户在何地可以访问系统 授权用户怎样访问系统授权用户怎样访问系统5.2.2.3 基于系统的策略基于系统的策略p配置规则配置规则配置规则是输入到安全系统的具体配置代码,在信息流配置规则是输入到安全系统的具体配置代码,在信息流经它时,该规则指导系统的执行。经它时,该规则指导系统的执行。 基于规则的策略比基于规则的策略比 ACLs规定得更为详细,一些安全系统规定得更为详细,一些安全系统要求特定的配置脚本,这些脚本告诉系统他们处理每种信息要求特定的配置脚本,这些脚本告诉
24、系统他们处理每种信息的时候,系统需要执行哪种相应操作。(如:防火墙配置规的时候,系统需要执行哪种相应操作。(如:防火墙配置规则、则、IDS配置规则)配置规则)p组合组合 SysSPs许多机构选择创建单一的文档,该文档把管理指南和技许多机构选择创建单一的文档,该文档把管理指南和技术规范二者结合起来。如果采用此方法,就应当注意要仔细术规范二者结合起来。如果采用此方法,就应当注意要仔细清楚地表述操作过程所要求的执行步骤。清楚地表述操作过程所要求的执行步骤。 5.3 信息安全策略的制定信息安全策略的制定安全策略的制定原则安全策略的制定原则p起点进入原则:在系统建设一开始就考虑安全策略问题。起点进入原则
25、:在系统建设一开始就考虑安全策略问题。p长远安全预期原则:对安全需求作总体设计和长远打算。长远安全预期原则:对安全需求作总体设计和长远打算。p最小特权原则:不给用户超出执行任务所需权利以外的最小特权原则:不给用户超出执行任务所需权利以外的期限。期限。p公认原则:参考通用的安全措施,做出自己的决策。公认原则:参考通用的安全措施,做出自己的决策。p适度复杂与经济原则适度复杂与经济原则p策略不能与法律相冲突策略不能与法律相冲突 p策略必须被恰当地支持和管理策略必须被恰当地支持和管理5.3.1 信息安全策略的制定过程信息安全策略的制定过程理解组织业务特征理解组织业务特征充分了解组织业务特征是设计信息安
26、全策略的前提;充分了解组织业务特征是设计信息安全策略的前提; 对组织业务的了解包括对其业务内容、性质、目标及其对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析。价值进行分析。得到管理层的明确支持与承诺得到管理层的明确支持与承诺p使制定的信息安全策略与组织的业务目标一致;使制定的信息安全策略与组织的业务目标一致;p使制定的安全方针、政策和控制措施可以在组织的上上使制定的安全方针、政策和控制措施可以在组织的上上下下得到有效的贯彻;下下得到有效的贯彻;p可以得到有效的资源保证。可以得到有效的资源保证。5.3.1 信息安全策略的制定过程信息安全策略的制定过程组建安全策略制定小组组建安全策略
27、制定小组小组成员的多少视安全策略的规模与范围大小而定,一小组成员的多少视安全策略的规模与范围大小而定,一般有以下人员组成:般有以下人员组成:p高级管理人员;高级管理人员;p信息安全管理员;信息安全管理员;p信息安全技术人员;信息安全技术人员;p负责安全策略执行的管理人员;负责安全策略执行的管理人员;p用户部门人员。用户部门人员。确定信息安全整体目标确定信息安全整体目标 通过防止和最小化安全事故的影响,保证业务持续性,通过防止和最小化安全事故的影响,保证业务持续性,使业务损失最小化,并为业务目标的实现提供保障。使业务损失最小化,并为业务目标的实现提供保障。5.3.1 信息安全策略的制定过程信息安
28、全策略的制定过程起草拟定安全策略起草拟定安全策略安全策略要尽可能地涵盖所有的风险和控制,没有涉及的安全策略要尽可能地涵盖所有的风险和控制,没有涉及的内容要说明原因,并阐述如何根据具体的风险和控制来决定制内容要说明原因,并阐述如何根据具体的风险和控制来决定制订什么样的安全策略。订什么样的安全策略。评估安全策略评估安全策略安全策略制定完成后,要进行充分的评估和测试,评估时安全策略制定完成后,要进行充分的评估和测试,评估时可以考虑如下问题:可以考虑如下问题:p安全策略是否符合法津、法规、技术标准及合同的要求安全策略是否符合法津、法规、技术标准及合同的要求?p管理层是否已批准了安全策略,并明确承诺支持
