在2018年4月公布的CISSP考试大纲中,【身份和访问管理】的平均权重为13%。其中使用的AIO为第7版,OSG为第8版。
身份和访问管理
内容概述
身份和访问管理(IAM)知识域涵盖了信息系统如何识别和验证访问者的身份,以及对信息系统执行操作权限的控制机制。该知识域内容包括:身份标识、身份验证、身份管理等相关机制和技术;访问的控制模型和机制,以及针对访问控制的相关威胁和防御方法。
身份和访问管理知识域在CISSP CBK中包括(源自于:CBK5):
一、对资产的物理和逻辑访问控制
了解主体和客体之间的区别。你会发现CISSP问题和安全文档通常使用术语“主体”和“客体”,因此了解它们之间的区别非常重要。主体是访问被动客体(如文件)的活动实体(如用户)。用户是在执行某些操作或完成工作任务时访问客体的主体。
了解各种类型的访问控制。你应能识别任何给定访问控制的类型。访问控制可能是预防性的(阻止不必要或未经授权的活动发生)、检测性的(发现不需要的或未经授权的活动)或纠正性的(在不需要或未经授权的活动发生之后将系统恢复正常)。威慑访问控制试图通过鼓励人们不采取行动来阻止违反安全策略。恢复控制尝试在违反安全策略后修复或恢复资源、功能和能力。指示控制试图指导、限制或控制主体的行为以强制或鼓励遵守安全策略。补偿控制提供现有控制的选项或替代方案,以帮助实施和支持安全策略。
了解访问控制的实现方法。通过管理、逻辑技术或物理手段实现访问控制。行政(或管理)控制包括实施和执行整体访问控制的策略或过程。逻辑/技术控制包括用于管理资源和系统访问的硬件或软件机制,并为这些资源和系统提供保护。物理控制包括部署的物理屏障,以防止与设施内的系统或区域直接接触和访问。
二、管理人员、设备和服务的标识和身份验证
了解身份识别和身份验证之间的区别。访问控制依赖于有效的身份识别和身份验证,因此了解它们之间的差异非常重要。主体声明身份,并且标识可像用户名那样简单。主体通过提供身份验证凭据(例如与用户名匹配的密码)来证明其身份。
了解授权和问责制之间的区别。对主体进行身份验证后,系统会根据己证实的身份授予对客体的访问权限。审计日志和审计踪迹记录事件,包括执行操作的主体的身份。有效身份识别、身份验证和审计的结合提供了问责制。
了解主要身份验证因素的详细信息。验证的三个主要因素是你知道什么(例如密码或PIN)、你拥有什么(例如智能卡或令牌)以及你是谁(基于生物识别)。多因素身份验证包括两个或多个身份验证因素,使用它比使用单个身份验证因素更安全。密码是最弱的身份验证形式,但密码策略通过强制执行复杂性和历史记录要求来帮助提高安全性。智能卡包括微处理器和加密证书,令牌创建一次性密码。生物识别方法基于诸如指纹的特征来识别用户。交叉错误率体现生物识别方法的准确性。它显示了错误拒绝率等于错误接受率
的位置。
了解单点登录。单点登录(SSO)是一种允许主体进行一次身份验证即可访问多个对象而不必、再次执行身份验证的机制。Kerbero:是组织中最常用的SSO方法,它使用对称加密和票据来证明身份并提供身份验证。当多个组织想要使用通用SSO系统时,通常使用联合身份管理系统,其中联盟或组织同意一种通用的身份验证方法。安全断言标记语言((SAML)通常用于共享联合身份信息。其他SSO方法是脚本访H, SESAME和KryptoKnight。OAuth和OpenlD是互联网上使用的两种较新的SSO技术。许多大型组织(如Google)建议优先使用OAuth 2.0而不是OAuth 1.0。
