信息系统安全/访问控制系统基础

一位Wikibookian认为此页面应拆分为具有更窄子主题的较小页面。 您可以通过将此大页面拆分为较小的页面来提供帮助。请确保遵循命名策略。将书籍划分为较小的部分可以提供更多重点，并允许每个部分都能做好一件事，从而使每个人都受益。 您可以在协助阅览室中寻求帮助以划分此书籍。

访问控制是控制用户和系统如何与其他系统和资源通信和交互的安全功能。

访问是主体和资源之间信息流。

主体是请求访问资源或资源中数据的活动实体。例如：用户、程序、进程等。

资源是包含信息的实体。例如：计算机、数据库、文件、程序、打印机等。

访问控制使组织能够控制、限制、监控和保护资源的可用性、完整性和机密性。

• 各种类型的用户需要不同级别的访问权限 - 内部用户、承包商、外部人员、合作伙伴等。
• 资源具有不同的分类级别 - 机密、仅限内部使用、私有、公共等。
• 必须在不同类型的用户上保留不同的身份数据 - 凭据、个人数据、联系信息、工作相关数据、数字证书、认知密码等。
• 企业环境不断变化 - 业务环境需求、资源访问需求、员工角色、实际员工等。

• 最小权限原则：规定如果未为个人或其所属的组专门配置任何内容，则用户不应能够访问该资源，即默认无访问权限。
• 职责分离：将任何冲突的责任领域分开，以减少未经授权或意外修改或滥用组织资产和/或信息的机会。
• 知情权：它基于这样一个概念，即个人只能访问其执行工作职责绝对需要的信息。

提供资源访问权限的标准包括

• 角色
• 组
• 位置
• 社会保险号
• 交易类型

• 拒绝未定义用户或匿名帐户访问系统。
• 限制和监控管理员和其他强大帐户的使用。
• 在特定次数的登录尝试失败后，暂停或延迟访问功能。
• 用户离开公司后立即删除过时的用户帐户。
• 在 30 到 60 天后暂停未激活的帐户。
• 执行严格的访问标准。
• 执行知情权和最小权限原则。
• 禁用不需要的系统功能、服务和端口。
• 替换帐户上的默认密码设置。
• 限制和监控全局访问规则。
• 确保登录 ID 不描述工作职能。
• 从帐户和组成员身份中删除冗余资源规则。
• 从资源访问列表中删除冗余用户 ID、帐户和基于角色的帐户。
• 强制执行密码轮换。
• 强制执行密码要求（长度、内容、生命周期、分发、存储和传输）。
• 审核系统和用户事件和操作，并定期查看报告。
• 保护审计日志。

• 基本原则 (CIA)
• 身份识别
• 身份验证
• 授权
• 不可否认性

身份识别描述了一种确保主体是其声称实体的方法。例如：用户名或账户号。

身份认证是证明主体身份的方法。例如：密码、口令、PIN码。

授权是控制主体访问对象的方法。例如：用户登录系统后无法删除特定文件。

注意：为了使主体访问对象，必须经过身份识别、身份认证和授权这三个步骤。

向用户或主体颁发身份识别值时，请确保：

• 每个值都应唯一，用于用户问责。
• 应遵循标准命名方案。
• 这些值不应描述用户的职位或任务。
• 这些值不应在用户之间共享。

身份认证主体通常有3个因素。

• 用户知道的东西 - 例如：密码、PIN码 - 成本最低，安全性最低。
• 用户拥有的东西 - 例如：门禁卡、钥匙 - 成本较高，安全性较高。
• 用户本身 - 例如：生物识别 - 成本最高，安全性最高。

注意：要实现强身份认证，必须包含三个因素中的两个 - 也称为双因素身份认证。

• 通过分析独特的个人属性或行为来验证个人的身份。
• 它是验证身份最有效、最准确的方法。
• 它是成本最高的身份认证机制。
• 生物识别系统的类型
  • 指纹识别 - 基于摩擦脊的脊端、分叉和一些指纹的细节。
  • 掌纹扫描 - 基于每个人手掌中独特的皱纹、脊和沟槽。
  • 手形几何识别 - 基于人的手和手指的形状（长度、宽度）。
  • 视网膜扫描 - 基于眼球后部视网膜的血管图案。
  • 虹膜扫描 - 基于眼睛周围围绕瞳孔的彩色部分。虹膜具有独特的图案、裂缝、颜色、环、日冕和沟壑。
  • 签名动态 - 基于在签署文档期间手部物理运动产生的电信号。
  • 键盘动态 - 基于用户在键盘上键入按键（口令）时产生的电信号。
  • 声纹识别 - 基于人类的声音。
  • 人脸识别 - 基于人脸的不同骨骼结构、鼻梁、眼睛宽度、额头大小和下巴形状。
  • 手部地形 - 基于手部不同的峰、谷、整体形状和曲率。
• 生物识别错误类型
  • 类型一错误：当生物识别系统拒绝授权用户时（错误拒绝率）。
  • 类型二错误：当生物识别系统接受本应拒绝的冒充者时（错误接受率）。
  • 交叉错误率 (CER)：错误拒绝率等于错误接受率的点。也称为等错误率 (EER)。

• 它是系统身份识别和身份认证机制中最常见的一种形式。
• 密码是一串受保护的字符，用于验证个人身份。
• 密码管理
  • 密码应得到妥善保证、更新并保密，以提供有效的安全性。
  • 密码生成器可用于生成简单、可发音的非字典词密码。
  • 如果用户选择自己的密码，则系统应强制执行某些密码要求（例如，坚持使用特殊字符、字符数、区分大小写等）。
• 密码攻击技术
  • 电子监控 - 监听网络流量以捕获信息，尤其是在用户将密码发送到身份认证服务器时。攻击者可以复制密码并在以后重新使用，这称为重放攻击。
  • 访问密码文件 - 通常在身份认证服务器上执行。密码文件包含许多用户的密码，如果泄露，可能会造成大量损害。此文件应通过访问控制机制和加密进行保护。
  • 暴力破解攻击 - 使用循环遍历许多可能的字符、数字和符号组合以发现密码的工具执行。
  • 字典攻击 - 使用数千个单词的文件与用户密码进行比较，直到找到匹配项。
  • 社会工程 - 攻击者错误地让个人相信她有权访问特定资源。
• 密码检查器可用于通过尝试侵入系统来检查密码的强度。
• 密码应加密并哈希。
• 应实施密码老化。
• 应限制登录尝试次数。

• 认知密码是基于事实或意见的信息，用于验证个人身份（例如：母亲的娘家姓）。
• 这最适合用于帮助台服务，以及偶尔使用的服务。

• 它是一种基于令牌的系统，用于身份认证目的，其中服务仅使用一次。
• 它用于比静态密码提供更高安全级别的环境。
• 令牌生成器的类型
  • 同步（例如：SecureID） - 同步令牌设备/生成器通过以下两种方式之一与身份认证服务同步。
    • 基于时间：在这种方法中，令牌设备和身份认证服务必须在其内部时钟中保持相同的时间。令牌设备上的时间值和密钥用于创建一次性密码。服务器对该密码进行解密，并将其与预期值进行比较。
    • 基于计数器：在这种方法中，用户需要在计算机上启动登录序列并在令牌设备上按下按钮。这会导致令牌设备和身份认证服务前进到下一个身份认证值。此值和基本密钥进行哈希并显示给用户。用户输入此结果值以及用户 ID 以进行身份认证。
  • 异步：使用异步令牌生成方法的令牌设备使用挑战/响应方案来认证用户。在这种情况下，身份认证服务器向用户发送一个挑战，一个随机值，也称为随机数。用户将此随机值输入令牌设备，令牌设备对其进行加密并返回一个值，用户使用该值作为一次性密码。用户将此值以及用户名发送到身份认证服务器。如果身份认证服务器可以解密该值并且它与之前发送的挑战值相同，则用户将通过身份认证。
• 示例：SecureID
  • 它是RSA Security最广泛使用的基于时间的令牌之一。
  • 它使用基于时间的同步双因素身份认证。

