一、基礎(chǔ)知識(shí)

訪問(wèn)控制是控制對(duì)資源訪問(wèn)的過(guò)程，它通過(guò)提供對(duì)授權(quán)主體的訪問(wèn)并防止未經(jīng)授權(quán)的訪問(wèn)嘗試，以保護(hù)機(jī)密性、完整性和可用性。

訪問(wèn)控制的三個(gè)原則

? ? 1）知其所需(Need to know): 只授予用戶訪問(wèn)執(zhí)行工作所必需的資源權(quán)限。比如只給軟件工程師開(kāi)放他正在參與項(xiàng)目的代碼庫(kù)訪問(wèn)權(quán)限，而非完整代碼庫(kù)。

? ? 2）最小特權(quán)(Least Privilege)

每個(gè)程序和系統(tǒng)用戶都應(yīng)該具有完成任務(wù)所必需的最小權(quán)限集合。比如不能為了簡(jiǎn)便給普通用戶開(kāi)放管理員權(quán)限。

?? ?3）特權(quán)分離原則(Separation of Privilege)

細(xì)分特權(quán)，分配給多個(gè)主體，確保個(gè)體無(wú)法單獨(dú)控制關(guān)鍵職能或系統(tǒng)。比如，負(fù)責(zé)創(chuàng)建賬號(hào)的工程師不能同時(shí)負(fù)責(zé)審批賬號(hào)。電影中常見(jiàn)的核彈發(fā)射需要雙人控制，是特權(quán)分離原則的一個(gè)實(shí)際例子。

二、訪問(wèn)控制四要素

圖1-訪問(wèn)控制四要素

三、身份標(biāo)識(shí)

系統(tǒng)向用戶頒發(fā)標(biāo)識(shí)時(shí)要滿足以下幾點(diǎn)

? ? 每個(gè)值都應(yīng)當(dāng)是唯一的，便于問(wèn)責(zé)

? ? 應(yīng)當(dāng)遵循一個(gè)標(biāo)準(zhǔn)的命名方案

? ? 標(biāo)識(shí)值不應(yīng)描述用戶的職位和任務(wù)

? ? 標(biāo)識(shí)值不應(yīng)在用戶之間共享

四、身份驗(yàn)證

身份驗(yàn)證是證明用戶是他自己所聲稱的那個(gè)人，身份驗(yàn)證可以利用如下三種因素

圖2-身份驗(yàn)證知識(shí)點(diǎn)

? ? ? ? 對(duì)生物識(shí)別信息的使用，請(qǐng)參考這里

五、訪問(wèn)授權(quán)

常見(jiàn)的有四種訪問(wèn)控制模型，分別用不同的方法來(lái)控制主體訪問(wèn)客體的方式。在這里主體(Subject)是發(fā)起訪問(wèn)需求的系統(tǒng)或用戶， 客體(Object)是要被訪問(wèn)的資源(數(shù)據(jù)，系統(tǒng)，或物理資源)。

自主訪問(wèn)控制(DAC - Discretionary Access Control)

它是由資源所有者自主決策來(lái)分配訪問(wèn)權(quán)限，比如小區(qū)內(nèi)有一千戶家庭，每個(gè)家庭的入戶門禁的權(quán)限控制都是由該家庭自主決定。

大部分操作系統(tǒng)都是基于DAC模型，由每個(gè)文件的owner自主設(shè)置訪問(wèn)權(quán)限。

其他所有的控制模型，都屬于非自主訪問(wèn)控制。

強(qiáng)制訪問(wèn)控制(MAC-Mandatory Access Control)

它是一種基于安全標(biāo)簽的系統(tǒng)，每個(gè)主體和客體都有附加的安全標(biāo)簽，系統(tǒng)基于主體和客體的標(biāo)簽，以及系統(tǒng)安全策略對(duì)訪問(wèn)請(qǐng)求作出決策。

比如具有絕密安全許可的用戶，請(qǐng)求訪問(wèn)某絕密文件，系統(tǒng)給予授權(quán)。

MAC適合用于軍事機(jī)構(gòu)等對(duì)進(jìn)行要求高的環(huán)境

基于角色的訪問(wèn)控制(RBAC - Role-based Access Control)

