导图社区 CISSP-5-访问控制
CISSP-信息系统安全专业认证思维导图,主要内容有访问控制步骤、访问控制应用、访问控制标记语言、访问控制模型(授权)、访问控制的方法、访问控制管理方式、访问控制管理。
CISSP-信息系统安全专业认证之安全运营思维导图,包括:基本概念、安全运营的基本概念、变更管理、配置管理、补丁和漏洞管理、事件管理。
CISSP-信息系统安全专业认证之应用安全开发思维导图,主要包括应用开发学习目标、系统开发安全、软件开发模型、编程的语言和概念、典型的应用系统、评估软件安全的有效性。
CISSP-信息系统安全专业认证之安全评估和测试思维导图,主要内容有基本概念、评估与测试策略、收集安全流程数据、内部和第三方审计、审计管理控制。
社区模板帮助中心,点此进入>>
论语孔子简单思维导图
《傅雷家书》思维导图
《童年》读书笔记
《茶馆》思维导图
《朝花夕拾》篇目思维导图
《昆虫记》思维导图
《安徒生童话》思维导图
《鲁滨逊漂流记》读书笔记
《这样读书就够了》读书笔记
妈妈必读:一张0-1岁孩子认知发展的精确时间表
访问控制
概念
目标:防范未授权的访问
非法用户对系统资源的使用
合法用户对系统资源的非法使用
概念:访问控制是一种安全手段 控制用户和系统如何与其他系统和资源进行通信和交互
作用
保护机密性、完整性、可用性
机密性(Confidentiality)
防止敏感信息泄漏
完整性(Integrality)
非法篡改
未授权修改
内外信息一致性
可用性(Availability)
可靠及时访问资源
访问控制步骤
标识(Identification ): 提供标识信息的主体
宣称用户身份
要素
唯一性:在一个控制环境独一无二,便于稽核
非描述性:身份标识不应暴漏用户身份或职务
特点:
访问控制第一步
唯一身份标识
可追溯性的前提
鉴别/身份验证(Authentication) 核实标识信息
验证用户身份标识信息
知道什么? (能记住的)
密码(口令) (password)
静态的,固定长度的
密码短语 (Passphrase)
虚密码,通常比密码更长
认知密码 (cognitive password)
基于个人事实或判断的信息
示例:
信用卡还款日期等信息
毕业学校或母亲姓氏
可以有多个认知信息组合
拥有什么?
存储卡
存储信息,但不能处理
智能卡
包含微处理器和集成电路,具备信息处理能力
分类:
接触式
表面具有金色封印
需要提供电源和数据I/O
非接触式
四周饶有天线
通过进入读卡器的电磁场提供电源
智能卡攻击
旁路攻击:非入侵式攻击,并且用于在不利用任何形式的缺陷或弱点的情况下找出与组建运作方式相关的敏感信息
智能卡具有更强的防窜改性
一次性密码(OTP) (One-Time Password)
也称为动态密码 (dynamic password), 用于身份验证,只能使用一次
防止重放攻击
实现:令牌
同步模式
计数器同步: 用户按下令牌设备的按钮来启动一次性密码创建
时间同步: 令牌和服务器必须具有相同时钟
异步模式
挑战/应答机制
优缺点:
一旦用户ID和令牌设备被共享或窃取,则会被冒用。
优点是不用记密码
示例:令牌设备
短信验证码
是什么, 做了什么?
生理特征
面部扫描
扫描脸部的属性和特征, 包括骨骼、额头等信息
算法:区域特征分析算法
特点
精确度低!,速度快
误识率、拒认率较高!
