7. 管理身份识别和访问
7.1 身份识别和访问管理
- 身份识别和访问管理(Identity and access amangement/IAM)是一种安全流程,为用户、计算机等提供身份识别,认证和授权机制,以便能够使用网络,操作系统和应用程序等组织资产。
7.1.1 访问控制模型
**强制访问控制[Mandatory access control/MAC]:**通过比较对象的指定安全等级和主体的安全许可来控制访问。即管理员预先为对象根据它们敏感程度被分配不同级别的安全标签,主体被分配一个安全级别或许可,当主体尝试访问一个对象时,他们的许可级别必须与该对象的安全级别相对应,如果匹配,可访问,如果不匹配,拒绝访问。
**自主访问控制(Discretionary access control/DAC):**对象所有者决定谁可以访问。
基于角色的访问控制(role-based access control/RBAC):管理员预先定义主体的角色,网络对象被配置为只允许特定角色的访问。
**基于规则的访问(Rule-based access control):**管理员定义规则管理。
**基于属性的访问控制(Attribute-based access control/ABAC):**基于每个主体拥有的一组属性来控制访问。属性由管理员分配。
**物理访问控制设备:**如门禁卡、智能卡等。
**生物识别设备:**指纹扫描器、语音识别设备、视网膜扫描仪、虹膜扫描仪、面部识别设备。
生物识别因素
1. 错误接受率(False acceptance rate/FAR):未经授权的用户在生物识别系统中错误地通过验证的百分比。
2. 错误拒绝率(False rejection rate/FRR):已经授权用户在生物识别系统中被错误拒绝验证的百分比。
3. 交叉错误率(Crossover error rate/CER):FAR和FRR相等时的值,低CER值表示认证系统以最佳状态运行。
7.2 配置目录服务
- 目录服务(idrectory service):用于存储特定网络中所有对象的身份信息,包括用户,组,服务器,客户端,打印机和网络服务。还为目录对象和网络资源提供了用户访问控制。也可用于集中安全性并控制对各个网络资源的访问。
- 目录机制(sch