资产可以是有形的或无形的。有形资产是指你可以触摸的东西，如物理设备

而无形资产是指信息和数据，例如知识产权。除了人员之外，资产还可以是信息、系统、设备、设施或应用程序。

信息： 组织的信息包括其所有数据。

系统： 组织的系统包括提供一个或多个服务的任何 IT 系统

设备： 设备是指任何计算系统，包括服务器、台式计算机、便携式笔记本电脑、平板电 脑、智能手机和外部设备（如打印机）

设施： 组织的设施包括其拥有或租赁的任何物理场所

应用程序 应用程序往往提供组织的数据访问

物理安全控制是你可以触摸的，如围栏、大门、 警卫和旋转门等边界安全控制，以及供暖、通风和空调(HVAC)系统和灭火等环境控制。

物理安全控制通过控制访问和环境来保护系统、设备和设施

服务器存储重要信息（数据），而许多服务器也可托管组织员工访间的应用程序

逻辑访问控制是一种技术控制，用于保护对信息、系统、设备和应用程序的访问。逻辑访问控制包括身份认证、授权和权限。将这些逻辑访问控制结合起来，有助于预防对系统及其他设备上的数据和配置的未经授权的访问

组织实施访问控制机制的主要原因之一是预防损失。 IT 损失分为三类：保密性(confidentiality) 、完整性(integrity)和可用性(availability) 的损失，即 CIA 损失

访问控制对 CIA 三性定义

主体（subject）: 主体是一种活动实体，访问被动客体以从客体接收信息或数据。

客体(object) :客体是一个被动实体，可以向活动主体提供信息。

主体和客体的角色可以来回切换

可接受的身份证明文件包括护照、驾照、出生证明等实物文件

在线组织通常使用基于知识的身份认证(KBA)来验证新人（如新客户）的身份

创建一个在线储蓄账户,银行可能询问的问题

已注册用户尝试更改口令时

随后，系统使用这些问题进行身份认证。如果用户正确回答了所有问题，则系统对用户完成了身份认证

访问控制系统中的两个附加安全要素是授权(authorization)和问责(accountability) 。

授权 ：基于已验证的身份授予主体对客体的访问权限。例如，管理员根据用户经过验证的身份授予用户对文件的访问权限

问责： 在实施审计时，用户和其他主体可以对其行为负责。审计在主体访问客体时追踪主体和记录，并在一个或多个审计日志中创建审计轨迹，审计提供问责机制

类型1--你知道什么：该身份认证因素包括已记住的秘密，例如口令、个人身份识别码(PIN)或口 令短语。早期的文档将此称为类型 l 身份认证因素

类型2--你拥有什么：该身份认证因素包括用户拥有并可以帮助其提供身份认证的物理设备，例如智能卡、硬件令牌、存储卡或通用串行总线(USB)驱动器。早期的文档将此称为类型 II 身份认证因素

类型3--你是什么：该身份认证因素利用人的身体特征并基于生物识别技术。“你是什么＂类别 的示例包括指纹、面部扫描、视网膜、虹膜和手掌扫描。早期的文档将此称为类型 III 身份认证因素

你在什么地方：该身份认证因素基于具体计算机来识别主体所在的位置，主要通过 IP地址或者来电显示来识别地理位置

上下文感知身份认证：许多移动设备管理(MDM)系统使用上下文感知身份认证来识别移动设备用户。上下文感知身份认证可以识别多个属性，如用户位置、时段、移动设备等

你做什么:允许用户滑动屏幕网格上的点来解锁。这些身份认证方法有时被称为“你做什么“

口令是用户输入的一串字符串，是最常见的身份认证技术

静态口令是最弱的身份认证形式

口令脆弱的原因

口令短语(passphrase)：是一种增强口令的方法。口令短语是一串字符，类似于口令，但对用户具有独特的含义。例如，口令可以是 “I passed the CISSP exam”。

