CISSP(十四)
控制和监控访问
隐式拒绝原则
隐式拒绝原则是网络安全和网络通信中的一个概念,用于描述在访问控制中的一种安全策略。它是许多计算机网络和系统中用于保护资源免受未授权访问的一部分。
隐式拒绝原则指的是当没有明确的访问控制规则或权限授予时,默认情况下拒绝所有访问请求。这意味着只有在明确授权的情况下,用户或设备才能访问资源。如果没有明确的访问规则,系统会拒绝所有请求,从而确保资源不会被未经授权的用户或设备访问。
这个原则的实施可以保护网络和系统免受未经授权的访问和恶意行为,提高了整体的安全性。通过强制性地要求对所有资源的访问进行明确的授权和访问规则,可以减少潜在的安全漏洞和攻击风险。
在访问控制列表(ACLs)、防火墙规则、路由器配置等网络和系统设备中,隐式拒绝通常是默认的策略。这意味着如果没有显式地设置允许的访问规则,系统会自动拒绝所有访问请求。因此,在配置网络和系统时,管理员需要非常小心地设置适当的访问规则,以确保合法用户能够正常访问资源,同时保护系统免受未经授权的访问。
访问控制模型
【设计权限系统】ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景
“RBAC”,即”Role-Based Access Control”,中文翻译为”基于角色的访问控制”。
RBAC是一种广泛应用于计算机系统和网络安全中的访问控制模型。它通过定义不同角色的权限,将用户分配到相应的角色,从而控制用户对系统中资源的访问。RBAC的核心思想是将访问权限与用户的身份分离,通过角色来管理和分配权限,而不是直接将权限分配给每个用户。
在RBAC模型中,主要包含以下三个核心概念:
角色(Role):角色是一组具有相似职责和权限的用户集合。角色可以根据用户的职位、职责或功能来定义,如管理员、操作员、普通用户等。
权限(Permission):权限是指可以执行的操作或访问的资源。每个角色都被授予一组特定的权限,以确定角色可以执行哪些操作或访问哪些资源。
用户(User):用户是指实际的系统用户,他们通过被分配到不同的角色来获得相应的权限。
通过RBAC模型,管理员可以更加灵活地管理和控制用户对系统资源的访问,简化了访问控制的管理,增加了系统的安全性和可维护性。
RBAC被广泛应用于各种计算机系统和网络,包括操作系统、数据库管理系统、企业应用程序等。它是访问控制的一种重要方法,也是许多安全框架和系统的核心组成部分。
RFC标准
RFC标准是指”Request for Comments”,中文翻译为”征求意见稿”。RFC是一种用于描述互联网标准、协议、方法和概念的文件,它是由互联网工程任务组(IETF)发布的。
在互联网的发展过程中,为了推进互联网技术的发展和标准化,IETF成立了RFC编辑委员会,负责编写、发布和维护RFC文档。RFC文档是由全球互联网社区的专业人士共同编写和评论的,其中包含了许多互联网技术的规范、协议和最佳实践。
每个RFC文档都有一个唯一的编号,以”RFC”开头,后面跟着一个数字。例如,RFC 793描述了TCP协议,RFC 2616描述了HTTP协议。RFC文档通常包含技术规范、协议描述、实现指南、安全注意事项等内容,它们在互联网的设计、开发和运营中起着重要的作用。
RFC标准是互联网技术的基石
,广泛用于网络通信、互联网协议和网络安全等领域。RFC文档是互联网标准的权威来源,为互联网的发展和扩展提供了重要的指导和参考。任何人都可以通过IETF的网站查阅和获取RFC文档,这些文档在全球范围内被广泛使用和引用。
OIDC、OAuth、SAML和OpenID
OIDC、OAuth、SAML和OpenID是四种用于身份验证和授权的不同身份认证和授权协议和标准。它们在网络应用和单点登录等领域有着不同的应用和用途。
OIDC(OpenID Connect):
- OpenID Connect是一种建立在OAuth 2.0之上的身份认证协议,用于实现认证和用户信息交换。
- OIDC允许客户端应用验证用户身份并获取有关用户的基本信息(例如姓名、电子邮件地址等)。
- OIDC提供了一种安全且标准化的方式,允许用户使用他们在第三方身份提供商(如Google、Microsoft、Facebook等)上的账户来登录客户端应用。
OAuth(Open Authorization):
- OAuth是一种开放标准的授权协议,用于允许第三方应用访问用户资源,而无需获取用户的凭据。
- OAuth允许用户通过授权令牌控制对其资源的访问权限,而无需与第三方应用共享其用户名和密码。
- OAuth常用于允许应用程序在用户授权的情况下访问其在其他平台上的资源,如获取用户的社交媒体数据。
SAML(Security Assertion Markup Language):
- SAML是一种用于单点登录(SSO)的标准,用于在不同的安全域之间传递用户认证信息。
