本文摘自CISSP官方学习指南第八版

一、控制物理和逻辑访问

1.0 控制对资产的访问

控制对资产的访问是安全性的核心主题之一：

信息：组织的信息包括其所有数据。

系统：组织的系统包括提供一个或多个服务的任何IT系统。

设备：设备指任何计算系统，包括服务器、台式计算机、笔记本、平板电脑、智能手机和外部设备。

设施：组织的设施包括其拥有或租赁的任何物理位置。

人员：为组织工作的人员也是组织的宝贵资产。保护人员的主要方法之一是确保采取适当的安全措施以防止伤害或死亡。

1.1 比较主体和客体

访问控制解决的不仅是控制哪些用户可访问哪些文件或服务，它是关于实体（即主体和客体）之间的关系。访问是将信息从客体（Object）传递到主体（Subject），这使得理解主体和客体的定义变得很重要。

主体 ：主体是活动实体，它访问被动客体以从客体接收信息或关于客体的数据。主体可以是用户、程序、进程、服务、计算机或可访问资源的任何其他内容。授权后，主体可修改客体。

客体： 客体是一个被动实体，它向活动主体提供信息。文件、数据库、计算机、程序、进程、服务、打印机和存储介质等都是客体。

1.2 CIA 三性和访问控制

组织实施访问控制机制的主要原因之一是防止损失。IT损失分为三类： 损失保密性（Confidentiality）、可用性（Availability）和完整性（Integrity），合称为CIA。保护这些损失是IT安全的重要组成部分，它们通常称为CIA三性。

保密性 ：访问控制有助于确保只有授权的主体才能访问客体。当未经授权的实体可访问系统或数据时，或导致保密性的丧失。完整性：完整性可确保经授权后才能修改数据或系统配置，另外或者如果发生未经授权的更改，安全控制将检测更改。如果发生对客体的未授权的或不需要的更改，则会导致完整丢失。可用性：必须在合理的时间内向主体授予访问客体的权限。系统和数据应该在需要时可供用户或其他主体使用，如果系统无法运行或数据无法访问，则会导致可用性降低。

1.3 访问控制的类型

通常，访问控制是对控制资源的访问的任何硬件、软件或管理策略或过程。目标是提供对授权主体的访问并防止未授权的访问尝试。访问控制包括一下总体步骤：

识别并验证尝试访问资源的用户或其他主体确定访问是否已获得授权根据主体的身份授予或限制访问权限监控和记录访问尝试

这些步骤涉及广泛的控制。三种主要控制类型是预防（preventive）、检测（detective）和纠正（corrective）。

还有其他四种访问控制类型，通常称为威慑（deterrent）、恢复（recovery）、指示（directive）和补偿（compensating）访问控制。

预防访问控制：预防性控制试图阻止不必要或未经授权的活动发生。例如：栅栏、锁、照明、警报系统、安全策略、安全意识培训、CCTV、防火墙、反病毒软件、入侵预防系统。检测访问控制：检测性控制尝试发现或检测不需要的或未经授权的活动。例如：运送探测器、岗位轮换、强制性休假策略、审计踪迹、蜜罐、用户监督和审查以及事故调查。纠正访问控制：纠正控制修改环境、以便在发生意外或未授权的活动后将系统恢复正常。例如：备份和恢复计划。威慑访问控制：威慑访问控制试图阻止违反安全策略。威慑和预防控制是相似的，但威慑控制往往取决于个人决定不采取不必要的行动。相反，预防性控制阻止了该动作。例如：安全意识培训、警卫。恢复访问控制：恢复访问控制尝试在安全策略违规后修复或恢复资源和功能。例如：备份和还原，容错驱动器系统。补偿访问控制：当无法使用主控制时，或在必要时提高主控制的有效性时，补偿访问控制提供了一种替代方案。管理访问控制：管理访问控制是由组织的安全策略和其他法规或要求定义的策略和过程。逻辑、技术控制：逻辑访问控制（也称为技术访问控制）时用于管理访问并为资源和系统提供保护的硬件或软件机制。使用的是技术手段。物理控制：物理访问控制是你可以物理触摸的项目。包括用于防止、监控或检测与设施内的系统或区域直接接触的物理机制。例如：防护装置、围栏、摄像机、陷阱和警报。

二、身份标识与认证

2.0 比较身份识别和身份验证

身份识别（Identification）是主体声明或宣称身份的过程。主体必须向系统提供身份以启动身份验证、授权和问责流程。身份验证的核心原则是所有主体必须具有唯一的身份。

身份验证：通过一个或多个因素与有效身份数据库进行比较来验证主体的身份。用于验证身份的身份验证信息是私有信息，需要加以保护。

身份识别和身份验证始终作为一个两步过程一起发生。提供身份是第一步，提供身份验证信息是第二步。如果没有这两者，主体就无法访问系统。

2.1 身份注册和证明

当用户首次获得身份时，将发生注册过程。越安全的身份验证方法，其注册过程越复杂。

2.2 授权和问责

访问控制系统中的两个附加安全要素是授权（Authorization）和问责（Accountablity).

