技術問答
技術文章
iT 徵才
Tag
聊天室
2024 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 11 屆 iThome 鐵人賽
DAY
7
1
Security
認證信息系統安全專業人員(CISSP)學習筆記
系列 第
7
篇
存取控制(Access Control)
11th鐵人賽
HO-HSUN
2019-09-23 16:30:47
6126 瀏覽
分享至
根據安全性要求,允許/拒絕對象與對象進行通訊的能力。
它需要對資訊,計算機,網路和所有其他基礎結構(建築物)進行保護。
CIA:機密性,完整性,可用性
確定資源(需要保護哪些實體)和用戶(確定需要存取的人)之間的關係,設置存取控制級別
最小權限原則:僅為他們需要執行的任務提供所需的最小存取權限,預設為無存取權限
職責分離:在用戶之間分配任務/權限,制止欺詐,分割認知
驗證因素:
知識因素:一個人知道的東西(PIN)
權限因素:一個人擁有的東西(智慧卡)
特徵因素:人的身份(指紋)
密碼類型:大寫/小寫,數字,特殊字符
組合:字典單詞的混合
靜態:固定密碼,較不安全
認知:通過提出一系列問題來驗證身份
一次:一次使用後銷毀
圖形:驗證碼
通過限制壽命(天數),歷史記錄(防止重複使用),期限(無活動的會話時間),複雜性,長度來管理密碼
權限因素:同步/非同步憑證(手持設備),記憶卡(帶有身份驗證資訊的刷卡,不受保護的資料),智慧卡(帶有晶片,通常受PIN保護)
生理系統/生物統計學:
指紋,手指掃描(特徵小於指紋)
手形,手形
手掌或手部掃描
臉部/視網膜掃描(視網膜血管圖案)
虹膜掃描
血管掃描(手/臉靜脈模式,出現錯誤排斥的風險)
行為特徵:
簽名動態(筆劃速度,筆觸壓力,加速度)
按鍵動態(鍵入模式,飛行/停留時間)
聲音模式/打印(聲音模式)
生物特徵:
登錄時間:獲得樣本的時間(重複次數)
特徵提取:從樣本中獲取資訊的方法
準確性
產出率(不應超過5- 10秒)
接受性(對於用戶來說)
FRR:錯誤拒絕率
FAR:錯誤接受率(不安全)
CER:交叉錯誤率(百分比),當FRR = FAR時,是最重要的指標
最有效:虹膜掃描,視網膜掃描,指紋
最高接受度:語音模式,鍵盤敲擊模式,簽名動態
目錄服務:X.500(DAP),LDAP,X.400(通常由SMTP取代)
SSO:單一登入,通過網路存取所有資源
易於管理,可實施更強的密碼,更快地存取資源,高效登錄,只需記住一個密碼
漏洞會影響所有系統(尤其是黑客)
Kerberos:具有對稱加密的SSO系統,在Windows Server / Linux / MacOS中為預設設置
KDC是單點故障,需要擴展,需要保護會話金鑰,需要對Kerberos流量進行加密,所有系統都需要同步的時鐘,易受密碼猜測攻擊的影響
SESAME:Kerberos的擴充,還在每個主機上使用非對稱加密和受信任的身份驗證伺服器
聯合身份:跨企業/域的可移植身份
交叉認證:每個組織都應盡一切努力將所有其他組織認證為受信任(符合標準)
受信任的第三方/橋樑模型:每個組織都遵循第三方的標準
安全領域:網路上可供使用的資源
審核監視:用戶事件以及網路/系統/應用程序事件和鍵盤敲擊模式
準則:
需要審計日誌管理計劃(控制日誌大小,備份過程,審查計劃)
刪除審核日誌應由兩個人控制(兩個管理員),否則是不可能的
監視高權限帳戶(root / admins)
審核跟踪監視事務(誰,何時,何時以及成功/失敗)
漏洞評估:確定網路中的脆弱環節,資產優先等級
個人:審查標準做法/程序
物理:設施/周邊保護
系統/網路:查看系統,網路和網路拓撲
滲透測試模擬攻擊以識別執行緒
步驟:
有關目標系統/設備的文檔資訊
收集有關攻擊方法的資訊(例如,通訊埠掃描)
識別已知漏洞
執行攻擊以獲得權限存取
記錄結果,報告發現
策略:
盲測:對系統的了解有限,組織知道會進行測試
雙盲測試:相同,但組織不了解測試
目標測試:有關網路和測試雙方的最大資訊
知識水平:
零:攻擊者對組織的網路一無所知(封閉/黑匣子測試)
部分:網路公開資訊
完整:提供所有詳細資訊