手型外形
人手的形状的几何特征,手指以及整个手型信息
包括:手掌和手指的长度、宽度和外形
手部拓扑
检查沿着整个手型及其弯曲部分的不同起伏形状。
缺点:手型拓扑需要和手部外形组合使用
手掌扫描
手掌具有沟槽、脊状突起和折缝,唯一特征
包括:每个手指的指纹
指纹 (fingerprints)
指纹由一些曲线和分叉以及一些非常微小的特征构成
声音辨识
语音模式之间的差别
登记时要求说不同的单词,测试时需要将单词混杂要求复述
视网膜扫描
扫描眼球后方视网膜上的血管图案
虹膜扫描
虹膜是眼睛中位于瞳孔周围的一圈彩色部分,
虹膜具有独特的图案、分叉、颜色、换装、光环以及皱纹
特点:虹膜识别是最精确的
行为特征 (Behavioral traits)
签名分析
签名的速度和方式,签名者握笔的方式。
签名引起的物理移动会产生电信号,可以被当作生物测定
击键动作
动态击键获取输入具体短语时所产生的电信号,
捕获动作的速度和运动。
强验证 (strong authentication)
双因素 (三种类型中包含两种)
三因素 (三种类型都包含)
三种鉴别方法的优缺点
知道什么:比较经济,但是容易被冒用
拥有什么:用于访问设施或敏感区域,物品容易丢失
是什么,做了什么:基于物理特征和生物鉴定学,不易被冒用
1类错误(FRR):错误拒绝率,拒绝已获授权的个人(假阳性)
2类错误 (FAR) :接受本应被拒绝的冒名顶替者(假阴性)
交叉错误率:错误拒绝率和错误接受率的等值点
授权(Authorization) 确定主体对可客体执行的操作
确定主体对客体执行的操作
访问准则
基于角色
基于组
基于物理位置或逻辑位置
基于时间段或时间间隔
基于事务类型
默认拒绝访问
知其所需
最小特权原则
稽核或审计(accountability 可问责) 追踪用户活动的审计日志和监控
可追溯性/责任 (可问责)
审计
安全审计
审计范围:系统级事件、应用程序级事件、用户级事件
审计内容:时间、地点、任务、发生什么
日志存储期限和大小
审计日志保护 (日志的完整性)
日志服务器
一次性写入介质
日志的使用
手动检查
自动检查
日志的管理
击键监控
目的:审计某个人和他的活动
访问控制应用
身份管理 (identity management)
目录

遵循层次化的数据结构格式,基于X.500标准和协议(如LDAP)(LDAP 轻量目录访问协议)
目录服务(DS)
允许管理员配置和管理在网络中出现的身份 标识、身份验证、授权和访问控制
元目录
一次只与一个目录连接
元目录包含身份数据
虚拟目录
与多个数据源连接
指向驻留实际数据的位置
身份存储库
身份管理目录中大量信息存储遍布整个企业
web访问管理
提供单点登录等功能的前端控制软件
HTTP是无状态的
cookie和session来维护应用的状态
密码管理 (password managerment)
密码同步
只维护一个密码,可以加强密码的强度
弱点:单点故障,如果获取密码可以访问所有资源
自助式密码重设
通过回答注册的问题,发送重置链接
辅助式密码重设
通过服务台进行身份验证后重置密码
单点登录 SSO
身份集中存储
一次验证多资源访问
SSO 实例
Kerberos
身份认证协议
基于对称密码技术
分布式环境单点登录的一个示例
提供端到端的安全
提供完整性和机密性,不保证可用性
主要组件:
密钥分发中心KDC
身份认证服务 (Authentication Service,AS)
票证授予服务 (Ticket Granting Service,TGS)
秘密密钥:在KDC与委托人之间进行共享 (KDC上存储了密钥)
会话密钥:在两个委托人之间进行秘密共享,会话结束销毁
弱点:
KDC是一个单点故障
秘密密钥临时存储在用户工作站上
会话密钥驻留在用户工作站上
SESAME
使用对称和非对称密码技术
特权属性服务器(PAS) (Privileged Attribute Server)
特权属性证书(PAC),具有数字签名。
PAC包括:主体的身份,对客体的访问能力、 访问时间段以及PAC生命周期
扮演与KDC类似角色
身份验证服务器(AS) Authentication Server
KryptoKnight
ticket-based
two-part authentication
