23 复习访问控制Word文档下载推荐.docx
- 文档编号:21381710
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:15
- 大小:166.87KB
23 复习访问控制Word文档下载推荐.docx
《23 复习访问控制Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《23 复习访问控制Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
因为职责轮换一般都涉及到放假,所以职责轮换也通常成为强制放假。
职责轮换除了可以进一步的防止重要岗位的欺诈之外,另外也可以让人员熟悉本来不属于他负责的其他工作,为业务流程的岗位安排带来人员备份和协调工作能力提升的好处。
最低权限,就是管理层只给用户分配满足他的日常工作所需的权限,比如财务部门的用户不允许访问审计部门的数据和资源、销售部门的用户不能访问产品定价等。
在军事领域里面也有一个类似的“Needtoknow”的原则,这就是最低权限原则的一个特例。
最低权限原则还在系统架构设计、操作安全、网络安全等领域有所要求,属于CISSP知识体系中较为重要的概念,在复习时可以适当关注一下。
以上介绍到的都是属于访问控制CBK中最关键的概念,CISSP考试时对这几个概念的考察也是比较多的,在复习时可以充分结合工作经验或常见案例,掌握这几个概念。
17复习访问控制
(2)
上一篇文章《复习访问控制》里,J0ker给大家介绍了访问控制的基本概念和三种访问控制类型(物理、逻辑和管理)的基本原则。
我们知道,信息安全和每个安全相关的技术,目标都是为了保护信息资产的保密性、完整性和可用性(CIA)中的一个或全部不受损害,访问控制也是如此。
因此,J0ker打算给大家介绍一下访问控制CBK所对应的C-I-A保护范围和涉及访问控制的一些常见威胁。
一、威胁的分类
访问控制通常部署在信息设施中,对信息处理环境——系统(包括硬件、操作系统和应用程序)、网络平台及连接(Intranet、Extranet和Internet)提供保护。
除此之外,访问控制还对物理环境,诸如建筑物的入口、计算机中心,乃至特定的个人工作站。
要更深入了解访问控制,必须先了解影响系统资源的各种威胁,单从保密性、完整性和可用性三者的层次上来说,这些威胁可以分类成:
保密性威胁:
指某个实体,包括个人、程序或计算机获取对敏感信息的访问权。
保密性威胁是访问控制针对的主要威胁类型之一。
完整性威胁:
指某个实体XX访问并影响系统资源,另外一种完整性威胁的表现形式是实体XX的对系统资源进行添加或修改。
完整性威胁也是访问控制针对的主要威胁类型之一。
可用性威胁:
指系统中的某个资产被摧毁、使之不可用或变得无用。
二、常见威胁列表
仅仅从C-I-A这个层次上去了解威胁的类型是远远不够的,我们在日常工作中所遭遇到的威胁往往更具体更技术化。
下面J0ker再列举一下具体的威胁例子以帮助大家对访问控制所涉及的威胁有更深入的了解,当然,因为IT技术和威胁都在迅速的发展,J0ker不可能给出一个十分完整的威胁列表,下面所举出的例子,更多的是为了让大家了解常见威胁及其内容,并了解这些常见威胁属于哪种影响系统的威胁类型。
另外,J0ker是按照这些威胁的英文单词顺序来列的,而非它们的重要程度或出现频率。
缓冲区溢出(BufferOverflow):
缓冲区溢出是软件中最古老也最常见的问题,它是因为一个程序所获得的输入超出了它缓冲区的容量,导致程序出现异常并改变运行路径。
缓冲区溢出通常会导致恶意代码的插入执行或程序获得管理员权限。
缓冲区溢出属于破坏保密性和可用性的威胁。
隐蔽信道(ConvertChannel):
隐蔽信道指违反组织安全策略的隐蔽的数据传输路径,通常出现在两个或多个用户共享信息时。
隐蔽信道包括时间信道(TimingChannel)和存储信道(StorageChannel)。
隐蔽信道属于破坏保密性的威胁。
数据残余(DataRemanence):
数据残余指在磁盘存储设备被消磁或数据被覆盖后,磁盘上仍存在的可被读出的数据。
这些残余的数据可能会被有意或无意读出,并导致泄密。
数据残余属于破坏保密性的威胁。
垃圾回收(DumpsterDiving):