授权：主体基于已证实的身份被授予对客体的访问权限。例如：管理员根据用户经过验证的身份授予用户访问文件的权限。

问责：在实施审计时，用户和其他主体可以对其行为负责。审计在访问客体时跟踪主体和记录，在一个或多个审计日志中创建审计踪迹。例如，审计可以记录用户何时读取、修改或删除文件，审计提供问责。

除授权和问责制要素外，有效的访问控制系统还需要强有力的身份识别和身份验证机制。主体具有独特的身份，并通过身份验证证明其身份。管理员根据主体的身份授予对应的访问权限。根据已证实的身份记录用户操作可提供问责制。

授权

授权标识可以信任谁执行特定操作。如果允许该行动，则给主体授权；如果不允许，则不给该主体授权。

重要的是要意识到用户或其他实体可以对系统进行身份验证，并不意味着它们可以访问任何内容。主体基于其经过验证的身份被授予访问特定对象的权限，授权过程可确保根据分配给主体的权限，可以访问所请求的活动或对象。管理员仅根据最小特权原则授予用户完成工作所需的权限。

问责

审计、记录和监控通过确保主体对其行为负责来提供问责制。审计是在日志中跟踪和记录主体活动的过程。关于问责制的压力有一个微妙但重要的意义。问责制依赖于有效的身份识别和身份验证，但不需要有效的授权。换句话说，在识别和验证用户之后，诸如审计日志之类的问责机制可以跟踪它们的活动，即使它们试图访问它们未被授权访问的资源。

2.3 身份验证因素

三种基本的身份验证方法、类型或因素如下：

类型1 ， 类型1身份验证因素是你知道什么。例如：密码

类型2，类型2 身份验证因素是你拥有什么。例如：智能卡

类型3， 类型3身份验证因素是你是谁或你做了什么。它是用不同类型的生物识别技术识别的人的身体特征。

正确实施时，这类类型逐渐变强，类型1最弱，类型3最强。换句话，密码（类型1）时最弱，而指纹（类型3）比密码更强。

你在什么地方：根据特定的计算机识别主体的位置，主要通过IP地址或者来电显示识别地理位置。通过物理位置控制访问迫使主体出现在特定位置，地理定位技术可根据IP地址识别用户位置，并由某些身份验证系统使用。

上下文感知身份验证： MDM（Mobile Device Management）移动设备管理系统使用上下文感知身份验证来识别移动设备用户。

2.4 密码

最常见的身份验证技术是使用密码和类型1身份验证。密码是弱安全机制，原因如下：

用户经常选择易于记忆的密码，因此易于猜测或破解。随机生成的密码很难记住；因此，许多用户将其写下来用户经常共享密码，或忘记密码攻击者通过多种方式检测密码，包括观察、嗅探网络和窃取安全数据库密码有时以明文或易于破解的加密协议传输。攻击者可以使用网络嗅探器捕获这些密码密码数据库有时存储在可公开访问的在线位置暴力攻击可快速发现弱密码创建强密码

当用户创建强密码时，密码最有效。

最长期限：此设置要求用户定期更改其密码，例如，每45天更改一次。

密码复杂性：密码的复杂性是指它包含的字符类型的数量。例如：大小写、符号、数字

密码长度：长度时密码中的字符数。

密码历史：许多用户养成了轮换使用两个密码的习惯。密码历史记录会记住一定数量的先前密码，并阻止用户重复使用历史记录中的密码。

一下建议可帮助创建强密码：

请勿使用你的姓名、登录名、电子邮件地址、员工编号..请勿使用社交网络资料中提供的信息，例如家庭成员姓名、出生日期不要使用字典单词，俚语或行业首字母缩写使用非标准大写和拼写用特殊字符和数字替代字母密码短语

