本文同时发表在：[url]http://netsecurity.51cto.com/art/200801/63945.htm[/url]

 

    在《J0ker的CISSP之路》的上一篇文章里，J0ker给大家介绍了威胁信息资产保密性、完整性和可用性的各种威胁。控制对信息资源的访问，是防御这些威胁的有效手段，因此，J0ker打算在下面的几个文章里，详细的向大家介绍CISSP访问控制CBK里的威胁控制手段、以及现有的技术和工具。

     传统上，访问控制的手段可以分成管理访问控制（Administrative Access Control，包括人员控制）、物理访问控制（Physical Access Control）和逻辑访问控制（Logical Access Control），它们都是通过限制对信息系统及资源的访问来实现控制的。

管理访问控制手段主要是从管理层面上进行限制，如组织的安全策略及信息系统使用流程。在管理访问控制手段中还包括针对人员的控制（Personnel Control），人员控制主要是通过在招聘员工时的背景检查和签署安全保密协议，来确保能够访问到信息系统和资源的人员的可靠性。

    

     物理访问控制包括锁和证件等有形的物件，而逻辑访问控制就是安装在信息系统内，作为信息系统的一部分发挥访问控制作用的手段，如反病毒软件、密码限制手段和加密技术等。下面是访问控制手段的一些实现的列表：

 

◆逻辑控制（Technical/Logical Controls）
    访问控制软件，如防火墙、代理服务器等
     反病毒软件
     密码控制
     智能卡/生物识别/证件
     加密
     拨号回呼系统
     日志审计
     入侵检测系统

◆管理控制（Administrative Controls）
    安全策略和流程
    安全意识训练
    职责分离
    安全回顾和审计
    职责轮换
    人员雇佣和解雇策略
    安全保密协议
    背景检查
    绩效评估
    强制休假

◆物理控制（Physical Controls）
    证件
    十字转门（Turnstiles）
    使用锁、门、警卫等手段限制对物理资源的访问

   

    对大部分的组织来说，部署所有可用的访问控制手段是既不经济也没有必要的。因此，组织必须在需要部署的访问控制手段和可用的访问控制手段之间进行平衡，并最终使访问控制手段的部署满足组织的安全策略。

 

    为了让大家更容易理解各种访问控制手段，我们可以根据控制的对象把它们分成两类：系统访问和数据访问。我们先来看系统访问。

     针对系统访问的访问控制用于限制或控制对系统资源的访问，它的流程包括对系统资源访问者身份的识别和身份验证，也即识别（Identification）和验证（Authentication）流程。

我们在日常工作中常常需要做的输入用户名、输入密码， 这个过程便是用户的身份识别和验证过程。在识别和验证流程中，用户首先必须让系统知道访问者是谁，通常情况下这一步是由用户提供他在系统中的用户名，接下去的步骤是由系统根据用户所提供的信息来验证第一步。在这里要提醒一下，不要把验证（Authentication）和授权（Authorization）这两个单词所弄混了，验证是确认用户的身份正确，而授权的动作发生用户身份识别和验证之后，确认用户可以做什么不可以做什么。

 

     身份识别是所有信息系统安全功能的基础，信息系统内的所有实体都必须有一个唯一的标识以与其他实体相区别。唯一的身份标识是访问控制流程的重要组成部分，它提供如下功能：
      1、确认用户的身份
      2、与日志审计功能结合以提供审计能力(accountability)

           ◆提供用户行为追踪能力
           ◆用户需要对自己的行为负责

       用户所使用的唯一个人标识在不同的场合有不同的叫法，比如登录ID（Logon ID）、用户ID(User ID)、账户号码(Account Number)等，但它最常见的叫法是用户名（User Name）——用户向系统提供用户名，以使系统辨认出使用者是谁。同理，在系统中有许多实体也需要有唯一的身份标识，如系统服务、硬件设备等，任何会对系统进行访问的功能或需求都需要分配一个唯一的标识。

       由于目前网络的广泛分布及网络中用户数量巨大，因此，一些简单的管理方法往往会引入到身份识别管理流程中以降低管理成本，比如对系统中的用户名命名方式进行书面规定。有的组织使用用户的姓加上名的第一个字母组成用户名，也有的组织会使用用户的全名并在姓和名之间加入下划线组成用户名。不管组织使用的是哪种命名方式，它使用的原则都是根据组织的流程规定，而非取决于所使用的系统类型。

       除了逻辑的身份识别方式之外，物理的卡片或证件系统也往往执行身份识别的职能，物理身份识别系统往往用于限制对某些区域的进入和访问，如对某个建筑物、服务器机房等。在一些组织中，卡片或证件系统往往也同时用作网络访问控制的手段，比如，智能卡系统在组织中常常被用作对能够接入网络的服务器机房或网络终端机房的进入进行限制，如果用户没有有效的智能卡，便不能从机房接入企业的网络。生物识别系统，如指纹识别、掌纹识别和语音识别系统也往往用于执行物理访问控制系统的用户身份识别功能。

身份识别功能的另外一个重要功能就是保证可审计性，一个唯一的身份标识可以使管理员通过日志审计功能，对该标识所属的实体——用户或系统服务所执行过的行为进行跟踪；同时，一个唯一的身份标识也会使用户在执行对系统访问及特定操作时对自己的行为负责。

 

      确定性（Issuance）：生成身份识别的过程必须是安全并经过文件记录的，从根本上说，身份识别的使用效率及安全性，与身份识别的生成过程密切相关。

      命名标准（Naming Standard）：用户或其他系统实体的身份识别必须遵守同一个命名的标准，如，系统中所有用户名的格式必须是名+姓的第一个字母，那么John Smith的用户名就应该是SmithJ。

      不对工作责任进行描述（Non-descriptive for user’s job function）：出于安全考虑，用户的身份识别不应该包括对应用户的工作职责，如系统管理员***不要使用“Administrator“或”Manager”这样的名字做用户名。

     非共享原则（No sharing）：一个身份识别在整个系统或网络中应该只由一个用户或实体所有的，否则会造成授权或审计上的麻烦。

     可校验性（Verifiable）：身份识别要能够通过简单并有效的方法进行校验，校验方法还应该是任何时候在系统的任何部位都是可用的，自动化的。

     唯一性（Unique）：用户或实体的身份识别在整个系统或网络中必须是唯一的。