CISSP备考系列之可问责性与访问控制[10-47]
2010-05-20 21:32
295 查看
【CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)】
访问控制的类型
1,预防性(Preventive)墙,锁,灯光,监视,加密等
2,威慑性/阻止性(Deterrent)墙,锁,防火墙等
3,检测性(Detective)保安,监视,IDS等
4,纠正性(Corrective)IPS,反病毒,终止访问,重启系统等。
5,恢复性(Recovery)备份/还原,容错系统,集群等。
6,补偿性(Compensation)替代品
7,指令性(Directive)保安,策略,通告,标志,意识培训等
8,行政管理性(Administrative)策略,过程,准则,休假等。
9,逻辑性/技术性(Logical/Technical)加密,访问控制,防火墙,IDS等。
10,物理性(Physical)围墙,锁,保安,线缆保护等。
实现问责制的四个步骤:
1,身份标识(Identification)用户名,登录ID,个人身份号码,智能卡等
2,身份验证(Authentication)
几种类型:
* something you know 如密码,PIN,问题的答案等。
* something you have 如智能卡,令牌设备等。
* something you are 如指纹,掌纹等
* something you do 如签名,说话的语调等
* somewhere you are 如地址,电话号码等
* multiple factor authentication 多因子验证的安全性要强于单因子验证
3,授权(Authorization)
4,审计与可问责制(Auditing and Acountable)对于已经通过验证并取得授权的用户,持续地监视和审计以实现可问责。
生物验证技术
* 生物识别技术最重要的技术指标是精确度。
灵敏度太低,则误接受率(False Acceptance Rate=FAR)升高
灵敏度太高,则误拒绝率(False Rejection Rate=FRR)升高
FRR和FAR的等值点被称为CER=Crossover Error Rate。
* 视网膜(Retina)验证技术很不方便,可接受度较差。
支持SSO的三种协议
1,Kerberos
2,KryptoKnight
3,SESAME
访问控制技术
1,自主访问控制(Discretionary Access Control)允许管理员或资源的所有者来控制资源的访问。通常利用ACL来实现。
2,非自主访问控制(Nondiscretionary Access Control)即规则型访问控制,访问控制完全基于规则,而不决定于管理员或客体拥有者的主观意愿。
3,强制访问控制(Mandatory Access Control)基于分类标签,级别控制。
采用"need to know"型的访问控制,某个访问没有明确被许可,就是禁止的。
MAC比DAC更安全,但是灵活性和扩展性不如DAC。
强制访问控制又可分为三种应用环境:层次环境,间隔环境,混合环境
4,角色型访问控制(Role-based Access Control)
5,格型访问控制(Lattice-Based Access Control)相当于密级制度,将主体和客观划分到不同的密级,然后定义每级主体的访问上限(Least Upper Bound)和下限(Greatest Lower Bound)
访问控制管理
1,账户管理
* 创建新账户 严格按照人事部门的通知进行处理
* 账户维护 要根据变化及时更改账户信息
2,监控账户,记录与日志
3,访问权限与特权
* 最小特权原则(Priciple of least privilege)
* 知其所需(Need to know)
* 用户,所有者与管理员(User, Owner,Custodian)
* 任务与职责的分离 相互制约和平衡,确保任何一个主体都不能执行明显的恶意活动。
入侵检测系统IDS
入侵检测可以通过监视网络流量,进程活动,系统日志等信息来发现攻击行为,是对防火墙组件很好的补充。
1,响应方式
* 主动式 IPS系统。
* 被动式 日志,告警,通知。
* 混合式 结合上述两种方式
2,主机IDS与网络IDS
* 主机
缺点:占资源,管理成本高,检测网络攻击不全面,易受破坏
优点:可以更好地洞察主机内部的变化,发现进程的异常活动,系统的异常变化。
* 网络
缺点:不了解主机层面的变化,流量太大时处理能力不足。
优点:易管理,可靠性高,隐蔽性强,不影响系统性能。
3,知识型与行为分析型
* 知识型(Knowledge-Based)也称为基于签名(Signature-Based)或模式匹配(Pattern-Matching)通过比对特征库来发现攻击行为。这种方式的缺点是只对己知的攻击有效。
* 行为型(Behavior-Based)也称为统计型(Statistical-Based)或异常检测(Anomaly Detection)或启发型(Heuristics-Based)它是一个专家系统,通过监视和学习来找出系统中的正常活动情况,进而发现异常行为和恶意活动。缺点是会存在一定的误报。
【本单元结束】
访问控制的类型
1,预防性(Preventive)墙,锁,灯光,监视,加密等
2,威慑性/阻止性(Deterrent)墙,锁,防火墙等
3,检测性(Detective)保安,监视,IDS等
4,纠正性(Corrective)IPS,反病毒,终止访问,重启系统等。
5,恢复性(Recovery)备份/还原,容错系统,集群等。
6,补偿性(Compensation)替代品
7,指令性(Directive)保安,策略,通告,标志,意识培训等
8,行政管理性(Administrative)策略,过程,准则,休假等。
