CISSP复习笔记-第3章 访问控制

最新推荐文章于 2023-06-11 15:10:47 发布
最新推荐文章于 2023-06-11 15:10:47 发布
阅读量3.3k 收藏 18
点赞数 5
分类专栏: CISSP 文章标签: cissp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mvpboss1004/article/details/53152964
版权

CISSP复习笔记-第3章 访问控制

3.1 访问控制概述

  • 主体:用户、程序、进程
  • 客体:计算机、数据库、文件、目录、窗口、打印队列、接口、设备(一般不将程序或进程视为客体)

3.3 身份标识、身份验证、授权与可问责性

  • 确保可问责性的唯一方法是主体能够被唯一标识,并且主体的动作被记录在案

3.3.1 身份标识与身份验证

  • 三种因素可用于身份验证
    • 某人知道的内容:密码、PIN、认知密码、图形验证码
    • 某人所拥有的物品:钥匙、证件、token
    • 某人的身份:基于物理特征,生物测定学(biometrics)
  • 强(双因素)身份验证:至少包含三种因素中的二种
  • 安全身份
    • 唯一性:每个用户必须具有用于问责的唯一ID
    • 非描述性:任何凭证都不应当表明账户的目的
    • 签发:上述元素由权威机构提供,用于证明身份
  • 一对一:验证/认证(verification/authentication),一对多:识别(identification)
身份管理(Identity Manageme,IdM)
  • 目录
    • 基于X.500标准和某种协议,例如轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)
    • Windows环境会登入域控制器(Domain Controller,DC),它的数据库中运行一个层次化的活动目录服务(Active Directory,AD)
    • 问题:由于不是使用必要的客户端软件创建,因此无法管理许多遗留设备和应用程序
  • 目录在身份管理中的角色
    • 所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略及其他内容都存储在目录中
    • 元目录:从不同的来源收集必要信息并将它们保存在一个中央目录内,需要定期与身份存储库同步
    • 虚拟目录:与元目录相似,可以替代元目录,虚拟目录中没有数据,只是只想驻留实际数据的位置
  • Web访问管理(Web Access Management,WAM)
    • 用户与基于Web的企业资源之间的主要网关
    • 通常WAM工具还提供单点登录功能

3.3.2 密码管理

  • 密码同步
  • 自助式密码重设
  • 辅助式密码重设
  • 遗留单点登录
  • 账户管理
  • 用户指配(user provisioning):为响应业务过程而创建、维护、删除存在于一个或多个系统、目录、应用程序中的用户对象与属性
  • 用户资料更新
  • 联合身份(federated identity):以在两个或多个地点链接一名用户的独特身份为基础,因而不需要同步或合并目录信息,是公司和客户能更加方便地访问分布式资源
    图3-7 企业身份管理系统组件
1. 访问控制和标记语言
  • 服务供应标记语言(Service Provisioning Markup Language,SPML):允许驻留在一个组织或者多个组织上的应用程序之间交换供应数据,允许用户算理,允许位于不同平台上的服务供应集成和互操作
  • 可拓展访问控制标记语言(Extensible Access Control Markup Language,XACML):用来向Web服务和其他企业应用程序提供的资产表述安全策略和访问权限
2. 生物测定学
  • 误拒率(False Rejection Rate,FRR):1类错误,误报率
  • 误受率(False Acceptance Rate,FAR):2类错误,漏报率
  • 交叉错误率(Crossover Error Rate):FRR=FAR,也称相等错误率(Equal Error Rate)
  • 指纹:曲线、分叉、微小特征
  • 手掌扫描:沟槽、脊状突起、折缝
  • 手部外形:手掌和手指的长度、宽度、外形
  • 视网膜扫描:眼球后方视网膜上血管的图案,类似测眼压,用户体验最差
  • 虹膜扫描:图案、分叉、颜色、环状、光环、皱纹,光学部件必须放置于合适的位置,以保证阳光没有照入光圈中
  • 动态签名:签名过程中引起的物理移动转换成电信号
  • 动态击键:输入具体短语时产生的电信号
  • 声纹:不同人语音模式存在的微小差别
  • 面部扫描:骨骼结构、鼻梁、眼眶、额头、下颚形状
  • 手形拓扑:整个手形及其弯曲部分的不同起伏形状
3. 密码
  • 限幅级别(clipping level):登陆失败次数的上限
5. 一次性密码(One-Time Passwd,OTP)
  • 同步令牌:基于时间或计数器,令牌和身份验证服务器必须共享用于加密和解密的相同安全密钥
  • 异步令牌:基于挑战/响应机制
8. 存储卡
  • 门禁卡,磁条卡
9. 智能卡
  • 本身包含微处理器和集成电路
  • 接触式:银行卡;非接触式:公交卡
  • 不容易被复制、篡改

