分類
CISSP

另一個AAA(Yet Another AAA)-AAA Part I

https://ithelp.ithome.com.tw/upload/images/20210322/20132160OMRGiJWT0v.jpg
訪問控制機制
通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。
. 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系統中的資源的先決條件”。(FIPS 200)
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” (NIST SP 800-152)
. 會計是記錄主題和對象活動的條目或日誌的過程,就像保留財務會計日記帳一樣。

會計,審計和問責制(又是AAA)
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)

定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”,而將會計(也稱為問責制)定義為“查看日誌文件以檢查合規性和違規性,以使主體對其行為負責。”

資料來源: Wentz Wu 網站

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。