根據(jù)組織的業(yè)務(wù)模式，創(chuàng)建不同的角色，為每個(gè)角色分配所需的資源訪問(wèn)權(quán)限。再根據(jù)不同用戶在組織內(nèi)扮演的角色，將其分配到特定角色，進(jìn)而獲得所需的權(quán)限。

比如：組織中有IT，財(cái)務(wù)，HR等不同角色，每個(gè)角色被授予相應(yīng)系統(tǒng)的權(quán)限。新的HR員工Alice加入后，只需將其賬號(hào)分配到HR角色上，就可以獲得所需的HR系統(tǒng)權(quán)限。

RBAC的最大好處是更簡(jiǎn)單的賬號(hào)配置流程，減少管理成本，適合流動(dòng)率高的組織。

基于屬性的訪問(wèn)控制(ABAC-Attribute-based Access Control)

使用系統(tǒng)中所具有的任何屬性共同來(lái)創(chuàng)建允許的訪問(wèn)規(guī)則，提供更多的靈活性。

主體可用的屬性：職位，部門，入職年限，項(xiàng)目團(tuán)隊(duì)成員，地點(diǎn)

客體可用的屬性：敏感性分級(jí)，位置，創(chuàng)建人，類型

動(dòng)作屬性： 審查，批準(zhǔn)，評(píng)論，存檔

上下文背景：時(shí)間，項(xiàng)目狀態(tài)

訪問(wèn)控制矩陣

它是一種數(shù)據(jù)結(jié)構(gòu)，用于存儲(chǔ)主體和客體對(duì)應(yīng)的訪問(wèn)權(quán)限關(guān)系。

訪問(wèn)控制列表(ACL-Access Control List)

? ? 用在操作系統(tǒng)，應(yīng)用程序以及路由器中，它是針對(duì)單個(gè)客體的，約定了不同主體針對(duì)該客體的訪問(wèn)權(quán)限。

圖3-ACL示例

能力表(Capability Table)

? ? 它指定了單個(gè)主體對(duì)不同客體所具有的訪問(wèn)權(quán)限。

? ? 能力表是從用戶的維度看權(quán)限，而ACL是從資源的角度看權(quán)限。

六、可問(wèn)責(zé)性

配置可問(wèn)責(zé)性的原因： 跟蹤個(gè)體的惡意行為，監(jiān)測(cè)入侵、重現(xiàn)事件，提供法律追索條件以及生成問(wèn)題報(bào)告。

要實(shí)現(xiàn)可問(wèn)責(zé)性，需要通過(guò)記錄用戶和系統(tǒng)的活動(dòng)，并且對(duì)這些記錄進(jìn)行審計(jì)。

Audit Trail(審計(jì)軌跡)是與公司資源與數(shù)據(jù)相關(guān)的每項(xiàng)動(dòng)作和活動(dòng)的詳細(xì)日志，當(dāng)組織需要內(nèi)部調(diào)查或面臨外部審計(jì)時(shí)，審計(jì)軌跡能提供完整的信息支持。

七、訪問(wèn)控制措施

? ? 物理訪問(wèn)控制措施

? ? ????邊界安全：不同區(qū)域的進(jìn)出身份驗(yàn)證

? ? ????計(jì)算機(jī)控制： 上鎖，USB屏蔽

? ? ????工作區(qū)域分隔&控制區(qū)域：基于敏感度區(qū)分不同區(qū)域，實(shí)施不同的安全控制

? ? 技術(shù)性控制措施

? ? ????系統(tǒng)訪問(wèn)

? ? ????網(wǎng)絡(luò)架構(gòu)

? ? ????網(wǎng)絡(luò)訪問(wèn)

? ? ????加密技術(shù)

? ????? 審計(jì)

八、身份管理

身份管理(Identity Management)是指使用不同產(chǎn)品對(duì)用戶進(jìn)行自動(dòng)化的身份標(biāo)識(shí)，身份認(rèn)證和授權(quán)。

