All In One-第5章 身份与访问管理

本章解决问题

1.如何对信息资源进行控制？

2.控制的手段由哪些？

3.是如何实现的?

4.访问控制的分类和模型？

 

信息安全的基石：控制访问信息资源如何被访问，来防止未授权的修改后泄露。

访问控制的实现可分为技术性、物理性和行政性。

基于策略的文档、软件和技术、网络设计和物理安全组件都需要实现这些控制方法。

 

 

访问控制概述

访问是在主体和客体之间的信息流动，主动是一个主动的实体，可以是用户、程序、进程；客体包含被访问信息或所需功能的被动实体。客体可以是计算机、数据库、文件、计算机程序、目录或数据库表中的某个表内包含的字段。

访问控制基于组织结构控制、限制、监控以及保护资源可用性、完整性和机密性的功能。

 

安全三原则

可用性：信息、系统和资源必须在时间上保证用户使用

完整性：信息必须准确、完整的，并且不会发生未授权的非法修改。

机密性：保证信息不会泄漏给未授权的个人、程序或进程。保护机密性的第一步是确定哪些信息是敏感的以及信息的敏感程度，然后用适当的安全控制进行保护。

 

身份标识（Identification）、身份验证（Authentication）、授权（Authorization）和可问责性（Accountability）（4A）

身份标识：描述了一种能够确保主体（用户、程序或进程）就是所声称主体的方法，通过使用用户名或账号提供身份标识

身份验证：对主体进行身份验证并提供凭证，一般凭证都是密码、密码短语、密钥、个人身份号码（Personal Identification Number，PIN）、生物特征或令牌

授权：确认主体是否具有执行请求的动作所需的权限和特权。（使用一个准则来确定主体能够对客体执行的操作）

可问责性：确保主体在一个系统或区域内的工作应当可问责。主体能够能够被唯一标识，并且主体的动作被记录在案。

静态条件：进程按照错误的顺序针对某个共享资源执行其任务。

逻辑性访问控制是用于身份标识、身份验证、授权和可问责性的技术工具，是针对系统、程序、进程和信息的访问控制措施的软件组件；是所有访问控制同步，并且确保在未影响原有功能的情况下覆盖所有脆弱性，是安全专家的工作

 

身份验证（某人知道什么、某人拥有什么以及某人是什么）

某人知道什么：密码、PIN母亲的娘家姓氏或密码锁等

某人拥有什么：钥匙、门卡、访问卡或证件

某人是什么：基于物理特征进行身份验证

 

双因素认证：强身份验证至少包含3个类别中的两个类别1.

创建或发布安全身份应当包括3个关键方面：唯一性（每个用户拥有问责的唯一ID）、非描述性（任何凭证不应当表明账户的目的）和签发（由另一个权威机构提供，用于证明身份）

 

身份管理（Identify Managment，IdM）

使用不同产品对用户自动化的身份标识、身份验证和授权。不局限于用户账户管理、访问控制、密码管理、单点登录功能、管理用户账户的权限和特权以及设计和监控上述所有项

身份管理解决方案和产品：

1.目录

X.500 标准+LDAP +DC（Domain Controller，域控制器）+AD+DN+namespace

目录在身份验证管理中角色 用于IdM的目录是一种为读取和搜索操作而进行过优化的专用数据库软件，是IdM解决方案的主要组件，存储搜有的信息资源、用户属性、授权资料、角色、潜在的访问控制策略以及其他内容。

虚拟目录：无身份数据，指向驻留实际数据的位置

元目录：含有身份数据

2.Web访问管理（WAM）

WAM软件是用户与基于Web的企业资源之间的主要网关。通常是Web服务器的插件，作为前端进程运行。

3.密码管理（整合到IdM产品中）

• 密码同步
• 自助式密码重设
• 辅助式密码重设

4.传统的单点登录（Single Sign-On，SSO）

允许用户只需要进行一次身份验证，随后不需要再次身份验证就可以访问环境中的资源。

缺点：容易造成瓶颈或单点故障

5.账户管理

通过允许管理员管理不同系统中的用户账户，账户管理解决对公司许多账号回收的问题；在IdM中使用自动化的工作流程组件。

6.配置文件更新

用户数据集中保存在某个位置，IdM中采用了用户资料更新技术，允许管理员在必要时以自动方式创建、更改或删除这些用户资料。

 

生物测定学

生物测定学通过分析独特的属性或行为来确认某个人的身份，它是最有效且最准确的身份标识确认方法之一。

生物测定学的类型：

1.生理性生物测定 （某个人所特有的身体特征）

• 指纹
• 手掌扫描
• 手部外形
• 视网膜扫描 后方视网膜上的血管
• 虹膜扫描 瞳孔周围的一圈彩色部分
• 声纹
• 面部扫描
• 手形拓扑

2.行