导图社区 CISSP学习笔记-13(管理身份和认证)
- 66
- 1
- 0
- 举报
CISSP学习笔记-13(管理身份和认证)
这是一篇关于CISSP学习笔记-13(管理身份和认证)的思维导图,主要内容包括:复习题,考试要点,知识点。
编辑于2024-03-06 17:44:38- CISSP
- 相似推荐
- 大纲
CISSP学习笔记-13(管理身份和认证)
知识点
控制对资产的访问
控制物理和逻辑访问
CIA三性和访问控制
管理身份标识和认证
身份标识
唯一性
身份认证
同时与身份标识发生,一个流程的的两个步骤
比较主题和客体
主体
客体
身份注册、证明和创建
认知口令
安全问题,如你生日何时
授权和问责
授权
问责
依赖于身份标识和认证,不需要授权
身份认证因素概述
你知道什么
口令
PIN 个人身份识别码
口令策略组件
最长期限
如45天修改
口令复杂程度
口令长度
最短期限,不少于1天
口令历史,防止重复使用口令
权威口令建议
NIST SP 800-63B
哈希:不能以明文形式存储和传输
不应该过期:防止只小部分修改口令
不应使用特殊字符
可以复制和粘贴口令
可以使用所有字符
长度至少8,最多64个字符
筛选口令,防止简单口令
PCI DSS
90天过期一次
至少为7个字符
你拥有什么
智能卡
防篡改
令牌
同步
异步
你是什么
生物特征因素
生物特征因素错误评级
错误拒绝率 FRR I类错误
假阴性,拒绝了正确用户
错误接受率 FAR II类错误
假阳性,允许了错误用户
交叉错误率 CER或者ERR FAR和FRR的交叉点
生物特征注册
吞吐率
越复杂越慢,6s
多因素身份认证 MFA
使用身份认证应用程序进行双因素身份认证
HOTP
使用前一直有效
TOTP
基于时间的一次性口令,有有效期
无口令身份认证
设备身份认证
服务身份认证
双向身份认证
实施身份管理
单点登录 SSO
LDAP与集中式访问控制
安全域
检索服务,通过身份认证
LDAP与PKI
客户端查询CA获取有关证书信息使用LDAP协议
SSO和联合身份标识
基于云的服务使用SSO解决方案,如FIM
多个组织可以组成联盟,共享身份信息,在组织内登录可以访问其他组织资源
基于云的联合
本地联合
混合联合
准时制
自动创建身份给另外一个组织
凭证管理系统
凭证管理器应用程序
脚本访问
会话管理
会话保持
管理身份和访问配置生命周期
配置和入职
取消配置和离职
定义新角色
账户维护
账户访问审查
考试要点
了解物理访问控制如何保护资产。物理访问控制是看得见摸得着的,通过控制访问和控制环境来直接保护系统、设备和设施,还通过限制物理访问来间接地保护信息和应用程序。
了解逻辑访问控制如何保护资产。逻辑访问控制包括身份认证、授权和许可,限制了谁可以访问存储在系统和设备上的信息,还限制了对系统和设备的设置的访问。
了解主体和客体之间的区别。你会发现 CISSP 考题和安全文档通常使用术语 “主体” 和“客体”,因此务必了解两者之间的区别。主体是访问被动对象(如文件)的主动实体(如用户)。用户是在执行某些操作或完成工作任务时访问对象的主体。
了解身份标识和身份认证之间的区别。访问控制依赖于有效的身份标识和身份认证,因此务必了解两者之间的差异。主体声明身份,身份标识可以如用户名那样简单。主体通过提供身份认证凭证(例如与用户名匹配的口令)来证明其身份。
了解身份的创建、注册和证明。新员工通过护照、驾照或出生证明等官方文件明确其身份。然后人力资源同事开始注册过程,包括为新员工创建一个账户。当使用生物特征认证时,注册过程也会收集生物特征数据。身份证明包括基于知识的身份认证和认知口令。认知口令向用户提出一系列仅有用户自己知道的问题。
了解授权和问责之间的区别。对主体进行身份认证后,系统会根据己证实的身份授子主体对客体的访问权限。审计日志和审计踪迹记录事件,包括执行操作的主体身份。问责需要结合有效的身份标识、身份认证和审计。