29、政策的实管理层是否已批准了安全策略,并明确承诺支持政策的实施施?p安全策略是否损害组织、组织人员及第三方的利益安全策略是否损害组织、组织人员及第三方的利益?p安全策略是否实用、可操作并可以在组织中全面实施安全策略是否实用、可操作并可以在组织中全面实施?p安全策略是否满足组织在各个方面的安全要求安全策略是否满足组织在各个方面的安全要求?p安全策略是否已传达给组织中的人员与相关利益方,并得安全策略是否已传达给组织中的人员与相关利益方,并得到了他们的同意?到了他们的同意?5.3.1 信息安全策略的制定过程信息安全策略的制定过程实施安全策略实施安全策略把安全方针与具体安全策略编制成组织信息安全策略手把
30、安全方针与具体安全策略编制成组织信息安全策略手册,然后发布到组织中的每个组织人员与相关利益方。册,然后发布到组织中的每个组织人员与相关利益方。p几乎所有层次的所有人员都会涉及到这些政策;几乎所有层次的所有人员都会涉及到这些政策;p组织中的主要资源将被这些政策所涵盖;组织中的主要资源将被这些政策所涵盖;p将引入许多新的条款、程序和活动来执行安全策略。将引入许多新的条款、程序和活动来执行安全策略。政策的持续改进政策的持续改进p组织所处的内外环境在不断变化;组织所处的内外环境在不断变化;p信息资产所面临的风险也是一个变数;信息资产所面临的风险也是一个变数;p人的思想和观念也在不断的变化。人的思想和观
31、念也在不断的变化。5.4 信息安全策略管理及相关技术信息安全策略管理及相关技术安全策略管理办法安全策略管理办法p集中式管理集中式管理集中式管理就是在整个网络系统中,由统一、专门的安集中式管理就是在整个网络系统中,由统一、专门的安全策略管理部门和人员对信息资源和信息系统使用权限进全策略管理部门和人员对信息资源和信息系统使用权限进行计划和分配。行计划和分配。p分布式管理分布式管理分布式管理就是将信息系统资源按照不同的类别进行划分布式管理就是将信息系统资源按照不同的类别进行划分,然后根据资源类型的不同,由负责此类资源管理的部分,然后根据资源类型的不同,由负责此类资源管理的部门或人员负责安全策略的制定
32、和实施。门或人员负责安全策略的制定和实施。 5.4.1 信息安全策略管理相关技术信息安全策略管理相关技术安全策略统一描述技术安全策略统一描述技术p安全策略描述是实现策略管理的基础。安全策略描述是实现策略管理的基础。p策略描述语言:策略描述语言:PDL、Ponder。安全策略自动翻译技术安全策略自动翻译技术安全策略翻译是指将统一描述的安全策略翻译成不同设安全策略翻译是指将统一描述的安全策略翻译成不同设备对应的配置命令、配置脚本或策略结构的过程。备对应的配置命令、配置脚本或策略结构的过程。安全策略一致性检验技术安全策略一致性检验技术策略之间的冲突很难避免。策略一致性验证主要包括策策略之间的冲突很难
33、避免。策略一致性验证主要包括策略的语法、语义检查和策略冲突检测两个方面。略的语法、语义检查和策略冲突检测两个方面。5.4.1 信息安全策略管理相关技术信息安全策略管理相关技术安全策略发布与分发技术安全策略发布与分发技术p“推推”模式模式p“拉拉”模式模式对内网设备而言,在对内网设备而言,在“推推”模式下,策略服务器解析从模式下,策略服务器解析从策略库中提取的策略,将策略发送到相应的策略执行体;策略库中提取的策略,将策略发送到相应的策略执行体;在在“拉拉”模式下,策略服务器接受设备的请求,查询策略模式下,策略服务器接受设备的请求,查询策略库,决定分发的策略,并将其发送给请求的设备。库,决定分发的
34、策略,并将其发送给请求的设备。对外网设备而言,策略发布服务器作为设备和服务器之对外网设备而言,策略发布服务器作为设备和服务器之间分发策略的代理,间分发策略的代理,“推推”、“拉拉”策略时都由策略发布策略时都由策略发布服务器和策略服务器通信,并将最终的策略决策转交给外服务器和策略服务器通信,并将最终的策略决策转交给外网设备。网设备。5.4.1 信息安全策略管理相关技术信息安全策略管理相关技术安全策略状态监控技术安全策略状态监控技术安全策略状态监控技术用于支持安全策略生命周期中各安全策略状态监控技术用于支持安全策略生命周期中各种状态的监测,并控制状态之间的转换。种状态的监测,并控制状态之间的转换。策略的生命周期状态包括:策略的生命周期状态包括:p休眠态;休眠态;p待激活态;待激活态;p激活态;激活态;p挂起态。挂起态。
