第13章 管理身份和认证

了解物理访问控制如何保护资产。

物理访问控制是您可以接触到的，它们通过控制访问和控制环境来直接保护系统、设备和设施。

它们还通过限制物理访问来间接保护信息和应用程序。

了解逻辑访问控制如何保护资产。

逻辑访问控制包括身份验证、授权和权限。

它们限制谁可以访问信息、设置和使用信息系统、设备、设施、应用程序和服务。

了解主体和客体之间的区别。

您会发现安全文档通常使用主体和客体这两个术语，因此了解它们之间的区别很重要。

主体是访问文件等被动对象的主动实体（例如用户）。

用户是在执行某些操作或完成工作任务时访问对象的主体。

了解访问控制的 AAA 模型的组件。

AAA 模型包括三个主要组件。

身份验证确认用户、设备或服务的身份，授权确保用户、设备和服务只能执行他们有权执行的操作，记账创建活动的审计线索，以后可以进行验证。

了解身份识别和身份验证之间的区别。

访问控制取决于有效的身份识别和身份验证。主体声明身份，身份识别可以像用户的用户名一样简单。

主体通过提供身份验证凭证（例如用户名匹配的密码）来证明其身份。

人员、设备和服务都通过提供适当的凭证来验证其身份。

了解身份的建立、注册和验证。

新员工使用护照、驾照或出生证明等官方文件来建立身份。

然后，人力资源人员开始注册流程，包括为新员工创建账户。

当使用生物特征认证时，注册流程还会收集生物特征数据。身份验证包括基于知识的身份验证和认知密码。

这些系统会向用户询问一系列只有用户才知道答案的问题。

了解授权和记账之间的区别。

在对主体进行身份验证后，系统根据其已证实的身份授权访问对象。

审计日志和审计线索记录事件，包括执行操作的主体的身份。

有效的识别、身份验证和审计相结合，提供了问责制。

了解主要的身份验证因素。

身份验证的三个主要因素是您所知道的东西（例如密码或 PIN）、您拥有的东西（例如智能卡或身份验证设备）以及基于生物识别的东西。

多因素身份验证 MFA 包括两个或更多身份验证因素，使用 MFA 比使用单个身份验证因素更安全。

了解重要的身份验证概念。

密码是最弱的身份验证形式，但密码策略通过强制执行复杂性和历史要求来帮助提高其安全性。

智能卡包括微处理器和加密证书，而身份验证器会创建一次性密码。

生物识别方法根据指纹等特征识别用户。

交叉错误率确定生物识别方法的准确性，并显示错误拒绝率等于错误接受率的位置。交叉错误率越低，准确性越高。

了解单点登录。

单点登录或 SSO 是一种允许主体进行一次身份验证并访问多个对象而无需再次进行身份验证的机制。

描述如何实施联合身份系统。

联合身份管理系统在本地实施，通过第三方云服务或两者的混合提供最大控制。

描述即时配置。

即时或 JIT 配置在用户首次登录网站时在第三方网站上创建用户帐户。

JIT 减少了管理工作量。

了解凭证管理系统。

凭证管理系统可帮助开发人员轻松存储用户名和密码，然后在用户再次访问网站时检索它们。

W3C 于 2019 年发布了凭证管理 API 作为工作草案，开发人员通常将其用作凭证管理系统。

它允许用户自动登录网站，而无需再次输入凭证。

解释会话管理。

会话管理流程通过关闭无人值守的会话来帮助防止未经授权的访问。

开发人员通常使用 Web 框架来实现会话管理。

这些框架允许开发人员确保在特定时间的不活动（例如两分钟后）后关闭会话。

了解身份和访问配置生命周期。

身份和访问配置生命周期是指帐户的创建、管理和删除。

配置可确保帐户根据任务要求具有适当的权限，并且员工会收到任何所需的硬件。

入职流程可告知员工组织流程。

取消配置流程可在员工离职时禁用或删除帐户，离职流程可确保员工归还发给他们的所有硬件和组织。

解释组和角色定义和转换的重要性。

当组织创建新的工作角色时，确定这些新角色中任何人所需的权限非常重要。

这样做可确保这些新角色中的员工没有过多的权限。

这些角色通常映射到身份验证系统中的组，然后将权限分配给这些角色。

当用户从一项工作转换到另一项工作时，应修改他们的组成员身份以适应这些变化。

描述帐户访问审查的目的。

帐户访问审查针对用户帐户执行，包括特权帐户、系统帐户和服务帐户。

这些审查确保帐户没有过多的权限。

它们通常可以检测帐户何时拥有过多的权限以及未使用的帐户何时未被禁用或删除。

这些是第 13 章“管理身份和身份验证”需要了解的学习要点。

原文始发于微信公众号（晓说森林）：第13章 管理身份和认证