3.3.3 授权

1. 访问准则
  • 基于组、基于物理或逻辑位置、基于时间段或时间间隔、基于事务
5. Kerberos
  • 一个身份验证协议
  • 20世纪80年代中期作为MIT的“Athena”项目的一部分设计出来
  • Windows 2000及以上操作系统的默认身份验证方法
  • 分布式环境中单点登录的一个示例,异构网络的一个实际标准
  • 使用对称密码学
  • 容易遭受密码猜测攻击
  • 主要组件
    • 密钥分发中心(Key Distribution Center,KDC):保存了所有用户和服务的秘密密钥,Kerberos环境内最重要的组件,提供身份验证服务以及密钥分发功能
    • 委托人(Principal):KDC为每个委托人提供一个账户,并与之共享一个秘密密钥,可以是用户、应用程序或网络服务
    • 票证授予服务(Ticket Granting Service,TGS):发放服务票证(Service Ticket,ST)
    • 身份验证服务(AuthenticationService,AS):发放票证授予票证(Ticket Granting Ticket,TGT)
    • 域(Realm):在一个域内KDC对于所有用户、应用程序和网络服务来说都是可信任的身份验证服务器
  • 身份验证过程:参考1
    这里写图片描述
    这里写图片描述
    这里写图片描述
6. SESAME(Secure European System for Application in a Multi-vendor Environment)
  • 使用对称和非对称密钥
  • 目的是拓展Kerberos的功能和弥补它的缺陷

3.4 访问控制模型

3.4.1 自主访问控制(Discretionary Access Control,DAC)

  • 资源的所有者能够指定哪些主体能够访问该资源
  • 身份型
  • 最常用方法:访问控制列表(Access Control List,ACL)
  • 大多数操作系统基于DAC模型
  • 反面:非自主访问控制(Non-discretionary Access Control,NDAC),通过中央授权来决定哪些主体可以访问对应的客体

3.4.2 强制访问控制(Mandatory Access Control,MAC)

  • 安全标签:也称敏感度标签,绑定在主体和客体上
    • 分类:遵循层次化结构,如秘密、绝密、机密等
    • 类别:与部门或项目等对应起来
  • 系统接收到一个队客体的访问请求时,根据你主体的安全许可、客体的分类以及操作系统的安全策略做出决策,主体安全许可必须大于等于客体的分类

3.4.3 角色型访问控制(Role-Based Access Control,RBAC)

  • 集中管理的控制方式
  • 雇员流动性高的公司最适合使用的访问控制系统
  • 非自主访问控制的一种

3.5 访问控制技术和方法

  • 规则型访问控制(rule-based access control):不一定是身份型的
  • 限制性用户接口:数据库视图,只在键盘上提供某些键
  • 访问控制矩阵(access control matrix)
    • 功能表:特定主体对所有客体的访问权限,矩阵中的行
    • 访问控制列表:所有主体对特定客体的访问权限,矩阵中的列

3.6 访问控制管理

3.6.1 集中式访问控制管理

  • AAA:Authentication,Authorization,Audit
  • 密码身份验证协议(Password Authentication Protocol,PAP)
  • 挑战握手身份验证协议(Challenge Handshake Authentication Protocol,CHAP)
  • 可拓展身份验证协议(Extensible Authentication Protocol,EAP)
  • 远程身份验证拨号用户服务(Remote Authentication Dial-In User Service,RADIUS)
  • 终端访问控制器访问控制系统(Terminal Access Controller Access Control System,TACACS)
    • TACACS:身份验证和授权过程组合在一起
    • 拓展TACACS(Extended TACACS,XTACACS):身份验证、授权和审计过程分开
    • TACACS+:采用拓展双因素用户身份验证的XTACACS
      表3-3 两种AAA协议之间的具体差异
  • Diameter:解决漫游、移动IP、PPP以太网、VoIP及传统AAA协议无法跟上的其他技术

