基本信息
书名:清华计算机图书译丛:计算机安全(第4版)
定价:128.00元
作者: 兰迪·博伊尔(Randy J.Boyle),
出版社:清华大学出版社
出版日期:2019-01-01
ISBN:9787302503088
字数:
页码:586
版次:4
装帧:平装
开本:16开
商品重量:0.4kg
编辑推荐
内容提要
本书是一本介绍IT安全的入门教程,旨在介绍与企业安全相关的IT安全知识。全书共分10章,内容包括威胁环境、规划与策略、密码学、安全网络、访问控制、防火墙、主机强化、应用安全、数据保护、事件与灾难响应等。
目录
作者介绍
文摘
第5章 访 问 控 制
本章主要内容
5.1 引言
5.2 物理访问与安全
5.3 密码
5.4 访问卡和令牌
5.5 生物识别
5.6 加密认证
5.7 认证
5.8 审计
5.9 中央认证服务器
5.10 目录服务器
5.11 整体身份管理
5.12 结论
学习目标
在学完本章之后,应该能:
定义基本的访问控制术语
描述实际建筑和计算机安全
解释可复用密码
说明访问卡和令牌的工作原理
描述生物识别认证,包括验证和识别
解释授权
解释审计
描述中央认证服务器的工作原理
描述目录服务器的工作原理
定义完整的身份管理
5.1 引??言
5.1.1 访问控制
从第2章知道,公司必须为每个敏感资源制订安全计划,而每项安全计划的重要组成部分就是访问控制,如图5-1所示。攻击者无法获得公司资源,就无法伤害公司。公司需要规划访问控制,根据自己的需要实现控制,还要在控制失败时进行响应。
访问控制
??公司必须限制对物理资源和电子资源的访问
??访问控制是对系统、数据和对话访问控制的驱动策略
加密
??在某种程度上,许多访问控制工具都使用加密
??然而,加密只是访问控制的一部分,参与访问控制的执行
AAA保护
?认证:请求者向验证者发送凭据来证明自己
?授权:经过认证的用户将拥有哪些权限
???根本上,用户可以获得什么资源
???用户能用这些资源做什么
?审计:在日志文件中记录人们做什么
???检测攻击
???在实施中,进行识别统计分析
凭据是基于
?你知道什么(例如密码)
?你有什么(例如访问卡)
?你是谁(例如你的指纹)
?你做什么(例如说出密码)
双重认证
?使用两种形式的身份验证进行深度防御
?示例,访问卡和个人识别码(PIN)
?多重身份验证:两种或多种类型的身份验证
?但是用户PC上的特洛伊木马能击败双重身份验证
?假网站的中间人攻击也能击败双重身份验证
个人和基于角色的访问控制
?个人访问控制:基于个人账户的访问规则
?基于角色的访问控制(RBAC)
??基于组织角色的访问规则(买方、组成员等)
??将个人账户分配给角色,使个人账户能访问该角色的资源
??比基于个人账户的访问规则成本更低,更不容易出错
人力与组织控制
??人们和组织可能会绕过访问保护图5-1 访问控制
访问控制的正式定义是对系统、数据和对话访问控制的驱动策略。访问控制有许多方法,如物理障碍、密码和生物识别。许多访问控制机制都使用加密保护,因此,在学习访问控制之前,已详细介绍了加密技术。但是,有许多访问控制技术根本不使用加密技术,而有一些访问控制技术与加密技术相关,所以访问控制不仅仅是加密。
访问控制是对系统、数据和对话访问控制的驱动策略。
策略是访问控制的核心。如第2章所述,所有的安全性都从制定个人资源的安全策略开始。当公司制定正确的策略之后,要协调所有员工,指导策略的实施和监督。
5.1.2 认证、授权与审计
访问控制有三个功能,我们将之统称为AAA,即认证、授权和审计。
认证是验证每个用户身份的过程,以确定该用户是否拥有使用某些资源的权限。请求访问的人或过程是请求者。提供权限的人或过程是验证者。请求者通过发送凭据(如密码、指纹扫描等)给验证者来证明自己的身份。
