CISSP要点访问控制Word格式文档下载.docx

CISSP要点访问控制Word格式文档下载.docx

《CISSP要点访问控制Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《CISSP要点访问控制Word格式文档下载.docx（19页珍藏版）》请在冰点文库上搜索。

身份管理中使用的目录是一种为读取和搜索操作而进行过优化的专用数据库软件，它是身份管理解决方案的主要组件。

这是因为所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略以及其他内容都保存在这一个位置^当其他身份管理软件需要执行它们的功能（授权、访问控制、分配权限）时，就有了一个集中的位置来获取它们所需的信息。

许多身份管理产品的主要作用是建立元目录（meta-directory）或虚拟目录（virtualdirectory）。

元目录从不同的来源收集必要的信息，并将它们保存在一个中央目录中，这为企业中所有用户的数字身份信息提供了一个统一的视图。

元目录定期与所有身份存储库同步，以确保企业中的所有应用程序和身份管理组件使用最新的信息。

Web访问管理

体系架构通常由一个Web服务器群组（许多台服务器）、一个包含用户账户和属性的目录、一个数据库、若干个防火墙以及一些路由器组成，所有这些设备都采用一种分层的基础架构。

WAM工具还提供一个单点登录功能，以便一旦用户在某个Web站点通过认证，他能够访问不同的基于Web的应用程序和资源，而不必多次登录。

如果某款产品在Web环境中提供单点登录功能，当用户访问不同的资源时，该产品必须持续追踪用户的认证状态和安全上下文（SecurityContext）。

账户管理产品允许管理员管理不同系统中的用户账户。

要求用户提交新账户请求，这个请求通常由员工的经理批准。

然后系统自动建立账户，或者生成一个报告，由技术人员创建账户。

请求被提交给一位经理（或者任^负责批准请求的人员），经理批准请求，然后再对各种账户进行修改。

用户配置（UserProvisioning）是指为响应业务流程而创建、维护和删除存在于一个或几个系统、目录或应用程序中的用户对象和属性。

用户配置软件中包括以下一个或几个组件：

变更传播（ChangePropagation）、自助式工作流程、统一化用户管理、委派式用户管理和联合变更控制。

用户对象表示员工、承包商、供应商、合作伙伴、客户或其他服务对象。

服务包括电子邮件、访问数据库、访问文件系统或大型主机等。

建立目录是为了保存用户和资源信息。

一个元数据目录从网络的不同位置提取身份信息，允许身份管理流程从这个位置获得完成任务所需的数据。

用户管理工具在用户身份的整个生命周期对其进行控制并提供配置。

密码管理工具防止因为用户遗忘密码而造成生产力下降。

单点登录技术，使内部用户在访问企业资源时只需认证一次。

Web访问管理工具为外部用户提供单点登录服务，并控制对基于Web的资源的访问。

用户资料更新

多数公司并不只是保存与用户有关的重要信息，而只要根据这些信息做出访问决策。

生物识别技术通过分析个人独特的属性或行为来确认一个人的身份，是确认身份最有效且最准确的技术之一。

生物识别是一种非常复杂的技术，所以它的花费要比其他类型的身份确认技术要昂贵得多。

生物识别技术一般分为两种不同的类型。

第一种是生理性生物识别，是指某一个人所特有的身体特征。

指纹是生物识别系统常用的一种生理特征。

第二种是行为性生物识别，这种技术根据一个人的某种行为特点来确认他的身份，例如说动态签名。

生理识别是“你是什么”，而行为识别是“你做什么”？

生物识别系统扫描一个人的生理属性或行为特征，然后将它与早期特征记录过程中建立的记录进行比较。

因为这个系统会检查一个人的指纹凹槽、视网膜模式或者声音的髙低，因此它非常灵敏。

系统必须对人的生理或行为特点进行准确而重复性的测量。

这种类型的灵敏度很容易造成误报（FalsePositive）或漏报（FalseNegative）。

系统必须经过仔细的校准，以确保误报和漏报不会经常发生，从而使检测结果尽可能的准确。

生物识别系统拒绝一个已获授权的个人，这称之为第一类错误（误拒绝率）；

当系统接受了一个本应该被拒绝的冒名顶替者，这称之为第二类错误（误接受率）。

交叉误差率（CrossoverErrorRate,CER）。

