三：身份与访问管理

1 控制对资产的访问

• 资产可以包括信息、系统、设备、设施和人员
  • 信息： 组织的信息包括与其相关的所有数据，访问控制试图阻止对这些信息的未授权访问
  • 系统：组织的系统包括提供一种或多种服务的所有IT系统
  • 设备：设备包括所有的计算系统，包括服务器、台式电脑、便携式笔记本电脑、平板电脑、只能收集和外部设备
  • 设施：组织的设施包括组织拥有或租赁的所有场所，可能是单独的一间房、一栋建筑或几栋建筑的综合体，物理安全控制有助于保护投资
  • 人员：为组织工作的人员也是组织的宝贵资产，保护人员的主要方法之一就是确保有足够的安全措施以防止人员受伤或死亡

1.1 主体与客体的对比

• 主体：活动的实体，通过访问被动客体来获得客体的信息或数据，主体可以是用户、程序、进程、文件、计算机或访问资源的任何东西，通过授权后，主体就可以修改客体
• 客体：提供信息给活动主体的被动实体，客体可以是文件、数据库、计算机、程序、进程、打印机和存储介质等
• 主客体之间的身份在不同环境中，可能是互换的

1.2 访问控制的类型

• 访问控制是与所有控制访问资源相关的硬件、软件或管理类策略或程序，目标是向授权主体提供访问并组织任何未经授权的㔿访问，访问控制步骤如下：
  • 识别和认证视图访问资源的用户或其他主体
  • 确定访问是否获得授权
  • 基于主体身份允许或限制访问
  • 检测和记录访问尝试
• 访问控制措施类型，预防、检测和纠正是主要的三种措施，制止、恢复、指引和补偿是另外的四种
  • 预防性访问控制：试图阻碍或阻止有害的或未授权的活动，示例围墙、锁、生物测定学、陷阱、职责分离、岗位轮换、加密、审计、回叫程序、安全意识培训、反病毒、防火墙、入侵检测防御系统
  • 检测性访问控制：试图发现或检测有害的未授权的活动，通常，检测性控制不实时进行，而是在活动出现后运行，示例保安、岗位轮换策略、审计跟踪、蜜罐、入侵检测系统、违规报告、事故调查
  • 纠正性访问控制： 为了在发生有害的或未授权的操作后，将系统还原至正常的状态，示例 反病毒解决方案、备份和存储计划、修改环境以阻止攻击过程的入侵检测系统
  • 威慑性访问控制：部署威慑性访问控制是为了试图吓阻违反安全策略的活动，威慑性访问控制经常依赖人去决定是否采取有害的行动，示例 策略、安全意识培训、锁、围墙、安全徽章、保安、陷阱、摄像头
  • 恢复性访问控制：温蒂了在出现违反安全策略的情况后修复和还原资源功能与性能，示例 备份和还原，容错驱动系统、系统镜像、服务器群集、反病毒软件以及数据库或虚拟机影像
  • 指令性访问控制：为了指示、限制或控制主体的活动，从而强制或鼓励主体遵从安全策略，示例：安全策略需求或标准、张贴通告、疏散路线出口标志、监控、监督或规程
  • 补偿性访问控制：当主控制不能使用时，补偿性访问控制提供了另一种选择
• 根据实现方式，访问控制还可以进一步分类
  • 行政管理性访问控制依照组织的安全策略和其他规则或需求，而定义的策略过程，有时候被称为管理控制
  • 逻辑/技术性访问控制：作为硬件或软件机制用于提供对这些资源和系统的保护
  • 物理性访问控制：能物理触摸到的东西，他们包括部署以监预防、监控或检测设施内的系统或区域直接接触的物理机制