3.9 访问控制实践

  • 客体重用:将先前包含一个或多个客体的介质重新分配给主体,介质要先擦除、消磁
  • 发射安全:阻止入侵者通过侦听设备从电磁波中获取信息,例如TEMPEST技术

3.10 访问控制监控

3.10.1 入侵检测系统(Intrusion Detection System,IDS)

  • 网络型IDS(Network-based IDS,NIDS)
  • 主机型IDS(Host-based IDS,HIDS)
  • 特征型IDS:模式匹配,状态匹配
  • 异常型IDS:统计异常型,协议异常型,流量异常型,规则型

3.11 对访问控制的几种威胁

  • 字典攻击
  • 蛮力攻击
    • 战争拨号(wardialing):使用大量电话号码,以试图找到一个调制解调器来获得未授权访问
  • 登陆欺骗
  • 网络钓鱼
    • 网址嫁接(pharming):实施DNS中毒(DNS poisoning)攻击,将受害者重定向至一个看似合法的、其实是伪造的Web站点
    • 鱼叉:专门针对特定人的钓鱼
mvpboss1004
关注
专栏目录
【网络安全】身份认证与访问控制(练习题)
计算机小白努力学习
07-09 1万+
1. 选择题 (1)在常用的身份认证方式中,( B )是采用软硬件相结合、一次一密的强双因子认证模式,具有安全性、移动性和使用的方便性。 A. 智能卡认证 B. 动态令牌认证 C. USB Key D. 用户名及密码方式认证 (2)以下( C )属于生物识别中的次级生物识别技术。 A. 网膜识别 B. DNA C. 语音识别
第五身份与访问管理 >>CISSP备考流水账
学习带来的愉悦具有很高的延迟,但还在承受范围内
12-28 615
生物识别认证方式错误类型 类型1:错误拒绝比率,有效用户没有被验证通过; 类型2:错误接受比率,无效用户授予访问权限; 电子欺骗 描述:模拟合法的登录界面欺骗用户输入凭证,获取凭证即可获取用户相应权限; 邮件:伪装合法的邮件地址,骗取用户回复; 电话:针对Voip更改被叫的来电号码,获取信息的目的; 身份验证方式 身份证明:类型1身份验证方式,提问你知道什么,类似密码短语、问题验证; 密...
cissp中文教材第三
12-17
cissp考试教材类文档,本文档为中文版教材,共12,此PDF为第三
CISSP的成长之路(二十五):数据访问控制方法
weixin_30542079的博客
03-22 145
CISSP的成长之路的上一篇文《分布式访问控制方法》,J0ker给大家介绍了用于控制用户资源访问的几种分布式访问控制方法。在实际的应用中,我们往往还需要对数据和信息进行更为细致的访问控制,比如,企业需要允许财务部门访问今年上半年的企业详细财务报告,但同时应该拒绝其他部门访问,之前介绍过的集中式或分布式访问控制方法就不太合适应用在这种场景中,这时候,我们就要用到下面提到的几种数据访问控制方...
Cissp-【第5 身份与访问管理】-2021-3-14(561页-600页)
Jian Sun_的博客
03-14 218
1.访问控制概述 2.身份标识,身份验证,授权,可问责性 3.身份标识组件要求 4.访问控制 5.身份管理 6.控制资产访问常见问题 7.生物测定学 8.攻击者寻找密码得不同技术 9.同步令牌 10.异步令牌 11.授权 12.授权-知其所需 13.Kerberos 14.单点登录技术的示例 ...
CISSP学习笔记 CISSP关键知识点总结汇总.zip
01-05
第三 业务连续性计划 第四 法律、法规和合规性 第五 保护资产的安全 第六 密码学与对称加密算法 第七 PKI和密码学应用 第八 安全模型的原则、设计和功能 第九 安全脆弱性、威胁和对策 第十 物理安全...
CISSP认证考试必过2018核心笔记精简版
11-07
采购策略应考虑安全风险,确保供应商和第三方服务的安全性。信息安全教育、培训和意识项目旨在提高全员的安全素养。 第二域:资产安全 资产安全关注的是保护组织的各类信息资产和支撑资源。资产的分类是根据其敏感...
CISSP资料:独家笔记
CISSP_China的博客
08-09 2650
(提示:笔记截图在本文末尾,为更好地理解笔记思路,建议先看下文) 作者保留本文所有著作权,未经作者书面授权,不得以任何形式传播 一、 复习所用资源和过程* 1. 资源 先来一张所有复习资料全景图 (备注:拍摄此图时忘了把OSG中文第7版放进去) 2、复习过程 笔者前后看了: AIO、OSG 中文版全部内容 2~3遍 AIO、OSG英文版 重点内容1~2遍 CBK (全英文)全部内容 1遍 做Official Practice Test (第2版,全英文)2遍 做回忆真题1遍 辅导机构节课程2遍、节题