9,逻辑性/技术性(Logical/Technical)加密,访问控制,防火墙,IDS等。
10,物理性(Physical)围墙,锁,保安,线缆保护等。
实现问责制的四个步骤:
1,身份标识(Identification)用户名,登录ID,个人身份号码,智能卡等
2,身份验证(Authentication)
几种类型:
* something you know 如密码,PIN,问题的答案等。
* something you have 如智能卡,令牌设备等。
* something you are 如指纹,掌纹等
* something you do 如签名,说话的语调等
* somewhere you are 如地址,电话号码等
* multiple factor authentication 多因子验证的安全性要强于单因子验证
3,授权(Authorization)
4,审计与可问责制(Auditing and Acountable)对于已经通过验证并取得授权的用户,持续地监视和审计以实现可问责。
生物验证技术
* 生物识别技术最重要的技术指标是精确度。
灵敏度太低,则误接受率(False Acceptance Rate=FAR)升高
灵敏度太高,则误拒绝率(False Rejection Rate=FRR)升高
FRR和FAR的等值点被称为CER=Crossover Error Rate。
* 视网膜(Retina)验证技术很不方便,可接受度较差。
支持SSO的三种协议
1,Kerberos
2,KryptoKnight
3,SESAME
访问控制技术
1,自主访问控制(Discretionary Access Control)允许管理员或资源的所有者来控制资源的访问。通常利用ACL来实现。
2,非自主访问控制(Nondiscretionary Access Control)即规则型访问控制,访问控制完全基于规则,而不决定于管理员或客体拥有者的主观意愿。
3,强制访问控制(Mandatory Access Control)基于分类标签,级别控制。
采用"need to know"型的访问控制,某个访问没有明确被许可,就是禁止的。
MAC比DAC更安全,但是灵活性和扩展性不如DAC。
强制访问控制又可分为三种应用环境:层次环境,间隔环境,混合环境
4,角色型访问控制(Role-based Access Control)
5,格型访问控制(Lattice-Based Access Control)相当于密级制度,将主体和客观划分到不同的密级,然后定义每级主体的访问上限(Least Upper Bound)和下限(Greatest Lower Bound)
访问控制管理
1,账户管理
* 创建新账户 严格按照人事部门的通知进行处理
* 账户维护 要根据变化及时更改账户信息
2,监控账户,记录与日志
3,访问权限与特权
* 最小特权原则(Priciple of least privilege)
* 知其所需(Need to know)
* 用户,所有者与管理员(User, Owner,Custodian)
* 任务与职责的分离 相互制约和平衡,确保任何一个主体都不能执行明显的恶意活动。
入侵检测系统IDS
入侵检测可以通过监视网络流量,进程活动,系统日志等信息来发现攻击行为,是对防火墙组件很好的补充。
1,响应方式
* 主动式 IPS系统。
* 被动式 日志,告警,通知。
* 混合式 结合上述两种方式
2,主机IDS与网络IDS
* 主机
缺点:占资源,管理成本高,检测网络攻击不全面,易受破坏
优点:可以更好地洞察主机内部的变化,发现进程的异常活动,系统的异常变化。
* 网络
缺点:不了解主机层面的变化,流量太大时处理能力不足。
优点:易管理,可靠性高,隐蔽性强,不影响系统性能。
3,知识型与行为分析型
* 知识型(Knowledge-Based)也称为基于签名(Signature-Based)或模式匹配(Pattern-Matching)通过比对特征库来发现攻击行为。这种方式的缺点是只对己知的攻击有效。
* 行为型(Behavior-Based)也称为统计型(Statistical-Based)或异常检测(Anomaly Detection)或启发型(Heuristics-Based)它是一个专家系统,通过监视和学习来找出系统中的正常活动情况,进而发现异常行为和恶意活动。缺点是会存在一定的误报。
【本单元结束】
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- CISSP备考系列之业务连续性计划[10-33]
- CISSP备考系列之行政性管理[10-37]
- CISSP备考系列之密码术与私钥算法[10-40]
- CISSP备考系列之资产价值,策略与角色[10-44]
- CISSP备考系列之安全模型的原则[10-38]
- CISSP备考系列之计算机设计原则[10-39]
- CISSP备考系列之PKI与密码术应用[10-41]
- CISSP备考系列之事故与道德规范[10-32]
- CISSP备考系列之物理安全[10-29]
- CISSP备考系列之灾难恢复计划[10-34]
- CISSP备考系列之法律与调查[10-30]
- C++基础系列:访问控制与继承
- javaSE_8系列博客——Java语言的特性(三)--类和对象(12)--类成员的访问控制
- 百晓生带你玩转linux系统服务搭建系列----SSH远程访问及控制
- CISSP的成长之路(十六):复习访问控制(1)
- mongodb系列-访问控制
- sun认证备考学习笔记系列--声明和访问控制(2)
- Web 软件测试 Checklist 应用系列,第 5 部分: 用户可用性和访问控制
- CISSP的成长之路(十六):复习访问控制(1)