不需要时钟同步,使用Nonce(一次性随机数)
SAML
基于Web的单点登录
是联合身份管理的标准
安全域
在共享统一的安全策略和管理的领域之间建立信任关系
IDP
SA 安全断言
账户管理
集中化账户管理,同步身份目录
流程化的身份管理审批创建过程
联合身份
多个单位共享用户信息
身份即服务 IDaaS /SaaS+IAM
基于云端的身份代理和访问管理服务 Cloud-IAM
身份管理、访问控制、智能分析
可实现单点登录、联合身份、细粒度控制、服务集成等
访问控制标记语言
GML
SGML
HTML
超文本标记语言 (Hypertext Markup Language)
标准通用标记语言 (Standard Generalized Markup Language)
XML
SPML
服务配置标记语言(provisioning 开通)
SAML(实现基于Web的 SSO) (Security Assertion 安全断言)
一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据
IDP(Identity Provider)
如果第三方(IDP)出了问题则所有用户都会受影响
XACML
通过Web服务和其他应用程序, 来实现用安全策略及访问权限来实现对资产管控
OpenID
OpenID是由第三方进行用户身份验证的开放标准
OAuth
一个开放的标准 (Open Authorization)
OAuth 2.0 使用访问令牌
访问控制模型 (授权)
自主访问控制模型 (DAC)
基于用户授权的
依靠对象所有者自主决定
类型
基于用户和资源标识
直接面向用户进行限制
缺点:
不安全
面临问题
木马
社会工程
强制访问控制模型 (MAC)
MAC依赖于安全标签
制定客体敏感标签 (客体有分级 classification), 同时只允许高于客体级别的用访问 (主体有许可 clearance) (固有属性)
只有管理员可以更改客体级别,而不是客体属主(data owner)
安全级别较高场合:军队/政府机构
基于角色访问控制模型 (RBAC) (又被称为: 非自主访问控制Non-DAC)
使用集中访问控制决定主客体的访问
建立在用户角色的基础上
基于工作职责的权限分配
可以和组织结构关联
能够遵循最小特权原则
职责分离
用户或组对应角色,赋予角色某些权限
类别
核心RBAC
用户、角色、权限、操作和会话 应根据策略进行定义和对应
层次化RBAC
角色关系定义了用户成员和权限集成
反应组织机构和功能描述
有限层次
单角色继承
普通层次
多角色继承
受限RBAC
引入职责分离
RBAC中的静态职责分离
示例:会计和出纳
防止欺诈
RBAC中的动态职责分离
根据激活的会话中的角色, 动态限制另外的职责分离的权限
基于规则的访问控制 (RuBAC)
基于 if x then y
使用特定的规则来指示主体和对象之间能发生什么以及不能发生什么。
基于规则的访问控制不一定是基于身份的
许多路由器和防火墙使用规则来确定哪些类型的数据包被允许进入网络并被拒绝
(ABAC)基于属性的访问控制
新型的访问控制,解决RBAC的不足,每个资源和用户都赋予一系列属性,基于对用户属性的比较评估,比如时间、职务和位置,来确定该用户是否能访问某个资源。RBAC属于ABAC的特例。
访问控制的方法
访问控制矩阵 (Access Control Matrix)
主体与客体访问关系的矩阵表
访问能力表 (矩阵中的行)
规定主体能够访问的客体
采用票证、令牌或密钥形式
示例:keberos的票证
访问控制列表(ACL) (矩阵中的列)
规定能够对其进行访问的主体
权限表
示例:防火墙、路由器的配置
基于内容访问控制 (content-dependent)
对客体的访问取决于客体内容
示例:基于内容的过滤规则 包过滤防火墙
基于上下文相关访问控制 (context-dependent)
基于上下文做出的访问决策
示例:状态检测防火墙
限制性用户接口
包括:
菜单
外壳(shell)
数据库视图 (create view)
物理限制接口
访问控制管理方式
身份验证协议
密码身份认证协议,PAP (Password Authentication Protocol)
