谷歌镜像 伍佰目录 短网址
  当前位置:海洋目录网 » 站长资讯 » 站长资讯 » 文章详细 订阅RssFeed

CISSP学习:第14章控制和监控访问

来源:本站原创 浏览:96次 时间:2022-10-01

2021年2月24日
权限(Permission):授予对客体的访问权限,并确定对器质性的操作。
权力(Right):对某个客体采取行动的能力。
特权(Privilege):权力和权限的组合。

隐式拒绝:除非已明确授予主题的访问权限,否则则拒绝。
访问控制矩阵:包含主体、客体和分配的权限的表格。
能力表:关注主体,ACL以客体为主。
约束接口:常用方法是无权使用某功能时隐藏该功能。
依赖内容的控制:根据客体内的内容限制对数据的访问。
依赖上下文的控制:在授予用户访问权限之前需要特定的活动。
知其所需:确保主体只能访问他们的工作任务和工作职能必须知道的内容。
最小特权:确保主体被授予执行其工作任务和工作职能所需的权限。
职责和责任分离
安全策略是定义组织安全要求的文档:a.确定需要保护的资产;b.保护他们的安全解决方案;c.应该达到的程度。

实施纵深防御:技术、物理访问控制、管理访问控制
五种访问控制模型:
1.自主访问控制:DAC,客体所有者可授予或拒绝主体的访问。客体所有者管理访问规则,使用客体访问控制列表(ACL)实现DAC
2.非自主访问控制:管理员集中管理
基于角色的访问控制:RBAC,用户--角色--客体,仍无的访问控制。
基于规则的访问控制:防火墙
基于属性的访问控制:基于规则的高级实现。ABAC,使用包含规则的多个属性的策略。
强制访问控制:使用应用于主题、客体的标签。隐式拒绝原则,分层环境、分区环境、混合环境。

风险:威胁利用漏洞导致资产损害等损失的可能性。
威胁:可能导致不良后果的潜在事件。
漏洞:任何类型的弱点。
弱点:可能由于硬件或软件的缺陷或限制或缺少安全控制。

风险管理三大任务:
1.识别资产:确定资产价值优先级。
2.识别威胁:威胁建模方法:专注于资产、专注于***者、专注于软件。
3.识别漏洞:漏洞分析

常见访问控制***:
1.访问聚合***:侦察***。
2.密码***:强密码、密码散列值存储。
3.字典***
4.暴力***:高算力,GPU
5.生日***:加盐、提升安全性。
6.彩虹表***:加盐密码算法:Bcrypt,PBKDF2
7.嗅探器***:加密所有敏感数据;一次性密码;物理安全;***检测。
8.欺骗***:IP欺骗,电子邮件欺骗,电话号码欺骗。
9.社会工程***:应对方法:培训。
10.网络钓鱼:偷渡式下载(drive-by download)
11.鱼叉式网络钓鱼:针对特定用户群体,很多来自内部或外部协作者。
12.网络钓鲸:针对高级管理人员。
13.语言网络钓鱼
14.智能卡***:侧信道***。

保护方法综述:
1.控制对系统的物理访问。
2.控制对文件的电子访问
3.创建强密码策略
4.散列和加盐密码
5.使用密码屏蔽
6.部署多因素身份验证
7.使用账户锁定控制
8.使用上次登录通知
9.用户安全培训

课后习题20题,错了4个。

  推荐站点

  • At-lib分类目录At-lib分类目录

    At-lib网站分类目录汇集全国所有高质量网站,是中国权威的中文网站分类目录,给站长提供免费网址目录提交收录和推荐最新最全的优秀网站大全是名站导航之家

    www.at-lib.cn
  • 中国链接目录中国链接目录

    中国链接目录简称链接目录,是收录优秀网站和淘宝网店的网站分类目录,为您提供优质的网址导航服务,也是网店进行收录推广,站长免费推广网站、加快百度收录、增加友情链接和网站外链的平台。

    www.cnlink.org
  • 35目录网35目录网

    35目录免费收录各类优秀网站,全力打造互动式网站目录,提供网站分类目录检索,关键字搜索功能。欢迎您向35目录推荐、提交优秀网站。

    www.35mulu.com
  • 就要爱网站目录就要爱网站目录

    就要爱网站目录,按主题和类别列出网站。所有提交的网站都经过人工审查,确保质量和无垃圾邮件的结果。

    www.912219.com
  • 伍佰目录伍佰目录

    伍佰网站目录免费收录各类优秀网站,全力打造互动式网站目录,提供网站分类目录检索,关键字搜索功能。欢迎您向伍佰目录推荐、提交优秀网站。

    www.wbwb.net