1.3 CIA三要素

2 比较身份标识与认证

• 身份标识是主体声称或自称某个身份的过程，主体必须向系统提供身份标识才能够启动身份认证、授权和可问责性

2.1 身份的注册和证明

• 用户首次获得身份的过程就是注册，由于安全分神认证的方法不同，注册过程也随之更为复杂

2.2 授权和可问责

• 访问控制系统的两个额外安全元素就是授权和可问责
• 授权：依据主体的证明身份授予其客体访问权限
• 可问责性：在执行审计时用户和其他追要对自己的行为负责，审计负责追踪主体并且记录它他们对主体的访问，需要在单个或多个审计日志中创建审计跟踪
• 有效的访问控制系统出了满足授权和可问责性外，还需要强大的身份识别和认证机制
  1、授权
  • 授权就是支出谁获得信任以执行某具体操作，授权过程确保执行所请求的活动或客体是可能的，但是要基于该主体拥有的权限
    2、可问责性
• 审计、记录和监控都具有可问责性，以此确保主体对自己的行为要担负责任，可问责性必须依靠有效的识别和认证，但不需要有效的授权

2.3 认证因素

• 认证的基本类型或因素，你知道什么，你拥有什么，你是什么或你做什么

2.4 密码

• 密码是最常用也是最弱的认证方式
  1、常见的密码策略：
  • 创建强密码
  • 最长使用周期
  • 密码复杂性
  • 密码历史功能
    2、密码短语
  • 密码短语是更有效的密码机制，为了简化记忆，密码短语往往是修改过的自然语言，密码短语很难被破解，使用大量特征的长字符串也很容易记住
    3、认知密码
  • 认知密码是另一种密码机制，一系列只有主体才知道的事实或预定义的结果

2.5 智能卡和令牌

• 智能卡和赢令牌或你持有的一些东西属于身份认证类型2，这一类型通常和另一种认证因素使用，很少单独使用
  1、智能卡
• 智能卡包含用于识别或认证的授权用户信息，具有微处理器，非对称加密，能够防止篡改，通常要求用户输入智能卡相匹配的个人识别码或密码，作为身份认证的第二因素
  2、令牌
• 令牌或硬令牌是一种密码生成设备，通常与另一身份认证机制结合使用，令牌的类型有两种
  • 同步动态密码令牌：创建同步动态密码的硬令牌是基于时间的，并对身份认证服务器保持同步
  • 异步动态密码令牌：依据算法和递增计数器生成密码，当使用递增计数器时，会创建一个一次性的动态密码，密码一直保持不变，知道用于身份认证
  • 赢令牌提供强大的身份认证，确定是如果电池没电或设备终端，用户无法访问

2.6 生物识别

• 生物识别因素可以用于识别或认证技术，或两者兼而有之，生物特征通常是指生理或行为上的特征
  • 生理识别方法：指纹、面部扫描、视网膜扫描、虹膜扫描、手掌扫描、手形、语音模式
  • 生物行为识别：动态签名、击键模式（击键力度）
• 指纹：每个人的指纹都独一无二
• 脸部扫描：
• 视网膜扫描：视网膜扫描关注眼睛后方血管的团，是最精确的生物识别身份认证形式，但不被接受，因为会泄露个人医疗信息
• 虹膜扫描：第二精准的生物测定学身份认证形式，关注瞳孔周围的有色区域，无法对同卵双胞胎进行区分
• 手掌扫描：通过扫描手掌进行识别，用近红外光测量手掌的静脉模式，
• 手形：是被手部的物理尺寸，很少单独使用手形，因为很难靠这个识别出一个人
• 心跳/脉搏模式：测量用户的脉搏和心跳次数
• 声音模式识别： 依靠一个人说话的声音特点，用户说出一个特定的短语，然后认证系统对此进行记录
• 签字力度：查看主体的书写动作以及书写样本中的滕征
• 击键模式：通过分析抬指时间与按压时间来确定主体使用键盘的方式
  1、生物识别因素的错误率
  • 类型1错误： 正确的主体没有被认证，被称为错误拒绝率（FRR）
  • 类型2错误：无效认证发生时，称为假正确身份认证，被称为错误接受率（FAR）
  • 交叉错误率（CER），相等错误率，FRR和FAR比例相等的点
    2、生物识别注册
  • 主体只有被登记或注册，设备才能作为身份标识或身份认证机制使用，主体的生物识别因素必须被采样并存储在设备的数据库中，被存储的生物十倍音速的采样被称为基准轮廓或基准模板
    -系统扫描和处理主体所需要的时间被视为吞吐能力，生物识别特征越复杂，越详细，处理时间也就越长

