CISSP复习笔记-第3章 访问控制

CISSP复习笔记-第3章 访问控制

3.1 访问控制概述

  • 主体:用户、程序、进程
  • 客体:计算机、数据库、文件、目录、窗口、打印队列、接口、设备(一般不将程序或进程视为客体)

3.3 身份标识、身份验证、授权与可问责性

  • 确保可问责性的唯一方法是主体能够被唯一标识,并且主体的动作被记录在案

3.3.1 身份标识与身份验证

  • 三种因素可用于身份验证
    • 某人知道的内容:密码、PIN、认知密码、图形验证码
    • 某人所拥有的物品:钥匙、证件、token
    • 某人的身份:基于物理特征,生物测定学(biometrics)
  • 强(双因素)身份验证:至少包含三种因素中的二种
  • 安全身份
    • 唯一性:每个用户必须具有用于问责的唯一ID
    • 非描述性:任何凭证都不应当表明账户的目的
    • 签发:上述元素由权威机构提供,用于证明身份
  • 一对一:验证/认证(verification/authentication),一对多:识别(identification)
身份管理(Identity Manageme,IdM)
  • 目录
    • 基于X.500标准和某种协议,例如轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)
    • Windows环境会登入域控制器(Domain Controller,DC),它的数据库中运行一个层次化的活动目录服务(Active Directory,AD)
    • 问题:由于不是使用必要的客户端软件创建,因此无法管理许多遗留设备和应用程序
  • 目录在身份管理中的角色
    • 所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略及其他内容都存储在目录中
    • 元目录:从不同的来源收集必要信息并将它们保存在一个中央目录内,需要定期与身份存储库同步
    • 虚拟目录:与元目录相似,可以替代元目录,虚拟目录中没有数据,只是只想驻留实际数据的位置
  • Web访问管理(Web Access Management,WAM)
    • 用户与基于Web的企业资源之间的主要网关
    • 通常WAM工具还提供单点登录功能

3.3.2 密码管理

  • 密码同步
  • 自助式密码重设
  • 辅助式密码重设
  • 遗留单点登录
  • 账户管理
  • 用户指配(user provisioning):为响应业务过程而创建、维护、删除存在于一个或多个系统、目录、应用程序中的用户对象与属性
  • 用户资料更新
  • 联合身份(federated identity):以在两个或多个地点链接一名用户的独特身份为基础,因而不需要同步或合并目录信息,是公司和客户能更加方便地访问分布式资源
    图3-7 企业身份管理系统组件
1. 访问控制和标记语言
  • 服务供应标记语言(Service Provisioning Markup Language,SPML):允许驻留在一个组织或者多个组织上的应用程序之间交换供应数据,允许用户算理,允许位于不同平台上的服务供应集成和互操作
  • 可拓展访问控制标记语言(Extensible Access Control Markup Language,XACML):用来向Web服务和其他企业应用程序提供的资产表述安全策略和访问权限
2. 生物测定学
  • 误拒率(False Rejection Rate,FRR):1类错误,误报率
  • 误受率(False Acceptance Rate,FAR):2类错误,漏报率
  • 交叉错误率(Crossover Error Rate):FRR=FAR,也称相等错误率(Equal Error Rate)
  • 指纹:曲线、分叉、微小特征
  • 手掌扫描:沟槽、脊状突起、折缝
  • 手部外形:手掌和手指的长度、宽度、外形
  • 视网膜扫描:眼球后方视网膜上血管的图案,类似测眼压,用户体验最差
  • 虹膜扫描:图案、分叉、颜色、环状、光环、皱纹,光学部件必须放置于合适的位置,以保证阳光没有照入光圈中
  • 动态签名:签名过程中引起的物理移动转换成电信号
  • 动态击键:输入具体短语时产生的电信号
  • 声纹:不同人语音模式存在的微小差别
  • 面部扫描:骨骼结构、鼻梁、眼眶、额头、下颚形状
  • 手形拓扑:整个手形及其弯曲部分的不同起伏形状
3. 密码
  • 限幅级别(clipping level):登陆失败次数的上限
5. 一次性密码(One-Time Passwd,OTP)
  • 同步令牌:基于时间或计数器,令牌和身份验证服务器必须共享用于加密和解密的相同安全密钥
  • 异步令牌:基于挑战/响应机制
8. 存储卡
  • 门禁卡,磁条卡
9. 智能卡
  • 本身包含微处理器和集成电路
  • 接触式:银行卡;非接触式:公交卡
  • 不容易被复制、篡改

