CISSP要点—访问控制.docxVIP

标识是一种能够确保主体（用户、程序或进程）就是它所宣称的那个实体的方法。标识可以通过一些证明来确认，这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识，并且主体的行为被记录在案。逻辑访问控制是用于标识、认证、授权和稽核的工具，它是执行对系统、程序、进程和信息的访问控制策略的软件组件。一个人的身份需要在认证的过程中确定。认证通常包含有两步：输入公共信息（用户名、工作证号、账号或部门ID),然后输入私人信息（固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中，输入公共信息是一个标识的过程，而输入私人信息是一个认证的过程。有三种认证的方式：他知道的内容，他持有的证明，他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。强化认证（strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。在安全领域，确定身份有三个关键因素：唯一性、非描述性和签发。ID卡可认为是一种标识签发形式的安全因素。身份管理包括用不同的产品以自动化方法标识、认证和授权用户，还包括用户账户管理、访问控制、密码管理、单点登录功能、管理用户账户权限，以及审计和监控所有这些项目。安全管理不仅必须理解整个身份管理，而且还必须理解构成整个企业身