CISSP考试指南笔记:5.7 身份和访问管理的生命周期
debugeeker的专栏
02-23 376
Identity and access have a life cycle that begins with provisioning of an account, goes through a series of periodic reviews to ensure the account is still necessary, and finally results in the account being deprovisioned. Provisioning Provisioning perta
CISSP官方教程最完备精华笔记.pdf
09-26
笔记是对OSG第七版的精华摘取和总结提炼,精华涵盖了OSG所有值得了解和记忆的知识点,通过该精华笔记以及OSG练习题,我一次性通过了CISSP考试。 绝大部分内容来自OSG,少部分来自AIO,更少部分来自本人查看其他资料后的理解和整理。
CISSP认证考试必过核心笔记精简版.rar
01-22
CISSP认证考试必过核心笔记精简版
CISSP官方教材最完备精华笔记-V2.0.pdf
06-03
CISSP官方教材最完备精华笔记-V2.0.pdf
cissp精华笔记
03-21
卫sir的cissp精华笔记,版权归原作者所有,希望大家都可以通过考试
【ML学习笔记】11:Accuracy/FAR/FRR/Precision/Recall/ROC/AUC
LauZyHou的笔记
12-16 4590
accuracy准确率 准确率(accuracy)≠精确率(precision) 准确率=正确率 准确率是最传统、最符合我们日常思维的评估方式。在分类问题中,对于任一个实例,在学习机器上跑过以后,如果预测到的标签和其真实标签一样,我们就认为这次预测是准确(accuracy)的。所以准确率即是: P(匹配正确)=num(真实标签=预测标签)用来测试的实例总数P(匹配正确)=\frac{nu
CISSP学习笔记
最新发布
qq1076218478的博客
06-11 414
首先CISSP主要有八大知识领域包括:安全和风险管理、安全工程实施、通信和网络安全、身份和访问管理、软件开发安全、安全评估和测试、安全运营、资产安全。1、就业优势:持有CISSP证书的人在就业方面具有明显优势,可以在各种行业从事信息系统安全方面的工作,并且可以获得更高的薪资待遇。3、增强信誉:CISSP证书是一种国际公认的认证,持有该证书的人可以为自己的信誉加分,增强客户和合作伙伴对自己的信任感。2、提升技能:持有CISSP证书的人可以不断提升自己的技能和知识水平,保持自己在信息安全领域的领先地位。
CISSP-D5-身份与访问控制
sinat_34066134的博客
01-21 2738
D5:身份与访问管理 一、身份与访问管理相关概念: D5-1~3 二、身份管理相关技术: D5-4~5 三、访问控制相关技术: D5-6~8 D5-1-访问控制概述 1、理解访问控制的相关概念 访问是在主体和客体之间进行的信息流动。列入当程序访问文件时。程序是主体,而文件是客体。 访问控制是一种安全手段,她控制用户和系统如何与其他系统和资源 进行通信和交互 访问控制包含的范围很广,他涵盖了几种对计算机系统、网络和信息资源进行访问控制和不同机制。 访问控制是防范计算机系统和资源被未授权访问的第一道防线 2
CISSP备考系列之可问责性与访问控制[10-47]
weixin_34384681的博客
05-20 532
CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)】 访问控制的类型 1,预防性(Preventive)墙,锁,灯光,监视,加密等 2,威慑性/阻止性(Deterrent)墙,锁,防火墙等 3,检测性(D...
自主访问控制dac与强制访问控制mac的原理是什么区别在哪里
热门推荐
wangkaiblog的专栏
11-03 1万+
转自: http://wenda.tianya.cn/question/23554898588dcb19
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值