CISSP备考系列指南.docVIP

CISSP备考系列 2011年8月5日 14:35 ? ? CISSP备考系列之可问责性与访问控制[10-47] ? 访问控制的类型 1，预防性（Preventive）墙，锁，灯光，监视，加密等 2，威慑性/阻止性（Deterrent）墙，锁，防火墙等 3，检测性（Detective）保安，监视，IDS等 4，纠正性（Corrective）IPS，反病毒，终止访问，重启系统等。 5，恢复性（Recovery）备份/还原，容错系统，集群等。 6，补偿性（Compensation）替代品 7，指令性（Directive）保安，策略，通告，标志，意识培训等 8，行政管理性（Administrative）策略，过程，准则，休假等。 9，逻辑性/技术性（Logical/Technical）加密，访问控制，防火墙，IDS等。 10，物理性（Physical）围墙，锁，保安，线缆保护等。 ? 实现问责制的四个步骤： 1，身份标识（Identification）用户名，登录ID，个人身份号码，智能卡等 2，身份验证（Authentication） 几种类型： * something you know 如密码，PIN，问题的答案等。 * something you have 如智能卡，令牌设备等。 * something you are 如指纹，掌纹等 * something you do 如签名，说话的语调等 * somewhere you are 如地址，电话号码等 * multiple factor authentication? 3，授权（Authorization） 4，审计与可问责制（Auditing and Acountable）对于已经通过验证并取得授权的用户，持续地监视和审计以实现可问责。 ? 生物验证技术 * 生物识别技术最重要的技术指标是精确度。 灵敏度太低，则误接受率（False Acceptance Rate=FAR）升高 灵敏度太高，则误拒绝率（False Rejection Rate=FRR）升高 FRR和FAR的等值点被称为CER=Crossover Error Rate。 * 视网膜（Retina）验证技术很不方便，可接受度较差。 ? 支持SSO的三种协议 1，Kerberos 2，KryptoKnight 3，SESAME ? 访问控制技术 1，自主访问控制（Discretionary Access Control）允许管理员或资源的所有者来控制资源的访问。通常利用ACL来实现。 2，非自主访问控制（Nondiscretionary Access Control）即规则型访问控制，访问控制完全基于规则，而不决定于管理员或客体拥有者的主观意愿。 3，强制访问控制（Mandatory Access Control）基于分类标签，级别控制。 采用need to know型的访问控制，某个访问没有明确被许可，就是禁止的。 MAC比DAC更安全，但是灵活性和扩展性不如DAC。 强制访问控制又可分为三种应用环境：层次环境，间隔环境，混合环境 4，角色型访问控制（Role-based Access Control） 5，格型访问控制（Lattice-Based Access Control）相当于密级制度，将主体和客观划分到不同的密级，然后定义每级主体的访问上限（Least Upper Bound）和下限（Greatest Lower Bound） ? 访问控制管理 1，账户管理 * 创建新账户 严格按照人事部门的通知进行处理 * 账户维护 要根据变化及时更改账户信息 2，监控账户，记录与日志 3，访问权限与特权 * 最小特权原则（Priciple of least privilege） * 知其所需（Need to know） * 用户，所有者与管理员（User, Owner,Custodian） * 任务与职责的分离 相互制约和平衡，确保任何一个主体都不能执行明显的恶意活动。 ? 入侵检测系统IDS 入侵检测可以通过监视网络流量，进程活动，系统日志等信息来发现攻击行为，是对防火墙组件很好的补充。 ? 1，响应方式 * 主动式 IPS系统。 * 被动式 日志，告警，通知。 * 混合式 结合上述两种方式 2，主机IDS与网络IDS * 主机 缺点：占资源，管理成本高，检测网络攻击不全面，易受破坏 优点：可以更好地洞察主机内部的变化，发现进程的异常活动，系统的异常变化。 * 网络 缺点：不了解主机层面的变化，流量太大时处理能力不足。 优点：易管理，可靠性高，隐蔽性强，不影响系统性能。 3，知识型与行为分析型 * 知识型（Knowledge-Based）也称为基于签名（Signature-Based）或模式匹配（Patt