2.7 多因素认证

• 多因素认证是使用两个或多个因素进行认证，多因素认证能够极大的增强认证强度

2.8 设备认证

• 设备指纹：用户可以在组织中对自己的设备进行注册，并将这些设备与他们的用户账户联系起来

3 实施身份管理

• 身份管理技术分为两类：集中式和分散式
  • 集中式访问控制意味着所有的授权认证都由系统内的单个实体执行
  • 分散式访问控制或分布式访问控制意味着授权认证由位于系统中的不同实体执行

3.1 单点登录

• 单点登录是一种集中式访问控制技术，允许主体只在系统上认证一次并且可以不用认证身份而访问多个资源，下面讨论常见的SSO机制

3.2 LDAP和集中式访问控制

• 目录服务是一个集中式数据库，包含主客体信息，许多目录服务建立在轻量级目录访问协议（LDAP）的基础上
  -访问控制系统经常会用到多个域和信任关系，安全域是主客体集合，公用一个安全策略，信任是域和域之间的安全桥梁

3.3 LDAP和PKI

• 在整合数字证书以便传输时，公钥基础设施（PKI）使用LDAP
• LDAP和集中式访问控制可用于支持单点登录功能

3.4 Kerberos

• Kerberos给用户提供的是单点登录解决方案以及能够保护登录信息，依赖对称秘钥加密AES，用端对端安全机制保障认证通信的机密性和完整性，有助于预防窃听和重放攻击
• Kerberos登录过程：
  • 用户将用户名和密码键入客户端
  • 客户端使用AES加密用户名，然后传输至KDC
  • KDC使用已有证书的数据库来认证用户名
  • KDC产生一个同步秘钥，用于客户端和Kerberos服务器之间的通信，加密用户密码的散列值，KDC也生成一个有加密时间戳的授予票证（TGT）
  • KDC然后传输加密过程的同步秘钥和加密过的带有时间戳的TGT给客户端
  • 客户端安装TGT，一直使用直至期满，
• Kerberos 存在单点故障，KDC被破解，网络中所有系统的秘密秘钥也都会被破解

3.5 联合身份管理和SSO

• 联合身份管理超越了单一的组织，多个组织可以加入一个联盟或组，他们同意通过一个方法共享彼此身份
• 多家企业联盟，相互交流时需要一种共同语言，通常使用安全申明标记语言（SAML）或服务配置标记语言（SPML），下面对标记语言做一些简短描述：
  • 超文本标记语言：普遍用于展示静态网页
  • 可扩展标记语言（XML）：超越了对数据显示方式的描述，实现了对数据本身的描述，多家供应商的数据库可以将数据输入为XML格式
  • 安全声明标记语言（SAML）：基于XML的语言，旁边用于联合组织之间交换认证和授权信息，肠胃浏览器访问提供单点登录（SSO）功能
  • 服务配置标记语言（SPML）：专用设计用于用户的信息交换，基于目录服务标记 语言（DSML）
  • 访问控制标记语言（XACML）：用于XML格式内定义访问控制策略，并且通常实现基于角色的访问控制，有助于给联盟中的所有成员提供保证，保证他们向不同角色授权相同级别的协议

3.6 其他单点登录的例子

• 欧洲安全多环境应用系统（SESAME）一个基于邀请的认证系统
• KryptoKnight 使用对等认证
• OAuth和OpenID是应用于网络单点登录的较新的例子

3.7 证书管理系统

• 证书管理系统为用户的凭证保存提供存储空间，用户可为需要一套不同凭证的网站和网络资源存储凭证，证书管理系统确保这些凭证已加密，从而防止未经授权的访问
• 第三方证书管理系统也可用