授权是将具体的权限授予经过认证的用户,授权用户拥有获得这些权限的权力。例如,Bob有读取文件的权限,但他不能更改或删除文件。Carol甚至没有查看文件名的权限。
审计是在日志文件中收集个人的活动信息。公司可以实时分析日志文件,也可以保存日志文件以备以后分析。如果没有审计,违反认证和授权策略的行为可能会很猖獗。
5.1.3 认证
本章的重点是认证,认证是AAA访问控制中复杂的一部分。为了进行身份验证,用户必须向验证者提供以下的某一凭据:
你知道什么(密码或私钥)。
你有什么(实际的钥匙或智能卡)。
你是谁(你的指纹)。
你做什么(你如何说出密码)。
5.1.4 密码
在过去,简单的密码足以满足大多数的认证需求。然而现在,公司发现可用的认证技术越来越多,包括访问卡、令牌、生物认证和加密认证(参见第3章)。这些多样化的身份验证方法为公司提供了多种选择,公司可以根据自身资源所面临的风险选择适合自身的认证方法。
5.1.5 双重认证
在认证中,越来越重要的原则是双重认证。在双重认证中,必须使用两种不同形式的认证来进行访问控制。双重认证实现了深度防御,深度防御是安全规划的基本原则(如第2章所述)。此外,一些系统甚至使用多重身份验证,多重身份验证要使用两种以上的认证形式。
然而,双重身份验证能提供的认证实力可能弱于印象中其能提供的身份验证强度。Bruce Schneier1指出,特洛伊木马和中间人攻击可以绕过双重认证。
首先,当用户经过电子商务网站认证之后,如果用户客户端PC感染了特洛伊木马,那么,特洛伊木马可以发送交易。也就是说,如果用户的计算机遭到入侵,则双重身份认证变得毫无意义。
其次,中间人攻击可以击败双重身份验证。如果用户登录到虚假的银行网站,那么这个假网站可以作为用户和真实银行网站间的沉默中间人。在用户成功经过认证之后,假网站能在真实银行网站上执行自己的交易。
5.1.6 个人与基于角色的访问控制
我们一般会考虑适用于个人用户和设备的访问控制规则。但公司却要尽可能使用基于角色的访问控制(RBAC)。RBAC是基于组织角色而不是个人。一个角色可能是买方,所有买方都将被分配成这一角色。虽然用户是使用自己的账户登录,但访问控制只将基于买方的角色来分配资源。
与将访问控制规则分别分配给买方个人账户相比,根据角色创建访问控制规则成本更低,因为要执行的分配任务更少。
创建基于角色创建访问控制规则也能减少出错的机会。
一旦一个人不再是买方,只需从买方组中删除此人即可。与查看每个人的权限并决定删除哪些权限相比,删除角色成本更低,出错的概率也低。
新闻
在伦敦,有76名大都会警察人员因滥用警察国家计算机(PNC)数据库被调查。滥用程度是未知的,因为没有审计过程记录对PNC数据库的访问或滥用。PNC数据库及相关的警察国家数据库(PND)包含数百万英国居民的个人信息2。
5.1.7 组织与人员控制
本章所介绍的许多访问控制技术都提供了非常强大的安全性。然而,这些技术总是嵌入在组织和人们的环境中。这也创造了人们绕过访问控制技术的机会。
例如,如果冒名顶替者使用了松懈或未经训练工作人员的私钥通过了身份验证,那么,公钥认证的实力就毫无意义。再举一个例子,如果公司错信了恶意的业务伙伴,授予了业务伙伴访问系统的权限,那么,所有的访问控制工具都毫无意义。
测试你的理解
1.a.列出AAA访问控制。
b.解释AAA的含义。
c.四种基本的认证凭据是什么?
d.双重认证的前提是什么?
e.特洛伊木马如何击败这个前提?
f.中间人攻击如何击败这个前提?
g.什么是RBAC?
h.为什么RBAC比基于个人账户的访问控制成本更低?
i.为什么RBAC不容易出错?
j.为什么在真正的组织中技术强大的访问控制不能提供强大的访问控制呢?