• 使用私钥和数字签名。
• 提供比密码更高的安全级别。

• 口令是一系列字符，它比密码更长，在某些情况下，在身份认证过程中代替密码。
• 应用程序将口令转换为虚拟密码并转换为应用程序所需的格式。
• 它比密码更安全。

• 保存信息，但不能处理信息。
• 比密码更安全，但成本较高。
• 例如：刷卡、ATM 卡。

• 存储信息并具有处理信息的能力，可以提供双因素身份验证（知道和拥有）。
• 智能卡类别
  • 接触式
  • 非接触式
    • 混合式 - 具有 2 个芯片，支持接触式和非接触式。
    • 组合式 - 具有一个微处理器，可以与接触式和非接触式读卡器通信。
• 比存储卡更昂贵且防篡改。
• 智能卡攻击类型
  • 故障注入：向智能卡中引入计算错误，目的是揭露正在使用和存储在卡上的加密密钥。
  • 侧信道攻击：这些是非侵入性攻击，用于揭示有关组件工作原理的敏感信息，而无需尝试利用任何类型的缺陷或弱点。以下是一些示例：
    • 差分功耗分析：检查处理过程中释放的功耗。
    • 电磁分析：检查发射的频率。
  • 时序分析：特定进程完成需要多长时间。
  • 软件攻击：向卡中输入指令，允许攻击者提取账户信息。以下是一些示例：
    • 微探测：使用针头通过超声波振动去除卡电路上的外部保护材料，从而易于读取卡的 ROM 芯片。
• 智能卡标准
  • ISO/IEC
    • 14443-1：物理特性
    • 14443-2：射频功率和信号接口
    • 14443-3：初始化和防碰撞
    • 14443-4：传输协议

• 身份管理是一个广泛的术语，它涵盖了使用不同的产品通过自动化方式识别、认证和授权用户。
• 身份管理系统是对实体（主体或对象）的身份生命周期进行管理，在此期间：
• 建立身份
  • 将名称（或编号）与主体或对象关联起来；
  • 重新建立身份：将新的或额外的名称（或编号）连接到主体或对象；
• 描述身份
  • 可以将适用于此特定主体或对象的属性分配给身份；
  • 重新描述身份：可以更改适用于此特定主体或对象的属性；
• 销毁身份。
• 身份管理挑战
• 身份管理技术
• 授权原则

访问控制可以在网络和各个系统的不同层面上实施。

访问控制可以分为三层或三类，每一类都有不同的访问控制机制，可以手动或自动执行。

• 管理控制
• 物理控制
• 技术或逻辑控制

每一类访问控制都有几个属于它的组成部分，如下所述：

管理控制由组织的高层管理人员定义。

策略和程序

• 安全策略是一个高级计划，说明管理层关于如何在组织内实施安全性的意图，哪些行为是可以接受的，以及公司愿意接受的风险水平。该策略源自塑造和限制公司的法律、法规和业务目标。
• 安全策略为每个员工和部门提供了关于如何实施和遵循安全性的方向，以及不遵守安全性的后果。程序、指南和标准提供了支持和执行公司安全策略的详细信息。

人员控制

• 人员控制指示员工如何与安全机制互动，并解决与这些期望相关的合规性问题。
• 状态变更：这些控制指示在雇用、解雇、停职、调到其他部门或晋升员工时应采取哪些安全措施。
• 职责分离：应执行职责分离，以确保没有人能够单独执行可能对公司造成损害的关键任务。

例如：银行出纳员必须获得主管批准才能兑现超过 2000 美元的支票，这就是职责分离的一个例子。要发生安全漏洞，需要串谋，这意味着需要不止一个人参与欺诈，并且他们的行为需要协调一致。职责分离的使用极大地降低了安全漏洞和欺诈的可能性。

• 工作轮换意味着人员轮换工作，以便他们了解如何履行多个职位的职责。工作轮换的另一个好处是，如果个人试图在其职位上进行欺诈，如果还有另一名员工知道该职位应该执行哪些任务以及如何执行这些任务，则更有可能被发现。

监管结构

• 管理层必须构建一个监管结构，该结构强制要求管理成员对员工负责，并对其活动产生 vested interest（切身利益）。如果一名员工被发现入侵包含客户信用卡信息的服务器，该员工及其主管将面临后果？

安全意识培训

• 此控制帮助用户/员工了解如何正确访问资源，为什么需要访问控制以及不正确使用访问控制的后果。

测试

• 此控制规定所有安全控制、机制和程序都应定期进行测试，以确保它们能够正确支持为其设定的安全策略、目标和目标。
• 测试可以是演习，以测试对物理攻击或网络中断的反应，对防火墙和外围网络进行渗透测试以发现漏洞，对员工进行查询以评估他们的知识，或审查程序和标准以确保它们仍然与已实施的业务或技术变更保持一致。

• 安全策略
• 监控和监管
• 职责分离
• 工作轮换
• 信息分类
• 人员程序
• 调查
• 测试
• 安全意识和培训

物理控制支持并与管理和技术（逻辑）控制协同工作，以提供适当程度的访问控制。

网络隔离

• 网络隔离可以通过物理和逻辑方式进行。网络的一部分可能包含 Web 服务器、路由器和交换机，而另一部分网络可能包含员工工作站。
• 每个区域都将拥有必要的物理控制，以确保只有获准人员才能进入和离开这些区域。

周界安全

• 周界安全的实施取决于公司和该环境的安全要求。
• 一个环境可能要求员工在被允许进入某个区域之前，必须出示包含照片身份信息的保安徽章，由保安人员进行授权。另一个环境可能不需要身份验证过程，允许任何人进入不同的区域。
• 周界安全还可以包括扫描停车场和等候区的闭路电视、围栏、建筑物周围的灯光、运动探测器、传感器、警报以及建筑物的位置和外观。这些是提供物理访问控制的周界安全机制的示例，通过为个人、设施和设施内的组件提供保护来提供保护。

计算机控制

• 每台计算机都可以安装和配置物理控制，例如机箱上的锁以防止内部部件被盗，移除软盘和CD-ROM驱动器以防止复制机密信息，或实施保护设备以减少电磁辐射，从而阻止通过无线电波收集信息的企图。

工作区域隔离

• 某些环境可能规定只有特定人员才能进入设施的某些区域。

数据备份

• 备份数据是一种物理控制措施，以确保在紧急情况或网络或系统中断后仍可以访问信息。

布线

• 可以使用不同类型的电缆在整个网络中传输信息。
• 某些类型的电缆具有护套，可以保护数据免受发出电信号的其他设备的电干扰的影响。
• 某些类型的电缆在每根电线上都包裹有保护材料，以确保不同电线之间没有串扰。
• 所有电缆都需要以不会妨碍人们通行或可能暴露于被切割、烧毁、压扁或窃听的危险中的方式布设在整个设施中。

控制区

• 这是一个围绕并保护发出电信号的网络设备的特定区域。这些电信号可以传播一定的距离，并且可以通过专门制造的材料来控制，该材料用于构建控制区。
• 控制区用于抵抗渗透尝试并禁止敏感信息通过无线电波“泄露”。
• 控制区用于确保机密信息得到包含，并阻止入侵者通过无线电波访问信息。
• 拥有非常敏感信息的公司可能会通过在其处理该信息的系统周围创建控制区来保护这些信息。

