J0ker的CISSP之路：复习-Access Control（1） 推荐

本文同时发表在：http://netsecurity.51cto.com/art/200712/62415.htm

在《J0ker的CISSP之路》的上一篇文章《系统架构和设计-安全标准》里，J0ker给大家介绍了CISSP知识体系中的第二个CBK系统——安全架构和设计。接下来的8个CBK里，我们将进入CISSP知识体系中更为具体的部分，它们也都更多的从技术层面来讲述如何使用各种安全方法和安全技术来实现信息安全目标——保密性、完整性和可用性。
访问控制（Access Control）是CISSP知识体系中的第三个CBK，它的内容包括如何使用多种系统提供的安全功能来控制对组织的信息和数据处理资源的访问，这些访问控制措施通过管理、物理和逻辑控制的手段，我们可以从第一个CBK——信息安全管理里面中了解到它们的实施原则， 我们来逐一了解下这三类手段的定义：
物理手段（Physical Control）：是历史最悠久的访问控制手段，从许多个世纪前开始，人类就开始使用城墙、门锁等方式来限制其他人对自己财产的占有。另外一种古老的物理访问方法就是“口令”方式，要进入某个区域，进入者必须向哨兵提供一个口令，只有提供了正确的口令的人才能进入指定的区域。这些古老的物理访问控制方法经过发展仍然在我们现在的生活中发挥重要的左右，它们的基本原理依然没有改变，不同的也就是更多使用现代技术来实现。尽管访问控制这个CBK中提到的许多技术是用在物理访问控制方面的，但访问控制CBK的主要目的并非是物理访问控制，而是如何控制对信息系统的访问。关于物理安全的更多内容会在后面的一个CBK——物理安全中详细讲述。
逻辑手段（Logical Control）：主要指的是在信息系统中部署的各种访问控制手段，其中我们日常生活中最常见到的就是“密码”这种方法，密码因为它的低成本易部署而成为绝大部分操作系统中的标准配置，但它的安全性并不高，也容易被恶意的攻击者所获得。在访问控制后面的内容里，我们还会了解到如何克服“密码”的弱点和更安全的逻辑访问控制方法。

管理手段（Administrative Control）：是指通过特定的规章制度或工作流程来限制对业务资源和特定的工作目标进行限制的访问控制方法。和物理/逻辑访问控制方法针对的对象是资源为主不同的是，管理手段主要针对的是一个业务流程，主要的原则是防止单个人员能够独自的控制特定的业务流程，以防止欺诈等犯罪行为的出现。常见的管理访问控制方法有职责分离（Separation of Duties）、职责轮换（Rotation of Duties）和最低权限（Least Privilege）。
职责分离，就是指在完成一个关键的业务流程的时候，必须要根据业务的阶段分割，来安排不同的人员合作完成。比如在一个企业里面，如果一个职员能够负责设备的报废上报、审批和入库过程，他就有可能利用这个权利，将还没有符合报废标准的设备当作报废设备进行替换，然后再通过对仓库的控制权将其出售，在国外发生过类似的案件。因此，为了防止单个人员控制某个关键业务的整个流程，企业的管理层应该根据某个业务流程的阶段，安排不同的人员负责，进行互相监督，尽管这样有可能会导致合谋犯罪的发生，但这样进行权限分离后的风险仍然要比单个人员控制整个流程要安全得多。在CISSP的考试中常常会出考察权限分离的情景题，回答这类题的关键就是要根据防止个人独自控制整个业务的原则来进行答案的筛选。
职责轮换，对于重要业务流程的某个职务或不太重要的业务流程，尽管进行了职责分离但仍然会有欺诈行为的风险，职责轮换便作为职责分离的补充被提出。在企业中常见的职责轮换的形式一般如下，管理层给重要岗位的员工安排假期，并在该员工休假期间进行目标岗位的工作审计。因为职责轮换一般都涉及到放假，所以职责轮换也通常成为强制放假。职责轮换除了可以进一步的防止重要岗位的欺诈之外，另外也可以让人员熟悉本来不属于他负责的其他工作，为业务流程的岗位安排带来人员备份和协调工作能力提升的好处。
最低权限，就是管理层只给用户分配满足他的日常工作所需的权限，比如财务部门的用户不允许访问审计部门的数据和资源、销售部门的用户不能访问产品定价等。在军事领域里面也有一个类似的“Need to know” 的原则，这就是最低权限原则的一个特例。最低权限原则还在系统架构设计、操作安全、网络安全等领域有所要求，属于CISSP知识体系中较为重要的概念，在复习时可以适当关注一下。

以上介绍到的都是属于访问控制CBK中最关键的概念，CISSP考试时对这几个概念的考察也是比较多的，在复习时可以充分结合工作经验或常见案例，掌握这几个概念。

下篇预告：《Access Control2》，J0ker将给大家介绍访问控制所面临的威胁和对应措施，敬请期待！