5.1.8 军事与国家安全组织访问控制
本书是关于企业安全的。在军事和国家安全机构中,会出现更多的访问控制问题。企业经常使用个人访问控制或基于角色的访问控制。在军事和国家安全机构中,强制访问控制和自主访问控制非常常见。
在强制访问控制中,部门无法改变上级设置的访问控制规则。原则上,这就提供了非常强大的安全性。但实际上,这难以维持,因为每个部门都需要访问的灵活性。
因此,组织通常会允许部门使用自主访问控制,部门根据上级制定的策略标准酌情决定是否允许个人访问,如图5-2所示。
强制访问控制和自主访问控制
??强制访问控制(MAC)
????没有部门或个人能改变上级设定的访问控制规则
??自主访问控制
????部门或个人能改变上级设定的访问控制规则
??MAC能提供更强的安全性,但很难实现
多级安全
??按安全级别对资源进行分类
公开的
敏感但未分类的
机密
绝密等
??给人们相同级别的许可
??一些规则很简单
????有机密许可的人不能阅读绝密文件
??一些规则很复杂
????如果将绝密文件中的段落复制到机密文件中,该怎么办
??创建访问控制模型来解决多级安全的问题
????因为访问控制模型与公司安全无关,所以不会讨论该模型图5-2 军事和国家安全组织访问控制
5.1.9 多级安全
文件和其他资源的敏感度各不相同。在通常情况下,军事和国家安全组织有多级安全系统,按敏感度对文件进行分类。一些文件是完全公开的,而另一些文件是敏感的但未分类的(SBU)。除此之外,还有一些分类级别,如机密和绝密。
对分类信息的授权访问需要慎重考虑。很明显,如果没有安全许可,不会允许某人阅读绝密文件。此外,还应考虑更多的问题。例如,如果从分类文档中复制部分段落到敏感但未分类的文档呢?为了应对这些问题,处理多种访问控制情况,使用多级安全的组织必须使用复杂的访问控制模型。本书着重介绍公司的安全,由于多种原因,传统的多级安全不起作用。因此,本书不会讨论访问控制模型。
测试你的理解
2.a.如何区分强制性访问控制和自由访问控制?
b. 什么是多级安全?
c. 什么是SBU文件?
d. 在访问控制中要考虑什么?
e. 为什么需要访问控制模型?