• 围栏
• 锁
• 徽章系统
• 保安
• 生物识别系统
• 安全门
• 照明
• 运动探测器
• 闭路电视
• 警报
• 备份
• 备份的安全存储区域

称为逻辑控制的技术控制是用于限制主体对对象访问的软件工具。它们可以是核心操作系统组件、附加安全软件包、应用程序、网络硬件设备、协议、加密机制和访问控制指标。

它们通过限制可以访问资源的主体数量来保护资源的完整性和可用性，并通过防止向未经授权的主体泄露来保护资源的机密性。

系统访问

• 在这种类型中，对资源的访问控制基于数据的敏感性、用户的清除级别以及用户的权限和许可。作为系统访问的技术控制，可以使用用户名密码、Kerberos实现、生物识别、PKI、RADIUS、TACACS或使用智能卡进行身份验证。

网络访问

• 此控制定义了访问不同网络资源（如路由器、交换机、防火墙、网桥等）的访问控制机制。

加密和协议

• 这些控制用于保护信息在网络中传输和驻留在计算机上的过程。它们保护数据的机密性和完整性，并强制执行特定的通信路径。

审计

• 这些控制跟踪网络、网络设备或特定计算机上的活动。它们有助于指出其他技术控制的弱点并进行必要的更改。

网络架构

• 此控制定义了网络的逻辑和物理布局，以及不同网络段之间的访问控制机制。

• ACL
• 路由器
• 加密
• 审计日志
• 入侵检测系统（IDS）
• 防病毒软件
• 防火墙
• 智能卡
• 拨号回拨系统
• 警报和提醒

每个访问控制类别（管理、物理和技术）都在不同的级别工作，每个类别都具有不同的粒度级别，并根据类型执行不同的功能。

不同类型的访问控制包括：

• 预防性 - 防止不希望发生的事件发生
• 检测性 - 识别已发生的不希望发生的事件
• 纠正性 - 纠正已发生的不希望发生的事件
• 威慑性 - 阻止安全违规行为
• 恢复性 - 恢复资源和功能
• 补偿性 - 为其他控制提供替代方案

概述

• 拒绝服务攻击（DoS攻击）或分布式拒绝服务攻击（DDoS攻击）是试图使计算机资源无法供其预期用户使用的企图。尽管DoS攻击的手段、动机和目标可能有所不同，但它通常包括一个人或多个人为阻止互联网站点或服务有效或完全运行（暂时或无限期）而做出的协调一致的恶意努力。
• DoS攻击的目的是迫使目标计算机（或多台计算机）重置，或消耗其资源，以便它无法再提供其预期服务。

DoS攻击类型

DoS攻击可以通过多种方式进行。主要有五种攻击类型：

• 消耗计算资源，例如带宽、磁盘空间或CPU时间；
• 破坏配置信息，例如路由信息；
• 破坏状态信息，例如未经请求的TCP会话重置；
• 破坏物理网络组件。
• 阻碍预期用户与受害者之间的通信媒介，以便他们无法再充分通信。

对策

不幸的是，没有有效的方法可以防止成为DoS或DDoS攻击的受害者，但您可以采取一些措施来降低攻击者使用您的计算机攻击其他计算机的可能性。

• 安装并维护防病毒软件。
• 安装防火墙，并将其配置为限制进出计算机的流量。
• 遵循分发电子邮件地址的良好安全实践。应用电子邮件过滤器可以帮助您管理不需要的流量。

概述

• 缓冲区溢出是一种异常情况，其中进程尝试将数据存储到固定长度缓冲区的边界之外。结果是额外的数据覆盖了相邻的内存位置。被覆盖的数据可能包括其他缓冲区、变量和程序流数据，并可能导致进程崩溃或产生不正确的结果。它们可以通过专门设计用于执行恶意代码或使程序以意外方式运行的输入来触发。因此，缓冲区溢出导致许多软件漏洞，并成为许多漏洞利用的基础。

缓冲区溢出技术

• 栈缓冲区溢出
  • 栈缓冲区溢出发生在程序写入程序调用栈上的内存地址（超出预期的数据结构）时；通常是固定长度的缓冲区。

  • 栈缓冲区溢出错误是由于程序向位于栈上的缓冲区写入的数据量超过了该缓冲区实际分配的大小而引起的。这几乎总是会导致栈上相邻数据的损坏，并且在溢出是由错误触发的情况下，通常会导致程序崩溃或运行错误。
  • 技术娴熟且怀有恶意意图的用户可能会利用基于栈的缓冲区溢出来以多种方式操纵程序。
    • 通过覆盖内存中栈上靠近缓冲区的局部变量来更改程序的行为，这可能对攻击者有利。
    • 通过覆盖栈帧中的返回地址。一旦函数返回，执行将从攻击者指定的返回地址（通常是用户输入填充的缓冲区）继续。
    • 通过覆盖随后执行的函数指针或异常处理程序。
• 堆缓冲区溢出
  • 堆溢出是另一种发生在堆数据区域的缓冲区溢出类型。堆上的内存是在运行时由应用程序动态分配的，通常包含程序数据。
  • 利用过程如下：如果应用程序在复制数据之前没有先检查数据是否适合块（堆中的数据块），则攻击者可以向应用程序提供过大的数据，从而覆盖下一个块的堆管理信息（元数据）。这允许攻击者用四个字节的数据覆盖任意内存位置。在大多数环境中，这可能允许攻击者控制程序执行。

对策

• 编程语言的选择
• 使用安全的库
• 栈粉碎保护，指的是用于检测栈分配变量上的缓冲区溢出的各种技术。最常见的实现是StackGuard和SSP。
• 可执行空间保护，即将内存区域标记为不可执行，以便尝试在这些区域执行机器代码将导致异常。它利用了硬件特性，例如NX位（不可执行位）。
• 地址空间布局随机化：一种技术，涉及在进程的地址空间中随机排列关键数据区域的位置，通常包括可执行文件的基址以及库、堆和栈的位置。
• 深度数据包检测：一种计算机网络数据包过滤形式，它在数据包通过检查点时检查数据和/或报头部分，搜索非协议合规性、病毒、垃圾邮件、入侵或预定义标准，以决定数据包是否可以通过，或者是否需要将其路由到不同的目的地，或者用于收集统计信息。它也称为内容检查或内容处理。

概述

• 欺骗攻击是指一个人或程序通过伪造数据成功伪装成另一个人，从而获得非法优势的情况。
• 常见的欺骗技术
  • 中间人攻击（MITM）：攻击者能够随意读取、插入和修改双方之间的消息，而双方都不知道它们之间的链接已被破坏。攻击者必须能够观察和拦截双方之间传递的消息。
  • IP地址欺骗：指的是创建具有伪造（欺骗）源IP地址的IP数据包，目的是隐藏发送者的身份或冒充其他计算机系统。
  • URL欺骗：欺骗的URL描述了一个冒充另一个网站的网站。
  • 网络钓鱼：以可信实体的名义进行电子通信，企图以犯罪和欺诈的方式获取敏感信息，例如用户名、密码和信用卡详细信息。
  • 来源欺骗：在HTTP请求中发送不正确的来源信息，有时是为了获得对网站的未授权访问。出于隐私考虑，它也可以用作不发送任何来源的替代方案。
  • 文件共享网络的欺骗：污染文件共享网络，唱片公司共享错误标记、失真或为空的文件，以阻止从这些来源下载。
  • 主叫号码欺骗：这允许呼叫者谎报自己的身份，并提供虚假姓名和号码，当然可以将其用作欺诈或骚扰的工具。
  • 电子邮件地址欺骗：一种常用于垃圾邮件和网络钓鱼的技术，通过更改电子邮件的某些属性（如发件人、回信路径和回复地址字段）来隐藏电子邮件消息的来源。
  • 登录欺骗：一种用于获取用户密码的技术。用户会看到一个看起来很普通的用户名和密码登录提示，但实际上这是一个恶意程序，通常称为木马，受攻击者控制。输入用户名和密码后，这些信息会被记录下来或以某种方式传递给攻击者，从而破坏安全。

