CISSP要点-访问控制

标识是一种能够确保主体（用户、程序或进程）就是它所宣称的那个实体的方法。标识可以通过一些证明来确认，这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识，并且主体的行为被记录在案。

逻辑访问控制是用于标识、认证、授权和稽核的工具，它是执行对系统、程序、进程和信息的访问控制策略的软件组件。

一个人的身份需要在认证的过程中确定。认证通常包含有两步：输入公共信息（用户名、工作证号、账号或部门ID),然后输入私人信息（固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中，输入公共信息是一个标识的过程，而输入私人信息是一个认证的过程。

有三种认证的方式：他知道的内容，他持有的证明，他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。

强化认证（strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。

在安全领域，确定身份有三个关键因素：唯一性、非描述性和签发。

ID卡可认为是一种标识签发形式的安全因素。

身份管理包括用不同的产品以自动化方法标识、认证和授权用户，还包括用户账户管理、访问控制、密码管理、单点登录功能、管理用户账户权限，以及审计和监控所有这些项目。

安全管理不仅必须理解整个身份管理，而且还必须理解构成整个企业身份管理解决方案的各种技术。管理身份需要管理唯一标识的实体、它们的特征、证书和权利。

目录

多数目录采用一种分层式的数据库格式，基于X.500标准和某种协议，如轻量级目录访问协议（LDAP)，允许主体和应用程序与目录进行交互。

目录中的客体由目录服务管理。目录服务允许管理员配置和管理网络中的标识、认证、授权和访问控制。目录中的客体用命名空间标记和标识。

每种目录服务都采用某种方法标识和命名它们管理的客体。在基于由LDAP访问的X.500标准的数据库中，目录服务为每个客体分配标识名（DN)。每个标识名代表与某个客体有关的一组属性，作为一个条目保存在目录中。

目录服务管理目录中的条目和数据，并通过实施访问控制和身份管理功能执行配置的安全策略。

身份管理中使用的目录是一种为读取和搜索操作而进行过优化的专用数据库软件，它是身份管理解决方案的主要组件。这是因为所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略以及其他内容都保存在这一个位置^当其他身份管理软件需要执行它们的功能（授权、访问控制、分配权限）时，就有了一个集中的位置来获取它们所需的信息。

许多身份管理产品的主要作用是建立元目录（meta-directory)或虚拟目录（virtual directory)。元目录从不同的来源收集必要的信息，并将它们保存在一个中央目录中，这为企业中所有用户的数字身份信息提供了一个统一的视图。元目录定期与所有身份存储库同步，以确保企业中的所有应用程序和身份管理组件使用最新的信息。

Web访问管理

体系架构通常由一个Web服务器群组（许多台服务器)、一个包含用户账户和属

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新资格考试认证CISSP要点-访问控制全文阅读和word下载服务。