比基本密码更有效的密码机制是密码短语。好处，容易记住，它鼓励用户创建更长的密码。

认知密码

另一种密码机制是认知密码。例如，创建账户时可能会向主体提出三到五个问题。例如：

你的生日时什么时候你妈妈的娘家姓时什么你的第一个老板叫什么你的第一个宠物的名字

系统会对这些问题验证，用户正确回答了所有问题，用户的身份验证系统将获得通过。

2.5 智能卡和令牌

智能卡和令牌都是类型2身份验证因素（或者你拥有什么）的示例。它们很少单独使用，但通常与另一个身份验证因素相结合，提供多因素身份验证。

智能卡

智能卡是信用卡大小的ID或徽章，其中嵌入了集成电路芯片。智能卡包含用于标识和、或身份验证目的的授权用户的信息。大多数当前的智能卡包括微处理器以及一个或多个证书。证书用于非对称加密。智能卡具有防篡改功能，为用户提供了一种携带和使用复杂加密密钥的简单方法。

用户在进行身份验证时将卡插入智能卡读卡器。通常要求用户也输入PIN或密码作为智能卡的第二个身份验证因素。

令牌

令牌设备或硬件令牌是用户可随身携带的密码生成设备。Token

同步动态密码令牌：创建同步动态口令的硬件令牌是基于时间的，并与身份验证服务器同步。

异步动态密码令牌：异步动态密码不使用时钟，而是基于算法和递增计数器生产密码。

两步身份验证

HOTP，（HMAC-based One-Time Password，基于HMAC的一次性密码）标准创建一次性密码的散列函数。

TOTP，基于时间的一次性密码标准与HOTP类似。但是，它使用时间戳并在某个时间范围内保持有效，例如 30秒。如果用户未在时间范围内使用，着TOTP密码过期。

许多在线组织使用HOTP和TOTP的组合，并使用两步验证为用户提供一次性密码。

许多在线网站使用的另一种流行的两步验证是电子邮件挑战。

2.6 生物识别技术

生物识别因素属于类型3，也就是”你是谁“身份验证类别。

生物特征通常被定义为生理特征或行为特征。

生理特征识别方法包括指纹、面部扫描、视网膜扫描。

行为生物识别包括签名动态和击键模式。这些有时被称为”你做了什么“

面部识别使用面部的几个图案进行检测和识别。

视网膜扫描:视网膜扫描重点是眼睛后部的血管模式。它们是最准确的生物识别身份验证形式，可区分同卵双胞胎。

虹膜扫描：聚焦于瞳孔周围的彩色区域，虹膜扫描是第二种最准确的生物识别身份验证形式。

手掌扫描：手掌扫描仪扫描手掌以进行识别。它们使用近红外线来测量手掌中的静脉图案，这些图案与指纹一样独特。

手部几何图形：手几何形状识别手的物理尺寸。包括手掌和手指的宽度和长度。

心脏、脉冲模式：测量用户的脉搏或心跳可确保真人提供生物特征因素。它通常用作辅助生物识别以支持其他类型的身份呢验证。

语音模式识别：这种类型的生物识别身份验证依赖于人的说话声音的特征，称为声纹。

签名动态：这可识别主题如何写入一串字符。依赖于笔压力、笔划图案、笔划长度等。

击键模式：击键模式（也称为击键动态）通过分析飞行时间和停留时间来测量主体如何使用键盘。

生物特征因素误差评级

- 错误拒绝率：当未对有效主体进行身份验证时，会发生错误拒绝。 错误拒绝与有效身份验证的比率称为错误拒绝率（FRR），错误拒绝也被称为I型错误。

- 错误接受率：当对无效主体进行身份验证时，会发生错误接受。这也称为误报身份验证。误报率与有效身份验证的比率称为错误接受率（FAR），错误接受也被称为II型错误。