对策

• 对指示您需要更改帐户或警告指示帐户将被终止而无需您在线执行某些操作的电子邮件保持怀疑态度。
• 致电合法公司以了解这是否是一条欺诈性消息。
• 查看地址栏以查看域名是否正确。
• 提交任何类型的财务信息或凭据数据时，应建立SSL连接，这在地址栏（https://）和浏览器右下角的闭锁图标中显示。
• 不要点击电子邮件中的HTML链接。改为手动输入URL。
• 不要以HTML格式接收电子邮件。

概述

• 所有电子设备都会发出电信号。这些信号可能包含重要信息，如果攻击者购买了合适的设备并将其放置在正确的位置，他可以从无线电波中捕获这些信息，并像直接在网络电线上窃听一样访问数据传输。

对策

• Tempest：Tempest是一个程序的名称，现在是一种抑制信号辐射的标准化技术，使用屏蔽材料。生产此类设备的供应商必须获得此标准的认证。在经过Tempest评级的设备中，其他组件也进行了修改，尤其是电源，以帮助减少使用的电量，这与仅具有外部金属涂层的普通设备（称为法拉第笼）不同。这种类型的保护通常仅在军事机构中需要，尽管其他高度安全的环境确实使用了这种类型的安全措施。
  • Tempest技术：Tempest技术复杂、笨拙且昂贵，因此仅用于确实需要这种高级别保护的高度敏感区域。存在两种Tempest的替代方案。
    • 白噪声：白噪声是随机电信号的均匀频谱。它分布在整个频谱上，因此带宽是恒定的，入侵者无法从随机噪声或随机信息中解读真实信息。
    • 控制区：一些设施在其墙壁中使用材料来包含电信号。这可以防止入侵者访问通过网络设备发出的电信号发出的信息。此控制区创建了一种安全边界，旨在防止未经授权访问数据或敏感信息泄露。

概述

• 窥探是指使用直接观察技术（例如，从某人的肩膀上看）来获取信息。在拥挤的地方，窥探尤其有效，因为在观察某人填写表单时相对容易。
  • 填写表格
  • 在自动取款机或POS终端输入其PIN码
  • 在公共付费电话中使用电话卡
  • 在网吧、公共和大学图书馆或机场自助服务亭输入密码。
  • 在公共场所（如游泳池或机场）输入租用储物柜的数字代码。
• 窥探也可以使用双筒望远镜或其他增强视觉的设备在远处进行。廉价的微型闭路电视摄像机可以隐藏在天花板、墙壁或固定装置中以观察数据输入。为了防止窥探，建议使用身体或用手遮挡文件或键盘，使其无法看到。
• 最近的自动取款机现在都配备了复杂的显示屏，可以阻止窥探。它在某个视角之外会变暗，并且了解屏幕上显示内容的唯一方法是直接站在它前面。

• 某些型号的信用卡读卡器键盘是凹陷的，并且在通往键盘的开口处的大部分区域都使用了橡胶防护罩。这使得偷窥变得更加困难，因为与以前的型号相比，看到键盘的视角更加受限。更进一步，有些键盘在每次按键后都会改变按键的物理位置。此外，不允许将安全摄像头直接放置在 ATM 机上方。

概述

• 对象重用问题涉及到将之前包含一个或多个对象的介质重新分配给主体。
• 在允许另一个进程访问对象之前，应安全地清除进程可能留下的敏感信息。这确保了不打算向此个人或任何其他主体披露的信息不会被披露。
• 对于保存机密信息的介质，应采取更严格的方法来确保文件确实消失了，而不仅仅是它们的指针。

对策

• 敏感数据应由数据所有者进行分类。
• 数据的存储和访问方式也应受到软件控制的严格控制和审计。
• 在允许一个主体使用之前使用过的介质之前，应擦除或消磁该介质。如果介质包含敏感信息且无法清除，则应提供有关如何正确销毁它的步骤，以便其他人无法获取此信息。

概述

• 数据残留是指以某种方式被名义上擦除或移除的数据的残留表示。这种残留可能是由于名义上的删除操作使数据保持完整，或者由于存储介质的物理特性。
• 如果存储介质被释放到不受控制的环境中，数据残留可能会导致敏感信息的意外泄露。

对策

• 对策类别
  • 清除
    • 清除是以这样一种方式从存储设备中删除敏感数据，即根据数据的敏感性，确保数据无法使用正常的系统功能进行重建。数据可能仍然可以恢复，但需要付出非常规的努力。
    • 清除通常被认为是在组织内防止意外泄露的一种管理保护措施。例如，在组织内部重新使用软盘之前，可以清除其内容以防止意外泄露给下一个用户。
  • 清除
    • 清除或消毒是从系统或存储设备中删除敏感数据，目的是使数据无法通过任何已知技术进行重建。
    • 清除通常在将介质释放到控制范围之外之前进行，例如在丢弃旧介质之前或将介质移动到具有不同安全要求的计算机之前。
• 对策方法
  • 覆盖
    • 一种常用的对抗数据残留的方法是用新数据覆盖存储介质。这通常称为擦除或粉碎文件或磁盘。由于此类方法通常仅可以通过软件实现，并且可能能够选择性地仅针对介质的一部分，因此对于某些应用程序来说，它是一种流行且低成本的选择。
    • 最简单的覆盖技术是在所有地方写入相同的数据——通常只是一个全零模式。至少，这将防止简单地再次读取介质来检索数据，因此它通常用于清除。
  • 消磁
    • 消磁是去除或减少磁场。应用于磁性介质时，消磁可以快速有效地清除整个介质元素。使用一种称为消磁器的设备，该设备专为要擦除的介质而设计。
    • 消磁通常会使硬盘无法使用，因为它会擦除低级格式化，而低级格式化仅在工厂制造期间进行。消磁的软盘通常可以重新格式化并重复使用。
  • 加密
    • 在数据存储到介质上之前对其进行加密可以减轻对数据残留的担忧。如果解密密钥足够强大且受到仔细控制（即，本身不受数据残留的影响），则它可以有效地使介质上的任何数据都无法恢复。即使密钥存储在介质上，覆盖密钥本身也可能比覆盖整个磁盘更容易或更快。
    • 加密可以在逐文件的基础上进行，也可以在整个磁盘上进行。
  • 物理销毁
    • 数据存储介质的物理销毁通常被认为是对抗数据残留的最可靠方法，尽管成本最高。该过程通常既耗时又麻烦，而且显然会使介质无法使用。此外，随着现代介质的高记录密度，即使是很小的介质碎片也可能包含大量数据。
    • 具体的销毁技术包括
      • 通过研磨、粉碎等方式将介质物理分解。
      • 焚烧
      • 相变（即固态磁盘的液化或汽化）
      • 使用腐蚀性化学物质（如酸）处理记录表面
      • 对于磁性介质，将其温度升高到居里点以上

概述

• 后门是一种恶意计算机程序或特定手段，它利用已安装软件的漏洞并绕过正常的身份验证，为攻击者提供对受感染系统的未经授权的远程访问。
• 后门在后台运行并隐藏在用户面前。它与病毒非常相似，因此很难检测和完全禁用。
• 后门是最危险的寄生虫类型之一，因为它允许恶意人员在受感染的计算机上执行任何可能的动作。攻击者可以使用后门来
  • 监视用户，
  • 管理文件，
  • 安装额外的软件或危险的威胁，
  • 控制整个系统，包括任何存在的应用程序或硬件设备，
  • 关闭或重启计算机或
  • 攻击其他主机。
• 后门通常还具有其他有害功能，例如击键记录、屏幕截图捕获、文件感染，甚至完全系统破坏或其他有效载荷。这种寄生虫是不同隐私和安全威胁的组合，它独立运行，不需要任何控制。
• 大多数后门都是必须以某种方式安装到计算机上的自主恶意程序。一些寄生虫不需要安装，因为它们的部分已经集成到远程主机上运行的特定软件中。程序员有时会在他们的软件中留下这样的后门，用于诊断和故障排除目的。黑客经常发现这些未公开的功能并利用它们入侵系统。