这个等级是一个百分数，它代表误拒绝率等于误接受率的那个点。

在判定一个系统的精确度的时候，交叉误差率是非常重要的评估指标。

CER值为3的生物识别系统要比CER值为4的系统的准确性要高得多。

在特征记录阶段，用户提供生物识别数据（指纹、声纹），生物识别读取器将这些数据转换成二进制值。

由于系统不同，读取器可能会创建一个生物识别数据的哈希值（HashValue）,或者对数据进行加密，或同时采用这两种方法。

然后，用户的生物识别数据由读取器存入后端认证数据库中（该数据库己经为这名用户创建了账户）。

一次性口令字也叫做动态口令字。

它在用户认证的时候使用，当口令字使用过之后就失效，再也不能使用了。

因此，如果黑客获得了这个口令字，它不能被重复使用。

动态口令字主要用于需要比静态口令字的安全等级高的安全机制当中。

一次性口令字一共有两种：

同步和异步。

两种类型都由一个与服务器或工作站上的认证服务之间进行通信的令牌装置产生。

令牌装置又叫口令字生成器，它通常是一个便携式的装置，有一个LCD显示屏和一个按键面板。

这个装置和用户使用的计算机硬件是分开的。

令牌装置和认证服务必须是同步进行的，为了能够进行用户认证，需要使用相同的质询/应答方式。

同步

同步令牌装置和认证服务同步地使用时间或事件作为认证过程的内部标志。

如果同步是基于时间的，那么在令牌装置和认证服务器上面必须具有准确的相同时间。

令牌装置上的时间值经密钥加密成口令字之后提交给用户，用户输入其用户名和该口令字到计算机中，然后计算机提交给进行认证服务的服务器。

认证服务器对该口令字进行解密，然后和期望的口令字进行比较，如果二者相符，那么用户就可以使用计算机和资源了。

如果令牌装置是基于事件的同步，那么用户需要初始化计算机上的登录序列，然后按令牌装置上的一个按键，这就使令牌装置和认证服务进入下一个认证值。

令牌装置对这个值进行加密，然后显示给用户，用户将其ID和加密后的口令字输入计算机进行认证。

无论是时间同步还是事件同步，令牌装置和认证服务都必须使用相同的密钥来进行加密和解密。

异步

异步产生令牌的令牌装置使用一种质询/应答方式对用户进行认证。

在这种情况下，计算机首先向用户发送一个质询字符串一个也称作nonce的随机值；

然后，用户将这个随机值输入令牌装置中，令牌装置对它进行加密，然后返回给用户一个值，用户将该值用作一次性口令字。

接下来，用户将这个值以及用户名送交给认证服务器。

如果认证服务器能够解决这个值，且该值与前面发送给用户的质询值相同，那么用户就通过了认证。

密码字

另一种身份识别的方式是提供私钥或数字签名。

私钥和数字签名可以用在需要使用密码的地方。

密码实际上是最脆弱的认证方式，当它在网络中传输的时候很容易被窃听。

而私钥和数字签名认证主要用在那些比密码安全保护的安全等级更高的环境中。

私钥是一串加密字符，它只能被一个人持有，决不能泄露给外部方面。

而数字签名则使用私钥对散列值（消息摘要）加密。

使用私钥对散列值进行加密的过程称为对一个消息数字签名。

附于消息上的数字签名表明该消息来自特定的源头，并且消息在传输过程中未被更改。

口令词（Passphrase）将在认证过程中取代密码。

之所以叫做词（phrase）,就是因为它的字符长度一般要比口令字长一些。

存储卡和智能卡的主要区别在于处理信息的功能。

存储卡可以存储信息，但是不能处理信息。

而智能卡是使用一些必要的硬件和逻辑来处理信息。

由于智能卡本身就有一个微处理器和集成电路，所以智能卡有信息处理的能力。

存储卡就没有这类硬件，所以也没有这种功能。

由于智能卡能够处理存储在其中的信息，因而它提供了双因子认证，这是因为它需要用户输入PIN才能打开智能卡。

这就意味着用户必须要提供“他知道的”（PIN）和“他拥有的”（智能卡）。

智能卡分为两类：

接触式智能卡和非接触式智能卡。

智能卡攻击

旁道攻击（Side-ChannelAttack）是一种非入侵式攻击，其目的是不利用任何形式的缺陷或弱点查明与某个组件运行有关的敏感信息。

非入侵性攻击是指攻击者观察某个组件的运作方式，以及它在不同情况下如何反应，从而达到攻击目的，而不必采用入侵式的手段进行“入侵”。

差分功率分析（检查处理过程中的功率排放）、电磁分析（检查发射出的频率）和时序分析（某一个具体的过程要多久完成）都属于针对智能卡的旁道攻击。

