CISSP-D5身份与访问管理
2021-07-17 16:08:20 0 举报AI智能生成
CISSP八大领域之身份与访问管理
作者其他创作
大纲/内容
一、身份与访问管理相关概念:D5-1~3
二、身份管理相关技术:D5-4~5
三、访问控制相关技术:D5-6~8
D5-1-访问控制概述
• 理解访问控制的相关概念
• 访问是在主体和客体之间进行的信息流动,例如当程序访问文件时,
程序是主体,而文件时客体。
• 访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源
进行通信和交互。
• 访问控制包含的范围很广,它涵盖了几种对计算机系统、网络和信息
资源进行访问控制的不同机制。
• 访问控制是防范计算机系统和资源被未授权访问的第一道防线
程序是主体,而文件时客体。
• 访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源
进行通信和交互。
• 访问控制包含的范围很广,它涵盖了几种对计算机系统、网络和信息
资源进行访问控制的不同机制。
• 访问控制是防范计算机系统和资源被未授权访问的第一道防线
理解访问控制的安全原则
可用性
可用性指的是信息、系统和资源必须在时间上能够保证用户使用,这样才不会
影响其工作效率。
影响其工作效率。
完整性
完整性指的是信息必须是准确、完整的,并且不会受到未授权的更改。某种安
全机制在提供完整性时,会保护数据或资源免受未授权的修改。
全机制在提供完整性时,会保护数据或资源免受未授权的修改。
机密性
机密性指的是机密性能够保证信息不会泄露给未授权的个人、程序或进程。
理解访问控制方法,三大类别:
行政管理性
策略和措施、人员控制、监管结构、安全意识培训和测试
技术性
系统访问、网络架构、网络访问、加密和协议、审计
物理性
网络分段、周边安全、计算机控制、工作区分隔、数据备份、布线和控制区
• 理解四个元素
身份标识
身份验证
身份授权
可问责性
图示
图1
竞态条件
竞态条件是指进程按错误的顺序针对某个共享资源执行其任务。在两个或多个进程使用一个共
享资源(如一个变量内的数据)时,就有可能造成竞态条件。重要的是,进程必须按照正确的顺序
执行它们的功能。如果进程2先于进程1在数据上执行它的任务,那么其结果将与进程1先于进
程2在数据上执行它的任务截然不同。
享资源(如一个变量内的数据)时,就有可能造成竞态条件。重要的是,进程必须按照正确的顺序
执行它们的功能。如果进程2先于进程1在数据上执行它的任务,那么其结果将与进程1先于进
程2在数据上执行它的任务截然不同。
D5-2-身份标识与身份认证技术
• 理解身份标识和认证技术的基本概念
身份标识技术
• 身份标识是所有访问控制的起点
• 没有正确的身份标识,就无法确定如何进行适当的控制
• 身份标识应该确保:
每个值应当是唯一的,便于用户问责
应当遵循一个标准的命名方案
身份标识值不得描述用户的职位或任务
身份标识值不得在用户之间共享
• 没有正确的身份标识,就无法确定如何进行适当的控制
• 身份标识应该确保:
每个值应当是唯一的,便于用户问责
应当遵循一个标准的命名方案
身份标识值不得描述用户的职位或任务
身份标识值不得在用户之间共享
身份认证因素
用户身份标识的认证过程。
3种因素
某人知道什么(根据知识进行身份验证),
例如:密码、PIN、母亲的娘家姓氏或密码锁。
例如:密码、PIN、母亲的娘家姓氏或密码锁。
某人拥有什么(根据所有权进行身份验证),
例如:钥匙、门卡、访问卡或证件。
例如:钥匙、门卡、访问卡或证件。
某人是什么(根据特征进行身份验证),
基于独特的物理特征对一个人的身份进行验证,也被称为生物测定学。
基于独特的物理特征对一个人的身份进行验证,也被称为生物测定学。
强身份验证都必须至少包含3个类别中的两个类别。这也称为双因素身份验证。
• 掌握相关的认证方法和技术
密码
概念
• 类型1的认证方式(某人知道什么)
攻击方式
