CISSP考点拾遗——基于xx的访问控制

原创 已于 2022-09-26 18:47:31 修改 · 507 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全架构 #安全

于 2022-09-26 17:42:13 首次发布
本文解析了访问控制领域的三种核心模型:IBAC、RBAC及ABAC。分别介绍了它们的工作原理、特点及其应用场景,并强调了ABAC模型在动态访问控制方面的优势。

说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。

以下内容主要参考的NIST SP 800-162和NIST SP 800-178,本人水平有限,请以原文为准。

ACL(IBAC):

注意ACL是以客体为出发点的权限控制实现(具体请查阅CISSP教材访问控制矩阵、访问控制列表、访问能力表相关知识点内容)。

在IBAC模型中,如果一个主体提供的凭证与ACL中要求的凭证相匹配,则该主体被给予对客体的访问权。每个主体对该客体可执行的操作(读、写、编辑、删除等)权限,由客体所有者单独管理。每个客体都有自己的ACL和分配给每个主体的一组特权。

在IBAC模型中,授权决定在任何特定的访问请求之前做出,并导致主体被添加到ACL中。这个决定是静态的,需要一个通知过程来应对主体、客体或上下文可能发生的变化,当上述因素变化时,通知客体所有者重新评估和修改ACL。

如果涉及跨机构访问,即机构A的用户需要访问机构B的资源时,需要在机构B中预先为机构A的用户创建账号,并在访问列表中预先填写许可的操作。

IBAC模型的特征:

  • 每个客体对应一个ACL;

  • 权限逐一的分配给单个主体。

RBAC

基于角色的访问控制模型采用了可分配给主体、具有特定权限集合的预定义角色。在处理主体的访问请求时,访问控制机制评估已分配给该主体的角色,以及该角色已被授权对客体执行的操作集(权限集合),然后呈现和执行访问决策。

