您好、欢迎来到现金彩票网!
当前位置:打鱼棋牌游戏平台 > 物理访问控制 >

CISSP的成长之路(十七):复习访问控制(2)

发布时间:2019-06-04 04:42 来源:未知 编辑:admin

  在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习访问控制》里,J0ker给大家介绍了访问控制的基本概念和三种访问控制类型(物理、逻辑和管理)的基本原则。我们知道,信息安全和每个安全相关的技术,目标都是为了保护信息资产的保密性、完整性和可用性(CIA)中的一个或全部不受损害,访问控制也是如此。因此,J0ker打算给大家介绍一下访问控制CBK所对应的C-I-A保护范围和涉及访问控制的一些常见威胁。

  访问控制通常部署在信息设施中,对信息处理环境——系统(包括硬件、操作系统和应用程序)、网络平台及连接(Intranet、Extranet和Internet)提供保护。除此之外,访问控制还对物理环境,诸如建筑物的入口、计算机中心,乃至特定的个人工作站。要更深入了解访问控制,必须先了解影响系统资源的各种威胁,单从保密性、完整性和可用性三者的层次上来说,这些威胁可以分类成:

  保密性威胁:指某个实体,包括个人、程序或计算机获取对敏感信息的访问权。保密性威胁是访问控制针对的主要威胁类型之一。

  完整性威胁:指某个实体未经授权访问并影响系统资源,另外一种完整性威胁的表现形式是实体未经授权的对系统资源进行添加或修改。完整性威胁也是访问控制针对的主要威胁类型之一。

  仅仅从C-I-A这个层次上去了解威胁的类型是远远不够的,我们在日常工作中所遭遇到的威胁往往更具体更技术化。下面J0ker再列举一下具体的威胁例子以帮助大家对访问控制所涉及的威胁有更深入的了解,当然,因为IT技术和威胁都在迅速的发展,J0ker不可能给出一个十分完整的威胁列表,下面所举出的例子,更多的是为了让大家了解常见威胁及其内容,并了解这些常见威胁属于哪种影响系统的威胁类型。另外,J0ker是按照这些威胁的英文单词顺序来列的,而非它们的重要程度或出现频率。

  缓冲区溢出(Buffer Overflow): 缓冲区溢出是软件中最古老也最常见的问题,它是因为一个程序所获得的输入超出了它缓冲区的容量,导致程序出现异常并改变运行路径。缓冲区溢出通常会导致恶意代码的插入执行或程序获得管理员权限。缓冲区溢出属于破坏保密性和可用性的威胁。

  隐蔽信道(Convert Channel):隐蔽信道指违反组织安全策略的隐蔽的数据传输路径,通常出现在两个或多个用户共享信息时。隐蔽信道包括时间信道(Timing Channel)和存储信道(Storage Channel)。隐蔽信道属于破坏保密性的威胁。

  数据残余(Data Remanence):数据残余指在磁盘存储设备被消磁或数据被覆盖后,磁盘上仍存在的可被读出的数据。这些残余的数据可能会被有意或无意读出,并导致泄密。数据残余属于破坏保密性的威胁。

  垃圾回收(Dumpster Diving):垃圾回收指攻击者通过翻找组织的垃圾桶,并在其中获得诸如用户名、密码等有价值信息的攻击手法。垃圾回收属于破坏保密性的威胁。

  监听(Eavesdropping):指攻击者使用软件(如嗅探器等)监听网络,或使用设备对电信网络中所传输的数据进行监听的活动。监听属于破坏保密性的威胁。

  电磁侦听(Emanations):指攻击者使用特殊的设备,对目标硬件设备散发出来的电磁辐射、各种无线网络的信号等进行获取并还原的行为。电磁侦听属于破坏保密性的威胁。

  黑客(Hacker):黑客通常指通过技术手段获得非授权的系统访问,黑客有多种类型,如白帽黑客(White-Hat,合法的漏洞研究者)、黑帽黑客(Black-Hat,通过攻击来炫耀自己的技术人员)、恶意黑客(Malicious Hacker,会导致危害或损失的攻击者),通常我们常说的黑客,指的就是恶意黑客。

  身份伪造(Impersonation):指攻击者伪装自己成为一个授权用户以获得未授权访问。身份伪造属于破坏保密性的威胁。

  内部入侵者(Internal Intruder):指组织内部人员使用外部入侵者的手法对组织的敏感信息进行未授权访问。通常可以分为两种类型:授权用户尝试去访问没有得到授权的信息或资源;授权用户尝试物理访问没有得到授权的设备。内部入侵者属于破坏保密性的威胁。

  处理能力损失(Loss of processing capability):指由于系统由于有意或意外的破坏停止进行信息处理。处理能力损失属于破坏可用性的威胁。

  恶意代码(Malicious Code):指可以违反安全策略访问系统或获得最高系统权限的代码。恶意代码威胁还会在下面的文章中详细介绍。

  中间人攻击(Man in the middle):指攻击者在网络中拦截并重定向数据通讯,以期获取数据通讯中的敏感信息。中间人攻击属于破坏保密性的威胁。

  移动代码(Mobile Code):指通过网络从一个服务器上传输到客户端,并在客户端上执行的可执行内容,Java和VB script便是很好的例子。

  目标重用(Object Reuse):指某个实体(用户、程序等)可以访问前一个实体访问磁盘、内存、临时文件等留下的信息,造成敏感信息的未授权访问。目标重用属于破坏保密性的威胁。

  密码破解(Password Cracker):指专用于在密码文件里面获取加密密码的软件或程序,如果未授权用户能够对密码文件进行访问,就有可能通过破解密码文件内保持的密码,从而获得对敏感信息的访问权限。

  物理访问(PhysicalAccess):指对信息处理设施,如网络设备、主机、设施附属设施的物理访问。物理访问控制在物理安全CBK中会有详细介绍。

  重放(Replay):指攻击者通过在在网络中捕获数据包并重新发送给目标主机以获得未授权的访问。重放攻击属于破坏保密性和完整性的威胁。

  嗅探器(Sniffer):指能够在网络上读取或捕获数据包的软件工具,攻击者通常使用嗅探器来获得敏感信息。嗅探器属于破坏保密性的威胁。

  IP欺骗(Spoofing):指攻击者通过IP欺骗获取只验证客户端IP的服务器访问权限。IP欺骗属于破坏保密性的威胁。

  社会工程学(Social Engineering):指未授权用户通过欺骗授权用户以获取对敏感信息访问的行为。

  间谍行为(Spying):指攻击者通过诸如窃听、摄像等高科技手段来获取敏感信息的活动。间谍活动属于破坏保密性的威胁。

  针对性数据挖掘(Targeted data mining):指通过搜索数据库的可读信息,并根据可读信息推断出敏感信息内容的行为。针对性数据挖掘属于破坏保密性的威胁。

  后门(Trapdoor):指系统开发者在系统程序中留下的可供其不经过验证就访问系统资源的功能。后门属于破坏保密性的威胁。

  隧道(Tunneling):指跳过系统所提供的功能,直接访问底层设备的技术。隧道技术在使用底层访问方法的同时也跳过了系统的访问控制功能。隧道技术属于破坏保密性的威胁。

  以上所列的只是常见的威胁保密性和完整性的威胁,而对于威胁可用性的拒绝服务威胁,和无法明确区分威胁类型的恶意代码,在下面的内容中J0ker还会继续介绍。在CISSP考试中,常常会考察以上威胁的概念和分类,有时候也会考察某个特定威胁的防御方法。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

http://lotusyogacenter.com/wulifangwenkongzhi/94.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有