- SAML允许用户只需在一次登录后即可访问多个相关系统或应用,无需再次输入凭据。
- SAML主要用于企业和组织内部的身份认证和访问控制。
OpenID:
- OpenID是一种用于在网络上验证用户身份的开放标准,已被OpenID Connect取代。
- OpenID早期用于允许用户在不同网站上使用一个统一的身份进行登录,但目前已逐渐被OIDC替代。
总结:
OIDC是一种建立在OAuth 2.0之上的身份认证协议,OAuth是一种授权协议,SAML是用于单点登录的标准,OpenID是一种曾经用于验证用户身份的开放标准。每种协议和标准都有其特定的应用场景和用途。
自主访问控制和非自主访问控制
自主访问控制(Discretionary Access Control,DAC)和非自主访问控制(Non-Discretionary Access Control,Non-DAC)是两种不同的访问控制模型,用于控制对计算机资源的访问权限。它们在授权决策和权限管理方面有一些区别。
自主访问控制(DAC):
- 在DAC模型中,资源的所有者有权决定谁可以访问他们拥有的资源以及对资源的访问权限。
- 资源的所有者可以授予其他用户或组织对资源的读取、写入和执行等权限,也可以随时收回这些权限。
- DAC模型的特点是灵活性和个性化,因为资源的所有者有权决定访问权限,但也可能导致管理复杂性和权限管理的难题。
非自主访问控制(Non-DAC):
- 在非DAC模型中,访问控制决策不是由资源的所有者自主进行的,而是由系统管理员或预先定义的策略来管理和控制。
- 系统管理员可以根据组织的安全策略和规定设置访问权限,用户无法直接修改或调整这些权限。
- 非DAC模型通常更加集中化和严格,有助于实施更为统一和一致的访问控制策略。
区别:
- 权限分配方式:在DAC中,资源的所有者有权直接决定权限分配;而在非DAC中,权限由管理员或系统预设策略决定。
- 灵活性:DAC更为灵活,允许资源所有者根据具体情况决定访问权限;而非DAC更为集中和严格,权限由中央管理实现一致性和控制。
- 权限变更:在DAC中,资源所有者可以随时变更权限;而在非DAC中,权限调整需要由管理员进行,并且用户不能直接修改。
总体而言,DAC适用于需要个性化和灵活控制权限的情况,而非DAC适用于需要统一和集中管理访问控制的场景。在实际应用中,可以根据需求和安全策略选择适合的访问控制模型。
非自主访问控制模型有哪些
非自主访问控制(Non-Discretionary Access Control,Non-DAC)模型包括以下几种常见的访问控制模型:
强制访问控制(Mandatory Access Control,MAC):
- 在MAC模型中,访问控制是由系统管理员或预先定义的策略来管理和控制,用户无法直接修改或调整这些权限。
- MAC模型是一种高度集中和严格的访问控制模型,它基于安全标签或级别对资源和主体进行分类,并根据规定的安全策略对访问进行强制控制。
- MAC模型适用于需要确保严格保密性和数据完整性的场景,例如军事、政府和高度机密的数据处理环境。
角色基础访问控制(Role-Based Access Control,RBAC):
- RBAC是一种将用户分配到不同角色的访问控制模型,每个角色被赋予特定的权限。
- 用户通过被分配到角色来获取相应的权限,而不是直接授权给个体用户。管理员可以根据用户的职责和角色来分配权限。
- RBAC模型适用于需要统一和一致访问控制的场景,如企业内部的权限管理。
属性基础访问控制(Attribute-Based Access Control,ABAC):
- ABAC模型是一种根据属性或条件来控制访问的模型,访问决策基于多个属性的组合。
- 属性可以包括用户的角色、属性、环境条件等,访问请求会被系统根据这些属性进行动态评估和决策。
- ABAC模型适用于需要灵活访问控制和根据多种因素进行访问决策的场景。
持续访问控制(Continuous Access Control,CAC):
- CAC模型是一种根据用户行为和上下文信息来调整访问控制的模型。
- CAC模型会根据用户的行为和特定上下文条件来动态调整其访问权限,以实现更加精细的访问控制。
- CAC模型适用于需要对用户行为进行实时监测和动态调整权限的场景。
每种非自主访问控制模型都有其特定的应用场景和用途,组织和系统管理员可以根据需求选择适合的访问控制模型来确保系统的安全性和完整性。
ABAC
ABAC是”Attribute-Based Access Control”的缩写,中文翻译为”基于属性的访问控制”。ABAC是一种访问控制模型,用于根据用户和资源的属性来控制对资源的访问权限。它是一种灵活而强大的访问控制模型,可以根据多种属性和条件进行访问决策,适用于复杂和动态的访问控制场景。