电子监控
过侦昕网络流量来捕获信息,特别是用户向身份验证服务器发送的密码。
攻击者能够复制并在任何时候使用捕获的密码,这被称为重放攻击(replayattack) 。
攻击者能够复制并在任何时候使用捕获的密码,这被称为重放攻击(replayattack) 。
访问密码文件
通常在身份验证服务器上进行该操作。密码文件包含许多用户的密码,如果该文件被损坏,
那么会导致很大的破坏性。密码文件应当采用访问控制机制和加密方式进行保护。
那么会导致很大的破坏性。密码文件应当采用访问控制机制和加密方式进行保护。
蛮力攻击
使用工具,通过组合许多可能的字符、数字和符号来循环反复地猜测密码。
字典攻击
使用含有成千上万单词的字典文件与用户的密码进行比较,直至发现匹配的密码。
社会工程学攻击
攻击者让某些用户误认为他获得访问特定资源的必要授权。
彩虹表
攻击者使用一张表,其中包含已采用散列格式的所有可能密码。
应对方式
密码检查器
某些组织使用执行字典和/或蛮力攻击以检测弱密码的工具对用户选择的密码进行测试,
这有助于使整个系统环境不易受到用于窃取用户密码的字典攻击和蛮力攻击的影响。
这有助于使整个系统环境不易受到用于窃取用户密码的字典攻击和蛮力攻击的影响。
密码散列与加密
大多数系统会利用某种散列算法对密码进行散列,以确保密码不以明文形式发送。
密码生命周期
管理员设置密码的使用期限,从而强制要求用户隔一段时间就修改密码。
限制登陆次数
设置一个特定登录失败次数上限阈值。达到这个阀值之后,用户的账户就会被锁定一段固定的时间。
增加安全性
感知密码
基于事实或观点的信息,用于验证个人的身份。用户注册时,根据自己的生活经历来回答几个问题。
密码短语
一个比密码长的字符串(因此称为“短语”)
一次性密码
也称为动态密码,它用于身份验证,并且只能使用一次。一次性密码在使用之后就会失效。
一次性密码生成的令牌一般具有两种类型:同步和异步。同步和异步令牌设备的实际实现和
过程可能因供应商而异。但是,重要的一点在于异步令牌设备基于挑战/响应方式,而同步令
牌设备则基于时间或计数器驱动的机制。注意: 一次性密码也可以在软件中生成,此时就不
再需要诸如令牌设备之类的硬件。这些软件称为软令牌,并且要求身份验证服务和应用程序
包含相同的用于生成一次性密码的密钥。
过程可能因供应商而异。但是,重要的一点在于异步令牌设备基于挑战/响应方式,而同步令
牌设备则基于时间或计数器驱动的机制。注意: 一次性密码也可以在软件中生成,此时就不
再需要诸如令牌设备之类的硬件。这些软件称为软令牌,并且要求身份验证服务和应用程序
包含相同的用于生成一次性密码的密钥。
生物测定学
• 生物测定学属于类型3的认证方式(某人是什么)
• 生理性生物测定和
行为性生物测定
行为性生物测定
第一种是生理性生物测定,它指的是某个人所特有的身体特征。
指纹是生物测定学系统中常用的一种生理特征。
指纹是生物测定学系统中常用的一种生理特征。
第二种是行为性生物测定,它基于个人的某种行为特点来确认其身份,例如动态签名。
生理性生物测定是“你是什么”,而行为性生物测定则是“你做什么”
(相对“你是什么又弱一些”)
生理性生物测定是“你是什么”,而行为性生物测定则是“你做什么”
(相对“你是什么又弱一些”)
• 误报(false positive)和
漏报(false negative)
漏报(false negative)
生物测定学系统在拒绝一个已获授权的个人时,就会出现l类错误
(误拒绝率(False Rejection Rate,FRR));当系统接受了一个本应
该被拒绝的冒名顶替者时,就会出现2类错误(误接受率(False Acceptance Rate,FAR))。
我们的目标是减少每一类错误发生的次数,但是2类错误最为危险,因此加以避免是最重要的。
(误拒绝率(False Rejection Rate,FRR));当系统接受了一个本应
该被拒绝的冒名顶替者时,就会出现2类错误(误接受率(False Acceptance Rate,FAR))。