垃圾回收指攻击者通过翻找组织的垃圾桶,并在其中获得诸如用户名、密码等有价值信息的攻击手法。
垃圾回收属于破坏保密性的威胁。
监听(Eavesdropping):
指攻击者使用软件(如嗅探器等)监听网络,或使用设备对电信网络中所传输的数据进行监听的活动。
监听属于破坏保密性的威胁。
电磁侦听(Emanations):
指攻击者使用特殊的设备,对目标硬件设备散发出来的电磁辐射、各种无线网络的信号等进行获取并还原的行为。
电磁侦听属于破坏保密性的威胁。
黑客(Hacker):
黑客通常指通过技术手段获得非授权的系统访问,黑客有多种类型,如白帽黑客(White-Hat,合法的漏洞研究者)、黑帽黑客(Black-Hat,通过攻击来炫耀自己的技术人员)、恶意黑客(MaliciousHacker,会导致危害或损失的攻击者),通常我们常说的黑客,指的就是恶意黑客。
身份伪造(Impersonation):
指攻击者伪装自己成为一个授权用户以获得未授权访问。
身份伪造属于破坏保密性的威胁。
内部入侵者(InternalIntruder):
指组织内部人员使用外部入侵者的手法对组织的敏感信息进行未授权访问。
通常可以分为两种类型:
授权用户尝试去访问没有得到授权的信息或资源;
授权用户尝试物理访问没有得到授权的设备。
内部入侵者属于破坏保密性的威胁。
处理能力损失(Lossofprocessingcapability):
指由于系统由于有意或意外的破坏停止进行信息处理。
处理能力损失属于破坏可用性的威胁。
恶意代码(MaliciousCode):
指可以违反安全策略访问系统或获得最高系统权限的代码。
恶意代码威胁还会在下面的文章中详细介绍。
中间人攻击(Maninthemiddle):
指攻击者在网络中拦截并重定向数据通讯,以期获取数据通讯中的敏感信息。
中间人攻击属于破坏保密性的威胁。
移动代码(MobileCode):
指通过网络从一个服务器上传输到客户端,并在客户端上执行的可执行内容,Java和VBscript便是很好的例子。
目标重用(ObjectReuse):
指某个实体(用户、程序等)可以访问前一个实体访问磁盘、内存、临时文件等留下的信息,造成敏感信息的未授权访问。
目标重用属于破坏保密性的威胁。
密码破解(PasswordCracker):
指专用于在密码文件里面获取加密密码的软件或程序,如果未授权用户能够对密码文件进行访问,就有可能通过破解密码文件内保持的密码,从而获得对敏感信息的访问权限。
物理访问(PhysicalAccess):
指对信息处理设施,如网络设备、主机、设施附属设施的物理访问。
物理访问控制在物理安全CBK中会有详细介绍。
重放(Replay):
指攻击者通过在在网络中捕获数据包并重新发送给目标主机以获得未授权的访问。
重放攻击属于破坏保密性和完整性的威胁。
嗅探器(Sniffer):
指能够在网络上读取或捕获数据包的软件工具,攻击者通常使用嗅探器来获得敏感信息。
嗅探器属于破坏保密性的威胁。
IP欺骗(Spoofing):
指攻击者通过IP欺骗获取只验证客户端IP的服务器访问权限。
IP欺骗属于破坏保密性的威胁。
社会工程学(SocialEngineering):
指未授权用户通过欺骗授权用户以获取对敏感信息访问的行为。
间谍行为(Spying):
指攻击者通过诸如窃听、摄像等高科技手段来获取敏感信息的活动。
间谍活动属于破坏保密性的威胁。
针对性数据挖掘(Targeteddatamining):
指通过搜索数据库的可读信息,并根据可读信息推断出敏感信息内容的行为。
针对性数据挖掘属于破坏保密性的威胁。
后门(Trapdoor):
指系统开发者在系统程序中留下的可供其不经过验证就访问系统资源的功能。
后门属于破坏保密性的威胁。
隧道(Tunneling):
指跳过系统所提供的功能,直接访问底层设备的技术。
隧道技术在使用底层访问方法的同时也跳过了系统的访问控制功能。
隧道技术属于破坏保密性的威胁。
以上所列的只是常见的威胁保密性和完整性的威胁,而对于威胁可用性的拒绝服务威胁,和无法明确区分威胁类型的恶意代码,在下面的内容中J0ker还会继续介绍。
在CISSP考试中,常常会考察以上威胁的概念和分类,有时候也会考察某个特定威胁的防御方法。
18详述网络威胁类型
给大家介绍了访问控制CBK里面一些常见的破坏信息资产保密性的威胁类型,那么什么类型的威胁会破坏信息资产的完整性和可用性?