了解主要身份认证因素的详情。身份认证的三个主要因素是“你知道什么”(如口令或PIN、“你拥有什么”(如智能卡或令牌)以及“你是什么”(基于生物识别)。多因素身份认证包括两个或多个身份认证因素,比使用单个身份认证因素的方法更安全。口令是最弱的身份认证形式,但密码策略通过强制执行口令复杂性和历史记录的要求来帮助提高安全性。智能卡包括微处理器和加密证书,而令牌生成一次性口令。生物识别方法基于指纹等特征来识别用户。交叉错误率(CER)体现了生物识别方法的准确性,是错误拒绝率(FRR)等于错误接受率(FAR)的位置。
了解单点登录。单点登录的机制允许主体在系统上进行单次身份认证并访问多个资源,而不必再次进行身份认证。
描述如何实施联合身份管理系统。FIM 系统可以托管在本地(提供最大的控制),通过第三方云服务实现,也可将两者结合为混合系统。
描述准时制(JIT)供应。1T 配置可以在用户首次登录第三方站点时创建用户账户。JIT减少了管理负担。
了解先证管理系统。凭证管理系统可帮助开发人员轻松存储用户名和口令,并在用户重新访问网站时进行检素。W3C于 2019 年将凭证管理 API作为工作草案发布出来,开发人员通常将其用作凭证管理系统。凭证管理系统允许用户自动登录网站,而不必再次输入凭证。
解释会话管理。会话管理流程通过关闭空闲会话来预防未经授权的访问。开发人员通常使用 web 框架来实现会话管理。这些框架允许开发人员确保会话在空闲一定时间后关闭,例如2分钟后。
了解身份和访问配置生命周期。身份和访问配置生命周期是指账户的创建、管理和刪除。
配罝流程可以确保账户根据任务要求分配适当的权限,并且员工可以获得所需的硬件设备。
人职流程告知员工组织流程。当员工离开时,取消配置流程会禁用或删除账户,离职流程可确保员工归还组织发给他们的所有硬件。
解释角色定义的重要性。当组织创建新的工作角色时,务必确定这些新角色所需的权限。这样做可以确保这些新角色中的员工没有过多的权限。
描述账户访问审查的目的。对用户账户、系统账户和服务账户开展账户访问审查。这些审查确保账户没有过多的权限。账户访问审查通常可以检测账户何时拥有过多的权限,以及何时没有禁用或删除未使用的账户。
复习题
1组织正在创建一个基于云的联合,并使用第三方服务共享联盟身份。创建完成后,人们将使用什么作为登录ID? A. 普通账户 B. 基于云的联合分配的账户 C.混合身份管理 D.单点登录
A
2.下列哪项最能表达资产访问控制的主要目标? A. 保护系统和数据的保密性、完整性和可用性。 B. 确保仅有效主体可以在系统上进行身份认证。 C.防止对客体的未授权访问。 D.确保所有主体都经过身份认证。
A
3.下列哪项对主体的描述是正确的? A.主体水远是用户账户。 B. 主体始终是提供或托管信息或数据的实体。 C 主体始终是从客体获取信息或数据的实体。 D. 实体永远不能在主体和客体之间切换角色。
C
4. 根据美国国家标准与技术研究院(NIST)的建议,普通用户什么时候需要更改口令? A. 每隔 30天 B. 每隔60天 C.每隔90天 D.仅在口令泄露时
D
5.安全管理员了解到用户在轮换使用两个口令。当系统提示用户修改口令时,用户使用第二个口令。当系统提示用户再次修改口令时,用户使用第一个口令。哪些措施可以阻止用户轮换使用两个口令? A. 口令复杂度 B. 口令历史记录 C.口令长度 D.口令有效期
B
6.以下哪项最能说明口令短语的好处? A. 长度短。 B. 容易记忆。 C.包括一组字符。 D.容易破解。
B
7.你的组织向员工发放设备。这些设备每60秒生成一次口令。托管在组织内的服务器随时可以知悉设备的口令。请问这是什么类型的设备? A. 同步令牌 B. 异步令牌 C.智能卡 D.普通门禁卡
A
8.生物识别设备的 CER表示什么? A. 表示灵敏度太高。 B. 表示灵敏度太低。 C.表示错误拒绝率等于错误接受率的点。 D. 当足够高时,表示生物识别设备准确率高。
C
9.Sally 拥有一个用户账户,并且之前曾使用生物识别系统登录。生物识别系统如今无法识别 Sally,导致Sally 无法登录。这个情况说明了什么? A.错误拒绝 B. 错误接受 C.交叉误差 D 等误差
A
10 用户居家访问公司网络时使用用户名登录。 管理层希望为这些用户实施第二种身份认证因素。管理层想要一个安全的解决方案,但也想限制成本。以人下哪项符合这些要求 A. 短信(SMS) B.指纹扫描 C.身份认证器应用程序 D.个人身份识别码(PIN)
