CISSP要点-第四章访问控制

CISSP认证考试指南第四章访问控制知识点汇总

访问是主体和客体之间的一种信息传输。

主体是访问客体的主动实体；客体是被访问的被动实体。

主体可以是一个用户、程序、进程。

机密性就是保护信息不对未授权的主体泄漏。

能够提供机密性的安全机制包括加密、逻辑和物理访问控制、传输协议、数据库视图和流量控制等。

身份管理解决方案包括目录、Web访问管理、密码管理、遗留单点登录、账户管理和配置文件更新等。

密码同步降低了保留不同系统的各种密码的复杂性。

自助式密码重设通过允许用户重新设置他们的密码，减少帮助桌面收到的电话数量。

辅助式密码重设为帮助桌面减少有关密码问题的决策处理。

身份管理目录中包含所有资源信息、用户属性、授权配置文件、角色和访问控制策略，以便其他身份管理应用程序有一个集中式的资源来收集这些信息。

提供身份管理解决方案的账户管理产品常常采用自动化的工作流程组件。

用户配置是指为响应业务流程而创建、维护和删除存在于一个或几个系统、目录或应用程序中的用户对象和属性。

人力资源数据库常被认为是用户实体的权威来源，因为这里是最早创建并正确维护用户实体的地方。

一共有三种主要的访问控制模型：自主型、强制型和非自主型访问控制。

自主访问控制（DAC）使数据拥有者能确定哪些主体可以访问他们拥有的文件和资源。

非自主性访问控制只用基于角色的访问控制方法来决定访问控制权限。

强制型访问控制（MAC）采用安全标签系统。用户具有访问等级，资源则有安全标签，标签上面有数据的分类。MAC比较二者来决定访问控制的能力。

基于角色的访问控制模式允许资源基于用户的角色和职责在公司中进行访问。

有三种主要的限制性接口：菜单和命令、数据库视图和物理限制接口。

访问控制列表和客体绑定在一起，标出什么样的主体才能访问它。访问能力表和主体绑定在一起，标出主体能访问什么样的客体。访问控制可以用两种方式进行管理：集中式和分散式

集中控制的例子有RADIUS、TACACSS+和Diameter。

分散控制的例子就是对等工作组。‘

管理控制的例子包括安全策略、人员控制、监督机构、安全意识培训和测试。

物理控制的例子包括网络分段、边界安全、计算机控制、工作区域分离、数据备份和布线。

技术控制的例子包括系统访问、网络体系结构、网络访问、加密和协议，以及审计。

生物识别技术的第一类错误是指系统拒绝了一个授权用户，第二类错误是指系统认证了一个冒名的顶替者。

存储卡不能处理信息，但是智能卡可以。

访问控制的默认设置应该是拒绝访问。

最小特权和需要知晓的原则限制用户只拥有他开展工作和完成任务所需要的访问权限。

单点登录只需要用户在网络中进行一次认证。

单点登录功能可以通过Kerberos、SESAME、域和瘦客户机来实现。

在Kerberos中，用户是从KDC中接收到票据访问资源。Kerberos与用户收到一张票据授予票据(TGT)，该票据允许他请求访问整个票据授予服务（TGS）中的资源。TGS使用会话密钥生成一张新的票据。

访问控制攻击包括：拒绝服务、诱骗、字典式攻击、蛮力攻击和Wardialing攻击。

审计可以跟踪用户的活动、应用程序事件和系统事件。

键击监控是一种跟踪用户每一次按键记录的审计过程。

要保护好审计日志，并且要检查日志。

对象重用可能会无意识地泄露信息。

仅仅删除文件的指针并不能彻底地给对象重用提供保护。

信息可以通过电磁波获取。对于这种类型的入侵，解决方法就是TEMPEST、白噪声和控制区。

用户认证可以通过“他知道什么”，“他是什么”，“他有什么”来进行。一次性密码可以使用同步和异步令牌的方式。

强化认证需要三种认证特征(“他知道什么”，“他是什么”，“他有什么”)中的至少两种。

Kerberos提供机密性和完整性，但是不提供可用性。Kerberos有以下一些弱点：KDC是一个单一故障点，它不能防范密码猜测，会话密钥在本地保存；KDC必须总是可用的，必须要管理好密钥。

IDS可以是统计的(监视活动)，或基于特征的(探测已知的攻击)。消磁是一种防止机密信息泄漏的方式，它可以将介质恢复到原始的状态。

网络钓鱼是一种社交工程攻击，其目的是获取个人信息、证书、信用卡号码或金融数据。