3.3.3 授权

1. 访问准则
  • 基于组、基于物理或逻辑位置、基于时间段或时间间隔、基于事务
5. Kerberos
  • 一个身份验证协议
  • 20世纪80年代中期作为MIT的“Athena”项目的一部分设计出来
  • Windows 2000及以上操作系统的默认身份验证方法
  • 分布式环境中单点登录的一个示例,异构网络的一个实际标准
  • 使用对称密码学
  • 容易遭受密码猜测攻击
  • 主要组件
    • 密钥分发中心(Key Distribution Center,KDC):保存了所有用户和服务的秘密密钥,Kerberos环境内最重要的组件,提供身份验证服务以及密钥分发功能
    • 委托人(Principal):KDC为每个委托人提供一个账户,并与之共享一个秘密密钥,可以是用户、应用程序或网络服务
    • 票证授予服务(Ticket Granting Service,TGS):发放服务票证(Service Ticket,ST)
    • 身份验证服务(AuthenticationService,AS):发放票证授予票证(Ticket Granting Ticket,TGT)
    • 域(Realm):在一个域内KDC对于所有用户、应用程序和网络服务来说都是可信任的身份验证服务器
  • 身份验证过程:参考1
    这里写图片描述
    这里写图片描述
    这里写图片描述
6. SESAME(Secure European System for Application in a Multi-vendor Environment)
  • 使用对称和非对称密钥
  • 目的是拓展Kerberos的功能和弥补它的缺陷

3.4 访问控制模型

3.4.1 自主访问控制(Discretionary Access Control,DAC)

  • 资源的所有者能够指定哪些主体能够访问该资源
  • 身份型
  • 最常用方法:访问控制列表(Access Control List,ACL)
  • 大多数操作系统基于DAC模型
  • 反面:非自主访问控制(Non-discretionary Access Control,NDAC),通过中央授权来决定哪些主体可以访问对应的客体

3.4.2 强制访问控制(Mandatory Access Control,MAC)

  • 安全标签:也称敏感度标签,绑定在主体和客体上
    • 分类:遵循层次化结构,如秘密、绝密、机密等
    • 类别:与部门或项目等对应起来
  • 系统接收到一个队客体的访问请求时,根据你主体的安全许可、客体的分类以及操作系统的安全策略做出决策,主体安全许可必须大于等于客体的分类

3.4.3 角色型访问控制(Role-Based Access Control,RBAC)

  • 集中管理的控制方式
  • 雇员流动性高的公司最适合使用的访问控制系统
  • 非自主访问控制的一种

3.5 访问控制技术和方法

  • 规则型访问控制(rule-based access control):不一定是身份型的
  • 限制性用户接口:数据库视图,只在键盘上提供某些键
  • 访问控制矩阵(access control matrix)
    • 功能表:特定主体对所有客体的访问权限,矩阵中的行
    • 访问控制列表:所有主体对特定客体的访问权限,矩阵中的列

3.6 访问控制管理

3.6.1 集中式访问控制管理

  • AAA:Authentication,Authorization,Audit
  • 密码身份验证协议(Password Authentication Protocol,PAP)
  • 挑战握手身份验证协议(Challenge Handshake Authentication Protocol,CHAP)
  • 可拓展身份验证协议(Extensible Authentication Protocol,EAP)
  • 远程身份验证拨号用户服务(Remote Authentication Dial-In User Service,RADIUS)
  • 终端访问控制器访问控制系统(Terminal Access Controller Access Control System,TACACS)
    • TACACS:身份验证和授权过程组合在一起
    • 拓展TACACS(Extended TACACS,XTACACS):身份验证、授权和审计过程分开
    • TACACS+:采用拓展双因素用户身份验证的XTACACS
      表3-3 两种AAA协议之间的具体差异
  • Diameter:解决漫游、移动IP、PPP以太网、VoIP及传统AAA协议无法跟上的其他技术

3.9 访问控制实践

  • 客体重用:将先前包含一个或多个客体的介质重新分配给主体,介质要先擦除、消磁
  • 发射安全:阻止入侵者通过侦听设备从电磁波中获取信息,例如TEMPEST技术

3.10 访问控制监控

3.10.1 入侵检测系统(Intrusion Detection System,IDS)

  • 网络型IDS(Network-based IDS,NIDS)
  • 主机型IDS(Host-based IDS,HIDS)
  • 特征型IDS:模式匹配,状态匹配
  • 异常型IDS:统计异常型,协议异常型,流量异常型,规则型

3.11 对访问控制的几种威胁

  • 字典攻击
  • 蛮力攻击
    • 战争拨号(wardialing):使用大量电话号码,以试图找到一个调制解调器来获得未授权访问
  • 登陆欺骗
  • 网络钓鱼
    • 网址嫁接(pharming):实施DNS中毒(DNS poisoning)攻击,将受害者重定向至一个看似合法的、其实是伪造的Web站点
    • 鱼叉:专门针对特定人的钓鱼
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值