C 短信不建议SMS用于多因素身份认证 PIN与密码一样,不是双身份认证
11.以下哪项提供了基于主体物理特征的身份认证? A. 账户ID B. 生物识别 C.令牌 D. PIN
B
12.指纹阅读器將指纹中的细节与数据库中的数据进行匹配。以下哪些选项能准确识别 指纹细节?(请选择三项。) A. 静脉图案 B. 脊 C分叉 D.螺纹
BCD
13.组织想要使用生物识别技术进行身份认证,但管理层不想使用指纹。以下哪一项是管理层不希望使用指纹的最可能原因? A.指纹可以被伪造。 B. 指纹可以被修改。 C.指纹不总是可用。 D.注册时间过长。
A 指纹可以被伪造或复制
14. 以下哪些项目可以确保日志准确性并支持问责制?(请选择两项。) A. 身份标识 B. 授权 C. 审计 D.身份认证
AD 书中原话,记住
15. 管理层希望IT网络可以支持问责制。为满足此项要求,下列哪项是必要的? A 身份标识 B. 完整性 C. 身份认证 D.保密性
C 身份认证对于确保网络支持问责制是必要的。请注意,身份认证表示用户声明了身份(例如使用用户名)并证明了 身份(例如使用口令)。换言之,有效的身份认证包括身份标识。 但是,身份标识不包括身份认证。如果用户可以在不证明其身份的情况下声明身份,则系统不支持问贡制。只要用户经过身份认证,审计道踪(不是作为可能的答案)有助于文持问贡制。 完整性保证未经授权的实体无法修改数据或系统设置。保密性确保未经授权的实体无法访问敏感数据,并且与本题无关。
16. 公司安全策略规定,在离职面谈期间,应该禁用即将离开公司的员工的用户账户。 以下哪项最有可能是实施这项策略的原因? A. 删除账戶。 B.删除分配给账户的特权。 C.预防破坏。 D.给用户数据加密。
C 所有选项中最可能的原因是预防破坏。如果用户的账户保持启用状态,那么用户可以稍后登录并造成损坏。禁用账户不会删除该账户或删除该账户拥有的特权。禁用账户不会加密任何数据,但保留加密密钥,管理员可以使用这些密钥来解密用户加密的任何数据。
17. 当员工离开组织时,管理员可以删除或禁用账户。在以下哪种情况下,管理员最有可能删除账户? A.使用自己账户运行服务的管理员离开组织。 B. 心怀不满的员工使用自己的账户加密文件,并离开组织。 C.员工离开了组织,明天将开始一份新工作。 D.使用共享账户的临时员工将不会返回组织。
C 所有选项中删除账户的最可能原因是员工离开了组织并将在明天开始新工作。其他选项对于刪除账户是不合适的。如果管理员使用自己的账户运行服务,删除其账户的做法将阻止服务运行。应当禁用心怀不满的员工的账户。如果该员工使用其账户加密数据,那么刪除该账户的做法会阻止管理员访问加密数据。应当更改临时 员工使用的共享账户的密码。
18. Karen 正在休产假,将离岗至少 12 周。在Karen 休假期间,我们应该采取以下哪些措施? A. 删除账户 B. 重置账户口令 C. 什么也不做 D.禁用账户
D
19. 安全调查人员发现,在利用数据库服务器后,攻击者获得 sa 账户的口令,然后使用sa 账户来访问网络中的其他服务器。可以采取什么措施来防止这种事件在未来发生? A. 账户取消配置 B. 禁用账户 C.账户访问审查 D.账户撤销
C 账户访问审查可以检测服务账户的安全问题,例如 Microsoft SOL Server 系统中的 sa(系统管理员的缩写)账户。审查可以确保服务账户口令非常强并经常修改。其他选项建议移除、禁用或撤销 sa 账户,但这样做可能影响数据库服务器的运行。账户取消配置可以确保在不需要某个账户时将其删除。禁用账户可确保该账户不可用,而账户撤销会删除该账户
20. Fred 是一名管理员,在组织内工作了十多年。Fred 以前在其他部门工作时维护数据库服务器。Fred 现在在编程部门工作,但仍保留对数据库服务器的权限。Fred 最近修改了数据库服务器上的配置,以便其编写的脚本运行。不幸的是,在数据库管理员发现修改并将其撒销之前,Fred 的修改使数据库服务器被禁用了几个小时。以下哪项可以防止这种中断? A. 强身份认证的安全策略 B. 多因素身份认证 C.日志 D.账户访问审查
D