对策

• 功能强大的防病毒和反间谍软件产品

概述

• 字典攻击是由程序发起的，这些程序被提供了一系列常用单词或字符组合（字典），然后将这些值与捕获的密码进行比较。
• 一旦识别出正确的字符组合，攻击者就可以使用此密码将自己认证为合法用户。
• 有时，攻击者甚至可以通过这种活动捕获密码文件。

对策

为了正确保护环境免受字典和其他密码攻击，应遵循以下做法

• 不允许以明文形式发送密码。
• 使用加密算法或哈希函数加密密码。
• 使用一次性密码令牌。
• 使用难以猜测的密码。
• 定期轮换密码。
• 使用入侵检测系统 (IDS) 检测可疑行为。
• 使用字典破解工具查找用户选择的弱密码。
• 在密码中使用特殊字符、数字以及大小写字母。
• 保护密码文件。

概述

• 暴力破解定义为“尝试所有可能的组合，直到找到正确的组合”。
• 发现密码最有效的方法是通过混合攻击，它结合了字典攻击和暴力破解攻击。
• 暴力破解攻击也称为穷举攻击。
• 这些通常用于拨号入侵，希望找到可以利用的调制解调器以获取未经授权的访问权限。

对策

对于电话暴力破解攻击，应实施此类活动的审计和监控，以发现可能表明拨号入侵的模式。

• 执行暴力破解攻击以查找弱点和挂起的调制解调器。
• 确保仅公开必要的电话号码。
• 提供严格的访问控制方法，使暴力破解攻击不太可能成功。
• 监控和审计此类活动。
• 使用入侵检测系统 (IDS) 监视可疑活动。
• 设置锁定阈值。

概述

• 社会工程是一系列用于操纵人类自然信任倾向的技术，以获取信息，使黑客能够未经授权地访问有价值的系统以及该系统上驻留的信息。
• 社会工程攻击的形式
  • 物理：工作场所、电话、垃圾（翻垃圾桶）甚至在线
  • 心理：说服
  • 反向社会工程

常见的社会工程攻击

• 在工作场所
  • 在工作场所，黑客可以像电影中那样简单地走进来，假装成维修工人或顾问，拥有进入组织的权限。然后，入侵者在办公室里四处走动，直到找到一些散落的密码，然后带着足够的信息离开大楼，以便在当晚晚些时候在家中利用网络。
  • 另一种获取身份验证信息的技术就是站在那里观察一个毫不在意的员工输入他的密码。
• 电话/帮助台
  • 这是最普遍的社会工程攻击类型。
  • 黑客会打电话假冒某个有权威或相关职位的人，并逐步从用户那里获取信息。
  • 帮助台特别容易受到这种攻击。黑客可以通过对PBX或公司接线员耍花招来假装他们是从公司内部打来的电话，因此来电显示并不总是最好的防御手段。
  • 帮助台特别容易受到攻击，因为它们存在的目的就是提供帮助，而试图获取非法信息的人可能会利用这一点。
• 垃圾桶潜伏
  • 垃圾桶潜伏，也称为翻垃圾，是另一种流行的社会工程方法。可以通过公司垃圾桶（垃圾箱）收集大量信息。
  • 以下项目可能成为我们垃圾中的潜在安全泄露点
    • 公司电话簿，可以为黑客提供目标人员的姓名和电话号码，以便他们进行假冒。
    • 组织结构图包含有关组织内有权势人员的信息。
    • 备忘录提供少量有用的信息，以创建真实性。
    • 公司政策手册向黑客展示公司真正的安全程度（或不安全程度）。
    • 会议日历可能会告诉攻击者哪些员工在特定时间不在城里。
    • 系统手册、敏感数据的打印输出或登录名和密码可能会为黑客提供解锁网络所需的精确密钥。
    • 磁盘和磁带可以恢复，提供各种有用的信息。
    • 公司抬头信纸和备忘录表格
• 在线
  • 黑客获取在线密码的一种方法是通过在线表单：他们可以发送一些抽奖信息，并要求用户输入姓名（包括电子邮件地址——这样，他们甚至可能会获得该人的公司帐户密码）和密码。
  • 电子邮件也可用于更直接的方式来访问系统。例如，来自真实身份的人发送的邮件附件可能包含病毒、蠕虫和特洛伊木马。
• 说服
  • 这是一种技术，黑客自己从心理学的角度教授社会工程学，强调如何为攻击创造完美的心理环境。
  • 说服的基本方法包括：冒充、讨好、从众、责任分散以及简单的友好。无论使用哪种方法，主要目标都是让泄露信息的人相信社会工程师实际上是一个可以信任的人，可以将敏感信息托付给他。另一个重要的关键是不要一次索取过多的信息，而是要从每个人那里获取少量信息，以维持舒适关系的表象。
    • 冒充通常意味着创造某种角色并扮演这个角色。冒充攻击中可能扮演的一些常见角色包括：维修人员、IT支持人员、经理、可信的第三方或同事。
    • 从众是一种基于群体的行为，但偶尔也可以在个人环境中使用，通过说服用户相信其他人也一直在向黑客提供相同的信息。当黑客以分散提供密码的员工责任的方式进行攻击时，会减轻员工的压力。
• 反向社会工程
  • 这是黑客创造一个看似拥有权威的角色，以便员工向他索取信息，而不是相反。如果经过充分的研究、计划和执行，反向社会工程攻击可能会为黑客提供更好的机会，从员工那里获取有价值的数据；但是，这需要大量的准备、研究和黑客攻击前的准备才能完成。

对策

• 制定适当的安全策略，解决攻击的物理和心理方面。
• 对员工和帮助台人员进行适当的培训。

介绍

• SSO 是一种技术，允许用户一次输入凭据，并能够访问主网络和辅助网络域中的所有资源。

优点

• 减少用户花费在对资源进行身份验证上的时间。
• 使管理员能够简化用户帐户并更好地控制访问权限。
• 通过降低用户写下密码的可能性来提高安全性。
• 减少管理员在管理访问权限方面的时间。

局限性

• 每个平台应用程序和资源都需要接受相同类型的凭据，以相同的格式，并以相同的方式解释其含义。

缺点

• 一旦某个人进入，他就进入了，从而为攻击者提供了更大的范围。

介绍

• Kerberos 是一种身份验证协议，于 1980 年代中期作为 MIT 的 Athena 项目的一部分而设计。
• 它在 C/S 模型中工作，并且基于对称密钥加密。
• 它广泛用于 UNIX 系统，也是 Windows 2k 和 2k3 的默认身份验证方法，并且是异构网络的事实标准。

Kerberos 组件

• 密钥分发中心 (KDC)
  • 保存所有用户和服务的密钥以及数据库中主体的信息。
  • 在名为 AS 的服务的帮助下提供身份验证服务。
  • 提供密钥分发功能。
  • 提供票据授予服务 (TGS)。
• 密钥是主体和 KDC 之间共享的密钥，通常使用对称密钥加密算法，用于对主体进行身份验证并安全地进行通信。
• 主体是用户、应用程序或任何网络服务。
• 票据是由 KDC 生成的令牌，当一个主体需要对另一个主体进行身份验证时，将其授予该主体。
• 域是一组主体。一个 KDC 可以负责一个或多个域。域允许管理员对资源和用户进行逻辑分组。
• 会话密钥是主体之间共享的密钥，它将使他们能够安全地进行通信。

