Day 05
线上课程:
.ACW 资安网络学院:https://www.acwacademy.org.tw/
科目:身分识别与存取控制
讲者:陈彦弘
时间:2 小时
连结:https://bit.ly/3YJFkgW
又是一堂很管理的课内容在解释怎么由公司的政策去定义出资安规则。
依政策去决定各个职务的使用权限,要怎么使用行政管理方法来进行资
安的管理。
课程大纲
一、基本概念:身分识别与存取控制之资安原则
存取物件需要:问责机制、身份识别机制、存取控制机制
https://i.imgur.com/YNv10ti.png
◎存取控制三原则(CIA):机密性、完整性、可用性。
*资安政策属于成本与利益冲突与妥协的产物必须在三者中取得平衡。
二、基本概念:身份辨识机制
使用者存取文件时必须说明:(1)他是谁?(2)证明他是谁?(3)可以取
得什么权限?
授予权限需定义:(1)资讯可用性 (2)资讯完整性 (3)机密性的技术等级
◎身份识别的方法:
.Something you Know: 身份证字号、密码。
.Something you Have: ID card, 自然人凭证。
.Something you Are: 指纹、虹膜…等。
.Somewhere you locate: 所在位置(与其他三者配合的验证机制)。
*生物特征:最重要是准确度,敏感度过高、敏感度过低都会误判需
取得平衡点(CER)。
◎根据业务类型设定授权方式:
.角色:依职位确定权限。
.群体:特定部门。
.位置:特定区域限用。
.时间:时间内授权(信用卡)。
.交易方式:ATM 提款上限。
◎授权原则:
.最小权限
做法:给予用户执行工作职能所需之最低权限。
目的:避免数据、功能受到错误或恶意的破坏。
.须知原则 (need to know)
做法:不知道的人就不该知道,该知道的人在该知道的范围内知道。
目的:机密资讯保护。
.错误尝试上限(clipping levels)
做法:错误尝试上限。超过错误次数关闭帐号。
三、确认问责制度
◎问责制度(Accounting):以公司治理的角度需先考虑部门身分辨识与
存取之行政管理策略。
.用政策决定技术而不是用技术侷限政策。
.用机制来决定运作方式而不是用技术决定运作方式。
◎针对身份识别、存取控制的行政管理
政管理措施是监控【身分识别与存取控制】的管理措施依循公司获利
愿景、法规、标准,决定问责机制(文件化),再选择对应的技术而不
是先决定资安技术再反过来决定公司的问责机制、资安标准。
.公司获利愿景:获利>资安成本、法规(资安管理法)、标准(ISO27001)
.由谁负责【承诺预期效果】
.由谁负责【出事时的解释】
.由谁负责【问责后的受罚 】
.组织与员工须了解身分识别与存取控制生命周期: 授权、检视存取纪
录、取消授权
.确保行政管理策略执行状况的两个原则
尽责关注 (due care): 善良管理人应尽之义务
尽职调查 (due diligence): 依法/依合约对公司制度的风险调查
.行政管理措施三策略:
职责分离 (separation of duties)、工作轮换 (job rotation)、
强制休假 (mandatory vacations)
利用PDCA来建立问责机制(文件化) 完成四阶段七工作,以符合
ISO 27001标准
.Plan:组织背景、领导力、组织支援、计划
.Do:执行
.Check:评估
.Action:改善
◎行政单位与员工需了解身份识别、存取控制生命周期四阶段。
.授权 (provisioning):入联、取得帐号(一般帐号、系统帐号)。
.检视使用者存取纪录 (User Access Review):确认使用状况是否
正常。
.检视系统帐号存取纪录 (System Account Access Review):确认
系统帐号使用状况(Email, Server, DNS)。
.取消授权 (Deprovisioning):离职、转单位帐号停用。
◎行政管理策略执行状况的两个原则:
.尽责关注 (due care): 善良管理人应尽之义务
.尽职调查 (due diligence): 检视/调查公司风险,以提供决策依据
◎行政管理措施三策略
.职责分离:确保高风险工作或互相关联的职责不是由一个人单独负责与进行。
.工作轮换
.强制休假:透过内部牵制(internal check),进行资安查错舞弊。
四、根据问责制度,来确认安全模型 (Security Model)
◎安全模型:当组织确认问责制度后,即可根据业务内容选择身分认证
与存取控制的安全模型(这不是单选题,而是多选题)
.Bell-LaPadulaModel:强调机密性。(下写、上不写;上读、
下不读)。
.BibaModel:强调正确性。(下写、上读)
.Clark-WilsonModel:代理变更与稽核(规范银行、商城、健保资料
相关系统之资料存取)。
非保护资料使用者直接填写、保护资料使用者通过验证之后透过主管
机关程式读写。
.NoninterferenceModel:确保低安全等级活动不影响高安全等级的
活动。
.BrewerandNashModel:确定单一企业/专案内部不出现利益冲突。
.Graham-DenningModel、Harrison-Ruzzo-Ullman Model 增加物件
与主体的新增/删除业务。
五、根据安全模型,来确认存取控制机制 (Access Control Mechanism)
◎存取控制机制
.DiscretionaryAccessControl(DAC):允许使用者自己设定存取权限
(Linux)。
.MandatoryAccessControl(MAC):系统开发者或系统本身存取权限,
使用者不能设定。
.Role-BasedAccessControl:依组织角色设定存取权限。
.Attribute-BasedAccessControl:符合规则即可授权。
六、根据存取控制机制,来确认存取控制技术 (Access Control Technology)
◎存取控制技术
.SingleSign-On:单一帐号登入。
.Kerberos / OpenID Connect: 登入不同的系统(FB, Google, Apple)。
.TACACS / TACACS+ : 登入不同的系统(CISCO)。
.LDAP:使用者与程式透过网络共享资料夹。
.RADIUS/DIAMETER:网络漫游、手机预付卡认证使用。
.RAS、SESAME:透
七、常见的身分辨识与存取控制攻击手法与防御策略
◎常见的身分辨识与存取控制攻击手法与防御策略
.Dictionary Attack – 字典攻击
.Brute-Force Attacks –暴力攻击
.Spoofing at Logon
.Phishing and Pharming – 社交工程的做法
◎ 攻防检查项目:ISO27001 附录A
八、常用入侵侦测/防御系统 (IDS / IPS)
◎IDS (入侵侦测系统):
.深层检测网络封包。
.以 monitor/sniffing 模式运作监看网络封包。
.被动式陷御。
.发现攻击回应动作 :传送讯息至网络管理者、中断TCP连线、通知
防火墙或路由器、事件存入log、执行特定程式或程序稿。
*无法阻拦 UDP攻击。
◎IPS (入侵防御系统):
.以 inline模式运作可即时拦图恶意攻击封包。
.主动式防御。
.可即时发现恶意攻击封包,以inline模式运作可即时丢弃恶意攻击封
包、无封包传输延迟。
*DPI (深层封包检测), 仅能检测 2-4 层封包内容。
结论:
身分识别与存取控制的机制源自于是公司的政策、资安策略;从拟定的
资安计划再挑选适用的技术去实现这些规则。线上考试的内容对于里面
使用的规则、技术细节必须要能回应是那是什么。