CISSP的成长之路（十七）：复习访问控制（2）

　　在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习访问控制》里，J0ker给大家介绍了访问控制的基本概念和三种访问控制类型（物理、逻辑和管理）的基本原则。我们知道，信息安全和每个安全相关的技术，目标都是为了保护信息资产的保密性、完整性和可用性(CIA)中的一个或全部不受损害，访问控制也是如此。因此，J0ker打算给大家介绍一下访问控制CBK所对应的C-I-A保护范围和涉及访问控制的一些常见威胁。

　　一、威胁的分类

　　访问控制通常部署在信息设施中，对信息处理环境——系统（包括硬件、操作系统和应用程序）、网络平台及连接（Intranet、Extranet和Internet）提供保护。除此之外，访问控制还对物理环境，诸如建筑物的入口、计算机中心，乃至特定的个人工作站。要更深入了解访问控制，必须先了解影响系统资源的各种威胁，单从保密性、完整性和可用性三者的层次上来说，这些威胁可以分类成：

　　保密性威胁：指某个实体，包括个人、程序或计算机获取对敏感信息的访问权。保密性威胁是访问控制针对的主要威胁类型之一。

　　完整性威胁：指某个实体未经授权访问并影响系统资源，另外一种完整性威胁的表现形式是实体未经授权的对系统资源进行添加或修改。完整性威胁也是访问控制针对的主要威胁类型之一。

　　可用性威胁：指系统中的某个资产被摧毁、使之不 可用或变得无用。

　　二、常见威胁列表

　　仅仅从C-I-A这个层次上去了解威胁的类型是远远不够的，我们在日常工作中所遭遇到的威胁往往更具体更技术化。下面J0ker再列举一下具体的威胁例子以帮助大家对访问控制所涉及的威胁有更深入的了解，当然，因为IT技术和威胁都在迅速的发展，J0ker不可能给出一个十分完整的威胁列表，下面所举出的例子，更多的是为了让大家了解常见威胁及其内容，并了解这些常见威胁属于哪种影响系统的威胁类型。另外，J0ker是按照这些威胁的英文单词顺序来列的，而非它们的重要程度或出现频率。