3.8 整合身份服务

• 身份服务未识别和认证提供了额外工具，其中一些工具是为了那些基于云的应用程序具体设计的，其他的工具是第三方服务，为组织内部使用而设计的
• 身份即服务或身份和访问即服务（IDaas）是一个第三方服务，提供身份和访问管理，为云有效提供单点登录并且在内部客户访问那些基于软件即服务（SaaS）应用程序时特别有用

3.9 管理会话

• 无论使用何种认证系统，重要的是管理会话，以防止未经授权的访问，这包括应用程序在普通电脑上的会话或网络会话
• 台式电脑和笔记本电脑包含屏幕保护程序
• 一旦时间后安全网络会话也会终止，例如在网上银行上建立一个安全会话，10分钟内没有交互，应用程序就会使你掉线

3.10 AAA 协议

• 提供认证、授权和可问责的协议叫做AAA协议，他们提供集中式访问控制，并且附带虚拟专用网和其他类型的网络访问服务器的远程访问，可以保护内部局域网认证系统和其他服务免受远程攻击，智能手机用户提供访问的移动IP也使用AAA协议
• 常用的AAA协议有RADIUS、TACACS+以及Diameter
• RADIUS
  • RADIUS:远程认证拨号用户服务器主要用于远程连接的身份服务
  • 许多互联网服务提供商(ISP)使用RADIUS进行身份认证，用户可以在任何地方访问 ISP，ISP服务器会将用户的请求连接发送给RADIUS服务器
  • 组织也可以使用RADIUS协议，并与毁掉安全程序同时执行，进而实现进一步的保护
  • RADIUS采用用户数据报协议（UDP），并只加密交换密码而不会加密整个会话，但可以使用附加协议来对数据会话进行加密
• TACACS+
  • TACACS+(终端访问控制器访问控制系统)作为RADIUS的一种替代系统被引入，它将认证、授权以及可问责分为独立的流程，并可以在三台独立的服务器上进行托管
  • TACACS+加密所有的认证信息，使用TCP端口，从而为数据包的传输提供了更高的可靠性
• Diameter
  • 支持多种协议，包括传统IP、移动IP和IP语音，在支持满游服务的情况下特别受欢迎，使用TCP协议，提高了更高的可靠性，也支持IPSec和TLS加密

4 管理标识和访问开通生命周期

• 身份信息和访问开通生命周期是指账户的创建、管理和删除，访问控制管理是指在账户的使用过程中涉及的任务和职责的集合，包括管理账户、访问和跟踪问责

4.1 开通

• 身份管理的第一步是创建新账户并为其开通相应的权限，这一过程必须通过组织的安全策略程序来保护和保障
• 新用户账户的厨师创建通常被称为注册或登记，注册过程创建了一个新的身份，并建立了系统需要进行身份认证的因素

4.2 账号审核

• 应定期检查账户，以确保有正在运行的安全策略，检查内容包括确保不活跃的账户被禁用以及员工没有过多的特权

4.3 账号撤销

• 无论员工出于何种原因（包括员工休假）离开公司，及时禁用他们的用户账号十分重要

5 对比访问控制模型

• 访问控制机制：
  • 自主访问控制（DAC）
  • 强制访问控制 (MAC)
  • 基于角色的访问控制（role-BAC）
  • 基于规则的访问控制 (rule-BAC)

5.1 对比许可、权限和特权

• 许可：授权对象的访问权以及对具体访问权内容的确定， （授权）
• 权限：指对一个对象采取行动的能力 （ 权利）
• 特权：特权是许可和权限的结合 （授权+权利）