大多数生物识别设备都具有灵敏度调整。当生物识别设备过于敏感时，错误拒绝（假阴性）更常见。当生物识别设备不够灵敏时，错误接受（误报）更常见。

你可将生物识别设备的整体质量与交叉错误率(CER)进行比较，也称为等错误率（ERR）。

生物识别登记

由于注册时间，吞吐率和接受度等因素，生物识别设备可能无效或不可接受。要使生物识别设备作为识别或身份验证机制，必须进行注册过程。

扫描和存储生物特征所需的时间取决于测量的物理或性能特征。超过2分钟的注册时间时不可接受的。如果你使用随时间变化的生物特征，如语音、面部等，则必须定期重新注册。

吞吐率时系统扫描主体并批准或拒绝访问所需的时间。生物特征越复杂或越详细，处理时间越长。主体通常接受约6秒或更快的吞吐率。

2.7 多因素身份验证

多因素身份验证时使用两个或多个因素的任何身份验证。双因素身份验证需要两个不同的因素来提供身份验证。

2.8 设备验证

设备指纹识别，用户可向组织注册它们的设备，并将设备与他们的用户账户关联。（MDM） 802.1X 是用于设备验证的另一种方法。

2.9 服务身份验证

服务账户只是为服务而不是为人创建的。 可将服务配置为使用基于证书的身份验证。证书将颁发给运行服务的设备，并在访问资源时由服务提供。

三、身份即服务

身份管理技术通常分为两大类：集中式和分散式/分布式。

集中访问控制意味着所有授权验证都由系统内地单个实体执行。分散式访问控制（也称为分布式访问控制）意味着位于整个系统中的各种实体执行授权验证。

小团队或个人可管理集中访问控制，管理开销低，因为所有更改都在单个位置进行，而单个更改会影响整个系统。

分散式访问控制通常需要多个团队或多个人。管理开销较高，因为必须在多个位置实施更改。随着访问控制点数量的增加，保持系统一致性得更困难。需要在每个接入点重复对任何单个访问控制点所做得更改

3.1 单点登录

Single Sign-on，SSO 是一种集中式访问控制技术，允许主体在系统进行一次身份验证，并且不需要再次进行身份验证即可访问多个资源。

SSO的缺点是，一旦账户遭到入侵，攻击者就可以获得多所有授权资源的无限制访问权限。

保护机制常见如下几种：

LDAP 和集中访问控制LDAP和PKI （Public Key Infrastructure）在将数字证书集成到传输中时使用LDAPKerberos ，kerberos使用端到端安全性为身份验证流量提供保密性和完整性，并有助于防止窃听和重放攻击。

- 密钥分发中心（KDC）是提供身份验证服务的可信第三方。

- Kerberos 身份验证服务器 ，身份验证服务器托管KDC的功能。

- 票据授予票据 ，票据授予票据（TGT）提供证据证明主体已通过KDC进行身份验证。

- 票据，是一种加密消息，提供主体有权访问客体的证据。

kerberos需要一个账户数据库，该数据库通常包含在目录服务中。它使用客户端、网络服务器和KDC之间的票据交换来证明身份并提供身份验证。

Kerboeros登录过程的工作方式如下：

用户在客户端输入用户名和密码客户端使用AES加密用户名以传输到KDCKDC根据已知凭据的数据库验证用户名KDC生成由客户端和kerberos服务器使用的对称密钥，它使用用户名密码散列对此进行加密。KDC还生成加密的带时间戳的TGT然后KDC将加密的对称密钥和加密的带时间戳的TGT发送到客户端客户端安装TGT以供使用，直到它过期。客户端还使用用户名密码的散列来解密对称密钥。

当客户端想要访问客体时，它必须通过kerberos服务器请求票据。过程如下：

客户端将其TGT发送回KDC，并请求访问该资源。KDC验证TGT是否有效，并检查其访问控制矩阵以验证用户是否具有足够的权限来访问所请求的资源KDC生成服务票据并其jian发送给客户端客户端将票据发送到托管资源的服务器或服务托管资源的服务器或服务使用KDC验证票据的有效性验证身份和授权后，kerberos活动即告完成。然后，服务器或服务主机打开与客户端的会话，并开始通信或时间传输。

Kerberos是一种通用的身份验证机制，可在本地LAN，远程访问和“客户端-服务器”资源请求上运行。

但是Kerberos存在单点故障-KDC，如果KDC受到威胁，网络上每个系统的密钥也会受到损害。此外，如果KDC脱机，则无法进行主体身份验证。

它还具有严格的时间要求，默认配置要求所有系统在五分钟内进行时间同步。如果系统未同步或时间已更改，则先前发布的TGT将不再有效，系统将无法接收任何新票据。实际上，将拒绝客户端访问任何受保护的网络资源。

联合身份管理和SSO

许多基于云的应有程序使用联合身份管理，这是一种SSO。（例如，微信账户登录各种系统）

联合身份系统通常使用安全断言标记语言（Security Assertion Markup Language，SAML）和或服务配置标记语言（Service Provisioning Markup Language，SPML）