Kerberos 身份验证过程

• 用户在工作站 (WS) 中输入用户名和密码。
• 工作站上的 Kerberos 软件将用户名发送到 KDC 上的身份验证服务器 (AS)。
• AS 生成票据授予票据 (TGT)，使用存储在数据库中的用户的密钥对其进行加密，并使用 TGT 将其发送给用户。
• 用户输入的密码将转换为密钥，使用该密钥解密票据 (TGT)，从而用户可以访问 WS。
• 假设用户想要使用打印机，用户的系统将 TGT 发送到 KDC 上的 TGS。
• TGS 生成一个新票据，其中包含两个会话密钥实例，一个使用用户的密钥加密，另一个使用打印服务器的密钥加密。此票据还可能包含身份验证器，其中包含有关用户的信息。
• 新票据发送到用户的系统，该系统用于对打印服务器进行身份验证。
• 用户的系统解密并提取会话密钥，向票据添加第二个身份验证器（一组身份信息），并将票据发送到打印服务器。
• 打印服务器接收票据，解密并提取会话密钥，并解密并提取票据中的两个身份验证器。如果打印服务器可以解密并提取会话密钥，则它知道 KDC 创建了票据，因为只有 KDC 拥有用于加密会话密钥的密钥。如果 KDC 和用户放入票据中的身份验证器信息匹配，则打印服务器知道它从正确的用户那里收到了票据。

Kerberos 的弱点

• KDC 可能是单点故障。如果 KDC 出现故障，则没有人可以访问所需的资源。KDC 需要冗余。
• KDC 必须能够及时处理它接收到的请求数量。它必须具有可扩展性。
• 密钥临时存储在用户的计算机上，这意味着入侵者有可能获取这些密钥。
• 会话密钥被解密并驻留在用户的计算机上，无论是缓存还是密钥表中。同样，入侵者可以捕获这些密钥。
• Kerberos 易受密码猜测攻击。KDC 不知道是否正在进行字典攻击。
• 如果未启用加密，则 Kerberos 不会保护网络流量。

介绍

• SESAME（多供应商环境中应用程序的安全欧洲系统）是一种 SSO 技术，旨在扩展 Kerberos 的功能并改进其弱点。
• SESAME 使用对称和非对称加密技术来保护数据交换并对主体进行网络资源身份验证。
• SESAME 使用数字签名的特权属性证书 (PAC) 对主体到对象进行身份验证。PAC 包含主体的身份、对对象的访问能力、访问时间段以及 PAC 的生命周期。

介绍

• 域是一组可供主体使用的资源。
• 安全域是指在相同安全策略下工作并由同一组管理的资源集。
• 域可以通过逻辑边界分隔，例如
  • 带有 ACL 的防火墙
  • 做出访问决策的目录服务

  • 拥有自身访问控制列表 (ACL) 的对象，ACL 指明哪些个人或组可以访问这些对象。
• 域可以以分层的方式构建，从而决定不同域之间的关系以及不同域中的主体之间通信的方式。
• 主体可以访问信任级别相同或更低的域中的资源。

介绍

• 瘦客户端是无盘计算机，有时也称为哑终端。
• 它基于 C/S 技术，用户需要登录到远程服务器才能使用计算和网络资源。
• 当用户启动客户端时，它会运行一小段指令，然后将自身指向一个服务器，该服务器将实际下载操作系统或交互式操作系统软件到终端。这强制执行了一种严格的访问控制类型，因为计算机在自身身份验证到中央服务器之前无法执行任何操作，然后服务器为计算机提供其操作系统、配置文件和功能。
• 瘦客户端技术为用户提供了另一种类型的单点登录 (SSO) 访问，因为用户只需向中央服务器或主机身份验证，然后服务器为他们提供对所有授权和必要资源的访问。

介绍

• 访问控制模型是一个框架，它规定了主体如何访问对象。
• 它使用访问控制技术和安全机制来执行模型的规则和目标。
• 主要有三种类型的访问控制模型
  • 自主访问控制，
  • 强制访问控制，以及
  • 非自主访问控制（也称为基于角色的访问控制）。

• 访问控制基于所有者的酌情决定（意愿）。
• 使用 DAC 的系统使资源的所有者能够指定哪些主体可以访问特定的资源。
• DAC 最常见的实现是通过 ACL，ACL 由所有者规定和设置，并由操作系统执行。
• 示例：Unix、Linux 和 Windows 的访问控制基于 DAC。
• DAC 系统根据主体的身份授予或拒绝访问权限。身份可以是用户身份或组身份（基于身份的访问控制）。

• 此模型结构非常严格，基于附加到所有对象的安全性标签（也称为敏感性标签）。
• 主体通过将主体分类为秘密、绝密、机密等来获得安全许可，对象也以类似的方式进行分类。
• 许可和分类数据存储在安全标签中，安全标签绑定到特定的主体和对象。
• 当系统做出关于是否满足访问对象的请求的决定时，它基于主体的许可、对象的分类和系统的安全策略。
• 此模型适用于军事系统，在军事系统中，分类和机密性至关重要。
• NSA 的 SE Linux 和可信 Solaris 是此模型的示例。
• 安全标签由分类和类别组成，其中分类指示安全级别，类别强制执行需要知道规则。

• RBAC 基于用户角色，并使用一组集中管理的控制来确定主体和对象如何交互。
• RBAC 方法简化了访问控制管理。
• 对于员工流动性高的公司来说，这是一个最佳系统。
• 注意：RBAC 通常可以与 MAC 和 DAC 系统结合使用。

模型	访问控制所有者	安全策略由以下机构执行
DAC	数据所有者	ACL
MAC	操作系统	安全标签
RBAC	管理员	角色/职能职位

不同的访问控制技术可用于支持不同的访问控制模型。

• 基于规则的访问控制
• 受限用户界面
• 访问控制矩阵
• 内容相关访问控制
• 上下文相关访问控制

• 基于规则的访问控制使用特定的规则来指示主体和对象之间可以和不可以发生什么。
• 主体在访问对象之前应满足一组预定义的规则。
• 它不一定是基于身份的，即它可以适用于所有用户或主体，而不管其身份如何。
• 例如：路由器和防火墙使用规则来过滤传入和传出的数据包。

• 受限用户界面通过不允许用户请求某些功能或信息或访问特定系统资源来限制用户的访问能力。
• 主要有三种类型的受限接口
  • 菜单和外壳
  • 数据库视图
  • 物理受限接口

• 访问控制矩阵是一个主体和对象表，指示各个主体可以对各个对象执行的操作。
• 分配给各个主体的访问权限称为能力，分配给对象的访问权限称为访问控制列表 (ACL)。
• 此技术使用能力表来指定主体关于特定对象的权限。能力可以是令牌、票据或密钥的形式。
  • 每一行是一个能力，每一列是给定用户的 ACL。
  • Kerberos 使用基于能力的系统，其中每个用户都获得一个票据，该票据是其能力表。
• ACL 是授权访问特定对象的主题列表，它们定义了授予的授权级别（在个人和组级别）。
• ACL 将值从访问控制矩阵映射到对象。
• 注意：能力表绑定到主体，而 ACL 绑定到对象。

• 对对象的访问基于对象中的内容。
• 示例：数据库视图、电子邮件过滤等。

• 访问决策是基于信息集合的上下文，而不是基于数据的敏感性。
• 示例：防火墙在允许数据包进入网络之前收集其状态信息时，会做出基于上下文的访问决策。

访问控制管理可以通过两种方式进行。

• 集中式
• 分散式。

• 这里有一个实体（部门或个人）负责监督对所有企业资源的访问。
• 这种类型的管理提供了一种一致且统一的方法来控制用户访问权限。
• 示例：RADIUS、TACACS 和 Diameter