5.2 物理访问与安全
许多攻击都是通过网络进行的远程攻击。但是,攻击者也可以走进楼宇、走近计算机,然后偷走计算机或者攻击它。虽然网络访问控制至关重要,但IT安全专业人员需要先了解楼宇、楼宇内的高级安全区域和个人计算机的物理访问控制。我们将基于ISO/IEC 270023 的安全条款9来详细分析物理安全和环境安全。
5.2.1 风险分析
安全条款9假定已完成了风险分析。IT安全专业人员需要先了解楼层、楼宇内安全区域和计算机所面临的风险。要知道,与大学相比,银行周边需要更强的安全保护;与普通办公区相比,服务器机房需要更强的安全保护。
5.2.2 ISO/IEC 9.1:安全区
安全条款9有两大安全类。类是9.1安全区,它涉及要保护的物理区域,包括整个楼宇、机房、办公区、装卸区和公共区域。主要安全类9.1提供6种控制,如图5-3所示。
1. 物理安全边界
控制楼宇的入口很重要。在理想情况下,楼宇只有一个入口。另外,将楼宇与外界分开的围墙应该是坚实的,不能存有豁口,让人有机可乘。如果安全要求需要人员接待区,则应长期配备接待工作人员。
ISO/IEC 27002的安全条款9,物理安全和环境安全
??首先必须进行风险分析
ISO/ IEC 9.1:安全区
保护楼宇物理边界(单点入口等)的安全
实现物理入口控制
??访问应该是合理的、经授权的并被记录与监控
保护公共访问区、装卸区的安全
保护办公室、房间和设施的安全
防范外部和环境威胁
制定安全区的工作规则
限制无监督的工作,禁止数据记录设备等
9.2设备安全
设备选址与保护
??选址(siting)意味着定位或位置(源于词根site)
配套设施(电、水、采暖通风与空调)
??不间断电源和发电机
??频繁测试
布线安全(管道、地下布线等)
工作场所外设备维护的安全
??如果设备要带离工作场所,要有删除敏感信息的权限
工作场所外设备的安全
??除了安全上锁,还要经常到场
??保险
设备的安全处置或复用
??删除所有敏感信息
拆卸设备的规则图5-3 ISO / IEC 27002:2005物理安全和环境安全
虽然单一入口很好控制,但每个楼宇都有紧急出口,只要事出有因,就能打开紧急出口用于逃生。如果入侵者在楼宇中有内应,内应可以打开紧急门让攻击者进入楼宇。因此,要对紧急出口提高警惕,好是使用摄像头进行监控,还要经常进行测试。
在任何情况下,安全规定必须符合消防规则。重要的是,将酒吧的安全出口锁住是非法的。
2. 物理进入控制
在操作上,所有物理访问必须经过授权。在信息与相关技术的控制目标(CobiT)的术语中,进入必须是合理的,经过授权,要进行记录,在紧急情况下还要进行监视。此外,还要经常检查更新访问权限。
应对访客的进出进行登记,并在楼宇内对访客进行全程监督。所有内部人员都应佩戴身份胸卡。
3. 公共访问区域与装卸区
装卸区是楼宇中的敏感区域。应限制内部人员进入装卸区,装卸和验货人员应该不能进入装卸码头之外的楼宇。应检查与记录进出的货物。送出的货物应与送入的货物分开,以减少货物被盗的风险。
4. 保护办公室、房间和设施
楼宇的某些区域将特别敏感,应给予额外的安全保护,但这种安全保护还必须符合健康和安全标准。敏感区域应该有锁,用钥匙或访问卡才能进入;或者启用其他的限制出入的措施。
安全区应远离公众访问区。此外,还应尽可能地不引人注目。安全区的内部房间分布和电话簿都不应该向公众公开。
5. 防范外部和环境威胁
IT安全主要与人类入侵者有关,但楼宇安全和安保与非人类的威胁密不可分。危险和易燃材料应远离敏感区域,还应有足够的消防设备。灾害应急设施和备用媒体也应安全地远离楼宇4。
安全@工作
撬锁和Viral视频
传统上,锁能成功地阻止入侵者的进入。锁的设计非常复杂,但不是一直有效。有时,在没有钥匙的情况下也能快速开锁,就此而言,锁是简单的设备。但在大数情况下,人们不了解锁的内部构造,也不知道如何绕过锁的机关,所以锁是复杂有效的。但是互联网改变了这种现状,它向所有人普及了锁的相关知识。