數(shù)字身份的組成包括屬性(部門，角色，許可等)，權(quán)利(可獲得的資源，已有的授權(quán))和特征(生物識(shí)別信息，身高，體重等)。 IdM系統(tǒng)需要將這些身份信息集中在一起。

新用戶身份證明與注冊(cè)

當(dāng)要在IAM系統(tǒng)中增加一個(gè)新用戶時(shí)，有如下幾個(gè)動(dòng)作

1. 身份證明-identity proofing

? ? 比如新員工報(bào)道，HR需要對(duì)方提供身份證明文件(身份證，駕照，出生證明等)?；蛘呤菄?guó)內(nèi)注冊(cè)常用的手機(jī)和驗(yàn)證碼做使命驗(yàn)證。

? ? 在線機(jī)構(gòu)可能會(huì)使用基于知識(shí)的驗(yàn)證(knowledge-based authentication）來(lái)要求用戶證明身份。比如銀行開(kāi)立賬戶時(shí)，要求用戶提供購(gòu)車/購(gòu)房的狀態(tài)信息，并和其他機(jī)構(gòu)做交叉驗(yàn)證來(lái)證明用戶真實(shí)身份。

2. 注冊(cè) - registration

? ? 完成身份證明后，在IAM中為用戶創(chuàng)立賬號(hào)，并設(shè)置密碼。如果后續(xù)使用生物識(shí)別信息進(jìn)行賬號(hào)登錄，那在注冊(cè)階段還需完成生物信息的首次采集。比如：新員工首次在門禁系統(tǒng)中錄入個(gè)人指紋信息。

oAuth?

????它是一種面向第三方的開(kāi)放授權(quán)標(biāo)準(zhǔn)，它不提供身份驗(yàn)證

? ? 用于支持用戶授權(quán)網(wǎng)站訪問(wèn)他在其他網(wǎng)站的資源，比如授權(quán)Linkedin訪問(wèn)用戶在認(rèn)證網(wǎng)站上的證書信息。證書網(wǎng)站通過(guò)提供授權(quán)碼給Linkedin，允許它獲取該用戶的信息。

聯(lián)合身份管理 FIM

?? ?是一種便攜式身份，該身份及其相關(guān)聯(lián)的權(quán)利可跨越業(yè)務(wù)邊界使用

?? ?SAML-安全斷言標(biāo)記語(yǔ)言支持不同系統(tǒng)間傳遞身份驗(yàn)證信息

? ? XACML-可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言包含資產(chǎn)的安全策略和訪問(wèn)權(quán)限

? ? OIDC - OpenID Connect 是基于oAuth2.0協(xié)議構(gòu)建的身份驗(yàn)證層

? ? ????Web應(yīng)用程序可通過(guò)OIDC使用第三方IdP對(duì)用戶進(jìn)行身份驗(yàn)證，并且從該IdP獲取有關(guān)用戶的信息。

SSO

? ? ?單點(diǎn)登錄功能允許用戶只輸入一次憑證，就能訪問(wèn)網(wǎng)絡(luò)中的所有資源。

? ? SSO實(shí)現(xiàn)方式

? ?1. Kerberos

? ? Kerberos的優(yōu)勢(shì)：1. 不需要傳遞密碼，都是基于ticket做身份認(rèn)證，保證了密鑰安全性

? ? ????????????????????????????????2. 客戶端和服務(wù)都需要進(jìn)行身份驗(yàn)證

? ? ????????????????????????????????????3. Ticket可以復(fù)用，不用每次都有KDC參與

? ? 安全風(fēng)險(xiǎn)： 1. KDC會(huì)是個(gè)單點(diǎn)故障點(diǎn)

? ? ????????????????????2. 通過(guò)Golden Ticket攻擊可以偽造TGT

? ?2. 域

? ? 同一個(gè)域名下，通過(guò)cookie和session共享機(jī)制也可實(shí)現(xiàn)SSO

參考資料：

CISSP Official Study Guide - 第九版英文版 及 第八版中文版