用户投稿
访问控制机制
通常通过三种机制来管理或控制访问:身份验证,授权和会计(AAA)。
.身份验证是“验证用户,进程或设备的身份的过程,通常将其作为允许访问信息系统中的资源的先决条件”。(FIPS 200)
识别是主体声明或声称具有身份以便身份验证过程可以继续进行的过程。
.授权是“验证请求的操作或服务是否已批准用于特定实体的过程。” (NIST SP 800-152)
.会计是记录主题和对象活动的条目或日誌的过程,就像保留财务会计日记帐一样。
会计,审计和问责制(又是AAA)
日誌是会计的工作成果。可以通过查看或检查(审核)一组相关日誌(审核记录)以唯一地将活动跟踪到实体来实现问责制。
.问责制是“安全性目标,它产生了将实体的操作唯一地追溯到该实体的要求。” (NIST SP 800-33)
.审计是“独立审查和检查记录和活动,以评估系统控制的充分性,以确保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
.审核跟踪是“按时间顺序的记录,用于重建和检查与安全相关的事务中从开始到最终结果的周围或导致特定操作,程序或事件的活动顺序。” (NIST SP 800-53修订版4)
定义不一致
我以与Sybex CISSP官方学习指南相反的方式对待会计和审计。它将审核定义为“记录与系统和主题相关的事件和活动的日誌”,而将会计(也称为问责制)定义为“查看日誌文件以检查合规性和违规性,以使主体对其行为负责。”
资料来源: Wentz Wu 网站
微信扫一扫打赏
支付宝扫一扫打赏