5.1.2 理解授权机制

• 隐式拒绝： 除非访问被显式的授予一个主体，否则主体对该对象的访问被拒绝
• 访问控制矩阵：一个包含主体、客体和分配权限的表格，当主体想要执行某个动作时，系统检查访问控制矩阵来确定主体是否有适当的权限来执行该动作
• 功能表：功能表是确定分配给主体特权的一种方式，他们不同于ACL，功能表关注主体
• 限制接口：应用程序使用限制接口来根据用户的饿特权限制用户可以做什么或可以看到什么
• 内容有关的控制：基于客体中的内容来限制对数据的访问，数据库视图是基于内容的控制
• 上下文相关的控制：需要在授予用户访问权之前进行特定的活动
• 知其所需： 确保主体只在他们的工作任务和工作职责有要求时被授予访问权
• 最小特权： 确保主体只被授予他们执行工作任务和工作只能所需要的特权
• 职责分离：确保敏感功能被分成由两个或两个以上员工执行的任务，这有助于通过创建制衡系统来防止欺诈和错误

5.1.3 用安全策略定义需求

• 安全策略是一个定义了组织安全需求的文档，它识别需要保护的资产，以及安全解决方案应该如何去保护他们的程度
• 策略是访问控制的一个重要元素，帮助组织内的人员了解什么安全需求是重要的，安全策略通常不涉及有关如何满足安全需求或如何实现策略的细节

5.1.4 部署深度防御

• 深度防御的概念强调的重要的点：
  • 组织的安全策略，这是惯例访问控制之一，通过定义安全需求为资产提供了一层防御
  • 人员是防御的重要组成部分，然而他们需要接受适当的培训和教育来实现、符合、支持组织安全策略中定义的安全元素
  • 行政管理性、技术性和物理访问控制的结合提供更为强大的防御，只使用行政管理性、技术性或物理性访问控制之一会带来脆弱性，攻击者可以利用这些脆弱性

5.1.5 自主访问控制

• 自主访问控制（DAC）系统允许客体的所有者、创建者或数据保管者控制和定义主体对该客体的访问，所有客体都有拥有者，并且访问控制基于客体所有者的自由决定，常使用针对客体的访问控制列表ACL来实现DAC模型

5.1.6 非自主访问控制

• 非DAC模型中 ongoing， 访问不关注用户的身份，相反，支配整个环境的静态规则组管理访问，非DAC系统集中控制且不易管理
• 基于角色的访问控制
  • 基于角色或基于任务的访问控制系统基于主体的角色或分配的任务定义主体访问对象的能力，基于角色或基于任务的访问控制系统能够防止特权蠕变，实施最小特权原则，在频繁的人事变动的动态环境中有用的
• 基于规则的访问控制
  • 基于规则的访问控制使用一套规则、限制或过滤器来确定能以及不能出现在系统上的东西，包括给与主体访问客体的权限，或限制主体执行某个动作的能力，他们有适用于所有主体的全局规划，rule-BAC的常用例子是防火墙
• 基于属性的访问控制
  • ABAC模型使用包括多个属性的规则的策略，许多软件定义的网络应用使用ABAC模型
• 强制访问控制
  • 强制访问控制（MAC）模型依赖于分类标签的使用，每个标签代表哦一个安全域或安全领域，安全域是共享公共安全策略的主客体集合，强制访问控制是禁止的而非许可的，使用隐式拒绝的哲学
  • MAC的三种类型的环境
    • 分层环境： 分层环境将有序结构中的各个分类标签与低安全等级、中安全等级、高安全等级相互联系，
    • 隔离区分环境： 一个安全域和另一个安全域之间没有联系，每个与代表单独的隔间
    • 混合环境： 结合了分层和隔离区间的概念，每个等级水平可能包含更多细分等级