与IBAC相似,授权决定是静态的,在访

最低0.47元/天 解锁文章
CISSP备考】第14章:控制和监控访问
ailx10
07-06 335
CISSP考试重点:识别常见授权机制。授权确保所请求的活动或客体是可访问的,前提是赋予已经验证的身份应有的权限。例如,它确保具有适当权限的用户可访问文件和其他资源,常见授权机制包括隐式拒绝、访问控制矩阵、能力表、约束接口、依赖内容的控制和依赖上下文的控制。这些机制执行诸如知其所需、最小特权和职责分离等安全原则。了解每个访问控制模型的详细信息。使用自主访问控制(DAC)模型,所有客体都有所有者,所有...
CISSP第一章:安全与风险管理知识点
qq_18209847的博客
09-12 4058
CISSP第一章:安全与风险管理知识点
CISSP第三章 访问控制
waiwai3的博客
12-24 3613
主要内容 身份标识方法和技术 身份验证方法、模型和技术 自主访问控制、强制访问控制和非自主访问控制 可问责性、监控和审计实践 发射安全和技术 入侵检测系统 访问控制实践和技术中可能遇到的安全威胁 3.1 访问控制概述 访问是主体和客体之间进行的信息流动。 主体:可以是通过访问客体以完成某种任务的用户,程序或进程 客体:可以是计算机,数据库,文件,计算机程序,目录或数据库中某个表内的字段 3.2...
CISSP备考】第五章-身份与访问管理
qq_36019891的博客
08-23 1454
CISSP备考笔记
掌握 CISSP,筑牢网络安全防线
最新发布
xx16755498986的博客
11-12 1035
CISSP 认证不仅是安全从业者的 “职业通行证”,更是构建体系化安全思维、提升解决复杂安全问题能力的 “方法论”。从备考到认证维护,从知识学习到实践应用,CISSP 的全流程都在引导安全从业者 “从点到面” 地理解网络安全,帮助个人实现职业进阶,助力企业构建 “不可破” 的安全防线。在网络安全威胁日益复杂的今天,掌握 CISSP 已成为安全从业者的 “必修课”。
CISSP备考笔记】第5章 身份与访问管理
11-19 2033
第五章 身份与访问管理 5.1 访问控制概述 ​ 访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源进行通信和交互。​ 主体可以是通过访问客体以完成某种任务的用户、程序或进程。​ 客体是包含被访问信息或者所需功能的被动实体。 5.2 安全原则 各种安全控制中3个主要的安全原则:机密性、完整性、可用性 ​ 可用性:一般采用容错和恢复机制 ​ ...
NIST SP800-162.pdf
02-25
CHAPTER ONE INTRODUCTION nformation and Communications Technology (ICT) relies on a complex, globally distributed, and interconnected supply chain ecosystem that is long, has geographically diverse routes, and consists of multiple tiers of outsourcing. This ecosystem is composed of public and private sector entities (e.g., acquirers, system integrators, suppliers, and external service providers) and technology, law, policy, procedures, and practices that interact to design, manufacture, distribute, deploy, and use ICT products and services. This ecosystem has evolved to provide a set of highly refined, cost-effective, reusable ICT solutions. Federal government information systems1 have rapidly adopted this ecosystem of solution options, which has increased their reliance on commercially available products, system integrator support for custom-built systems, and external service providers. This in turn has resulted in increased complexity, diversity, and scale of the federal government’s ICT supply chains. Commercially available ICT solutions present significant benefits including low cost, interoperability, rapid innovation, a variety of product features, and choice among competing vendors. These commercial off-the-shelf (COTS) solutions can be proprietary or open source and can meet the needs of a global base of public and private sector customers. However, the same globalization and other factors that allow for such benefits also increase the risk of a threat event which can directly or indirectly affect the ICT supply chain, often undetected, and in a manner that may result in risks to the end user. These ICT supply chain risks may include insertion of counterfeits, unauthorized production, tampering, theft, insertion of malicious software and hardware, as well as poor manufacturing and development practices in the ICT supply chain. These risks are associated with an organization’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the integrity, security, resilience, and quality of the products and services.2 Threats and vulnerabilities created by malicious actors (individuals, organizations, or nation states) are often especially sophisticated and difficult to detect, and thus provide a significant risk to organizations. It should be noted that ICT products (including libraries, frameworks, and toolkits) or services originating anywhere (domestically or abroad) might contain vulnerabilities that
CISSP考点拾遗——咬文嚼字:范围(scoping)和裁剪(tailoring)
single_element的博客
08-10 1016
scoping是tailoring过程的一部分;scoping的关键字是“适用性(applicability, suitable)”tailoring的关键字是“修改(modify)”和“值(values)”
CISSP考点拾遗——渗透测试的各阶段
single_element的博客
03-11 943
CISSP考试中渗透测试究竟包含哪些阶段
精选资源
CISSP考点手册.pdf
09-30
CISSP考试基于(ISC)²官方编撰的官方备考指南和知识体系(CBK,Common Body of Knowledge),强调在信息安全领域内的实践经验,要求申请者具备至少5年相关工作经验,或者拥有4年相关工作经验并拥有学士学位或同等...
史上最强的权限系统设计攻略(上):基础概念、RBAC以及ABAC模型
weixin_54542328的博客
12-08 1732
本文分为上下两篇,上篇讲一些权限系统设计领域的一些基本概念,以及基本模型的使用,下篇讲我们京东北极星商业操作系统在复杂权限管控的场景上面的一些探索和实践,依然保持我本人写文章废话不多说的风格,我们直接开始。
美NIST标准-ABAC-中英文版本
02-29
ABAC-NIST.SP.800-162,中文翻译版。基于属性的访问控制模型标准-中英文。基于NIST下载的原版本进行的中文翻译,并保留了原文,方面进行中英文比对。是开放版本,方便进行模型标准的了解与解读。对产品开发以及零信任中的属性可以有更深入的了解。
nist 800-181标准中文版
07-16
nist 800-181标准中文版作为美国信息安全乃至世界通用的标准,对于信息安全产品开发、方案设计等具有重要的参考价值
美国NIST《网络安全框架》中英文版
08-09
美国NIST《网络安全框架》cybersecurity-framework-021214中英文版
NIST SP800-126.pdf
02-25
This document provides the definitive technical specification for Version 1.0 of the Security Content Automation Protocol (SCAP). SCAP (pronounced S-CAP) consists of a suite of specifications for standardizing the format and nomenclature by which security software communicates information about software flaws and security configurations. This document describes the basics of the SCAP component specifications and their interrelationships, the characteristics of SCAP content, as well as SCAP requirements not defined in the individual component specifications. The scope of this document is limited to SCAP Version 1.0. Other versions of SCAP and the component specifications, including emerging specifications and future versions of SCAP, are not addressed here. Future versions of SCAP will be defined in distinct revisions of this document, each clearly labeled with a document revision number and the appropriate SCAP version number.
NIST 网络安全相关标准 美国 (简单整理)
DarkN0te
08-10 1万+
系列 编号 英文名 中文名 状态 时间 ITL Bulleti   Security Considerations for Exchanging Files Over the Internet 通过Internet交换文件的安全注意事项 Final 8/03/2020 SP 800-210 General Access Control Guidance for Cloud Syste...
第一章 安全与风险管理 >>CISSP备考流水账
学习带来的愉悦具有很高的延迟,但还在承受范围内
12-10 838
信息安全法案 联邦信息安全管理法案: 【FISMA】政府信息安全改革法案是这个法案的前身,适用于政府外包商; 支付卡行业数据安全标准:【PCI DSS】适用于金融信用卡客户身份信息保护[PII]; 健康保险流通和责任法案:【HIPAA】适用于医疗、保险客户健康档案保护[PHI]; 儿童联机隐私保护法案: 【COPPA】关于13岁以下的儿童连接网站的隐私信息保护; Gramm-Leach...
CISSP-安全与风险管理
悦分享
07-01 1460
安全管理  安全治理    Management,管理,管理者为了达到特定目的而对管理对象进行的计划、 组织、指挥、协调和控制的一系列活动。    governance,治理,治理是或公或私的个人和机构进行经营、管理相同事务的诸多方式的总和,安全治理是支持、定义和指导组织的安全工作相关的实践的集合,包括:安全审计、安全监督、安全合规、文件审查等。    管理强调的是一个过程活动,而治理强调的是为了达到同一目标,多方面的协调。  安全管理计划    安全管理计划能确保安全策略的适当创建、实现和实施。建立安
NIST SP800系列标准
热门推荐
RukeyLee's Tech Blog
08-22 2万+
NIST SP800系列标准         SP800是美国NIST(National Institute of Standards and Technology)发布的一系列关于信息安全的指南(SP是Special Publications的缩写)。文档很多,也很细,值得大家学习。        在NIST的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已
CISSP认证详细指南:权威考点与大纲解析
CISSP认证考试主要围绕“信息安全及风险管理体系”、“资产安全”、“安全工程”、“通信与网络安全”、“身份与访问管理”、“安全评估与测试”、“安全运营管理”以及“软件开发安全”这八个知识领域。考生需要对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值