-- 超文本标记语言，通常用于显示静态网页。

-- 可扩展标记语言，不仅描述如何通过实际描述数据来显示数据，还可包含用于描述数据的标记。

-- 安全断言标记语言，SAML是一种基于XML的语言，通常用于在联合组织之间交换身份验证和授权（AA）信息。它通常用于为浏览器访问提供SSO

-- 服务配置标记语言，SPML是由OASIS开发的一种新框架，

-- 可扩展访问控制标记语言，Extensible Access Control Markup Language，XACML）用于定义XML格式的访问控制策略。它通常将策略实现为基于属性的访问控制系统，但也可以使用基于角色的访问控制。

-- OAuth2.0 ， 开放式身份验证 是一种用于访问委派的开放标准。（例如，微信账户登录各种系统）

-- OpenID，也是一个开放标准，它提供分散式身份验证，允许用户使用由第三方服务维护的一组凭据登录多个不相关的网站。OpenID连接是使用OAuth2.0框架的身份验证层。

脚本访问

脚本访问或登录脚本通过提供在登录会话开始时传输登录凭据的自动过程来建立通信连接。脚本访问通常也可以模拟SSO。脚本可用于在没有真正SSO技术的环境中实施SSO。

3.2 凭据管理系统

凭据管理系统为用户提供存储空间，以便在SSO不可用时保留其凭据。用户可存储需要不同凭据集的网站和网络资源凭据。管理系统通过加密来保护凭据，以防止未经授权的访问。（Bitwarden)

3.3 集成身份服务

身份即服务（Identity as a Service，IDaaS）是提供身份和访问管理的第三方服务。 Google 和Office365 为例。

3.4 管理会话

使用任何类型的身份验证系统是，管理会话以防止未经授权的访问都非常重要。

安全的在线会话通常会在一段时间后终止。（session expried）

3.5 AAA协议

身份验证、授权和问责 称为AAA（Authentication，Authorization and Accounting). 下面介绍常见的AAA协议：

RADIUS ， 远程身份验证拨入用户服务集中了远程连接的身份验证。它通常在组织具有多个网络访问服务器时使用。用户可连接到任何网络访问服务器，然后，它将用户的凭据传递给RADIUS服务器，以验证身份、授权以及问责。Raudis使用用户数据报协议（UDP）并仅对密码的交换进行加密。它不会加密整个会话，但可使用其他协议来加密数据会话。TACACS+ ， 终端访问控制器访问控制系统是RADIUS的替代方案。它将身份验证，授权和问责分离为单独的进程。如有必要，可将这些进程托管在三个单独的服务器上。TACACS+加密所有身份验证信息，TACAS和XTACACS 使用UDP 49端口，而TACACS+使用TCP 49端口。为数据包传输提供更高级别的可靠性。Diameter ， 支持多种协议 传统IP，移动IP和VoIP。 它是RADIUS的升级版，但它不向后兼容RADIUS。使用TCP端口3868 或流控制传输协议SCTP 3868端口。提供比RADIUS使用UDP更好的可靠性。它还支持用户加密的互联网协议安全IPSec和传输层安全TLS

4.0 管理身份和访问配置生命周期

身份和访问配置生命周期是指账户的创建、管理和删除。访问控制管理是在账户生命周期中，管理账户、访问和问责所涉及的任务和职责的集合。

这些任务包含在身份和访问配置生命周期的三个主要职责中，配置、账户审核和账户撤销。

4.1 访问配置

身份管理的第一步是创建新账户并为其配置设当的权限。用户账户在整个生命周期中都需要持续维护。

4.2 账户审核

应定期审核账户，以确保正在执行安全策略。这包括确保禁用非活动账户并且员工没有过多权限。

防范和访问控制相关的两个问题非常重要：过度权限和蠕变权限（creeping privileges）

当用户拥有比完成所需工作更多的权限时，就会形成过度权限。应立即撤销不必要的权限。当用户账户随着工作角色和分工的更改而累积权限，这可能时因为将新任务添加到用户的工作中并添加了其他权限，但永远不会删除不需要的权限。蠕变权限回导致过多的权限。

这两种情况都违反了最小特权的基本安全原则。最小特权原则确保主体仅被授予执行其工作任务和工作职能所需的权限。

4.3 账户撤销

当员工处于任何原因离开组织时，务必尽快停用其账户。包括员工请假时间。

对于可能还需要的账户，不应立即删除。当确认不再需要该账户时，再将其删除。

还可设置特定账户到期日。