5.2 理解访问控制攻击方式

• 访问控制的目标是组织针对客体的未授权访问，包括访问任何系统信息，IT安全方法试图阻止机密性破坏完整性破坏和可用性破坏

5.2.1 风险元素

• 风险是指某种潜在的威胁将利用某种漏洞造成某种损失的可能性
• 威胁是指某个时间发生的趋势，可能会产生某种不良的后果，这保罗攻击行为，自然灾害，员工的意外举动
• 漏洞是任何类型的脆弱性，这种脆弱性可能是因为硬件或软件的缺陷或限制，或是因为安全控制的缺失
• 风险管理是指通过执行控制和应对措施试图减少或消除漏洞或减少潜在威胁的影响
• 风险管理的过程
  • 识别资产
    • 资产评估指的是确定各种资产的实际价值并对他们进行目标优选，将重点放在价值高的子涵上，并执行控制来减少风险对这些资产的影响
  • 识别威胁
    • 该阶段，组织试图识别对有价值系统的任何可能威胁，威胁建模指的是识别、理解和分类潜在威胁的过程
  • 威胁建模方法
    • 专注资产： 使用资产估值结果，并视图识别对有价值资产的威胁
    • 专注攻击者：识别潜在的攻击者，并基于攻击者的目标是被他们代表的威胁
    • 专注软件： 组织开发软件，可以考虑针对软件的潜在威胁
  • 高级持续性威胁
    • 高级持续威胁是指一起工作的一群攻击者，攻高度积极、熟练、有耐心，有现金的知识和各种技能，能够检测并利用漏洞
  • 识别脆弱性
    • 在识别有价值的资产和潜在威胁后，组织将执行漏洞分析，试图发现系统在潜在威胁面前的弱点
    • 脆弱性分析是一个持续的过程，包括技术和管理措施，风险分析通常会包括脆弱性分析、评价系统和环境的已知威胁和漏洞，然后利用漏洞的渗透测试

5.2.2 常见的访问控制攻击

• 1、访问聚合攻击
  • 收集多个非敏感信息块，并将它们结合起来获得敏感信息，侦查攻击是访问聚合攻击，集合深度 防御，知其所需和最小特权原则有助于防止聚合攻击
• 2、密码攻击
  - 字典攻击
  - 暴力攻击
  - 生日攻击
  - 彩虹表攻击
  - 嗅探攻击
• 3、 电子欺骗攻击
  • 电子欺骗是指假装成某物或某人等，主要为邮件欺骗和电话欺骗
• 4、 社会工程学攻击
  • 攻击者通过欺骗尝试获取他人信任的行为，攻击者试图诱骗人们透露不愿透露的信息或执行他们不会执行的行为，通常社会工程学的目的是获得进入IT基础设置或物理设施的权限
• 5、网络钓鱼
  • 网络钓鱼是一种社交工程陷阱，试图诱骗用户，使之掉以轻心，从而打开附件或链接
  • 鱼叉式钓鱼：针对特定用户组的钓鱼方式
  • 捕鲸： 针对高层人员或高管
  • 语音钓鱼：除了主要通过电子邮件发送网络钓鱼攻击外，他们还会使用其他手段欺骗用户，如IM和网络电话
  • 智能卡攻击：智能卡也易受攻击，旁路攻击是一种被动的、非入侵性的攻击
  • 拒绝服务攻击： 组织系统进行处理或组织对合法流量或资源的请求响应
• 6、 防护方法汇总
  • 对系统的物理访问控制
  • 对文件的电子访问控制：严格控制和监控对密码文件的电子访问，安全人员应该对热河未经授权的密码数据库访问进行及时调查
  • 加密密码文件：对可用操作系统的密码文件进行强加密有助于保护它们免受未经授权的访问
  • 创建强密码策略：通过编程的策略可用使用强密码，确保用户定期更改密码
  • 使用密码掩码： 确保应用程序在任何屏幕上都没有以明文方式显示过密码，而且在显示密码时以替代性字符标识密码
  • 配置多因素身份认证
  • 使用账户锁定控制： 账户锁定控制有助于防止在线密码攻击，当密码输入不正确超过预先设定的次数后，账户就会被锁定
  • 使用最后一次登录通知： 显示一条信息包含最后一次成功登录的时间、日期和地点
  • 对用户进行安全教育：获得恰当训练的用户对安全性和使用强密码有着更好的理解

-