存取控制類別:
補償性:降低風險,替代主要的交流(例如,兩個人的兩個鑰匙)
糾正:減少攻擊的影響,恢復實體(例如伺服器映像,滅火器)
偵探:檢測攻擊,例如IDS,日誌,作業輪換
威懾:威懾/勸阻攻擊者,例如認證,圍欄,照明,NDA
指令:組織內可接受的做法,AUP(可接受的使用政策)
預防性:鎖,識別證,加密,警衛,培訓
恢復:恢復資源,例如備份,異地設施
存取控制類型:
管理控件:軟體控制,例如監督,人員控制,安全意識培訓
邏輯(技術)控件:限制對軟體/硬體組件的存取,例如防火牆,密碼,IDS
物理控制:保護設施,例如徽章,警衛,狗,電纜
存取控制模式::
任意存取控制:所有者指定存取資源的主題(需要知道)
強制存取控制:驗證基於安全標籤(僅管理員可以修改),比DAC安全
基於角色的存取控制:每個主題都有1- n個角色,不如DAC + MAC安全
基於規則的存取控制:適用於所有用戶的全局規則,使用配置文件來控制存取權限,通常由路由器/防火牆使用
與內容有關的存取控制:由對像中包含的資料決定的存取
取決於上下文的存取控制:基於主題/對象屬性和環境的存取(例如,僅在一天的特定時間登錄)
ACM:功能表,其中列出主題/對象和適用的主題動作
ACL:ACM中的對象序列
存取方式:
密碼:字典或暴力攻擊
社交工程:網路釣魚,越肩視角,身份盜用
DoS / DDoS:向設備發送請求以降低性能
緩衝區溢出:程式碼注入,通過inout驗證和定期更新避免
移動代碼:軟體通過網路(Java Script,小程序,ActiveX)傳輸
惡意軟體:病毒,蠕蟲,特洛伊木馬,間諜軟體
欺騙:攻擊者的通訊似乎來自受信任的來源,通過IP /鏈結欺騙,中間人(Man in Middle)
監聽/竊聽:從媒體收集所有傳輸的資料
發出:發射電磁信號(屏蔽)
後門:惡意實施的無限制存取
留言
追蹤
檢舉
上一篇
存取控制(Access Control)
下一篇
安全架構與設計(Security Architecture and Design)
系列文
認證信息系統安全專業人員(CISSP)學習筆記
共
30
篇
目錄
RSS系列文
訂閱系列文
13
人訂閱
26
實體及環境安全(Physical (Environmental) Security )
27
應用程式安全(Application Security)
28
應用程式安全(Application Security)
29
應用程式安全(Application Security)
30
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1064
組
團體組數
40
組
累計文章數
22207
篇
完賽人數
600
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
vue.js
熱門問題
防火牆與DNS請教
硬盤只能在舊電腦上讀到 在新電腦上顯示不明硬盤
寫好了一個程式,想問打包成EXE的問題
FORTI 防火牆使用 RADIUS 認證問題請教
請問在ERP當中如何管理油漆、螺絲物料?
這屆鐵人賽有完賽禮嗎?有人收到嗎?
Python多執行緒日誌記錄系統問題
這樣的物件設計好嗎?
Outlook 會跳出"插入智慧卡"(有安裝HiCOS卡片管理工具)
Redhat Idm (Free IPA) WEB 界面 admin 無法登入
熱門回答
防火牆與DNS請教
這樣的物件設計好嗎?
Outlook 會跳出"插入智慧卡"(有安裝HiCOS卡片管理工具)
Python多執行緒日誌記錄系統問題
共用資料夾突然無法使用
熱門文章
每日一篇學習筆記 直到我做完專題 :( [Day36]
每日一篇學習筆記 直到我做完專題 :( [Day37]
每日一篇學習筆記 直到我做完專題 :( [Day38]
為什麼 C 語言中的 printf() 會多那個討人厭的 “f”?
Day 40 - 使用 Angular 原理圖從裝飾器遷移到函數
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}