RADIUS

• 它是一种客户端/服务器认证协议，用于对远程用户进行身份验证和授权。
• 访问服务器保存用户凭据
• 它是由 Livingston Enterprises 开发的一种开放标准协议。

TACACS

• TACACS 经历了三代：TACACS、扩展 TACACS（XTACACS）和 TACACS+。
  • TACACS 将其身份验证和授权流程结合起来，
  • XTACACS 将身份验证、授权和审计流程分开，并且
  • TACACS+ 是具有扩展双因素用户身份验证的 XTACACS。
• TACACS 使用固定密码进行身份验证，而 TACACS+ 允许用户使用动态（一次性）密码，从而提供更多保护。
• TACACS+ 提供与 RADIUS 基本相同的功能，但在某些特性上存在一些差异。
  • TACACS+ 使用 TCP 作为其传输协议，而 RADIUS 使用 UDP。
  • RADIUS 仅在用户密码从 RADIUS 客户端传输到 RADIUS 服务器时对其进行加密。其他信息，如用户名、计费和授权服务，以明文形式传递。这为攻击者提供了捕获会话信息以进行重放攻击的公开途径。TACACS+ 对所有这些数据进行加密，因此没有 RADIUS 协议固有的漏洞。
  • RADIUS 协议将身份验证和授权功能结合在一起，而 TACACS+ 使用真正的 AAA 架构，该架构将身份验证、授权和计费功能分开，从而能够对远程用户进行身份验证。TACACS+ 还能够定义更细粒度的用户配置文件，这些配置文件可以控制用户可以执行的实际命令。

注意：当可以使用简单的用户名/密码身份验证并且用户只需要接受或拒绝才能获得访问权限（如 ISP）时，RADIUS 是合适的协议。对于需要更复杂的身份验证步骤和更严格控制更复杂授权活动的（如企业网络）环境，TACACS+ 是更好的选择。

Diameter

• Diameter 是一种协议，旨在建立在 RADIUS 功能的基础上并克服其许多限制。此协议的创建者决定将其命名为 Diameter，作为 RADIUS 一词的文字游戏，因为直径是半径的两倍。
• Diameter 是另一个 AAA 协议，它提供与 RADIUS 和 TACACS+ 相同类型的功能，但也提供更多灵活性和功能，以满足当今复杂多样的网络的新需求，在这些网络中，我们希望我们的无线设备和智能手机能够对其进行身份验证网络，并且我们使用漫游协议、移动 IP、PPPoE 等。
• Diameter 提供了一个基础协议，该协议定义了报头格式、安全选项、命令和 AVP（属性值对）。此基础协议允许扩展以关联其他服务，例如 VoIP、FoIP、移动 IP、无线和手机身份验证。因此，Diameter 可用作所有这些不同用途的 AAA 协议。
• RADIUS 和 TACACS+ 是客户端/服务器协议，这意味着服务器部分无法向客户端部分发送主动命令。服务器部分只能在被请求时才能说话。Diameter 是一种基于对等体的协议，允许任一端发起通信。
  • 此功能允许 Diameter 服务器向访问服务器发送消息，要求用户在尝试访问安全资源时提供另一个身份验证凭据。
  • 此功能还允许 Diameter 服务器在必要时出于某种原因断开用户连接。
• Diameter 与 RADIUS 向后兼容，使用 UDP 和 AVP，并提供代理服务器支持。
• 它具有比 RADIUS 更好的错误检测和纠正功能以及故障转移特性，从而提供了更好的网络弹性。
• Diameter 还通过使用 IPSec 或 TLS 提供端到端安全，而 RADIUS 中则没有此功能。
• Diameter 具有为其他协议和服务提供 AAA 功能的功能和能力，因为它具有庞大的 AVP 集。RADIUS 有 28 (256) 个 AVP，而 Diameter 有 232 个。因此，更多的 AVP 允许更多功能和服务存在并在系统之间通信。
• Diameter 提供以下 AAA 功能
  • 身份验证
    • PAP、CHAP、EAP
    • 身份验证信息的端到端保护
    • 重放攻击防护
  • 授权
    • 重定向、安全代理、中继和代理
    • 状态协调
    • 主动断开连接
    • 按需重新授权
  • 计费
    • 报告、ROAMOPS 计费、事件监控

• 分散式访问控制管理方法将访问控制权授予更接近资源的人员。
• 在这种方法中，通常是职能经理向员工分配访问控制权限。
• 通过这种类型的管理，更改可以更快地发生，因为并非只有一个实体在为整个组织进行更改。
• 可能会出现可能对组织不利冲突，因为不同的经理和部门可以以不同的方式实施安全和访问控制。
• 某些控制可能会重叠，在这种情况下，操作可能无法得到适当的规定或限制。
• 这种类型的管理不提供与集中式方法相同的一致控制方法。

访问控制监控是一种跟踪谁尝试访问特定网络资源的方法。

ACM 系统可以分为两类：入侵防御系统 (IPS) 和入侵检测系统 (IDS)。

入侵检测是指检测对计算机、网络或电信基础设施的未经授权的使用或攻击的过程。

IDS 旨在帮助减轻黑客或侵入敏感计算机和网络系统可能造成的损害。

IDS 的常见组件

• 传感器：收集流量和用户活动数据并将其发送到分析器。
• 分析器：检测其被编程为视为可疑的活动，并将警报发送到管理界面。
• 管理界面：报告警报详细信息。

IDS 的常见功能

• 监视攻击
• 解析审计日志
• 保护系统文件
• 在攻击期间提醒管理员
• 揭露黑客的技术
• 说明需要解决哪些漏洞
• 帮助追踪单个黑客

• 基于网络的 IDS：基于网络的 IDS (NIDS) 使用传感器，这些传感器要么是安装了必要软件的主机计算机，要么是专用的设备——每个设备都具有以混杂模式工作的网络接口卡 (NIC)。NIC 驱动程序捕获所有流量并将其传递给分析器以查找特定类型的模式。
• 基于主机的 IDS：基于主机的 IDS (HIDS) 可以安装在各个工作站和/或服务器上，并监视不适当或异常的活动。HIDS 通常用于确保用户不会删除系统文件、重新配置重要设置或以任何其他方式危及系统。

HIDS 和 NIDS 都可以采用以下技术

• 基于知识或特征
• 基于统计异常
• 基于规则

基于知识或特征

• 这些是基于知识的系统，其中积累了一些关于特定攻击的知识，并开发了一个称为特征的模型。
• 这些系统的主要缺点是它们无法检测新的攻击，并且需要编写一些特征并持续更新。
• 也称为误用检测系统
• 攻击
  • Land 攻击（修改数据包以具有相同的源/目的 IP）

  Security Humor: Attacks or viruses that have been discovered in production environments are referred to as being “in
  the wild.” Attacks and viruses that exist but have not been released are referred to as being “in the zoo.”

