· 全国
收起
在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《系统架构和设计之安全标准》里,J0ker给大家介绍了CISSP知识体系中的第二个CBK系统——安全架构和设计。接下来的8个CBK里,我们将进入CISSP知识体系中更为具体的部分,它们也都更多的从技术层面来讲述如何使用各种安全方法和安全技术来实现信息安全目标——保密性、完整性和可用性。
访问控制(Access Control)是CISSP知识体系中的第三个CBK,它的内容包括如何使用多种系统提供的安全功能来控制对组织的信息和数据处理资源的访问,这些访问控制措施通过管理、物理和逻辑控制的手段,我们可以从第一个CBK——信息安全管理里面中了解到它们的实施原则, 我们来逐一了解下这三类手段的定义:
物理手段(Physical Control):是历史最悠久的访问控制手段,从许多个世纪前开始,人类就开始使用城墙、门锁等方式来限制其他人对自己财产的占有。另外一种古老的物理访问方法就是“口令”方式,要进入某个区域,进入者必须向哨兵提供一个口令,只有提供了正确的口令的人才能进入指定的区域。这些古老的物理访问控制方法经过发展仍然在我们现在的生活中发挥重要的左右,它们的基本原理依然没有改变,不同的也就是更多使用现代技术来实现。尽管访问控制这个CBK中提到的许多技术是用在物理访问控制方面的,但访问控制CBK的主要目的并非是物理访问控制,而是如何控制对信息系统的访问。关于物理安全的更多内容会在后面的一个CBK——物理安全中详细讲述。
逻辑手段(Logical Control):主要指的是在信息系统中部署的各种访问控制手段,其中我们日常生活中最常见到的就是“密码”这种方法,密码因为它的低成本易部署而成为绝大部分操作系统中的标准配置,但它的安全性并不高,也容易被恶意的攻击者所获得。在访问控制后面的内容里,我们还会了解到如何克服“密码”的弱点和更安全的逻辑访问控制方法。
管理手段(Administrative Control):是指通过特定的规章制度或工作流程来限制对业务资源和特定的工作目标进行限制的访问控制方法。和物理/逻辑访问控制方法针对的对象是资源为主不同的是,管理手段主要针对的是一个业务流程,主要的原则是防止单个人员能够独自的控制特定的业务流程,以防止欺诈等犯罪行为的出现。常见的管理访问控制方法有职责分离(Separation of Duties)、职责轮换(Rotation of Duties)和最低权限(Least Privilege)。
