CISSP第三章 访问控制

最新推荐文章于 2024-02-16 17:02:00 发布
VIP文章 最新推荐文章于 2024-02-16 17:02:00 发布
阅读量3.2k 收藏 16
点赞数 3
分类专栏: CISSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waiwai3/article/details/103679917
版权

访问控制

主要内容

  • 身份标识方法和技术
  • 身份验证方法、模型和技术
  • 自主访问控制、强制访问控制和非自主访问控制
  • 可问责性、监控和审计实践
  • 发射安全和技术
  • 入侵检测系统
  • 访问控制实践和技术中可能遇到的安全威胁

3.1 访问控制概述

访问是主体和客体之间进行的信息流动。
主体:可以是通过访问客体以完成某种任务的用户,程序或进程
客体:可以是计算机,数据库,文件,计算机程序,目录或数据库中某个表内的字段

3.2 安全原则

  • 可用性
  • 完整性
  • 机密性

3.2.1 可用性

如何保证可用性?
—采用容错和恢复机制

3.2.2 完整性

如何保证完整性?
–保护数据和资源不受到未授权的修改

3.2.3 机密性

保护数据机密性的第一步是确定哪些信息是敏感的以及信息的敏感程度,然后采用适当的安全机制来保护。

3.3 身份标识、身份验证、授权和可问责性

身份标识:描述了一种能确保主体就是所声称实体的方法,如用户名或账号
身份验证:密码、密码短语、密钥、个人身份号码、生物特征或令牌
竞态条件:指进程按照错误的顺序针对某个共享资源执行任务。以身份验证和授权为例,攻击者可能利用竞态条件使得授权步骤在身份验证之前完成,导致未授权访问。
可问责性:确保可问责性的唯一方法是主体能够被唯一标识,并且主体的动作被记录在案。
逻辑性访问控制是用于身份标识、身份验证、授权和可问责性的技术工具,也称为技术性访问控制。

3.3.1 身份识别和身份验证

身份验证的3种因素:

  • 某人知道的内容,也称根据知识进行身份验证:密码、姓氏等,其他人可以获得相关知识并对系统或设施进行未授权访问
  • 某人所拥有的物品,也称根据所有权进行身份验证:钥匙、门卡、证件等,常用于访问设施,物品丢失或被盗会导致未授权访问
  • 某人的身份
最低0.47元/天 解锁文章
waiwai3
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISSP OIG v2 第三章
04-11
CISSP OIG v2 第三章CISSP OIG v2 第三章CISSP OIG v2 第三章CISSP OIG v2 第三章CISSP OIG v2 第三章
数据保护系列-风险指令访问控制
oripoint的博客
03-03 78
恶意操作、误操作等导致的“删库跑路”、数据泄漏等安全事件频发,企业需进一步加强风险行为的管控手段!
是否对网络流量的数据传输基于风险的访问控制策略进行了调整?
最新发布
ZOMO的博客
02-16 528
在网络环境中,“安全”是一个永恒的话题.为了提高整个网络的稳定性和安全性,我们需要在各个层次上建立一套访问控制系统(ACLs),包括路由设备、交换机和终端设备等节点之间的通信过程都需要通过ACL来约束和管理不同用户的数据流和数据包转发规则;
访问控制模型综述
Enlink_Young的博客
08-16 701
摘要:逻辑访问控制是信息安全保护数字资源不受非法访问的关键技术,本文对信息系统中典型的访问控制模型进行了简述,并分别围绕各种模型的访问控制粒度、策略化程度和应用实施过程中面临的问题进行了分析。 关键词:访问控制访问控制列表,基于角色的访问控制,基于属性的访问控制,基于策略的访问控制,风险自适应访问控制 访问控制模型综述 在按需连接、始终在线、数据驱动的信息化世界中,尤其是在整个国家经济从基于制造业的模式向基于知识的模式转变的背景下,许多组织正确地将其信息系统视为最重要的资..
CISSP备考笔记】第5章 身份与访问管理
11-19 1611
第五章 身份与访问管理 5.1 访问控制概述 ​ 访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源进行通信和交互。​ 主体可以是通过访问客体以完成某种任务的用户、程序或进程。​ 客体是包含被访问信息或者所需功能的被动实体。 5.2 安全原则 各种安全控制中3个主要的安全原则:机密性、完整性、可用性 ​ 可用性:一般采用容错和恢复机制 ​ ...
CISSP-D5-身份与访问控制
sinat_34066134的博客
01-21 2682
D5:身份与访问管理 一、身份与访问管理相关概念: D5-1~3 二、身份管理相关技术: D5-4~5 三、访问控制相关技术: D5-6~8 D5-1-访问控制概述 1、理解访问控制的相关概念 访问是在主体和客体之间进行的信息流动。列入当程序访问文件时。程序是主体,而文件是客体。 访问控制是一种安全手段,她控制用户和系统如何与其他系统和资源 进行通信和交互 访问控制包含的范围很广,他涵盖了几种对计算机系统、网络和信息资源进行访问控制和不同机制。 访问控制是防范计算机系统和资源被未授权访问的第一道防线 2
集中式版本控制 VS 分布式版本控制
柚咖小窝
05-07 1467
  目前企业使用的版本控制系统基本上都是 Git 和 SVN。其中 SVN 是集中式的版本控制系统,而 Git 是分布式的版本控制系统。那么它们之间有什么区别呢? 集中式版本控制系统   集中式版本控制系统的版本库是集中存放在中央服务器的。   而平时写代码都是用自己的电脑,所以需要先从中央服务器取得最新的版本,然后开始编写代码,再把自己的修改之后的代码推送给中央服务器。中央服务器就好比是一个图书馆,你要改一本书,必须先从图书馆借出来,然后回到家自己改,改完了,再放回图书馆。   缺点: 集中式版本控制
CISSP备考】第14章:控制和监控访问
ailx10
07-06 161
CISSP考试重点:识别常见授权机制。授权确保所请求的活动或客体是可访问的,前提是赋予已经验证的身份应有的权限。例如,它确保具有适当权限的用户可访问文件和其他资源,常见授权机制包括隐式拒绝、访问控制矩阵、能力表、约束接口、依赖内容的控制和依赖上下文的控制。这些机制执行诸如知其所需、最小特权和职责分离等安全原则。了解每个访问控制模型的详细信息。使用自主访问控制(DAC)模型,所有客体都有所有者,所有...
CISSP知识点汇总(已完结并通过考试)
热门推荐
Vannnnnn
01-16 1万+
CISSP知识点汇总
CISSP要点-第四章访问控制[文].pdf
10-11
CISSP要点-第四章访问控制[文].pdf
cissp中文教材第三章
12-17
cissp考试教材类文档,本文档为中文版教材,共12章,此PDF为第三章
CISSP学习笔记 CISSP关键知识点总结汇总.zip
01-05
第三章 业务连续性计划 第四章 法律、法规和合规性 第五章 保护资产的安全 第六章 密码学与对称加密算法 第七章 PKI和密码学应用 第八章 安全模型的原则、设计和功能 第九章 安全脆弱性、威胁和对策 第十章 物理安全...
CISSP课程讲义PPT(全10章,英文).zip
01-09
Information Security and Risk Management (ch01).pptx Access Controls(ch02).pptx Application Security (ch03).pptx Business Continuity and Disaster Recovery Planning (ch04).pptx Cryptography (ch05).pptx...
CISSP第二章 信息安全治理与风险管理
waiwai3的博客
11-20 5313
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
CISSP 第六章 通信与网络安全
waiwai3的博客
01-15 2042
通信与网络安全6.1 通信telecommunication6.2 开放系统互联模型6.2.1 协议6.2.2 应用层application layer6.2.3 表示层presentation layer6.2.4 会话层session layer 6.1 通信telecommunication 通信是数据在系统之间的电子传输。 主要的标准组织机构有国际通信协会(International Te...
CISSP 第四章 安全架构和设计
waiwai3的博客
01-01 2009
安全架构和设计主要内容4.1 计算机安全4.2 系统架构4.3 计算机架构4.3.1 中央处理单元CPU4.3.2 多重处理4.3.3 操作系统架构4.3.4 存储器类型 主要内容 软件缺陷是组织面临的主要威胁,实现软件安全的最关键的环节之一是它的架构。 当今的操作系统没有把安全作为重点来设计架构,只能不断的打补丁。 4.1 计算机安全 可用性,完整性,机密性 4.2 系统架构 架构提供了“全景”...
CISSP 第八章 业务连续性与灾难恢复
waiwai3的博客
02-21 1614
业务连续性与灾难恢复8.1 业务连续性和灾难恢复8.1.1 标准和最佳实践8.1.2 使BCM成为企业安全计划的一部分8.2 BCP项目的组成 8.1 业务连续性和灾难恢复 灾难恢复计划(DRP)是在紧急模式下实施的计划 业务连续性规划(BCP)采取一个更广泛的解决问题的方法 业务连续性管理(BCM)是整体的管理过程,整合恢复能力和有效应对能力,包括DRP和BCP。 8.1.1 标准和最佳实践 美...
CISSP 第七章 密码术
waiwai3的博客
02-18 1466
密码术7.1 密码学的历史7.2 密码学定义与概念7.2.1 Kerckhoffs原则7.2.2 密码系统的强度7.2.3 密码系统的服务7.2.4 一次性密码本one-time pad7.2.5 滚动密码与隐藏密码7.2.6 隐写术steganography7.3 密码的类型7.3.1 替代密码7.3.2 换位密码transposition ciper7.4 加密的方法7.4.1 对称算法和非对...
osg 9 cissp
09-03
OSG表示"Official Study Guide",是CISSP(Certified Information Systems Security Professional)认证考试的官方参考书。CISSP是信息系统安全领域的国际认证,由(ISC)²(International Information System Security Certification Consortium)颁发。 OSG 9是CISSP考试的最新版本,它是针对最新的考试大纲(CISSP CBK,Common Body of Knowledge)编写的。CISSP考试内容包括8个领域,即安全与风险管理、安全工程、访问控制、安全评估与测试、安全操作与规范、网络与通信安全、软件开发安全以及密码学。OSG 9涵盖了这些领域的知识点和技术要求。 读者通过阅读OSG 9可以全面了解CISSP认证考试所需的知识和技能。它提供了清晰的学习目标和详细的解释,帮助读者理解主要概念和术语。书中包含了大量的案例研究和实例,帮助读者将理论知识应用到实际情境中。 除了提供学习材料外,OSG 9还包含了练习题和模拟试题,在读者自测和复习过程中起到重要作用。通过解答这些问题,读者可以评估自己的知识和能力水平,并针对性地进行学习和复习。 总之,OSG 9是CISSP考试的官方参考书,它是备考CISSP认证考试的重要工具。通过仔细阅读和理解它,考生可以系统地学习与信息系统安全相关的知识和技能,提高自己的考试准备水平,从而成功地通过CISSP认证考试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值