这便是本文将要介绍的两种具体威胁类型——拒绝服务(DeniedofServices)和恶意代码(MaliciousCode)。
一、攻击类型介绍
随着信息系统存在与外界进行数据交换的需求的增长,针对数据的传输过程的特定类型威胁也随着发展起来,并成为信息系统安全越来越严重的问题。
我们可以按照这些威胁的作用形式,将它们分成两个攻击类型:
主动攻击(ActiveAttack)和被动攻击(PassiveAttack),它们的定义分别如下:
主动攻击:
指攻击者对正常的数据传输进行修改,或插入伪造的数据传输。
主动攻击类型的威胁会破坏数据传输的完整性。
被动攻击:
指攻击者不对正常的数据传输的内容进行修改,而使用技术手段来获取数据传输的具体内容。
被动攻击类型会破坏数据传输的保密性。
关于属于这两种攻击类型的具体威胁及信息,有兴趣的朋友可以在CISSPCBK中的电信和网络安全章节找到,J0ker在后面的文章中也会进行详细介绍。
1、拒绝服务攻击
并不是所有的攻击行为都能划分到主动或被动攻击这两个类型中,下面J0ker要介绍的拒绝服务攻击就不属于主动或被动攻击类型。
拒绝服务攻击是所有破坏资料可用性的攻击的总称,它通常的表现是由服务系统接受到恶意或意外输入的错误数据而导致崩溃,进而导致其他合法用户也无法使用服务系统的资源。
发起拒绝服务攻击的攻击者不会尝试去偷取或损害信息系统中的敏感信息,而只是要使系统中的合法用户无法使用系统的信息资源。
我们在日常生活中最常遇到的垃圾邮件就属于拒绝服务攻击的一种,在垃圾邮件很多的情况下,用户的邮箱就会充斥着垃圾邮件,用户正常的邮件就无法收发。
拒绝服务攻击还包括其他的一些特例:
分布式拒绝服务攻击(DDoS,DistributedDeniedofService):
攻击者控制成百上千台机器同时向目标服务器发送数据包,导致目标服务器因为处理能力不足而响应缓慢或直接当机。
攻击者所控制的机器网络称之为“僵尸网络”,也即我们经常能在媒体上看到的Botnet。
图1
死亡之Ping(PingofDeath):
Ping常用来在网络上确定指定系统是否在线,它使用ICMP包来询问目标系统是否在线,目标系统在收到Ping程序所发送的ICMP包后,会向发送者返回一个ICMP包已收到的状态报告。
如果攻击者在短时间内同时向目标系统发送大量的PingICMP包,目标系统就会因为忙于处理ICMP包而无法响应合法用户的信息资源请求。
死亡之Ping是流行于1996-1997年间的拒绝服务攻击类型,由于它攻击成功的关键在于攻击者的带宽,因此随着通讯和软件技术的发展,近年来死亡之Ping这种拒绝服务攻击方式已经消亡,但作为CISSP了解拒绝服务攻击历史和来源的材料还是相当不错的。
Smurfing:
同样是使用PingICMP包所实施的拒绝服务攻击类型。
攻击者向一组系统或一个内部网络发送包含有源地址为目标系统的伪造PingICMP包,接收ICMP包的存活系统就都会向目标系统反馈信息,目标系统就有可能因为处理数量巨大的反馈信息而无法响应合法用户的信息资源请求。
Smurfing攻击可以看作是死亡之Ping的升级版,近几年互联网上还出现过类似Smurfing的邮件拒绝服务攻击,也即攻击者以目标系统名义伪造大量的邮件发送给许多服务器,导致目标系统的邮件服务被大量的退信所淹没。
SYN洪水(SYNFlooding):
SYN洪水是互联网上最流行的拒绝服务攻击方式,它利用了TCP协议需要进行三次握手的特点,向目标服务器发送了大量伪造源地址的SYN连接请求,占满目标服务器的连接队列,导致目标服务器无法响应合法的用户的信息资源请求。
SYN洪水所需的网络资源不多,发起攻击的节点也不需要很多,因此这种拒绝服务攻击方式被攻击者广泛的使用在互联网上。
下图是SYN洪水的示意图:
图2
2、恶意代码
恶意代码是破坏信息完整性和可用性的主要威胁之一,它也是我们日常最常碰到的威胁之一。
