3、企业安全中的身份与属性管理

企业安全中的身份与属性管理

1. 身份的复杂性与定义

身份是一个复杂的概念，在互联网上搜索“身份”，可能会让人更加困惑。身份通常包含多个可能随时间变化的属性，如工作描述、情感状态、婚姻状况等。在信息技术（IT）领域，我们需要将静态的事物与具有时效性的事物区分开来。《韦氏词典》给出的最简单定义或许是一个很好的起点：“身份就是某人是谁，即一个人的名字”。对于 IT 而言，身份是一个唯一的标签，仅与一个实体或对象相关联，这是身份的静态部分，它可以与你知道的信息、拥有的物品或你本身的特征相关联。

身份分为熟悉的身份（在自己的领域内被认可）和不熟悉或不太熟悉的身份（在自己的领域内未被认可或完全不被认可）。在 IT 安全活动中，确立身份是必要的第一步，它与以下基本安全措施直接相关：
|安全措施|描述|
| ---- | ---- |
|保密性|防止数据（存储和传输中的）被未经授权地披露，常见机制如加密，熟悉的身份有权访问存储和传输的数据。|
|完整性|防止数据（存储和传输中的）被未经授权地修改，并检测和通知此类修改，常见机制如校验和、哈希算法以及权威数据源签名绑定，熟悉的身份创建或传输数据，并需确保不熟悉的身份未修改数据。|
|可用性|授权用户能够及时、可靠地访问数据和信息服务，常见攻击如拒绝服务（DOS）攻击，授权用户为熟悉的身份，未授权用户为不熟悉的身份。|
|真实性|确保主体或资源的身份是其所声称的身份，适用于用户、进程、系统和信息等实体。|
|不可抵赖性|确保行为可归因于发起这些行为的实体身份。|

身份还适用于许多系统原则，如恶意实体对应不熟悉的身份，问责制是将行为归因于熟悉的实体，权力线是一条问责链。许多攻击利用