23 复习访问控制

复习访问控制

16复习访问控制（1）

在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《系统架构和设计之安全标准》里，J0ker给大家介绍了CISSP知识体系中的第二个CBK系统——安全架构和设计。接下来的8个CBK里，我们将进入CISSP知识体系中更为具体的部分，它们也都更多的从技术层面来讲述如何使用各种安全方法和安全技术来实现信息安全目标——保密性、完整性和可用性。

访问控制（Access Control）是CISSP知识体系中的第三个CBK，它的内容包括如何使用多种系统提供的安全功能来控制对组织的信息和数据处理资源的访问，这些访问控制措施通过管理、物理和逻辑控制的手段，我们可以从第一个CBK——信息安全管理里面中了解到它们的实施原则，我们来逐一了解下这三类手段的定义：

物理手段（Physical Control）：是历史最悠久的访问控制手段，从许多个世纪前开始，人类就开始使用城墙、门锁等方式来限制其他人对自己财产的占有。另外一种古老的物理访问方法就是“口令”方式，要进入某个区域，进入者必须向哨兵提供一个口令，只有提供了正确的口令的人才能进入指定的区域。这些古老的物理访问控制方法经过发展仍然在我们现在的生活中发挥重要的左右，它们的基本原理依然没有改变，不同的也就是更多使用现代技术来实现。尽管访问控制这个CBK中提到的许多技术是用在物理访问控制方面的，但访问控制CBK的主要目的并非是物理访问控制，而是如何控制对信息系统的访问。关于物理安全的更多内容会在后面的一个CBK——物理安全中详细讲述。

逻辑手段（Logical Control）：主要指的是在信息系统中部署的各种访问控制手段，其中我们日常生活中最常见到的就是“密码”这种方法，密码因为它的低成本易部署而成为绝大部分操作系统中的标准配置，但它的安全性并不高，也容易被恶意的攻击者所获得。在访问控制后面的内容里，我们还会了解到如何克服“密码”的弱点和更安全的逻辑访问控制方法。

管理手段（Administrative Control）：是指通过特定的规章制度或工作流程来限制对业务资源和特定的工作目标进行限制的访问控制方法。和物理/逻辑访问控制方法针对的对象是资源为主不同的是，管理手段主要针对的是一个业务流程，主要的原则是防止单个人员能够独自的控制特定的业务流程，以防止欺诈等犯罪行为的出现。常见的管理访问控制方法有职责分离（Separation of Duties）、职责轮换（Rotation of Duties）和最低权限（Least Privilege）。

职责分离，就是指在完成一个关键的业务流程的时候，必须要根据业务的阶段分割，来安排不同的人员合作完成。比如在一个企业里面，如果一个职员能够负责设备的报废上报、审批和入库过程，他就有可能利用这个权利，将还没有符合报废标准的设备当作报废设备进行替换，然后再通过对仓库的控制权将其出售，在国外发生过类似的案件。因此，为了防止单个人员控制某个关键业务的整个流程，企业的管理层应该根据某个业务流程的阶段，安排不同的人员负责，进行互相监督，尽管这样有可能会导致合谋犯罪的发生，但这样进行权限分离后的风险仍然要比单个人员控制整个流程要安全得多。

在CISSP的考试中常常会出考察权限分离的情景题，回答这类题的关键就是要根据防止个人独自控制整个业务的原则来进行答案的筛选。

职责轮换，对于重要业务流程的某个职务或不太重要的业务流程，尽管进行了职责分离但仍然会有欺诈行为的风险，职责轮换便作为职责分离的补充被提出。在企业中常见的职责轮换的形式一般如下，管理层给重要岗位的员工安排假期，并在该员工休假期间进行目标岗位的工作审计。因为职责轮换一般都涉及到放假，所以职责轮换也通常成为强制放假。职责轮换除了可以进一步的防止重要岗位的欺诈之外，另外也可以让人员熟悉本来不属于他负责的其他工作，为业务流程的岗位安排带来人员备份和协调工作能力提升的好处。

最低权限，就是管理层只给用户分配满足他的日常工作所需的权限，比如财务部门的用户不允许访问审计部门的数据和资源、销售部门的用户不能访问产品定价等。在军事领域里面也有一个类似的“Need to know” 的原则，这就是最低权限原则的一个特例。最低权限原则还在系统架构设计、操作安全、网络安全等领域有所要求，属于CISSP知识体系中较为重要的概念，在复习时可以适当关注一下。

以上介绍到的都是属于访问控制CBK中最关键的概念，CISSP考试时对这几个概念的考察也是比较多的，在复习时可以充分结合工作经验或常见案例，掌握这几个概念。

17复习访问控制（2）

上一篇文章《复习访问控制》里，J0ker给大家介绍了访问控制的基本概念和三种访问控制类型（物理、逻辑和管理）的基本原则。我们知道，信息安全和每个安全相关的技术，目标都是为了保护信息资产的保密性、完整性和可用性(CIA)中的一个或全部不受损害，访问控制也是如此。因此，J0ker 打算给大家介绍一下访问控制CBK所对应的C-I-A保护范围和涉及访问控制的一些常见威胁。

