CISSP要点-第四章访问控制

CISSP 认证考试指南第四章访问控制知识点汇总 访问是主体和客体之间的一种信息传输 主体是访问客体的主动实体 客体是被访问的被动实体 主体可以是一个用户 程序 进程 机密性就是保护信息不对未授权的主体泄漏 能够提供机密性的安全机制包括加密 逻辑和物理访问控制 传输协议 数据库视图和流量控制等 身份管理解决方案包括目录 Web 访问管理 密码管理 遗留 单点登录 账户管理和配置文件更新等 密码同步降低了保留不同系统的各种密码的复杂性 自助式密码重设通过允许用户重新设置他们的密码 减少帮助 桌面收到的电话数量 辅助式密码重设为帮助桌面减少有关密码问题的决策处理 身份管理目录中包含所有资源信息 用户属性 授权配置文件 角色和访问控制策略 以便其他身份管理应用程序有一个集中 式的资源来收集这些信息 提供身份管理解决方案的账户管理产品常常采用自动化的工作 流程组件 用户配置是指为响应业务流程而创建 维护和删除存在于一个 或几个系统 目录或应用程序中的用户对象和属性 人力资源数据库常被认为是用户实体的权威来源 因为这里是 最早创建并正确维护用户实体的地方 一共有三种主要的访问控制模型 自主型 强制型和非自主型 访问控制 自主访问控制 DAC 使数据拥有者能确定哪些主体可以访问他 们拥有的文件和资源 非自主性访问控制只用基于角色的访问控制方法来决定访问控 制权限 强制型访问控制 MAC 采用安全标签系统 用户具有访问等级 资源则有安全标签 标签上面有数据的分类 MAC 比较二者来 决定访问控制的能力 基于角色的访问控制模式允许资源基于用户的角色和职责在公 司中进行访问 有三种主要的限制性接口 菜单和命令 数据库视图和物理限 制接口 访问控制列表和客体绑定在一起 标出什么样的主体才能访问 它 访问能力表和主体绑定在一起 标出主体能访问什么样的客体 访问控制可以用两种方式进行管理 集中式和分散式 集中控制的例子有 RADIUS TACACSS 和 Diameter 分散控制的例子就是对等工作组 管理控制的例子包括安全策略 人员控制 监督机构 安全意 识培训和测试 物理控制的例子包括网络分段 边界安全 计算机控制 工作 区域分离 数据备份和布线 技术控制的例子包括系统访问 网络体系结构 网络访问 加 密和协议 以及审计 生物识别技术的第一类错误是指系统拒绝了一个授权用户 第 二类错误是指系统认证了一个冒名的顶替者 存储卡不能处理信息 但是智能卡可以 访问控制的默认设置应该是拒绝访问 最小特权和需要知晓的原则限制用户只拥有他开展工作和完成 任务所需要的访问权限 单点登录只需要用户在网络中进行一次认证 单点登录功能可以通过 Kerberos SESAME 域和瘦客户机来实 现 在 Kerberos 中 用户是从 KDC 中接收到票据访问资源 Kerberos 与用户收到一张票据授予票据 TGT 该票据允许他 请求访问整个票据授予服务 TGS 中的资源 TGS 使用会话密 钥生成一张新的票据 访问控制攻击包括 拒绝服务 诱骗 字典式攻击 蛮力攻击 和 Wardialing 攻击 审计可以跟踪用户的活动 应用程序事件和系统事件 键击监控是一种跟踪用户每一次按键记录的审计过程 要保护好审计日志 并且要检查日志 对象重用可能会无意识地泄露信息 仅仅删除文件的指针并不能彻底地给对象重用提供保护 信息可以通过电磁波获取 对于这种类型的入侵 解决方法就 是 TEMPEST 白噪声和控制区 用户认证可以通过 他知道什么 他是什么 他有什么 来进行 一次性密码可以使用同步和异步令牌的方式 强化认证需要三种认证特征 他知道什么 他是什么 他 有什么 中的至少两种 Kerberos 提供机密性和完整性 但是不提供可用性 Kerberos 有以下一些弱点 KDC 是一个单一故障点 它不能防 范密码猜测 会话密钥在本地保存 KDC 必须总是可用的 必 须要管理好密钥 IDS 可以是统计的 监视活动