挑战握手身份验证协议,CHAP (Challenge Handshake Authentication Protocol)
可扩展身份验证协议,EAP (Extensible Authentication Protocol)
集中式访问控制管理 (Centralized access control administration)
RADIUS
组合身份验证和授权
使用UDP
仅加密在RADIUS客户端和RADIUS服务器之间传送的密码
TACACS+
使用TCP
支持动态密码
使用AAA体系结构, 分离身份验证、授权和审计
加密客户端和服务器之间的所有流量
Diameter
基本协议
扩展协议
构建在基本协议基础上, 能够扩展多种服务,如VoIP等
分散式访问控制管理
一种方法控制对接近资源的人的访问,以便更好地理解谁应该不应该访问某些文件、数据和资源。
对比:
集中式访问控制存在单点故障,统一访问高效
分散式访问控制:根据用户授权,不存在单点,缺乏一致性
访问控制管理
管理控制
策略和措施
人员控制
监管结构
安全意识和培训
测试
物理控制
网络分段
周界安全
计算机控制
区域隔离
布线
控制区
技术控制
系统访问
网络体系结构
网络访问
加密和协议
问责
审计功能保证用户对自己的行为负责,确保安全策略的强制执行的安全,并可作为调查工具
访问控制监控
入侵检测系统,IDS ( Intrusion Detection System)
组成:
传感器
分析器
管理员界面
网络型IDS (NIDS)
监控网络通信
主机型IDS (HIDS)
分析特定计算机系统内的活动
特征性IDS (漏报)
效率取决与特征库的更新
知识型或特征型IDS
基于已有的特定攻击特征库或知识库, 进行模式匹配
状态型IDS
留意入侵前和入侵过程之间的 活动状态,与预设定规则进行匹配
异常型IDS (行为/启发型) (误报)
统计异常型IDS
缺点:误报
优点:能够发现0day攻击或“少量且缓慢”攻击
IDS在学习模式时一定不能出现攻击, 否则不能检测攻击行为
协议本身存在缺陷
流量异常型IDS
构建正常流量基线
规则性IDS
基于专家系统,基于if x the y的规则
入侵防御系统,IPS (Intrusion Prevention System)
IDS被动检测
主动防御
蜜罐(检测性控制) (合法的)
蜜罐是诱骗(enticement)
是合法的
陷阱(entrapment)不是蜜罐
非法,不能作为证据
面临的威胁
针对口令攻击手段
电子监控
通过监听流量,捕获密码信息,进行重放攻击
访问密码文件
访问服务器上的密码文件
蛮力攻击 (暴力破解)
使用所有可能的字符、数字和符合来循环猜解密码
字典攻击
构造字典文件与用户的密码进行比较
通过打电话重置密码或通过骗取密码
彩虹表
包括所有的散列格式的密码
键盘记录
密码安全建议
密码检查器
测试密码强度的工具
密码散列与加密
密码生命周期
规定密码更改周期
记住历史的密码个数
限制登录次数
智能卡面临攻击
旁路攻击
差分功率分析 (differential power analysis)
查看处理过程排放的功率量
电磁分析 (electromagnetic analysis)
查看发射频率
时序分析 (Timing analysis)
计算某以特定功能所需的时间
软件攻击
在智能卡中输入提取用户指令的信息
故障生成 (fault generation)
通过一些环境组件来引起错误
包括:温度波动、改变输入电压、时钟频率
直接攻击
微区探查 (microprobing)
使用针头和超生震动去除智能卡点路上的外部保护材料, 直接连接智能卡ROM芯片来访问和操作其中的数据
信息泄露
第1章:社会工程
第3章:隐蔽通道
第8章:恶意代码
客体重用
对象分配前未清除内存位置、变量 和寄存器
对象分配前未清除文件、数据表
辐射安全
法拉第笼的金属外壳, 确保电子设备发射信号在一定范围内
白噪声
均匀频谱的随机电子信号 无法从电磁波中获取信息
设备表面使用特殊材料屏蔽电子信号
需要创建一个安全周界
授权过程问题
授权蔓延 (creep)
因工作或部门调动而获取越来越多的权限
登陆欺骗
网络钓鱼 phishing
社会工程学一种攻击手段
创建于合法站点类似的web站点
网址嫁接 pharming
DNS中毒
重定向到非法网址IP地址或网址
身份盗窃