软件攻击也属于非入侵性攻击。

如果你想要实施更具入侵性的智能卡攻击，可以试一试微区探查（Microprobing）。

微区探查使用指针和超声振动擦除智能卡电路上面的外部保护材料，然后就可以直接连接智能卡的ROM芯片，访问和操纵其中的数据。

单点登录

Kerberos

Kerberos是一种认证协议，它以客户/服务器的模式工作,基于对称密钥体系。

这个协议在UNIX系统上应用多年,现在已成为Windows2000/2003的默认认证模式。

Kerberos是一个分布式环境中单点登录系统的实例，也是多网络系统的一个实际标准。

企业访问控制包含四个重要因素：

可扩展性、透明性、可靠性和安全性。

Kerberos使用对称密钥算法加密体系，提供端对端的安全，这意味着在用户和服务程序之间传递保护信息时并不需要中间组件。

Kerberos的主要组件

密钥分发中心（KeyDistributionCenter，KDC）是Kerberos系统中最重要的一个组件KDC包含有所有的用户和服务的密钥，具有密钥分发功能以及认证功能。

客户和服务都非常信任KDC的完整性，这是Kerberos安全的基础。

KDC将安全服务提供给称为主体（Principals）的实体对象，这些主体可以是用户、应用程序或服务。

KDC为每个主体提供一个账户，并与其共享一个密钥。

对于用户，口令字被转换成密码值，该密码值用于在KDC和实体之间来回发送敏感信息,也可用于用户认证。

KDC产生的票证（Ticket）是由票证授予服务（TGS）产生的，用于一个主体（假设为用户）需要通过认证来访问另一个主体（假设为打印服务器）。

票证就是用于主体对主体的认证。

KDC能给一组组件和主体提供安全服务，这个组称为Kerberos的域（Realm）。

在这个域内，KDC对所有的用户、应用程序和服务来讲都是可信任的认证服务器。

KDC可以对—个域或几个域均有效。

域使管理员能够逻辑地将资源和用户分组。

Kerberos认证过程

用户和KDC共享一个密钥，而服务和KDC又共享另外一个密钥。

用户和服务在开始时没有共享密钥。

用户信任KDC是因为它们共享了一个密钥（会话密钥），它们之间可以对互相传递的数据进行加密和解密，这样就拥有了一条受保护的通信通道。

一旦用户对服务进行了认证，它们就共享一个密钥，这个密钥可以使它们对相互通信的数据进行加密和解密。

这就是Kerberos进行数据传输保护的工作过程。

认证服务（AS）是KDC中用于认证主体的部分，而票证授予服务（TGS）是KDC用于生成票证并把票证发送给主体的部分。

使用TGT是为了让用户不必在每次需要与另一个主体交互时输入自己的密码。

使用Kerberos主要是因为主体之间不能充分信任对方，因而不能直接进行通信。

时间戳用于防止重放攻击。

Kerberos的弱点

下面列举了Kerberos可能存在的一些弱点:

KDC是一个单一故障点。

如果KDC出错，那么没有人能够访问所需的资源。

对于KDC来说，冗余是必需的。

KDC必须能够以实时的方式处理接收到的大量请求。

它必须能扩展。

密钥要暂时性地存放在用户的工作站上，这意味着入侵者有可能获得这个密钥。

会话密钥被解，然后会驻留在用户的服务器或密码列表的缓存中，同样入侵者也可以获取这个密钥。

Kerberos对于密码猜测非常脆弱。

KDC并不能发现一个字典式攻击正在发生。

如果没有应用加密功能，Kerberos不能保护网络流量。

如果密钥太短，它们可能易于受到蛮力攻击。

Kerberos必须是透明（在后台运行，不需要用户了解）、可扩展（在大型异步环境中运行）、可靠（使用分布式体系架构确保不会出现单点故障）和安全的（提供认证和机密性）。

SESAME

SESAME（SecureEuropeanSystemforApplicationsinaMulti-vendorEnvironment）项目是另外一种单点登录技术，开发它的目的就是弥补Kerberos的一些不足。

SESAME使用对称和非对称密码技术来保护数据交换以及进行主体试图访问网络资源时的认证。

Kerberos使用票证来为主体向客体做认证，而SESAME使用有特权属性证书（PrivilegedAttributeCertificates,PAC），其中包含主体的身份，客体允许访问范围，允许访问时间段和PAC的有效期限。