基于统计异常

• 这些是基于行为的系统，它们不使用任何预定义的特征，而是处于学习模式，通过持续采样环境的正常活动来构建配置文件。
• 在大多数情况下，IDS 处于学习模式的时间越长，它构建的配置文件越准确，提供的保护也越好。
• 构建配置文件后，将根据所有未来流量上的相同采样构建不同的配置文件，并将数据进行比较以识别异常。
• 也称为基于配置文件的系统
• 优点
  • 可以检测新的攻击，包括 0 天攻击

  • 还可以检测低速和缓慢的攻击，攻击者试图通过在较长时间内一次发送少量数据包来躲避雷达。
• 缺点
  • 开发正确的配置文件以减少误报可能很困难。
  • 攻击者有可能将其活动集成到网络流量的行为模式中。可以通过确保在 IDS 处于学习模式时没有正在进行的攻击活动来控制这一点。
  • 这些系统的成功因素基于确定适当的阈值，以减少/避免误报（阈值设置过低）或漏报（阈值设置过高）。
• 攻击
  • 通过DoS使IDS脱机并向IDS发送不正确的数据，以分散网络和安全人员的注意力，使他们忙于追踪错误的数据包，而真正的攻击正在进行。
• 技术
  • 基于协议异常
    • 这些类型的 IDS 对其将监控的每个协议都有特定的了解。
    • IDS 构建每个协议正常用法的配置文件（模型），并将其用于与实际操作期间构建的配置文件进行匹配。
    • 常见协议漏洞
      • 在DLL层，ARP没有任何针对ARP攻击的保护，攻击者可以在其表中插入伪造数据。
      • 在网络层，ICMP可用于LOKI攻击，将数据从一个地方移动到另一个地方，而该协议最初设计仅用于发送状态信息。此数据可以是代码，可以由受感染系统上的后门执行。
      • IP报头可以很容易地被修改以进行欺骗攻击（一个冒充另一个）。
      • 在传输层，TCP数据包可以注入两个系统之间的连接中，以进行会话劫持攻击。
  • 基于流量异常
    • 这些系统具有流量异常过滤器，可以检测流量模式的变化，例如DoS攻击或网络上出现的新服务。
    • 一旦建立了一个捕获环境普通流量基线的配置文件，所有未来的流量模式都将与该配置文件进行比较。
    • 与所有过滤器一样，阈值是可调的，以调整灵敏度，以减少误报和漏报的数量。
    • 由于这是一种基于统计异常的IDS，因此它可以检测未知攻击。

基于规则

• 基于规则的入侵检测通常与专家系统的使用相关联。
• 专家系统由知识库、推理引擎和基于规则的编程组成。
  • 知识表示为规则，要分析的数据称为事实。
  • 系统的知识是用基于规则的编程（如果情况则采取行动）编写的。这些规则应用于事实，即来自传感器或正在监控的系统的数据。
• 示例：考虑规则-如果root用户创建文件1并创建文件2，使得它们在同一目录中，则调用AdministrativeTool1触发发送警报。此规则的定义是，如果root用户在同一目录中创建两个文件，然后调用特定的管理工具，则应发送警报。
• 规则越复杂，对软件和硬件处理的要求就越高。
• 无法检测新的攻击。
• 技术
  • 基于状态的IDS
    • 当变量的值发生变化时，就会发生状态转换，这通常在每个系统中连续发生。
    • 在基于状态的IDS中，初始状态是攻击执行前的状态，而受损状态是成功渗透后的状态。
    • IDS具有规则，概述了哪些状态转换序列应该发出警报。基于状态的IDS寻找的是初始状态和受损状态之间发生的活动，如果任何状态转换序列与其预配置规则匹配，它就会发送警报。
    • 这种类型的IDS在活动流的上下文中扫描攻击特征，而不是仅仅查看单个数据包。它只能识别已知的攻击，并且需要频繁更新其特征。
  • 基于模型的IDS
    • 在基于模型的IDS中，产品具有多个场景模型，这些模型表示特定攻击和入侵是如何发生的。这些模型概述了如果系统受到攻击，系统将如何表现，攻击者将执行的不同步骤，以及如果发生特定入侵，可用于分析的证据。
    • IDS接收审计日志数据并将其与已开发的不同模型进行比较，以查看数据是否满足任何模型的规范。如果IDS在审计日志中找到与特定模型特征匹配的数据，它就会发送警报。

• 基于网络的IDS使用传感器进行监控。传感器作为分析引擎，放置在IDS负责监控的网络段上。
• 传感器从事件生成器接收原始数据，并将其与特征数据库、配置文件或模型进行比较，具体取决于IDS的类型。
• 如果存在某种类型的匹配，指示可疑活动，则传感器与响应模块协作以确定需要执行哪种类型的活动（通过即时消息、页面、电子邮件发出警报，或执行防火墙重新配置等）。
• 传感器的作用是过滤接收到的数据，丢弃无关信息，并检测可疑活动。
• 可以使用监控控制台监控所有传感器，并为网络人员提供所有传感器在网络中活动的概览，但在交换环境中会出现困难，在交换环境中，流量通过VPN转发，不会重新广播到所有端口。这可以通过使用生成树端口镜像所有端口的流量到一个监控端口来克服。
• 传感器放置
  • 传感器可以放置在防火墙外部以检测攻击。
  • 防火墙内部（在周界网络中）以检测实际入侵。
  • 在高度敏感区域、DMZ和外部网上。
• 在高流量环境中可以使用多个传感器来确保所有数据包都得到检查。如果需要优化网络带宽和速度，可以设置不同的传感器来分析每个数据包的不同特征。这样，分析负载就可以分散到不同的点。

传统的IDS仅检测到可能正在发生某些不良事件并发出警报。IPS的目标是检测此活动，并首先不允许流量访问目标。

IPS是一种预防性和主动性技术，而IDS是一种侦查性和事后技术。

关于IPS一直存在着长期的争论，结果证明它是IDS的扩展，IDS的所有内容也适用于IPS，除了IPS是预防性的，而IDS是侦查性的。蜜罐

蜜罐

问责制是跟踪和记录主体对对象的操作的方法。

审计是一项活动，其中监控用户/主体的对象操作，以验证敏感性策略是否得到执行，并可用作调查工具。

审计的优势

• 跟踪个人执行的未经授权的活动。
• 检测入侵。
• 重建事件和系统状况。
• 提供法律资源材料并生成问题报告。

注意：安全专业人员应该能够访问环境及其安全目标，了解应该审计哪些操作，以及在捕获信息后应该如何处理这些信息——而不浪费过多的磁盘空间、CPU能力和人员时间。

审计什么？

• 系统级事件
  • 系统性能
  • 登录尝试（成功和不成功）
  • 登录ID
  • 每次登录尝试的日期和时间
  • 用户和终端的锁定
  • 管理实用程序的使用
  • 使用的设备
  • 执行的功能
  • 更改配置文件的请求
• 应用程序级事件
  • 错误消息
  • 打开和关闭的文件
  • 文件的修改
  • 应用程序内的安全违规
• 用户级事件
  • 身份识别和身份验证尝试
  • 使用过的文件、服务和资源
  • 发起的命令
  • 安全违规

审计信息审查

• 审计跟踪可以手动或通过自动化方式进行审查。
• 审计审查类型
  • 面向事件：在事件发生时进行。
  • 定期：定期进行以访问系统的健康状况。
  • 实时：在审计信息创建时，借助自动化工具进行。
• 审计跟踪分析工具：这些工具有助于减少/过滤不必要的审计日志信息，并仅提供审计所需的信息。
• 审计跟踪分析工具类型
  • 审计减少工具：这些工具减少审计日志中的信息量，丢弃平凡的任务信息并记录系统性能、安全和用户功能信息，这些信息对于审计是必要的。
  • 差异检测工具：这些工具监控计算机和资源使用趋势，并检测异常活动的变化，例如：员工在非工作时间登录机器。

  • 攻击特征 - 检测：这些工具根据数据库中的一些预定义模式解析审计日志。如果某个模式与数据库中的任何模式或特征匹配，则表明已发生或正在进行攻击。
  • 按键监控。

保护审计数据和日志信息

• 应通过实施严格的访问控制来保护审计日志。
• 应使用数字签名、消息摘要工具和强大的访问控制来确保数据的完整性。
• 机密性可以通过加密和访问控制来保护，并可以存储在 CD-ROM 上以防止数据丢失或修改。日志的修改通常称为擦除。
• 应捕获并报告对审计日志的未授权访问尝试。