内容摘要:传统上,访问控制的手段可以分成管理访问控制(Administrative Access Control,包括人员控制)、物理访问控制(Physical Access Control)和逻辑访问控制(Logical Access Control),它们都是通过限制对信息系统及资源的访问来实现控制的。
在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《详述网络威胁类型》里,J0ker给大家介绍了威胁信息资产保密性、完整性和可用性的各种威胁。控制对信息资源的访问,是防御这些威胁的有效手段,因此,J0ker打算在下面的几个文章里,详细的向大家介绍CISSP访问控制CBK里的威胁控制手段、以及现有的技术和工具。
传统上,访问控制的手段可以分成管理访问控制(Administrative Access Control,包括人员控制)、物理访问控制(Physical Access Control)和逻辑访问控制(Logical Access Control),它们都是通过限制对信息系统及资源的访问来实现控制的。
管理访问控制手段主要是从管理层面上进行限制,如组织的安全策略及信息系统使用流程。在管理访问控制手段中还包括针对人员的控制(Personnel Control),人员控制主要是通过在招聘员工时的背景检查和签署安全保密协议,来确保能够访问到信息系统和资源的人员的可靠性。
物理访问控制包括锁和证件等有形的物件,而逻辑访问控制就是安装在信息系统内,作为信息系统的一部分发挥访问控制作用的手段,如反病毒软件、密码限制手段和加密技术等。下面是访问控制手段的一些实现的列表:
◆逻辑控制(Technical/Logical Controls)
访问控制软件,如防火墙、代理服务器等
反病毒软件
密码控制
智能卡/生物识别/证件
加密
拨号回呼系统
日志审计
入侵检测系统
◆管理控制(Administrative Controls)
安全策略和流程
安全意识训练
职责分离
安全回顾和审计
职责轮换
人员雇佣和解雇策略
安全保密协议
背景检查
来源:51CTO.com 作者:梁林 责编:豆豆技术应用
- CISSP的成长之路(十九):详述安全威胁控制手段
- CISSP的成长之路(十六):复习访问控制(1)
- CISSP的成长之路(十五):系统架构和设计之安全标准
- CISSP的成长之路(十四):系统架构和设计之保护机制
- CISSP的成长之路(十三):安全架构和设计之安全模型
- CISSP的成长之路(十二):安全架构和设计(1)
- CISSP的成长之路(十一):安全意识教育介绍
- CISSP的成长之路(十):复习信息安全管理(4)
- CISSP的成长之路(九):复习信息安全管理(3)
- CISSP的成长之路(八):复习信息安全管理(2)
- CISSP的成长之路(十九):详述安全威胁控制手段
- CISSP的成长之路(十六):复习访问控制(1)
- CISSP的成长之路(十五):系统架构和设计之安全标准
- CISSP的成长之路(十四):系统架构和设计之保护机制
- CISSP的成长之路(十三):安全架构和设计之安全模型
- CISSP的成长之路(十二):安全架构和设计(1)
- CISSP的成长之路(十一):安全意识教育介绍
- CISSP的成长之路(十):复习信息安全管理(4)
- CISSP的成长之路(九):复习信息安全管理(3)
- CISSP的成长之路(八):复习信息安全管理(2)