您好,欢迎来到站长目录(28sn.com)!


CISSP学习:第14章控制和监控访问

来源:网络整理 浏览:228次 时间:2022-09-30

2021年2月24日
权限(Permission):授予对客体的访问权限,并确定对器质性的操作。
权力(Right):对某个客体采取行动的能力。
特权(Privilege):权力和权限的组合。

隐式拒绝:除非已明确授予主题的访问权限,否则则拒绝。
访问控制矩阵:包含主体、客体和分配的权限的表格。
能力表:关注主体,ACL以客体为主。
约束接口:常用方法是无权使用某功能时隐藏该功能。
依赖内容的控制:根据客体内的内容限制对数据的访问。
依赖上下文的控制:在授予用户访问权限之前需要特定的活动。
知其所需:确保主体只能访问他们的工作任务和工作职能必须知道的内容。
最小特权:确保主体被授予执行其工作任务和工作职能所需的权限。
职责和责任分离
安全策略是定义组织安全要求的文档:a.确定需要保护的资产;b.保护他们的安全解决方案;c.应该达到的程度。

实施纵深防御:技术、物理访问控制、管理访问控制
五种访问控制模型:
1.自主访问控制:DAC,客体所有者可授予或拒绝主体的访问。客体所有者管理访问规则,使用客体访问控制列表(ACL)实现DAC
2.非自主访问控制:管理员集中管理
基于角色的访问控制:RBAC,用户--角色--客体,仍无的访问控制。
基于规则的访问控制:防火墙
基于属性的访问控制:基于规则的高级实现。ABAC,使用包含规则的多个属性的策略。
强制访问控制:使用应用于主题、客体的标签。隐式拒绝原则,分层环境、分区环境、混合环境。

风险:威胁利用漏洞导致资产损害等损失的可能性。
威胁:可能导致不良后果的潜在事件。
漏洞:任何类型的弱点。
弱点:可能由于硬件或软件的缺陷或限制或缺少安全控制。

风险管理三大任务:
1.识别资产:确定资产价值优先级。
2.识别威胁:威胁建模方法:专注于资产、专注于***者、专注于软件。
3.识别漏洞:漏洞分析

常见访问控制***:
1.访问聚合***:侦察***。
2.密码***:强密码、密码散列值存储。
3.字典***
4.暴力***:高算力,GPU
5.生日***:加盐、提升安全性。
6.彩虹表***:加盐密码算法:Bcrypt,PBKDF2
7.嗅探器***:加密所有敏感数据;一次性密码;物理安全;***检测。
8.欺骗***:IP欺骗,电子邮件欺骗,电话号码欺骗。
9.社会工程***:应对方法:培训。
10.网络钓鱼:偷渡式下载(drive-by download)
11.鱼叉式网络钓鱼:针对特定用户群体,很多来自内部或外部协作者。
12.网络钓鲸:针对高级管理人员。
13.语言网络钓鱼
14.智能卡***:侧信道***。

保护方法综述:
1.控制对系统的物理访问。
2.控制对文件的电子访问
3.创建强密码策略
4.散列和加盐密码
5.使用密码屏蔽
6.部署多因素身份验证
7.使用账户锁定控制
8.使用上次登录通知
9.用户安全培训

课后习题20题,错了4个。

推荐站点

  • 我爱发烧音乐我爱发烧音乐

    我爱发烧音乐囊括了从流行音乐到古典音乐多个类型的音乐作品,专栏推荐最新的音乐,提供音乐排名榜单!可供免费线上收听音乐,歌曲流畅,音效极佳! 网站提供的钢琴以及二胡专栏,可供收听者,陶冶情操,改善心情,是难得的轻音乐典藏!

    www.520fs.com
  • 世纪音乐网世纪音乐网

    世纪音乐网是专业的在线音乐试听MP3下载网站。歌曲总计30余万首,收录了网上最新歌曲和流行音乐,DJ舞曲,非主流音乐,经典老歌,劲舞团歌曲,搞笑歌曲,儿童歌曲,英文歌曲等。是您上网听歌的最佳网站。

    www.ssjj.com
  • 杭州网杭州网

      杭州网是杭州地区唯一的新闻门户网站,由中共杭州市委宣传部、杭州日报报业集团和杭州广播电视集团共同组建的杭州网络传媒有限公司运营。

    www.hangzhou.com.cn
  • 深圳在线深圳在线

      深圳在线 www.szol.net是深圳本地最大、最早的地方生活资讯网站之一,网站名“深圳在线www.szol.net”由南方报业传媒集团编辑委员会总编辑、南方日报社总编辑、南方都市报总编辑、南方书画院名誉院长王春芙亲笔题名,深圳在线www.szol.net团队与深圳热线www.szonline.net、奥一网www.oeeee.com都源于全国最早成立于1996年的知名网络公司——深圳万用网。

    www.szol.net
  • 今题网今题网

     今题网- 中国领先的社区服务网,提供社区服务, 在线交友和商家推广服务,于2004年创建上线,公司现有员工超过百名。今题网自成立以来,凭借其独特的定位和丰富的社区交友功能, 凭借其团队超强的搜索引擎优化技术吸引超过千万的用户成为今题网的注册会员。

    www.jinti.com

鄂公网安备 42062502000001号