我们的目标是减少每一类错误发生的次数,但是2类错误最为危险,因此加以避免是最重要的。
比较不同的生物测定学系统,使用了不同的变量,但是其中最重要的
度量是交叉错误率(Crossover Error Rate,CER)。
这个等级是一个百分数,它代表误拒绝率与误接受率等值的那个点。
在判定系统精确度的时候,交叉错误率是非常重要的评估指标。
交叉错误率(CER)也称为相等错误率(Equal Error Rate,EER)。
度量是交叉错误率(Crossover Error Rate,CER)。
这个等级是一个百分数,它代表误拒绝率与误接受率等值的那个点。
在判定系统精确度的时候,交叉错误率是非常重要的评估指标。
交叉错误率(CER)也称为相等错误率(Equal Error Rate,EER)。
• 通常用到的生物测定
指纹、手掌扫描、手部外形、虹膜扫描、动态签名、动态击键、声纹、 面部扫描、手形拓扑。
• 生物测定学的问题
生物体总是在不断变化之中,这意味着他们不会在每次登录时都能提供静态的生物测定学信息。
存储卡和智能卡
• 存储卡与智能卡的主要差异在于处理信息的能力。
• 存储卡可以保存信息,但是不能处理信息。
• 智能卡不仅可以保存信息,而且还具有实际处理信息的必要硬件和软件。智能卡分为两类:接触式和非接触式。
• 存储卡可以保存信息,但是不能处理信息。
• 智能卡不仅可以保存信息,而且还具有实际处理信息的必要硬件和软件。智能卡分为两类:接触式和非接触式。
• 针对存储卡和智能卡的攻击
故障生成(fault generation)攻击。
旁路攻击(side-channel attack)是非入侵式攻击,用于在不利用任何形式的缺陷或弱点的情况下
找出与组件运作方式相关的敏感信息
旁路攻击(side-channel attack)是非入侵式攻击,用于在不利用任何形式的缺陷或弱点的情况下
找出与组件运作方式相关的敏感信息
D5-3-身份授权和可问责性技术
访问准则
使用角色
使用组
使用物理或逻辑位置
使用时间段或时间隔离
使用事务类型约束
知其所需
个人应当只被允许访问为履行其职责而需要的信息
问题:授权蠕动
默认拒绝
如果咩有显式允许访问,那么就应当是隐式拒绝访问
可问责概述
审计功能确保用户的动作可问责,验证安全策略已实施,并且能够用作调查工具。
通过记录用户、系统和应用程序的活动来跟踪可问责性
审计跟踪还可用于提供有关任何可疑活动的报警,从而方便之后的调查
审计信息的检查
手动或自动方式
保护审计数据和日志信息
击键监控
D5-4-身份管理和相关技术
身份管理概念
使用不同产品对用户进行自动化的身份标识、身份验证和授权
身份管理技术
目录
Web访问管理
密码管理
单点登录
企业身份管理系统组件
Kerberos协议
D5-5-联合身份管理和其他相关技术
访问控制和标记语言
标记语言是构造文本及其查看方式的一种方法,它决定着文本的视图方式和使用方式。
可扩展标记语言(XML)
服务供应标记语言(SPML)
OpenID(开放式认证系统)
是由第三方进行用户身份验证的开放标准
三个角色
终端用户
资源方
OpenID提供者
OAuth(开放授权)
是对第三方的一个开放授权标准(非身份验证)
身份即服务(IDaaS)
是一种软件即服务,通常联合IdM和密码管理服务,并被配置用于提供单点登录(SSO)
D5-6-访问控制模型
访问控制模型是规定主体如何访问客体的一种架构
3种模型
自主访问控制
强制访问控制
角色访问控制
规则型访问控制模型
D5-7-访问控制方法、技术和管理
访问控制技术
限制性接口
访问控制矩阵
功能表
ACL
内容相关访问
上下文相关访问
访问控制管理
集中式访问控制管理
RADIUS
TACACS
Diameter
分散式访问控制管理
D6-8-对访问控制的几种威胁和监控
字典攻击
蛮力攻击
网络钓鱼
入侵检测系统(IDS)
入侵防御系统(IPS)
蜜罐
0 条评论
下一页
