【CISSP備考筆記】第5章 身份與訪問管理

第五章 身份與訪問管理

5.1 訪問控制概述

​ 訪問控制是一種安全手段，它控制用戶和系統如何與其他系統和資源進行通信和交互。
​ 主體可以是通過訪問客體以完成某種任務的用戶、程序或進程。
​ 客體是包含被訪問信息或者所需功能的被動實體。

5.2 安全原則

各種安全控制中3個主要的安全原則：機密性、完整性、可用性
​        可用性：一般采用容錯和恢復機制
​        完整性：保護數據或資源免受未授權的修改
​        機密性：安全機制包括加密、邏輯性和物理性訪問控制、傳輸協議、數據庫視圖和流量控制等。保護數據庫機密性的第一步就是確定哪些信息是敏感的以及信息的敏感程度，然后用適當的安全機制進行保護。

5.3 身份標識、身份驗證、授權與可問責性

​ 身份標識
​ 身份標識描述了一種能夠確保主體（用戶、程序或進程）就是其所聲稱實體的方法。
​
​ 身份標識和身份驗證

用於身份驗證的3個因素
    某人知道什么（根據知識進行身份驗證），比如密碼、PIN、密碼鎖，通過某人知道的內容進行身份驗證，其他人也可以獲得相關知識進行未授權訪問。
    某人擁有什么（根據所有權進行身份驗證），比如鑰匙、門卡、訪問卡或證件，容易丟失或被盜導致未授權訪問
    某人是什么（根據特征進行身份驗證），根據物理特征進行身份驗證，生物測定學

    至少包含3個類別中的兩個類型，稱為雙因素身份驗證。


    身份管理(IdM)解決方案：web訪問管理、密碼管理、遺留單點登錄、賬戶管理和配置文件更新。
        目錄：基於x.500標准和LDAP協議。元目錄，從不同來源收集必要的信息，保存到一個中央目錄。虛擬目錄，沒有數據，指向駐留實際數據的位置。
        web訪問管理(WAM)：通過cookie提供憑證

身份驗證方法：

1、常用的密碼管理方法
    密碼同步：一個密碼即可訪問各種資源
    自助式密碼重設：用戶以問答的形式提交，用戶重新設置自己的密碼。
    輔助式密碼重設：打電話給服務台員工進行密碼重置，可能造成社會工程攻擊。
    傳統單點登錄（SSO）：一個密碼能夠訪問所有資源，單點故障。
        賬號管理：賬號創建、更改、刪除

2、生物測定學
    最有效且最准確的身份標識確認方法之一，相比其他身份驗證，更為昂貴和復雜
    生理性生物測試：指紋（手掌掃描、手部外形、面部掃描、手形拓撲）、視網膜、虹膜(最精確)或者聲音音調---你是什么
    行為性生物測試：動態簽名（電信號）、動態擊鍵---你做什么

    1類錯誤 誤拒絕率（FRR）：拒絕一個已獲授權的人。
    2類錯誤 誤接受率（FAR），最危險：接受了本應該被拒絕的人。
    交叉錯誤率 （CER），誤拒絕率等於誤接受率，判斷系統精確度的重要評估指標，准確度 CER3>CER4

3、密碼
    目前最常用的身份驗證機制之一，最脆弱的
    核心問題：某人知道什么？某人擁有什么？某人是什么？ 密碼就屬於某人知道什么這種形式
    密碼管理、密碼檢查器、密碼散列與加密、密碼生命期、限制登錄次數

4、感知密碼
    用於服務台服務，通過感知密碼進行身份驗證、

5、一次性密碼(OTP)
    令牌設備是最常見的OTP實現機制，為用戶生產向身份驗證服務器提交的一次性密碼。
    同步：基於時間或計數器驅動
    異步：基於挑戰/響應機制

6、密鑰
    數字簽名：一種使用私有密鑰加密散列值的技術

7、密碼短語
    一個比密碼長的字符串
8、存儲卡
    存儲卡可以保存信息，但不能處理信息
9、智能卡
    智能卡不僅可以保存信息，還具有實際處理信息的必要硬件和軟件。
    智能卡攻擊：故障生成攻擊（改變輸入電壓、時鍾頻率、溫度波動）、
        非入侵式攻擊：旁路攻擊（差分功率分析、電磁分析、計時）、軟件攻擊
        入侵式攻擊：微區探查

