CISSP-D5-身份与访问控制

CISSP-D1-安全与风险管理
CISSP-D2-资产安全
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全

D5：身份与访问管理

一、身份与访问管理相关概念： D5-1～3

二、身份管理相关技术： D5-4～5

三、访问控制相关技术： D5-6～8

D5-1-访问控制概述

1、理解访问控制的相关概念

• 访问是在主体和客体之间进行的信息流动。列入当程序访问文件时。程序是主体，而文件是客体。
• 访问控制是一种安全手段，她控制用户和系统如何与其他系统和资源
• 进行通信和交互
• 访问控制包含的范围很广，他涵盖了几种对计算机系统、网络和信息资源进行访问控制和不同机制。
• 访问控制是防范计算机系统和资源被未授权访问的第一道防线

2、理解访问控制的安全原则

• 可用性
  可用性是只信息、系统和资源必须在时间上能够保证用户使用，这样才不会影响其工作效率

• 完成性

  完整性实质信息必须是准确、完整的。并且不会收到未授权的更改，某种安全机制是在提供完整性时。会保护数据或资源免受未授权的修改

• 机密性

  机密性是指机密性能够保证信息不会泄漏给未授权的个人、程序或者进程

3、理解访问控制方法

• 行政管理性
• 技术性
• 物理行

4、理解四个元素

• 身份标识
• 身份验证
• 身份授权
• 可问责性

5、竞态条件

竞态条件是指进程安错误的顺序正对某个共享资源执行其任务，在两个或者多个进程使用一个共享资源时，就可能造成竞态条件。重要的是，进程必须按照正确的顺序执行它们的功能，如果进程2先于进程1在数据上执行他发任务，那么其结果将与进程1先于进程2在数据上执行它的任务截然不同。

D5-2-身份识别与身份认证技术

1、理解身份标识和认证技术的基本概念

• 身份标识技术
  • 身份标识是所有访问控制的起点
  • 没有正确的身份标识就无法确定如何进行适当的控制
  • 身份标识应该确保：
    • 每个值应当是唯一的。便于用户问责
    • 应当遵循一个标准的命名方案
    • 身份标识值不得描述用户的职位或任务
    • 身份标识值不得在用户之间共享
• 身份认证因素
  • 用户身份标识的认证过程
  • 3种因素
    • 某人知道什么
    • 某人拥有什么
    • 某人是什么
  • 强身份验证都必须至少包含3个类别中的两个类别。这也称为双因素身份认证

2、掌握相关的认知方法和技术

• 密码

  • 概念：类型1的认证方式（某人知道什么）
  • 攻击方式：
    • 电子监控
    • 访问密码文件
    • 蛮力攻击
    • 字典攻击
    • 社会工程学攻击
    • 彩虹表
  • 对应方式
    • 密码检查器
    • 密码散列与加密
    • 密码生命周期
    • 限制登录册书
  • 增加安全行
    • 感知密码
    • 密码短语
    • 一次性密码

• 生物测定学

  • 生物测定属于类型3的认证方式（某人是什么）

  • 生理性生物检定和行为性生物检定
    生理性生物测定，指的是某个人所特有的身体特征。指纹是生物测定学系统中常用的一种生理特性

    行为性生物测定。指基于个人的某种行为特点来确认其身份，例如动态签名。生物性生物测定是你是什么。而行为性生物测定则是你做什么

  • 误报和漏报

    • FRR
    • FAR
    • CER
    • EER

  • 通常用到的生物测定

    • 指纹、手掌扫描、手部外形、虹膜扫描、动态签名、动态击剑、声纹、面部扫描、手型拓扑

  • 生物测定学的问题
    生物总体总是在不断变化之中，这意味着它们不会每次登录时都能提供静态的生物测定学信息

3、存储卡和智能卡

• 存储卡和智能卡的主要差异在于处理信息的能力
• 存储卡可以保存信息，但是不能处理信息
• 智能卡不仅可以保存信息，而且还具有世纪处理信息的必要硬件和软件，智能卡分为两类，接触式和非接触式
• 针对存储卡和智能卡的攻击
  • 故障生成攻击
  • 旁路攻击

D5-3-身份授权和可问责性技术

1、访问准则

• 使用角色
• 使用组
• 使用物理和逻辑位置
• 使用时间段和时间隔离
• 使用事务类型约束

2、知其所需

• 个人应当只被允许访问为履行其职责而需要的信息
• 问题： 授权蠕动

3、默认拒绝

• 如果没有显示允许访问，那么就应当是隐式拒绝访问

4、可问责概述

• 审计功能确保用户的动作可问责，验证安全策略已实施，并且能够用作调查工具
• 通过记录用户、系统和应用程序的活动来跟踪可问责性
• 审计跟踪还可以提供有关任何可疑活动的报警，从而方便之后的调查

5、审计信息的检查

• 手动或者自动发方式

6、保护审计数据和日志信息

7、极简监控

D5-4-身份管理相关技术

1、身份管理概念

• 使用不同产品对用户进行自动化的身份标识、身份验证和授权

2、身份管理技术

• 目录
• web访问管理
• 密码管理
• 单点登录

3、企业身份管理系统组件

4、Kerberos协议

D5-5-联合身份管理和其他相关技术

1、访问控制和标记语言

• 标记语言是构造文本及其查看方式的一种方法。他决定着文本的视图方式和使用方式
• 可扩展标记语言（XML）
• 服务供应标记语言（SPML）

2、OpenID（开放认证系统）

• 是由第三方进行用户身份验证的开放标准
• 三个角色
  • 终端用户
  • 资源方
  • OpenID提供者

3、OAuth（开放授权）

• 是对第三方的一个开放授权标准（非身份验证）

4、IDaaS

• 是一种软件即服务，通常联合idM和密码管理服务，并被配置用于提供单点登录（SSO）

D5-6-访问控制模型

1、访问控制模型是规定主体如何访问客体的一种架构

2、3种模型

• 自主访问空机制
• 强制访问控制
• 角色访问控制

3、规则型访问控制模型

D5-7-访问控制方法、技术和管理

1、访问控制技术

• 限制性结构
• 访问控制矩阵
  • 功能表
  • ACL
• 内容相关访问
• 上下文相关访问

2、访问控制管理

• 集中式访问控制管理
  • RADIUS
  • TACACS
  • Diameter
• 分散式访问控制管理

D5-8-对访问控制的集中威胁和监控

1、字典攻击

2、蛮力攻击

3、网络钓鱼

4、入侵检测系统

5、入侵防御系统

6、蜜罐