通过策略服务器使政策实施自动化
在很多机构,信息系统的复杂性使很多员工不能够管理这些系统。为了处理这些复杂性,新的专业系统工具正在被引进。例如,一些防火墙包括一些专业系统,这些系统能够告诉安装防火墙的人,是否在配置过程中的疏忽已经造成了严重的安全漏洞。为了处理这些附加的复杂性,机构将需要拥有一个更加集中的网络管理系统,担负起一系列增加的信息安全角色。例如,在一些机构里,网络管理系统能够作为一个渠道,把入侵检测信息传给当值的网络操作员。
在这些流程中有一个有趣的新设计,那就是政策服务器。政策服务器采纳机构具体的策略,并且用特殊的机器可读语言对它们进行编码,随后能够广泛地为多种操作系统、访问控制包和网络管理系统访问。这些策略和规则的例子包括口令中所需字符的最小位数、在使用网络连接前尝试注册的最大次数,以及电子邮件附件是否通过防火墙。很多方式下,政策服务器被期望像一个有效的数据字典,因为在访问它时,它能从一个集中点提供明确的指令。在不久的将来,来自单一厂商和来自多元化厂商的成套产品,将着手完成策略服务器的一些合理而集中的任务。
为了使机构对即将来临的开发工作做好准备,有一个需要考虑的问题:今天开发的策略怎样才能在将来的计算机模型中使用。我们需要做出尽可能有逻辑的、直截了当的尝试。这并不仅仅帮助读者理解在遇到信息安全问题时应该怎样做,而且还可以帮助未来的程序员们创建计算机增强规则。我们还应该努力使大多数交叉机构、交叉网络、交叉系统以及交叉平台在信息安全策略方面达到协调。 这也可以减少复杂性并使机构可以更容易去适应新的策略执行工具。