PAC有数字签名，所以客体可以证实该PAC来自一个可信任的认证服务器，该服务器叫做有特权属性服务器（PAS）。

该PAS与Kerberos系统中的KDC扮演相同的角色。

当一个用户成功地通过认证服务（AS）时，他拿到一个令牌（token）并交给PAS。

该PAS就给他生成一个PAC,用来交给被访问的资源。

一个域由一组主体可用的资源构成。

主体可能为一个用户、进程或应用程序。

在操作系统中，每个进程都有一个域，即该进程执行自己的任务用到的一组系统资源。

这些资源可能为内存段、硬盘空间、操作系统服务和其他进程。

在网络环境中，域是指一组有效的物理和逻辑资源，包括路由器、文件服务器、FTP服务、Web服务器等。

“安全域”建立在域的基础之上，但这个逻辑结构（域）中的资源在同一个安全策略下运行，并由同一个团队管理。

不同的域由逻辑边界分隔，如带有ACL的防火墙、做出访问决策的目录服务，以及拥有自己的、说明哪些个体和组能够对它们执行操作的ACL的客体。

所有这些安全机制都是对每个域实施安全策略的组件。

域可以为分层结构，这些层次说明不同域之间的关系，以及不同域中的主体如何进行通信。

主体能够访问域中同等或更低信任级别的资源。

域不仅适用于网络设备和区段，它还可应用于用户和进程。

目录服务

网络服务是一种标识网络中资源（打印机、文件服务器、域控制器和外围设备）的机制。

网络目录服务包含这些资源的有关信息、需要访问它们的主体，并执行访问控制活动。

如果目录服务在一个基于X.500标准的数据库中运行，则它会以一种等级结构运作，该结构会列出资源的属性，如名称、逻辑和物理位置、可以访问它们的主体，以及能够对它们执行的操作。

在基于X.500标准的数据库中，用户和其他系统使用LDAP协议提出访问请求。

这种类型的数据库为组织对象（主体和资源）提供一个等级结构。

目录服务为每个对象指定一个独特的名称，并在必要时将与其对应的属性附加在这些对象后面。

目录服务要执行一个安全策略（由管理员配置）来控制主体和客体之间的交互。

瘦客户机

无盘计算机，有时又被称为哑终端或瘦客户机，因为没有操作系统和必要的资源，所以不能存储信息。

这种类型的技术迫使用户要登录到网络上面才能够使用计算机。

当用户启动计算机后，计算机将运行一小串指令以便将它指向服务器，再从服务器上面下载操作统到终端。

它使用了一种非常严格的访问控制，使得只有计算机通过了服务器的认证才能做它自己的事情，然后服务器提供给计算机操作系统配置文件，以及功能。

瘦客户机的技术提供了另外一种单点登录方式。

因为用户只需向中央服务器或大型机认证，然后就可以通过这个集中式的系统访问所有必要的资源。

单点登录技术

•Kerberos使用KDC和票证、基于对称密钥加密的认证协议。

•SESAME使用PAS和PAC、基于对称和非对称加密的认证协议。

•安全域资源在相同的安全策略下运行，由相同的组管理。

•瘦客户机依赖一台中央服务器进行访问控制、处理和存储的终端。

访问控制模型（AccessControlModel）描述了主体访问客体的一种框架，它通过访问控制技术和安全机制来实现模型的规则和目标。

主要的访问控制模型有三种：

自主型访问控制、强制型访问控制和非自主型访问控制（也叫作基于角色的访问控制）。

自主型访问控制

如果用户创建了一个文件，那么他是这个文件的拥有者。

文件头中包含了用户的标识符。

这种所有权也可以赋予一个特定的个体。

使用自主型访问控制（DiscretionaryAccessControl，DAC）的系统，可以让资源的拥有者指定哪些主体可以访问该资源。

这种模型称为“自主型”，是因为对访问的控制是由资源拥有者自主决定的。

DAC模型中最常见的实现方式是访问控制列表（ACL）,这个列表由用户（客体的所有者）指定，由操作系统实施。

强制型访问控制

在强制型访问（MandatoryAccessControl,MAC）模型中，用户和数据的所有者没有决定谁能访问这些文件的权力，这应该是由操作系统最后做出的决定，并且可能会覆盖用户的设置。

