2021年2月22日
控制:对资产的访问是安全性额核心主题之一
资产包括:信息、系统、设备、设施、人员
访问控制:阻止信息的未授权访问
BYOD:个人设备上的数据仍是阻止的资产
主体:活动实体发出访问请求。可以是用户、程序、进程
客体:被动实体想活动主题提供信息。可以是文件、数据库、程序、计算机、进程、服务、打印机、存储介质
三种访问控制的类型
1.预防(Preventive)阻止不必要或未授权的活动。例如:栅栏、锁、照明、警报系统、岗位轮换、测试、加密、审计、智能卡、防火墙、安全意识培训。
2.检测(Detective)尝试发现或检测不需要或未授权的活动。例如:安全防护装置、记录、审计、CCTV、岗位轮换、蜜网、用户监督、事故调查。
3.纠正(Corrective)纠正控制修改环境,在发生意外或未授权的活动后将系统恢复正常。例如:删除或隔离病毒的反病毒方案,备份恢复计划,可以修改环境以阻止正在进行的***检测系统。
其他四种访问控制类型:
威慑访问控制:试图阻止违反安全策略,和预防控制类似。
恢复访问控制:违规后修复或恢复资源和功能,纠正控制的扩展。
指示访问控制:指导、限制、控制主体的操作,例如:发通知、安全出口标志。
补偿访问控制:主控制方式的替代方案,例如:无智能卡时,发放临时卡。
按时限方式分类:
1.管理访问类型:有组织的安全策略或其他法规要求定义的策略。重点关注人员和业务实践,例如:策略、背景调查、安全培训、报告和评审、人员控制、分类和标记数据、招聘实践、测试。
2.逻辑/技术控制:为资源和系统提供保护的硬件或软件机制,就是技术有段。例如:身份验证、加密、受限接口、协议、防火墙。
3.物理控制:可以物理触摸的项目,防止监控、检测的设备。例如:防护装置、围栏、门、锁、电缆保护、徽章、护卫犬、警报。
身份识别:主题声明或宣称身份的过程,核心:主题身份唯一性。
身份验证:使用一或多因素与有效身份数据库比较验证主体的身份。 验证信息是私有信息,需加以保护。
身份注册,越安全的身份验证方式,注册越复杂。
授权和问责:
授权是基于已证实的身份被授予对客体的访问权限。
问责,在实施审计时,用户和其他主体可以对其行为负责。
身份验证因素:
1.类型1,“你知道什么”,密码、PIN码。
2.类型2,“你拥有什么”,智能卡、硬件令牌、存储卡、U盘。
3.类型3,“你是谁或你做了什么”,生物识别:指纹、声纹、虹膜、面部、掌纹;签名、击键动作。
4.你在什么地方,通过IP、来电显示识别地。
5.上下文感知身份验证,移动设备上常用位置、时间、移动设备手势。
密码:br/>1.强密码:最长期限、密码复杂度、长度、密码历史
2.密码短语:通过一句话,将其中的部分内容进行替换:1P@ssedTheC1SSPEx@m
3.认知密码:一系列问题,缺陷:可以从互联网获得。
智能卡:嵌入了集成电路芯片的ID或徽章。
令牌:用户随身携带的密码生成器。同步动态密码令牌:基于时间,定期生成新密码,要求时间一致;异步动态密码令牌:基于算法和递增计数器。缺陷:电池耗尽或设备损坏,用户讲无法访问。
两步认证:用户名密码+手机短信,其中的手机相当于硬件令牌。
HOTP值在使用前保持有效
TOTP值在特定时间内未使用会过期。
漏洞:手机锁屏时,不应看到短信密码。
生物识别技术
1.指纹:手指上的可见图案。
2.面部扫描:准确度,面部几何图案。
3.视网膜扫描:眼睛后部的血管模式,最准确的生物识别手段,要求3英寸距离。
4.虹膜扫描:瞳孔周围的彩色区域,第二准确,6-12米可完成。
5.手掌扫描:静脉图案。
6.心脏脉冲模式:至今未测试可靠性,脉搏或心跳。
7.语音模式:声音特征。
8.签名动态:用笔压力、笔划图案、笔划长度等。
9.击键模式。
错误拒绝率:生物识别中发生错误导致拒绝访问,I型错误,FRR
错误接受率:生物识别中发生错误导致接受访问,II型错误,FAR
交叉错误率CER:FRR和FAR百分比相等的点,用作标准评估值,来比较不同生物识别设备的准确度,越低越好。
多因素身份验证
设备验证:
1.设备指纹识别:OS,浏览器、字体、插件、时区等。
2.MDM使用上下文感知身份验证方法来识别设备。
3.802.1x是另一种设备验证的方法。
服务身份验证:高强度密码、密码用不过期、证书验证
实施身份管理:
1.单点登录:SSO,使用方法提升安全性,一旦遭到***,损失巨大。LDAP和集中访问;LDAP和PKI;Kerberos(最常见的第三方身份验证机制);联合身份管理和SSO(SAML,OAuth2.0,OpenID);脚本访问。
2.凭据管理系统:Windows,免费工具KeePass
3.集成身份服务:IDaas
4.管理会话:屏保,会话过期。
5.AAA协议:Radius,Diameter,TACACS+。
Radius:使用UDP,密码交换加密
TACACS+:替代radius,TACACS,XTACACS,其中TACACS+最常用,身份验证,授权,问责,三个独立进程,可以分开部署,加密所有身份验证信息,使用TCP49。TACACS和XTACACS使用UDP49
Diameter:增强版Radius,支持IP、移动IP、VoIP,使用TCP3868,或SCTP 3868
管理身份和访问配置生命周期
1.访问管理:自动配置系统,安全策略和程序,培训,用户账户在整个生命周期中需持续维护。
2.账户审核:使用脚本检查,问题是过渡权限、蠕变权限、违反最小特权原则。
3.账户撤销:离职停用账户,临时账户设定到期时间,到期后自动停用,防止忘记。
课后习题20题,只错了1个。