授權

1、訪問准則：對角色、組、位置、時間和事務處理類型實施不同的訪問准則。
2、默認為拒絕訪問：基於從零開始，基於知其所需添加特權。
3、知其所需：類似於最小特權原則
4、單點登錄技術的示例

Kerberos：一個身份驗證協議，基於對稱密鑰密碼學，共享秘密密鑰，麻省理工學院開發。
主要組件包含：
密鑰分發中心（KDC）：提供身份驗證服務和密碼分發功能。
KDC上的票證由票證授予服務（TGS）生成，票證使一個委托人能夠對另一個委托人進行身份驗證。
身份驗證服務（AS）
票證
委托人：用戶、服務、應用程序和設備


    SESAME:使用PAS和PAC的身份驗證協議，基於對稱和非對稱密碼學。
    安全域：在相同安全策略下運行的資源，由相同的組管理。
    目錄服務：基於X.500標准
    瘦客戶端：

聯合身份

身份驗證方法：

可擴展標記語言（XML）：一種通用的基礎性標准語言
服務供應標記語言（SPML）：允許位於不同平台上的服務供應請求集成和互操作。 -----在不同系統建立用戶賬號和訪問權限
安全斷言標記語言（SAML）：用戶登錄一次便可以訪問各自獨立的不同web應用程序，以標准化方式共享身份驗證數據，提供身份驗證信息給聯合身份管理系統。常用協議是簡單對象訪問協議（SOAP）    ------發送身份驗證信息
可擴展訪問控制標記語言（XACML）：用來向web服務提供的資產表述安全策略和訪問權限。一個訪問控制策略語言，也是一個標准方式解釋和執行策略的處理模型。                                  ------創建訪問控制策略

OpenID
OAuth

身份即服務​

集成身份識別服務

5.4 訪問控制模型

自主訪問控制（DAC）：數據所有者決定誰能訪問資源，ACL用於實施安全策略，非自由裁量做訪問控制。
強制訪問控制（MAC）：操作系統通過使用安全標簽來實施系統的安全策略。
角色（非自主）訪問控制（RBAC）：訪問決策基於主體的角色或功能位置。
規則型訪問控制（RB-RBAC）：把進一步限制訪問決策的強加規則添加到RBAC中。

訪問控制模型主要有3種：自主、強制型和非自主訪問控制（基於RBAC的訪問控制）。

5.5 訪問控制方法和技術

限制性用戶接口：限制用戶的訪問能力，主要有3種：菜單和外殼、數據庫視圖以及物理限制接口。
訪問控制矩陣：概述了主體和客體之間的訪問關系。 定義了主客體之間主體對客體可以采取的行動。 
功能表（行）：與主體綁定在一起，規定主體能夠訪問的客體。
ACL（列）：與客體綁定在一起，規定能夠對其進行訪問的主體。定義為帶有訪問權限的對象列表，並且被授權訪問特定對象。



內容相關訪問控制：對客體的訪問取決於客體的內容，如數據庫視圖
上下文相關訪問控制：比如狀態防火牆

5.6 訪問控制管理

集中式訪問控制管理
    遠程身份驗證撥號用戶服務（RADIUS）：一種網絡協議，提供客戶端/服務器身份驗證和授權，並且審計遠程用戶。UDP，僅加密RADIUS客戶端與服務端傳送的密碼。用於撥號服務器、VPN和無線AP等環境。
    終端訪問控制器訪問控制系統（TACACS）
        TACACS：身份驗證和授權過程組合在一起，使用固定密碼進行身份驗證。UDP
        TACACA+:將身份驗證、授權和審計功能過程分隔，采用雙因素用戶胡身份驗證，基於TCP，加密客戶端與服務端的所有流量。
        Diameter：對等協議，擴展了RADIUS協議，允許通過不同技術來進行不同類型身份驗證。AAA 協議，功能更多，更靈活，支持大量使用無線技術的協議。

分散式訪問控制管理

RADIUS：遠程接入認證，主要解決傳輸層以下的認證接入問題，UDP，靜態密碼，
TACAS：遠程接入認證，增加安全認證
Diameter：RADIUS的升級版，增加安全認證，多種方式接入等等。