在资源的安全标签里面。

分类标签被绑定到某个主体或客体上。

当系统接到一个客体访问请求时，它根据主体的安全级别和客体的安全类别来作出决策。

主体如何访问数据的规则由管理层制定，由管理员配置和管理，由操作系统来进行实施，由安全技术支持。

安全标签和各个客体附在一起，所以每一个文件、目录和设备都有其自己的安全标签以及分类信息。

任何时候，每个主体和客体都必须有一个带有属性的相关联标签，因为这是操作系统访问决定标准的一部分。

每个主体和客户并不需要唯一性的标签，但它们在逻辑上必须相互关联。

敏感度标签

采用MAC模型时，每一个主体和客体必须有一个敏感性标签，也称为安全标签。

它包含有一个级别和不同的类别。

这种级别表示了敏感级别，类别则用于强调须知规则。

级别具有一个层次结构，一个级别可能比另一个级别更受信任。

但是，类别没有层次而言，这是因为它们代表系统中不同域内的信息。

类别可以和部门（联合国、信息仓库或财政部）、项目（如CRM、机场安全、2003年预算）或管理级别对应起来。

在一个军事环境中，信息按安全级别可以分为绝密（TopSecret）、秘密、（Secret）、机密（Confidential）和未分类（Unclassified）几种，每个级别的可信度都比低级别的可信度要高。

一个商业机构可能使用机密的（Confidential）、私有的（Proprietary）、公司的（Corporate）和敏感的（Sensitive）来对信息进行分级。

对信息级别的定义由各组织自己负责，并且只在公司内部有意义。

软件卫士和硬件卫士允许在可信（高保证度）和不可信（低保证度）系统与环境间交换数据。

软件卫士（SoftwareGuard）实际上是一个前端产品，它允许安全级别不相同的各系统之间进行相互连接。

不同类型的卫士可用于执行过滤、处理请求、阻止数据和净化数据。

还可以执行硬件卫士（HardwareGuard）,它是一个带两个NIC的系统，这些NIC用于连接两个需要彼此通信的系统。

卫士可用于连接在不同的安全模式下运行的MAC系统，也可用于连接在不同的安全级别下运行的网络。

基于角色的访问控制

基于角色的访问控制（Role-BasedAccessControl,RBAC）也叫做非自主型访问控制,它使用集中管理的控制方式来决定主体和客体如何交互。

这种模型允许用户基于他在公司的角色来访问资源。

之所以称之为非自主型访问控制，是因为给用户分配一个角色是一种不得己的行为。

较为传统的访问控制管理仅仅以DAC模型为基础，它在角色层级使用ACL指定访问控制。

而RBAC方法允许根据用户的工作角色来管理许可，从而指定访问控制管理。

在RBAC模型中，某个角色会根据该角色所执行的操作和任务来定义，而DAC模型则说明哪些主体能够访问哪些客体。

注意角色的引入也引入了显式授权和隐式授权的不同.如果权限是显式分配的，那么这种权限是分配给特定个人的；

如果权限是隐式分配的，那么这些权限是分配给一个角色或用户组的，用户能继承角色的属性。

RBAC模型是员工流动性高的公司最适合使用的访问控制系统。

核心RBAC

这个组件将整合到每一个RBAC模型中，因为它是这个模型的基础。

用户、角色、许可、操作和会话应根据安全策略进行定义并相互对应。

用户与权限之间存在一种多对多的关系。

会话是某个用户与少数几个角色之间的对应关系。

提供传统但稳健的基于群组的访问控制。

层级RBAC

这个组件允许管理员建立一个组织RBAC模型，将某个环境中的组织结构和功能描述对应起来。

这个组件非常有用，因为公司一层建立在一个人员层级结构之中。

许多时候，你在需求链中的位置越髙，你拥有的访问权限就越多。

1.角色关系定义了用户成员与权限继承。

例如，护士角色可以访问某些文件；

实验室技术人员角色能够访问另外一些文件。

若医生角色继承了这两个角色的许可的访问权限，因而医生角色己经分配到更多的权限。

所有层级是其他角色的权限和许可的累积。

2.反映组织结构和功能描述。

3.两种类型的层级：

a.有限层级——只允许一个层级（角色1继承角色2的权限，没有其他角色）。

b.普通层级——允许多个层级（角色）继承角色2和角色3的许可）。

层级是一种划分角色结构并反映结构的授权和责任的自然方法。

角色层级（RoleHierarchy）定义角色之间的继承关系。

这个模型提供两种不同类型的责任分割。

•RBAC中的静态责任分割（SSD）关系这种责任分割通过限制组合各种权限来防止欺诈（用户不能既是收银员组成员，又是应收账款组成员）。

•RBAC中的动态责任分割（DSD）关系这种责任分割通过限制各种可在任何会话中激活的权限来防止欺诈（例如，用户不能同时保留收银员和收银员主