根据各种恶意软件的表现形式不同,可以分成以下几种类型:
病毒(Virus):
计算机病毒是一段可以附加到系统内已有可执行文件的可执行代码,它不能独立存在,只在程序被启动时随之启动,实施感染或破坏。
病毒在发作时可能只显示一些玩笑信息,也可能会破坏系统文件,造成严重损失。
蠕虫(Worm):
蠕虫是通过网络自动复制、传播自身的恶意软件,它是一个独立的程序。
早期有名的蠕虫有1980年代的莫里斯蠕虫事件,当时的蠕虫只有自动复制传播的功能。
现代蠕虫已经和密码盗取、敏感信息获取等犯罪行为相结合,并使用了多种高级的编程技术。
木马(TrojanHorse):
木马是一种隐藏在用户系统中,并提供给攻击者访问到用户系统所有资源的恶意程序,它是一个或多个独立程序。
木马不会像病毒那样将自己附加到系统内的可执行文件,也不会像蠕虫那样会自动复制传播,它通常通过网页浏览或电子邮件附件传播,是危害仅次于蠕虫的恶意软件。
逻辑炸弹(LogicalBomb):
逻辑炸弹是一种隐藏在系统中,在特定条件(日期、时间、操作等)会激活并执行破坏行为的恶意程序。
下面我们来看看近几年造成较大经济损失的恶意软件事件:
图3
2003-2004年间的冲击波蠕虫以及2006-2008年的Storm蠕虫在扩散范围和造成经济损失的方面已经远远超越了它们的前辈。
下面是来自SecureComputing的最新恶意软件分类。
19详述安全威胁控制手段
详细的向大家介绍CISSP访问控制CBK里的威胁控制手段、以及现有的技术和工具。
传统上,访问控制的手段可以分成管理访问控制(AdministrativeAccessControl,包括人员控制)、物理访问控制(PhysicalAccessControl)和逻辑访问控制(LogicalAccessControl),它们都是通过限制对信息系统及资源的访问来实现控制的。
管理访问控制手段主要是从管理层面上进行限制,如组织的安全策略及信息系统使用流程。
在管理访问控制手段中还包括针对人员的控制(PersonnelControl),人员控制主要是通过在招聘员工时的背景检查和签署安全保密协议,来确保能够访问到信息系统和资源的人员的可靠性。
物理访问控制包括锁和证件等有形的物件,而逻辑访问控制就是安装在信息系统内,作为信息系统的一部分发挥访问控制作用的手段,如反病毒软件、密码限制手段和加密技术等。
下面是访问控制手段的一些实现的列表:
◆逻辑控制(Technical/LogicalControls)
访问控制软件,如防火墙、代理服务器等
反病毒软件
密码控制
智能卡/生物识别/证件
加密
拨号回呼系统
日志审计
入侵检测系统
◆管理控制(AdministrativeControls)
安全策略和流程
安全意识训练
职责分离
安全回顾和审计
职责轮换
人员雇佣和解雇策略
安全保密协议
背景检查
绩效评估
强制休假
◆物理控制(PhysicalControls)
证件
十字转门(Turnstiles)
使用锁、门、警卫等手段限制对物理资源的访问
对大部分的组织来说,部署所有可用的访问控制手段是既不经济也没有必要的。
因此,组织必须在需要部署的访问控制手段和可用的访问控制手段之间进行平衡,并最终使访问控制手段的部署满足组织的安全策略。
理解访问控制手段之系统访问
为了让大家更容易理解各种访问控制手段,我们可以根据控制的对象把它们分成两类:
系统访问和数据访问。
我们先来看系统访问。
针对系统访问的访问控制用于限制或控制对系统资源的访问,它的流程包括对系统资源访问者身份的识别和身份验证,也即识别(Identification)和验证(Authentication)流程。
我们在日常工作中常常需要做的输入用户名、输入密码,这个过程便是用户的身份识别和验证过程。
在识别和验证流程中,用户首先必须让系统知道访问者是谁,通常情况下这一步是由用户提供他在系统中的用户名,接下去的步骤是由系统根据用户所提供的信息来验证第一步。