5.7 訪問控制方法

行政管理性控制
            人員結構
            監管結構
            安全意識培訓結構
            測試
物理性控制
            網絡分段
            周邊安全
            計算機控制
            工作區隔離
            布線
            控制區
技術性控制
            系統訪問
            網絡架構
            網絡訪問
            加密和協議
            審計

5.8 可問責性

記錄用戶、系統和應用程序的活動來跟蹤可問責性，還可用於提供有關任何可疑活動的報警。

系統級事件、應用程序級事件、用戶級事件。

5.9 訪問控制實踐

客體重用：將先前包含一個或多個客體的介質重新分配給主體。

TEMPEST設備的目的是阻止入侵者通過偵聽設備從電磁波中獲得信息，一種采用屏蔽材料抑制信號輻射的標准化技術。TEMPEST技術是復雜的、笨重的、昂貴的，只用於需要高度保護的高度敏感區域。

自噪聲：使入侵者無法從電磁波傳輸中獲取信息的方法，均勻頻譜的隨機電子信號。

控制區：創建了一個安全邊界，確保不會對數據進行未授權訪問。

5.10 訪問控制監控

（1）入侵檢測系統（IDS）：檢測性

兩種主要類型：網絡型（NDIS）—監控網絡通信；主機型（HIDS）—能夠分析特定計算機系統內的活動。

（知識）特征型IDS： 模式匹配、狀態匹配

（行為）異常型IDS：基於統計異常、基於協議異常、基於流量異常、

規則型或啟發型IDS

特征型IDS：目前最常用的IDS產品，只能識別已被標識為特征的攻擊，無法應對新出現的攻擊。

狀態型IDS：比較初始狀態和侵入狀態，與規則相匹配報警，上下文掃描攻擊特征，只能標識已知攻擊。

統計異常IDS： 能夠檢測0day攻擊，但存在大量報率，需網絡管理員進行處理。上限過低，容易誤報，上限過高，容易漏報。

協議異常IDS：監控每一個協議

流量異常IDS：大多數行為型IDS使用基於流量異常的過濾器，檢測流量模式的變化

規則型IDS：更加復雜，要用到一個專家系統，由知識庫、推理引擎和規則型編程組成，系統的知識以規則性編程（IF THEN）編寫。無法檢測新的攻擊。

（2）入侵防御系統（IPS）：防范性

檢測惡意活動，並禁止這類流量活動訪問它的攻擊目標。

5.11 對訪問控制的幾種威脅

字典攻擊

蠻力攻擊（窮舉攻擊）

登錄欺騙：假的登錄界面，誘騙用戶嘗試登錄。

網絡釣魚：社會工程攻擊

網絡嫁接：劫持dns解析

問題難點：

1、訪問控制是一種機制：主體對客體的訪問控制。Identification(識別主體身份)—-authentication(鑒別，證明身份)—-authorization(授權，授權控制)—accountabilite(問責，審計非法行為)

2、訪問控制模型主要有3種：自主、強制型和非自主訪問控制（又被叫做基於角色的訪問控制）。

非自主訪問控制具有一個中央授權來決定主體可以訪問什么客體，以及是基於角色還是組織安全策略。基於規則的訪問控制的訪問是由規則決定的，這些規則適合非自主訪問控制。根據組織安全策略確定主體可以訪問某些對象。

3、強訪問控制中，敏感標記包含對象的分級、分類設置，引入用戶安全級別聲明和數據分類，安全標簽。

4、多級安全策略的必要組成部分：主體安全聲明&適合與唯一客體的敏感標記和強制訪問控制。

5、生物識別在訪問控制中，扮演身份驗證的角色，某些情況下，可用於身份標識。

6、格模型具有值的最小上界和最大下界的幾組元素的訪問控制類型。基於網格訪問控制為一個主體提供訪問能力的上下限。

7、RADIUS包括認證服務器、靜態和動態密碼支持。

8、TACACS 采用用戶ID和靜態密碼進行網絡訪問。

9、基於主機的入侵檢測系統HIDS 最大的缺點是 可能對主機操作系統侵害性很大。

10、鑒別 最能確保一個系統中采取行動的用戶問責。

​