CISSP All-in-One(二十四)

访问控制

挑战/应答协议

(Challenge/Response Protocol)是一种用于验证用户或实体身份的安全机制。在这种协议中,系统会向用户发送一个挑战(challenge),通常是一个随机生成的问题、数字或密码,用户需要正确地回答(response)这个挑战,以证明他们的身份。

这种协议的主要思想是,只有真正掌握了正确的响应信息的人或实体才能通过验证,从而增强了身份验证的安全性。挑战/应答协议可以应用于多种场景,如登录系统、访问受限资源、进行交易等,以确保只有授权的用户才能进行相应的操作。

然而,需要注意的是,挑战/应答协议可能会受到一些攻击方法的影响,如重放攻击(将之前的正确响应重新发送)等。因此,在实际应用中,通常会结合其他安全机制来增强身份验证的安全性。

Token challenge

“Token challenge” 指的是在身份验证过程中使用令牌进行挑战/应答的情况。在这种情况下,系统会向用户的令牌设备(如硬件令牌、软件令牌或移动应用)发送一个挑战,令牌会生成一个相应的响应作为回应。

这种方式的身份验证通常用于增强安全性,因为令牌生成的响应是基于令牌设备中的加密密钥和挑战信息计算得出的,这使得攻击者难以伪造或重放响应。

“Token challenge” 的过程可能包括以下步骤:

  1. 系统向用户的令牌发送随机生成的挑战。
  2. 令牌设备使用内部的密钥和挑战信息计算出响应。
  3. 用户将响应输入到系统进行验证。
  4. 系统验证响应的正确性,从而验证用户的身份。

这种方法常用于两因素身份验证,其中用户除了密码外,还需要提供令牌生成的响应,从而提供额外的安全层。

身份管理系统

身份管理系统(Identity Management System,简称IDM系统)是一种用于管理和维护用户身份信息和权限的系统。它涵盖了识别、验证、授权、审计等多个方面,旨在确保只有授权的用户能够访问系统和资源,同时为管理员提供有效的身份和权限管理工具。

身份管理系统的主要功能包括:

  1. 身份认证(Authentication):验证用户的身份,确保用户是其所声称的那个人。这可以包括密码、双因素认证、生物识别等方法。

  2. 访问控制(Access Control):基于用户的身份和权限,限制用户可以访问的资源和功能。确保只有具有合适权限的用户可以进行特定操作。

  3. 身份验证(Authorization):确定用户能够执行的操作和访问的内容。这与访问控制紧密相关,是确保用户只能访问其所需资源的关键。

  4. 用户管理(User Management):创建、更新和删除用户账户,管理用户信息和属性,以及处理用户角色和组织关系。

  5. 单一登录(Single Sign-On,SSO):允许用户在一次登录后访问多个应用程序和系统,而无需再次输入凭据。

  6. 审计与合规(Audit and Compliance):记录和监控用户的活动,以满足合规性要求,并检测任何潜在的风险。

身份管理系统有助于组织更有效地管理用户访问,提高数据安全性,简化管理流程,降低管理成本,并确保合规性。

联邦身份认证

“Federation identification” 的翻译是 “联邦身份认证”。在信息技术领域,联邦身份认证是一种允许用户在多个不同的组织或系统之间使用相同的身份验证凭据进行访问的方法。这可以提供更便捷的访问方式,同时保持安全性和隐私。

SPML

SPML(Service Provisioning Markup Language)是一种用于访问和管理分布式系统中资源的标准化协议。它是一种基于XML的协议,旨在支持身份和访问管理领域中的服务供应。

SPML 提供了一种通用的方法,用于在不同的系统之间进行用户和资源的管理。通过 SPML,组织可以更轻松地创建、修改、删除用户帐户、分配权限和管理其他相关资源,而不需要涉及特定系统的细节。

SPML 协议的核心功能包括:

  1. 创建和管理用户帐户:允许创建、更新和删除用户帐户,以及管理用户的属性和属性。

  2. 访问权限管理:允许管理用户的访问权限,包括分配、修改和撤销权限。

  3. 资源分配和回收:允许分配和回收资源,如应用程序访问权限、网络资源等。

  4. 系统集成:通过标准化的协议,支持不同系统之间的集成,以实现统一的身份和访问管理。

SPML 的目标是简化多系统环境中的用户和资源管理,提高效率并减少管理复杂性。它在企业内部和跨企业环境中都有应用,以实现身份和访问管理的统一和自动化。

X.500标准

X.500标准是一组国际标准,用于定义分布式目录服务,允许在网络中存储和检索各种类型的信息。它最初由国际电信联盟(ITU)制定,目的是创建一个标准的、通用的目录服务体系结构,可以在不同的计算机系统和网络之间共享信息。

