用户投稿通过审核(查看日誌)来跟踪“谁做了什么”来确定或确定责任制。记帐记录“已完成的工作”,而身份验证则标识并验证“谁做了”。不管活动是否被授权,都应记录或记录该活动,如下图/ OSG问题所示。
但是,惩罚措施是基于责任确认后的授权。授权的行为将不会受到惩罚,而未经授权的行为将受到惩罚。
-图片来源:CISSP官方学习指南(OSG)在线测试银行
定义不一致(Inconsistent Definitions)
此问题旨在促使AAA,身份验证,授权和计费的定义保持一致。用“审计”或“问责制”代替“会计”的最后一个“ A”并不少见。我强烈建议使用“会计”,因为无法进行审计,并且如果不进行会计就无法得出问责制。我的帖子《另一个AAA》也谈到了这个问题。
无论我们从字面上解释它还是将其与NIST词彙表或RFC等权威资料进行比较,官方学习指南(OSG)中对审计和会计的以下描述在逻辑上都是不合理的。
审核记录与系统和主题相关的事件和活动的日誌记帐(也称为问责制)审核日誌文件以检查合规性和违规性,以使主题对其行为负责
斯图尔特(James M.)查普,迈克;吉布森,达里尔。CISSP(ISC)2认证的信息系统安全专业人士官方学习指南(Kindle位置1737-1739)。威利。Kindle版。
会计(Accounting)
在财务会计中,“会计是记录与业务有关的财务交易的过程。会计过程包括汇总,分析这些交易并将其报告给监督机构,监管机构和税收实体。”(investopedia)
在IT中,记帐是“出于趋势分析,审计,计费或成本分配目的而收集有关资源使用情况的信息的行为。” (RFC 3539)
简而言之,会计跟踪活动并记录日誌。审计跟踪是用于审计的相关日誌的集合,或“按时间顺序的记录,用于重建和检查与安全相关的事务(从开始到最终结果)中围绕或导致特定操作,过程或事件的活动顺序。” (CNSSI 4009)
稽核(Auditing)
稽核是“独立审查和检查记录和活动,以评估系统控制的充分性,以确保遵守既定的政策和操作程序。” (CNSSI 4009)
问责制是“安全性目标,它产生了将实体的操作唯一地追溯到该实体的要求。” (CNSSI 4009)
验证(Authorization)
验证请求的身份的行为,它是来自相互已知的名称空间的预先存在的标籤形式的消息,它是消息的始发者(消息身份验证)或通道的端点(实体身份验证)。(RFC 3539)
授权(Authorization)
确定特定权利(例如对某些资源的访问权)是否可以授予特定凭证的提交者。(RFC 3539)
参考
.基于风险的稽核
.什么是会计?
.RFC 3539:身份验证,授权和会计(AAA)传输配置文件
.RFC 2866:RADIUS记帐
资料来源: Wentz Wu QOTD-20210211
微信扫一扫打赏
支付宝扫一扫打赏