在这里要提醒一下,不要把验证(Authentication)和授权(Authorization)这两个单词所弄混了,验证是确认用户的身份正确,而授权的动作发生用户身份识别和验证之后,确认用户可以做什么不可以做什么。
1、身份识别的功能
身份识别是所有信息系统安全功能的基础,信息系统内的所有实体都必须有一个唯一的标识以与其他实体相区别。
唯一的身份标识是访问控制流程的重要组成部分,它提供如下功能:
1、确认用户的身份
2、与日志审计功能结合以提供审计能力(accountability)
◆提供用户行为追踪能力
◆用户需要对自己的行为负责
用户所使用的唯一个人标识在不同的场合有不同的叫法,比如登录ID(LogonID)、用户ID(UserID)、账户号码(AccountNumber)等,但它最常见的叫法是用户名(UserName)——用户向系统提供用户名,以使系统辨认出使用者是谁。
同理,在系统中有许多实体也需要有唯一的身份标识,如系统服务、硬件设备等,任何会对系统进行访问的功能或需求都需要分配一个唯一的标识。
由于目前网络的广泛分布及网络中用户数量巨大,因此,一些简单的管理方法往往会引入到身份识别管理流程中以降低管理成本,比如对系统中的用户名命名方式进行书面规定。
有的组织使用用户的姓加上名的第一个字母组成用户名,也有的组织会使用用户的全名并在姓和名之间加入下划线组成用户名。
不管组织使用的是哪种命名方式,它使用的原则都是根据组织的流程规定,而非取决于所使用的系统类型。
除了逻辑的身份识别方式之外,物理的卡片或证件系统也往往执行身份识别的职能,物理身份识别系统往往用于限制对某些区域的进入和访问,如对某个建筑物、服务器机房等。
在一些组织中,卡片或证件系统往往也同时用作网络访问控制的手段,比如,智能卡系统在组织中常常被用作对能够接入网络的服务器机房或网络终端机房的进入进行限制,如果用户没有有效的智能卡,便不能从机房接入企业的网络。
生物识别系统,如指纹识别、掌纹识别和语音识别系统也往往用于执行物理访问控制系统的用户身份识别功能。
身份识别功能的另外一个重要功能就是保证可审计性,一个唯一的身份标识可以使管理员通过日志审计功能,对该标识所属的实体——用户或系统服务所执行过的行为进行跟踪;
同时,一个唯一的身份标识也会使用户在执行对系统访问及特定操作时对自己的行为负责。
2、身份识别使用指导:
确定性(Issuance):
生成身份识别的过程必须是安全并经过文件记录的,从根本上说,身份识别的使用效率及安全性,与身份识别的生成过程密切相关。
命名标准(NamingStandard):
用户或其他系统实体的身份识别必须遵守同一个命名的标准,如,系统中所有用户名的格式必须是名+姓的第一个字母,那么JohnSmith的用户名就应该是SmithJ。
不对工作责任进行描述(Non-descriptiveforuser’sjobfunction):
出于安全考虑,用户的身份识别不应该包括对应用户的工作职责,如系统管理员最好不要使用“Administrator“或”Manager”这样的名字做用户名。
非共享原则(Nosharing):
一个身份识别在整个系统或网络中应该只由一个用户或实体所有的,否则会造成授权或审计上的麻烦。
可校验性(Verifiable):
身份识别要能够通过简单并有效的方法进行校验,校验方法还应该是任何时候在系统的任何部位都是可用的,自动化的。
唯一性(Unique):
用户或实体的身份识别在整个系统或网络中必须是唯一的。
图4
除了在上一个文章和本文提到的威胁之外,和访问控制相关的威胁还包括密码威胁。
密码作为使用最广泛部署成本最低的访问控制手段,常常会面临以下的威胁:
针对密码文件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 23 复习访问控制 复习 访问 控制