X.500标准定义了一种层次化的目录结构,类似于树状结构,其中每个节点代表一个目录项,这些目录项可以包含各种信息,如用户信息、组织结构、设备等。每个目录项都有一个唯一的标识符,称为Distinguished Name(DN),用于在整个目录中唯一标识它。

X.500定义了一种用于访问目录信息的协议,称为Directory Access Protocol(DAP)。然而,由于DAP较为复杂,导致它在实际应用中并不太常见。

LDAP(Lightweight Directory Access Protocol)是基于X.500标准的一种简化版本,专注于目录信息的访问和检索,广泛用于网络中的目录服务,如用户认证、地址簿、资源查找等。

尽管X.500在某些领域仍在使用,但它相对较为复杂,而LDAP因其简单性和广泛的支持而更受欢迎。

X.400标准

X.400标准是一组国际标准,用于定义电子邮件传递和交换的协议和服务。它最初由国际电信联盟(ITU)制定,目的是为不同的计算机系统和网络提供一种通用的标准方法,以实现电子邮件的跨系统和跨网络传递。

X.400标准定义了一种复杂的电子邮件体系结构,涵盖了邮件的格式、传递、路由和存储。它使用一种层次化的命名方式来标识邮件和邮件目录,这类似于文件系统中的路径。

与X.400相关的一种协议是MHS(Message Handling System),它是用于实现X.400电子邮件系统的通信协议。然而,X.400在实际应用中并不如SMTP(Simple Mail Transfer Protocol)和POP3(Post Office Protocol 3)等更简单的电子邮件协议流行,因为X.400相对复杂,对于某些用户和组织来说,它可能显得过于庞大和繁琐。

尽管如此,X.400仍然在某些特定的领域和环境中使用,尤其是在需要更严格的邮件交付和安全性要求的情况下。

[18/24]CISSP认证考试指南第七版CISSP All in One-第二章

  1. C
  2. B

对于单个组织的数据分类级别,以下哪项最有意义?
A.未分类,秘密,绝密
B. 公共,可释放,未分类
C. 敏感,敏感但未分类(SBU) ,专有权
D. 专有权,商业秘密,隐私
3. D 选A

  1. A

有关数据聚合对分类级别的影响,以下描述中哪一项最恰当?
A.数据分类标准适用于组织内的所有数据
B.聚合是一种对分类没有影响的灾难恢复技术
c. 低分类的数据聚合可以被解构成更高分类的数据项
D. 低分类数据项的组合可创建更高分类集合

  1. C 选D
    每当有人可以组合数据项,并以更高分类聚合结束时,数据聚合就会成为一个分类问题。
    例如,人的姓名、地址、电话号码或出生日期通常不是 PII 本身。然而,当合并时,它们确实在适用法律的大多数司法管辖区的定义下成为 PIIo

谁对组织内资产的保护负有最终责任?
A.数据所有者
B.网络保险提供商
c. 高级管理人员
D. 安全专业人员

  1. A 选C
  1. D
  2. D
  3. C

数据所有者通常由除以下哪一项外的所有项来描述?
A.负责业务部门的经理
B.最终负责保护数据
c. 对数据丢失的财务责任
D. 最终负责数据的使用

  1. A 选C
    数据所有者是负责特定业务的部门经理,并且最终负责特定信息子集的保护和使用。
    大多数情况下,此人对数据的丢失不承担财务责任。
  1. D
  2. C
  3. B

谁担负确定信息分类级别的主要责任?
A. 职能经理
B. 高级管理人员
c. 所有者
D. 用户

  1. B 选C
    公司可以有一个特定的数据所有者或不同的数据所有者,他们被委托负责保护特定的数据集。保护这些信息的职责之一是正确分类。
  1. C
  2. B

谁最终确保数据被分类和保护?
A.数据所有者
B. 用户
c. 管理员
D. 管理人员

  1. A 选D
    这个问题的关键是使用”最终”这个词。虽然管理层可将任务委派给他人,但其最终对公司内部发生的一切负责。因此必须不断确保数据和资源得到适当保护。
  1. D
  2. B
  3. C
  4. B
  5. D
  6. C
  7. A