一、威胁的分类

访问控制通常部署在信息设施中，对信息处理环境——系统（包括硬件、操作系统和应用程序）、网络平台及连接（Intranet、Extranet和Internet）提供保护。除此之外，访问控制还对物理环境，诸如建筑物的入口、计算机中心，乃至特定的个人工作站。要更深入了解访问控制，必须先了解影响系统资源的各种威胁，单从保密性、完整性和可用性三者的层次上来说，这些威胁可以分类成：

保密性威胁：指某个实体，包括个人、程序或计算机获取对敏感信息的访问权。保密性威胁是访问控制针对的主要威胁类型之一。

完整性威胁：指某个实体未经授权访问并影响系统资源，另外一种完整性威胁的表现形式是实体未经授权的对系统资源进行添加或修改。完整性威胁也是访问控制针对的主要威胁类型之一。

可用性威胁：指系统中的某个资产被摧毁、使之不可用或变得无用。

二、常见威胁列表

仅仅从C-I-A这个层次上去了解威胁的类型是远远不够的，我们在日常工作中所遭遇到的威胁往往更具体更技术化。下面J0ker再列举一下具体的威胁例子以帮助大家对访问控制所涉及的威胁有更深入的了解，当然，因为IT技术和威胁都在迅速的发展，J0ker不可能给出一个十分完整的威胁列表，下面所举出的例子，更多的是为了让大家了解常见威胁及其内容，并了解这些常见威胁属于哪种影响系统的威胁类型。另外，J0ker是按照这些威胁的英文单词顺序来列的，而非它们的重要程度或出现频率。

缓冲区溢出（Buffer Overflow）：缓冲区溢出是软件中最古老也最常见的问题，它是因为一个程序所获得的输入超出了它缓冲区的容量，导致程序出现异常并改变运行路径。缓冲区溢出通常会导致恶意代码的插入执行或程序获得管理员权限。缓冲区溢出属于破坏保密性和可用性的威胁。

隐蔽信道（Convert Channel）：隐蔽信道指违反组织安全策略的隐蔽的数据传输路径，通常出现在两个或多个用户共享信息时。隐蔽信道包括时间信道（Timing Channel）和存储信道（Storage Channel）。隐蔽信道属于破坏保密性的威胁。

数据残余（Data Remanence）：数据残余指在磁盘存储设备被消磁或数据被覆盖后，磁盘上仍存在的可被读出的数据。这些残余的数据可能会被有意或无意读出，并导致泄密。数据残余属于破坏保密性的威胁。

垃圾回收（Dumpster Diving）：垃圾回收指攻击者通过翻找组织的垃圾桶，并在其中获得诸如用户名、密码等有价值信息的攻击手法。垃圾回收属于破坏保密性的威胁。

监听（Eavesdropping）：指攻击者使用软件（如嗅探器等）监听网络，或使用设备对电信网络中所传输的数据进行监听的活动。监听属于破坏保密性的威胁。

电磁侦听（Emanations）：指攻击者使用特殊的设备，对目标硬件设备散发出来的电磁辐射、各种无线网络的信号等进行获取并还原的行为。电磁侦听属于破坏保密性的威胁。

黑客（Hacker）：黑客通常指通过技术手段获得非授权的系统访问，黑客有多种类型，如白帽黑客（White-Hat，合法的漏洞研究者）、黑帽黑客（Black-Hat，通过攻击来炫耀自己的技术人员）、恶意黑客（Malicious Hacker，会导致危害或损失的攻击者），通常我们常说的黑客，指的就是恶意黑客。

身份伪造（Impersonation）：指攻击者伪装自己成为一个授权用户以获得未授权访问。身份伪造属于破坏保密性的威胁。

内部入侵者（Internal Intruder）：指组织内部人员使用外部入侵者的手法对组织的敏感信息进行未授权访问。通常可以分为两种类型：授权用户尝试去访问没有得到授权的信息或资源；授权用户尝试物理访问没有得到授权的设备。内部入侵者属于破坏保密性的威胁。

处理能力损失（Loss of processing capability）：指由于系统由于有意或意外的破坏停止进行信息处理。处理能力损失属于破坏可用性的威胁。

恶意代码（Malicious Code）：指可以违反安全策略访问系统或获得最高系统权限的代码。恶意代码威胁还会在下面的文章中详细介绍。

中间人攻击（Man in the middle）：指攻击者在网络中拦截并重定向数据通讯，以期获取数据通讯中的敏感信息。中间人攻击属于破坏保密性的威胁。

移动代码（Mobile Code）：指通过网络从一个服务器上传输到客户端，并在客户端上执行的可执行内容，Java和VB script便是很好的例子。