Viral视频
由于有了在线视频,人们能更方便地理解锁的工作原理,也能学到各种撬锁技术并付诸实践。在观看两分钟的如何用苏打水枪开挂锁的视频之后,没有任何撬锁经验的人就能拿一把剪刀,剪出打开挂锁所需的钥匙。在没有原装钥匙,也不损坏锁的前提之下,他能立即打开挂锁。
Viral视频已经成了一种新型的传播媒介,播放以前只有小部分人会而大部分人不会的技能知识,例如,撬锁。锁匠需要花费数年的时间来学习相关锁的知识,才能拥有打开门、锁、汽车等的技能。撬锁的相关书籍也不能快速传播撬锁的知识或技能。但在线视频能让人们快速掌握撬锁的技能。
现在,通过在线观看几分钟的撬锁视频,任何人都能在几分钟内将锁打开。此外,通过互联网,人们能方便地购买专业的预制撬锁工具。
钥匙、撞钥和撬锁
有许多书籍和网站专门介绍锁和撬锁。我们要分析三种非常流行、易学习的方法。这三种方法是物理访问控制所面临的重大威胁。安全专业人员需要了解这些物理威胁,采取相应措施来防范这些威胁。
安全相关的Viral视频
来源:Google
钥匙
钥匙是能绕过(绕开)锁的机关的一小片金属或塑料。实际上,不用选择锁,钥匙推动锁机关,直到设备解锁。钥匙易于制作,并能打开各种锁具。
撞钥
撞钥是实际钥匙的特制版本,特定类型的锁都会有一把特制的撞钥。将撞钥部分插入锁内,然后“碰撞”,使锁构造中的弹子向上跳。会有几分之一秒的时间,弹子与切变线对齐。一旦弹子与切变线对齐,则锁芯旋转,锁被打开。通过一些练习,在根本不会损坏锁的前提下,可以在几秒钟内打开大多数的锁。用普通金属钥匙坯或在线购买的专用钥匙都能配出撞钥。专用的撞钥通常对应特定类型与型号的锁。
撬锁
通过撬锁工具和扭力扳手来操纵锁构造来完成撬锁。撬锁工具用于单独移动每个弹子,直到所有弹子都与切变线对齐。一旦所有的弹子都沿着切变线对齐,就可以使用扭力扳手来旋转锁芯。在弹子对齐时,扭力扳手也用于保持弹子不会脱落。
撬锁需要的技能比用钥匙或撞钥更高超。熟练掌握撬锁技能需要相当长的时间,因此,大多数犯罪分子宁愿直接用螺栓刀或钻头撬锁,也不愿意花费那么长时间去学习这项技能。经过训练才能熟练掌握撬锁的技能,成为撬锁专家。因此这也降低了某人利用撬锁技术攻击公司物理安全控制的可能性。
撞钥
来源:由Randall J. Boyle提供
来源:由Randall J. Boyle提供 行业响应
锁制造商已经开始发布可以预防或至少能阻碍这些的锁具。制造商生产“防震”和“防撞”锁。然而,这些新锁并未广泛应用。更新的Viral视频提供新对策以规避制造商的新技术。开发安全物理锁的竞争会持续很多年。
扩展学习
前面简要介绍了钥匙、撞钥和撬锁的工作原理。这些信息还不足以使读者能开锁,更不可能使读者去完成撬锁,想要掌握这门技术,要学习更多撬锁的知识,这方面的书籍资料很多。
不过,在YouTube上进行快速搜索,你会发现各种关于锁的操作方法。三分钟的视频就涵盖了有效使用钥匙、撞钥和撬锁的所有信息和技术。人们可以无障碍地访问这类viral视频,学习如何规避物理访问,这种现状令人担忧。
安全专业人员要有意识地学习规避物理安全的新技术。因为与过去相比,这些新技术知识的传播速度更快。
6. 安全区的工作规则
公司应为安全区的工作人员制定特殊规则。重要的是,应该避免无监督的工作。当没有人在安全区时,应该上锁并定期检查。
在大多数情况下,在安全区要禁用拍摄设备,如手机相机。还应禁用数据记录介质,如可写磁盘、USB RAM和硬盘。物理攻击者利用这类媒介能窃取数十亿字节的信息。当然,在许多情况下,也应禁用未经授权的PC、智能手机和其他计算设备。
应对到来和离开的人员进行检查,以确保有效地禁用记录设备、介质和其他禁用设备。
序言
