第三章 数据访问控制.pptVIP

访问控制实践 拒绝未知用户或匿名账户对系统的访问 限制和监控管理员以及其他高级账户的使用 在登陆尝试失败次数达到特定值后挂起或延迟访问功能 用户一离开公司，就立刻删除他的账户 实施“知其所需”和最小特权原则 禁止不必要的系统功能、服务和端口 更换为账户设置的默认密码 限制和监控全局访问规则 确保登录ID不是对工作职能的描述 从资源访问列表中删除多余的用户ID、账户和角色型账户 实现密码需求（长度、内容、生命期、分发、存储和传输）。 * 内容目录 访问控制基本概念 访问控制步骤与应用 访问控制模型 访问控制技术 访问控制层次 控制的分类 访问控制的管理 访问控制实践 访问控制的威胁 * 访问控制的威胁 针对访问控制的攻击 Brute force暴力攻击 应对措施：增加登陆时间间隔，锁定用户，限制登陆失败IP等 字典攻击 应对措施：使用一次性密码令牌、使用非常难以猜测的密码、频繁更换密码、使用字典破译工具来查找用户选定的弱密码、在密码内使用特殊的字符、数字以及大小写字母等 拒绝服务攻击（DoS，Denial of service）：耗尽系统或者网络资源，使目标系统无法处理正常的请求 两种方法：系统资源耗尽、网络拥塞 攻击类型和工具：SYN flooding、Smurf、Ping of Death DDos分布式拒绝服务攻击 * 访问控制的威胁 针对访问控制的攻击 Sniffer嗅探 被动攻击方式 监听明文口令 对策：加密、交换网络 欺骗攻击Spoofing 网络钓鱼 社会工程学Social Engineering 木马 * 渗透测试 Penetration：渗透。攻击成功，入侵者能够突破你的系统环境的边界，安全的一个主要目标就是防止渗透。 Penetration testing，简写为PT 测试安全措施是否强健、目标系统是否具备足够抵抗力的常用方法就是渗透测试，即借助任何必要的攻击手段，对受保护网络实施突破尝试的活动。 渗透测试可以借助自动化攻击工具实施，也可以手工进行。 渗透测试有时和安全评估（security assessments）作用类似，区别在于： 渗透测试事先只掌握极少信息（IP地址或域名），目的是找到更多信息，并设法突破。只要能突破，就证明了目标系统的安全弱点。其不足之处：了解并不全面，只知道可以突破，但并不发掘所有弱点，也不包含威胁或风险评估的内容。 安全评估通常包含了渗透测试，但还包含更全面的内容。最典型的，你可以访问公司所有的关键系统，评估目前的安全水平。安全评估时，不必努力证明能够突破，要做的是对组织当前存在的各种威胁有一套控制措施。 * 渗透测试 每一项测试，都应该有一个文件化的明确目标，以便考查测试成功与否 “从互联网上突破某某公司的网络，并且取得其研发部门文件服务器的访问权” 基于系统类型、预期的威胁水平以及信息的生命期，渗透测试的实施应该有一个确定的期限。 渗透测试一定要明确范围。 渗透测试事先一定要得到相关管理层的正式批准，这一点非常重要。 前提 目标 批准 期限 范围 * 渗透测试 对物理基础设施进行测试 通常，企业网络最薄弱的环节，往往不是技术上的，而是物理控制上的 渗透测试者试图突破物理薄弱点 例如：早上随上班人员一同进入公司建筑物，看是否有查证件的控制？一旦进入，再检查是否敏感区域得到加锁等保护？是否能够随意进出办公区域而无人置疑？是否能够随意带出重要物品？ 对运营操作进行测试 操作测试通过违背操作程序的做法，试图确定组织的操作程序的有效性 例如，正常流程中，Help desk会要求每个用户在得到帮助之前提供个人识别信息，测试者试图通过“社会工程”方式来越过此项控制。再有，如果公司策略要求报废磁盘前一定要消磁，测试者可以检查已报废磁盘，看是否能找到残留信息。 电子测试 对计算机系统、网络和通信设施的攻击，可借助手工或者自动化工具 * 渗透测试 不要依赖于单一的攻击手法，不同的情况要用不同的方法 选择最容易的突破点 目标是渗透公司网络，从外部防火墙进行正面突破难度较大，但可以选择其他入口，比如Modem 不循规蹈矩，要想真正的黑客那样思维 不要过于相信高技术和自动化工具，社会工程和垃圾潜水是很好的低技术手段 测试者应该避免留下痕迹和证据 如果没有事先批准，严禁对系统进行任何破坏，渗透测试的目的是揭示弱点，而不是破坏信息 * 应用 Kerberos组成 两种票据 票据许可票据（Ticket granting ticket） 客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”； 票据许可票据由AS发放； 服务许可票据（Service granting ticket） 是客户时需要提供的票据； * 应用 Kerberos通信过程