个人身份识别码(PIN)：也属于“你知道什么“类别。 PIN 通常包含 4 个、 6 个或 8 个数字。

1. 口令策略组件

2. 权威口令建议

智能卡和硬件令牌都是类型 2 身份认证因素示例，或者“你拥有什么＂的身份认证因素。手机验证码

1. 智能卡

2. 令牌

生物特征因素屈于类型 3 身份认证因素

若将生物特征用作身份认证技术，则需要将主体提供的生物特征模式与声明主体身份的存储模式进行一对一匹配。

生理生物识别方法包括指纹、面部扫描、视网膜扫描、虹膜扫描、手掌扫描（也称为手掌 地形或手掌地理）和声纹识别

生物识别技术

1. 生物特征因素错误评级

2. 生物特征注册

多因素身份认证(Multi-Factor Authentication，MFA)：是使用两个或更多因素的身份认证

双因素身份认证(2-Factor Authentication，2FA)： 需要两种不同的认证因素来实施身份认证

当采用两种或多种不同的身份认证因素

智能手机和平板电脑支持身份认证器应用程序，例如 Microsoft Authenticator 或 Google Authenticator

这些应用程序提供了一种无需硬件令牌即可实现双因素身份认证(2FA) 的简单方法

HOTP 基于哈希的消息身份认证码(HMAC)：包含一个哈希函数，该函数被基于 HMAC的一次性口令(HOTP)标准用来创建一次性口令。 HOTP 通常生成六至八位数的 HOTP 值。

基于时间的一次性口令(Time-based One-time Password，TOTP)：标准类似于 HOTP。但是， TOTP 使用时间戳并在特定时间范围内保持有效，如 30 秒。如果用户未在时间范围内使用 TOTP 口令，则该口令将过期

许多在线网站使用的另一种流行的双因素身份认证(2FA)方法是电子邮件挑战。

另一种双因素身份认证方法使用短信服务(SMS)向用户发送带有－PIN 码的短信（短信验证码）

无口令身份认证允许用户在不输入口令（或其他记忆的秘密）的情况下登录系统。

例如：许多智能手机和平板电脑都支持生物特征认证。

线上快速身份认证(FIDO)联盟是一个开放的行业协会，其使命是减少人们对口令的过度依赖，FIDO发现的问题

现在，越来越多的员工带着自己的移动设备来工作并将其连接到公司网络。

一种方法是设备指纹识别

许多 MDM 系统使用上下文感知身份认证方法来识别设备。

802.lX 是另一种实现设备身份认证的方法。802.lX 可以在某些路由器和交换机上应用于基于端口的身份认证

此外， 802.lX 通常与无线系统一起使用，强制用户在获得网络访问权限之前使用账户登录

许多服务也需要身份认证，通常使用账户名和口令

某些应用程序拥有内置的服务账户。例如，微软 SQLServer 有一个内置账户，名为 sa(系统管理员的缩写）账户。 sa 拥有 sysadmin 服务器角色，并且对 SQL 实例具有不受限制的权限

很多场景需要双向身份认证。例如，当客户端访问服务器时，客户端和服务器都需要提供身份认证，这样可以防止客户端向伪造服务器泄露信息

双向身份认证方法通常使用数字证书。

例如，当居家工作时连接到公司网络，员工通常连接到虚拟专用网络(VPN)服务器。服务器和客户端都向对方提供数字证书，以实现双向身份认证

集中式

分散式/分布式

单点登录(Single Sign On，SSO)：是一种集中式访问控制技术，允许主体在系统上进行单次身份认证并访问多个资源，而不必再次进行身份认证

SSO 的主要缺点是，攻击者一旦侵入账户，就可以获得对所有授权资源的无限制访问权 限。但大多数 SSO 系统都拥有保护用户凭证的方法

几种常见的SSO机制

SSO 在内部网络上非常常见，并且在互联网上应用于第三方服务。许多基于云的应用程序使用 SSO 解决方案，让用户能更方便地通过互联网访问资源

身份管理：是对用户身份及其凭证的管理。联合身份是指将一个系统中的用户身份与多个 身份管理系统关联起来

1 ．基于云的联合

2. 本地联合

3. 混合联合

4. 准时制

凭证管理系统为用户名和密码提供存储空间。例如，许多网络浏览器可以记录用户访问站点的用户名和口令。

Web 浏览器已采用该API 进行凭证管理

例如，如果你有 Google 或 Facebook 账户，那么可以使用其中一个账户登录Zoom

身份即服务或身份和访问即服务(IDaaS)：是提供身份和访问管理的第三方服务。 IDaaS 有效地为云平台提供 sso, 并且在内部客户端访问基于云的软件即服务(SaaS)应用程序时特别有用

