一、基础知识
访问控制是控制对资源访问的过程,它通过提供对授权主体的访问并防止未经授权的访问尝试,以保护机密性、完整性和可用性。
访问控制的三个原则
1)知其所需(Need to know): 只授予用户访问执行工作所必需的资源权限。比如只给软件工程师开放他正在参与项目的代码库访问权限,而非完整代码库。
2)最小特权(Least Privilege)
每个程序和系统用户都应该具有完成任务所必需的最小权限集合。比如不能为了简便给普通用户开放管理员权限。
3)特权分离原则(Separation of Privilege)
细分特权,分配给多个主体,确保个体无法单独控制关键职能或系统。比如,负责创建账号的工程师不能同时负责审批账号。电影中常见的核弹发射需要双人控制,是特权分离原则的一个实际例子。
二、访问控制四要素
图1-访问控制四要素
三、身份标识
系统向用户颁发标识时要满足以下几点
每个值都应当是唯一的,便于问责
应当遵循一个标准的命名方案
标识值不应描述用户的职位和任务
标识值不应在用户之间共享
四、身份验证
身份验证是证明用户是他自己所声称的那个人,身份验证可以利用如下三种因素
图2-身份验证知识点
对生物识别信息的使用,请参考这里
五、访问授权
常见的有四种访问控制模型,分别用不同的方法来控制主体访问客体的方式。在这里主体(Subject)是发起访问需求的系统或用户, 客体(Object)是要被访问的资源(数据,系统,或物理资源)。
自主访问控制(DAC - Discretionary Access Control)
它是由资源所有者自主决策来分配访问权限,比如小区内有一千户家庭,每个家庭的入户门禁的权限控制都是由该家庭自主决定。
大部分操作系统都是基于DAC模型,由每个文件的owner自主设置访问权限。
其他所有的控制模型,都属于非自主访问控制。
强制访问控制(MAC-Mandatory Access Control)
它是一种基于安全标签的系统,每个主体和客体都有附加的安全标签,系统基于主体和客体的标签,以及系统安全策略对访问请求作出决策。
比如具有绝密安全许可的用户,请求访问某绝密文件,系统给予授权。
MAC适合用于军事机构等对进行要求高的环境
基于角色的访问控制(RBAC - Role-based Access Control)
根据组织的业务模式,创建不同的角色,为每个角色分配所需的资源访问权限。再根据不同用户在组织内扮演的角色,将其分配到特定角色,进而获得所需的权限。
比如:组织中有IT,财务,HR等不同角色,每个角色被授予相应系统的权限。新的HR员工Alice加入后,只需将其账号分配到HR角色上,就可以获得所需的HR系统权限。
RBAC的最大好处是更简单的账号配置流程,减少管理成本,适合流动率高的组织。
基于属性的访问控制(ABAC-Attribute-based Access Control)
使用系统中所具有的任何属性共同来创建允许的访问规则,提供更多的灵活性。
主体可用的属性:职位,部门,入职年限,项目团队成员,地点
客体可用的属性:敏感性分级,位置,创建人,类型
动作属性: 审查,批准,评论,存档
上下文背景:时间,项目状态
访问控制矩阵
它是一种数据结构,用于存储主体和客体对应的访问权限关系。
访问控制列表(ACL-Access Control List)
用在操作系统,应用程序以及路由器中,它是针对单个客体的,约定了不同主体针对该客体的访问权限。
图3-ACL示例
能力表(Capability Table)
它指定了单个主体对不同客体所具有的访问权限。
能力表是从用户的维度看权限,而ACL是从资源的角度看权限。
六、可问责性
配置可问责性的原因: 跟踪个体的恶意行为,监测入侵、重现事件,提供法律追索条件以及生成问题报告。
要实现可问责性,需要通过记录用户和系统的活动,并且对这些记录进行审计。
Audit Trail(审计轨迹)是与公司资源与数据相关的每项动作和活动的详细日志,当组织需要内部调查或面临外部审计时,审计轨迹能提供完整的信息支持。
七、访问控制措施
物理访问控制措施
边界安全:不同区域的进出身份验证
计算机控制: 上锁,USB屏蔽
工作区域分隔&控制区域:基于敏感度区分不同区域,实施不同的安全控制
技术性控制措施
系统访问
网络架构
网络访问
加密技术
审计
八、身份管理
身份管理(Identity Management)是指使用不同产品对用户进行自动化的身份标识,身份认证和授权。
数字身份的组成包括属性(部门,角色,许可等),权利(可获得的资源,已有的授权)和特征(生物识别信息,身高,体重等)。 IdM系统需要将这些身份信息集中在一起。
新用户身份证明与注册
当要在IAM系统中增加一个新用户时,有如下几个动作
1. 身份证明-identity proofing
比如新员工报道,HR需要对方提供身份证明文件(身份证,驾照,出生证明等)。或者是国内注册常用的手机和验证码做使命验证。
在线机构可能会使用基于知识的验证(knowledge-based authentication)来要求用户证明身份。比如银行开立账户时,要求用户提供购车/购房的状态信息,并和其他机构做交叉验证来证明用户真实身份。
2. 注册 - registration
完成身份证明后,在IAM中为用户创立账号,并设置密码。如果后续使用生物识别信息进行账号登录,那在注册阶段还需完成生物信息的首次采集。比如:新员工首次在门禁系统中录入个人指纹信息。
oAuth
它是一种面向第三方的开放授权标准,它不提供身份验证
用于支持用户授权网站访问他在其他网站的资源,比如授权Linkedin访问用户在认证网站上的证书信息。证书网站通过提供授权码给Linkedin,允许它获取该用户的信息。
联合身份管理 FIM
是一种便携式身份,该身份及其相关联的权利可跨越业务边界使用
SAML-安全断言标记语言支持不同系统间传递身份验证信息
XACML-可扩展访问控制标记语言包含资产的安全策略和访问权限
OIDC - OpenID Connect 是基于oAuth2.0协议构建的身份验证层
Web应用程序可通过OIDC使用第三方IdP对用户进行身份验证,并且从该IdP获取有关用户的信息。
SSO
单点登录功能允许用户只输入一次凭证,就能访问网络中的所有资源。
SSO实现方式
1. Kerberos
Kerberos的优势:1. 不需要传递密码,都是基于ticket做身份认证,保证了密钥安全性
2. 客户端和服务都需要进行身份验证
3. Ticket可以复用,不用每次都有KDC参与
安全风险: 1. KDC会是个单点故障点
2. 通过Golden Ticket攻击可以伪造TGT
2. 域
同一个域名下,通过cookie和session共享机制也可实现SSO
参考资料:
CISSP Official Study Guide - 第九版英文版 及 第八版中文版
网友评论