在ABAC模型中,访问控制决策是基于多个属性的组合来进行的,这些属性可以包括用户的角色、属性、环境条件等。系统根据用户的属性、资源的属性以及其他上下文信息,动态地评估访问请求,并决定是否允许用户访问资源。
ABAC模型的核心思想是将访问控制从静态的角色分配转变为更加灵活和动态的属性评估。通过使用ABAC,可以实现更精细的访问控制策略,以满足不同场景下的安全需求。ABAC模型也具有良好的可扩展性,可以适应复杂的组织结构和访问控制需求。
ABAC模型的一些特点和优势包括:
- 灵活性:ABAC模型允许根据多种属性和条件进行访问决策,因此可以适应不同的应用场景和访问控制需求。
- 动态性:ABAC模型可以根据用户的行为和上下文信息动态调整访问权限,实现持续的访问控制。
- 细粒度控制:ABAC模型可以实现更细粒度的访问控制,允许对不同资源和操作进行个性化授权。
- 可扩展性:ABAC模型适用于大规模系统和复杂的组织结构,具有良好的可扩展性。
ABAC已经被广泛应用于许多领域,包括网络安全、云计算、身份验证和授权管理等,成为一种重要的访问控制机制。
网络接入服务器
网络接入服务器(Network Access Server,NAS)是一种在计算机网络中充当门户的设备或服务器。NAS通常用于控制用户对网络的访问和提供接入认证服务。它可以连接用户设备(例如计算机、手机、平板电脑)和网络服务提供商的网络,允许用户通过不同的接入方法连接到网络,并根据用户的身份进行认证和授权。
NAS的主要功能包括:
认证和授权:NAS负责验证用户的身份,并根据用户的身份和访问权限控制对网络资源的访问。
接入控制:NAS可以实施访问控制策略,根据网络策略和用户身份控制用户的接入,例如限制特定用户或设备的接入权限。
用户连接管理:NAS负责管理用户连接,包括用户的接入、断开连接和会话管理。
用户会计:NAS可以记录用户的网络使用情况,包括连接时间、使用的数据量等信息,以进行计费和网络使用统计。
NAS通常用于提供不同类型的网络接入服务,如:
- 宽带拨号接入:通过电话线或电缆连接,提供互联网接入服务。
- 无线接入:通过Wi-Fi或其他无线技术提供无线网络接入服务。
- VPN接入:通过虚拟私有网络(VPN)提供远程访问和安全接入服务。
NAS设备可以是专用的硬件服务器,也可以是软件应用程序,具体实现方式根据网络需求和规模而异。在大型网络中,NAS通常是网络服务提供商(ISP)或企业中心的关键设备,用于管理和控制用户接入和网络资源的使用。
RADIUS架构
RADIUS(Remote Authentication Dial-In User Service)是一种用于认证、授权和账务管理的网络协议和架构。它是一种广泛应用于计算机网络中的客户端/服务器模型,用于提供用户在远程访问服务器上的身份认证和访问控制服务。RADIUS最初设计用于支持拨号用户访问网络,但后来被扩展应用于其他网络接入方式,如无线网络和虚拟专用网(VPN)。
RADIUS架构包括以下组件:
认证客户端(Authenticator):也称为网络接入服务器(NAS),负责接收用户的认证请求并将其转发给RADIUS服务器进行处理。认证客户端可以是路由器、交换机、无线接入点等网络设备。
RADIUS服务器:RADIUS服务器是核心组件,负责处理用户的认证请求、授权请求和账务信息。当认证客户端接收到用户的认证请求后,会将请求发送给RADIUS服务器进行认证和授权决策。
用户数据库:RADIUS服务器需要与用户数据库进行通信,从中获取用户的认证信息和访问权限。用户数据库可以是本地的数据库,也可以是LDAP(轻型目录访问协议)或其他外部用户目录。
RADIUS的工作过程如下:
- 用户通过认证客户端尝试连接到网络,认证客户端将用户的认证请求转发给RADIUS服务器。
- RADIUS服务器接收到认证请求后,会与用户数据库进行交互,验证用户的凭据(如用户名和密码)。
- 如果认证成功,RADIUS服务器会返回认证成功的消息,并发送授权信息给认证客户端,允许用户访问网络资源。
- 认证客户端根据RADIUS服务器的授权信息,决定是否允许用户访问网络。
RADIUS的优势在于集中化管理认证和授权,减轻了网络设备的负担,同时提供了安全性和灵活性,适用于大规模网络和复杂网络接入环境。
[9/20] 练习题测试结果
正确率 9/20
[11/20] CISSP官方学习手册(第9版)第14章练习题
- B
- B
- B
- A
- D
- B 正确答案A
- D
- A 正确答案B
- B
- D 正确答案B
- D 正确答案C
- B 正确答案A
- A
- D 正确答案A
- D
- C
- A 正确答案B
RADIUS构架是什么 - A 正确答案B
- A 正确答案D
- C
11 / 20
612 / 899