又如， Office 365 将已安装应用程序和 SaaS 应用程序组合起来，为用户提供 Office 应用程序

Windows 的控制面板中包含凭证管理器(Credential Manager)小程序

当用户在浏览器或Windows 应用程序中输入凭证时，凭证管理器会询问是否保存凭证

我们也可使用第三方凭证管理系统。例如， KeePass 是一个免费软件工具，可以存储凭证

凭证存储在加密数据库中，用户可以使用主口令解锁数据库。解锁数据库后，用户可以 轻松复制口令，并将其粘贴到网站表单中

我们需要使用强效的主口令来保护所有其他凭证，这一点非常重要。

在登录会话开始时，脚本访问或登录脚本可以提供自动传输登录凭证，以建立通信链接。

脚本可以在未真正实现 SSO 技术的环境中模拟实现 SSO。因为脚本和批处理文件通常包含明文形式的访问凭证，所以它们应该存储在受保护的区域。

无论使用哪种类型的身份认证系统，都应使用会话管理方法防止未经授权的访问，这点 非常重要

台式计算机和笔记本电脑内置屏幕保护程序

屏幕保护程序可以配置时间范围（以分钟为单位）。时间范围通常设定在 10 到 20 分钟之间

安全的在线会话通常也会在一段时间后断开。例如，如果你与银行建立安全会话，但超过 10 分钟未与会话交互，应用程序通常会将你注销。

员工长时间请假，生病时，需要禁用账户

入职流程包括创建用户账户并为其提供新工作所需的所有权限。

入职流程

新用户账户的创建通常是一个简单的流程，但必须通过组织安全策略程序保护该流程。 不应该根据管理员的心血来潮或任意请求来创建用户账户。

当员工离开组织时，组织会实施取消配置和离职流程。流程包括员工因故被解雇、被裁 员或主动离职

取消账户的最简单方法是删除，有时被称为账户注销

许多组织选择在员工离职时禁用该账户。然后，主管可以查看用户的数据，并在删除账 户之前确定是否有需要做的事情

如果离职员工在离职面谈后仍保留对账户的访问权限，则组织遭到破坏的风险非常高。

作为离职流程的一部分，员工福利的终止也非常重要

在组织的生命周期中，员工的职责都会发生变化。很多时候，员工只是简单池转移到不 同的位置。其他情况下，组织可能会创建一个完全不同的工作角色

在账户的整个生命周期中，组织需要对其进行待续的维护

大多数账户维护涉及权限的修改。组织应该建立类似于创建新账户时使用的程序，以便 在账户的整个生命周期中管理访问权限的更改

未经授权地增加或减少账户的访问能力，可能会导致严重的安全影响。

管理员会定期检查账户以确保账户不存在多余的权限

计算机的本地系统账户通常与本地管理员账户具有相同的权限，从而允许计算机以计算机（而不是用户）的身份访问网络上的其他计算机，存在安全风险

许多管理员使用脚本定期检查非活动账户，例如，脚本可以定位过去 30 天内未登录的用 户账户并自动将其禁用

权限监控需要审核允许提升权限的账户。这类账户包括具有管理员权限的所有账户，如 管理员账户、 root 账户、服务账户或比普通用户拥有更多权限的账户

务必预防与访问控制相关的两个问题

这两种情况都违反了最小特权的基本安全原则，账户审查可以有效地发现这些问题。身份认证对于确保网络支持问责制是必要的，组织需要准确的身份标识和身份认证来支持问责制