了解AAA协议的目的。多种协议提供集中式身份验证、授权和问责服务。网络访问(或远程访问)系统使用AAA协议。例如,网络访问服务器是RADIUS服务器的客户端,RADIUS服务器提供AAA服务。RADIUS使用UDP并仅加密密码。TACACS+使用TCP并加密整个会话。Diameter基于RADIUS并消除了RADIUS的许多弱点,但Diameter与RADIUS不兼容。Diameter越来越受到智能手机等移动IP系统的欢迎。
三、集成身份即第三方服务
四、应用和管理授权机制
识别常见授权机制。授权确保所请求的活动或客体是可访问的,前提是赋予已经验证的身份应有的权限。例如,它确保具有适当权限的用户可访问文件和其他资源。常见授权机制包括隐式拒绝、访问控制矩阵、能力表、约束接口、依赖内容的控制和依赖上下文的控制。这些机制执行诸如知其所需、最小特权和职责分离等安全原则。
了解每个访问控制模型的详细信息。使用自主访问控制(DAC)模型,所有客体都有所有者,所有者可修改权限。管理员集中管理非自主访问控制。基于角色的访问控制(RBAC)模型使用基于任务的角色,并且用户在管理员将其账户置于角色中时获得权限。基于规则的访问控制模型使用一组规则、限制或过滤器来确定访问权限。强制访问控制(MAC)模型使用标签来标识安全域。主体需要匹配标签才能访问客体。
了解基本风险要素。风险是威胁可能利用漏洞并对资产造成损害的可能性。资产评估确定资产的价值,威胁建模识别针对这些资产的威胁,漏洞分析识别组织的宝贵资产中的弱点。访问聚合是一种攻击,它结合或聚合非敏感信息以学习敏感信息,并用于侦察攻击。
了解暴力和字典攻击是如何工作的。针对被盗密码数据库文件或系统的登录提示执行暴力破解和字典攻击。它们旨在发现密码。在暴力攻击中,使用键盘字符的所有可能组合,而字典攻击使用预定义的可能密码列表。账户锁定控制可以有效抵御在线攻击。
了解强密码的必要性。强密码降低了密码破解成功的概率。强密码包括多种字符类型,而不是字典中包含的单词。密码策略可确保用户创建强密码。密码在存储时应加密,并在通过网络发送时加密。通过使用除密码之外的其他因素,可强化身份验证。
了解盐和胡椒如何阻止密码攻击。在加盐前,盐会为密码添加额外的位,并有助于阻止彩虹表攻击。某些算法(如Bcrypt和PBKDF2)会添加盐并重复多次散列函数。盐与散列密码存储在同一数据库中。胡椒是一个大的常数,用于进一步提高散列密码的安全性,它存储在散列密码数据库之外的某个地方。
了解嗅探器攻击。在嗅探器攻击(或窥探攻击)中,攻击者使用数据包捕获工具(如嗅探器或协议分析器)来捕获、分析和读取通过网络发送的数据。攻击者可轻松读取通过网络发送的明文数据,但将传输中的数据加密可防止此类攻击。
了解欺骗攻击。欺骗假装是某种东西或某个人,它用于许多类型的攻击,包括访问控制攻击。攻击者经常试图获取用户的凭据,以便他们可欺骗用户的身份。欺骗攻击包括电子邮件欺骗、电话号码欺骗和IP欺骗。许多网络钓鱼攻击都使用欺骗方法。
了解社会工程。社会工程攻击是攻击者企图说服某人提供信息(如密码)或执行他们通常不会执行的操作(例如点击恶意链接),从而导致安全性受损。社会工程师经常尝试访问IT基础设施或物理设施。用户培训是防止社会工程攻击的有效手段。
了解网络钓鱼。网络钓鱼攻击通常用于试图欺骗用户放弃个人信息(例如用户账户和密码)、点击恶意链接或打开恶意附件。鱼叉式网络钓鱼针对特定的用户群,网络钓鲸的目标是高级管理人员、语音网络钓鱼使用VoIP技术。
五、管理身份和访问配置的生命周期
了解身份和访问配置生命周期。身份和访问配置生命周期是指账户的创建、管理和删除。配置账户可确保根据任务要求拥有适当的权限。定期审核可确保账户没有过多权限,并遵循最小特权原则。撤消包括员工离开公司时尽快停用账户,以及在不再需要账户时删除账户。