物理访问控制包括锁和证件等有形的物件,而逻辑访问控制就是安装在信息系统内,作为信息系统的一部分发挥访问控制作用的手段,如反病毒软件、密码限制手段和加密技术等。下面是访问控制手段的一些实现的列表:
◆逻辑控制(Technical/Logical Controls)
访问控制软件,如防火墙、代理服务器等
反病毒软件
密码控制
智能卡/生物识别/证件
加密
拨号回呼系统
日志审计
入侵检测系统
◆管理控制(Administrative Controls)
安全策略和流程
安全意识训练
职责分离
安全回顾和审计
职责轮换
人员雇佣和解雇策略
安全保密协议
背景检查◆用户需要对自己的行为负责
除了逻辑的身份识别方式之外,物理的卡片或证件系统也往往执行身份识别的职能,物理身份识别系统往往用于限制对某些区域的进入和访问,如对某个建筑物、服务器机房等。在一些组织中,卡片或证件系统往往也同时用作网络访问控制的手段,比如,智能卡系统在组织中常常被用作对能够接入网络的服务器机房或网络终端机房的进入进行限制,如果用户没有有效的智能卡,便不能从机房接入企业的网络。生物识别系统,如指纹识别、掌纹识别和语音识别系统也往往用于执行物理访问控制系统的用户身份识别功能。
2、身份识别使用指导:
确定性(Issuance):生成身份识别的过程必须是安全并经过文件记录的,从根本上说,身份识别的使用效率及安全性,与身份识别的生成过程密切相关。
命名标准(Naming Standard):用户或其他系统实体的身份识别必须遵守同一个命名的标准,如,系统中所有用户名的格式必须是名+姓的第一个字母,那么John Smith的用户名就应该是SmithJ。
不对工作责任进行描述(Non-descriptive for user’s job function):出于安全考虑,用户的身份识别不应该包括对应用户的工作职责,如系统管理员最好不要使用“Administrator“或”Manager”这样的名字做用户名。
非共享原则(No sharing):一个身份识别在整个系统或网络中应该只由一个用户或实体所有的,否则会造成授权或审计上的麻烦。
可校验性(Verifiable):身份识别要能够通过简单并有效的方法进行校验,校验方法还应该是任何时候在系统的任何部位都是可用的,自动化的。
唯一性(Unique):用户或实体的身份识别在整个系统或网络中必须是唯一的。
绩效评估强制休假
◆物理控制(Physical Controls)
证件
十字转门(Turnstiles)
使用锁、门、警卫等手段限制对物理资源的访问
对大部分的组织来说,部署所有可用的访问控制手段是既不经济也没有必要的。因此,组织必须在需要部署的访问控制手段和可用的访问控制手段之间进行平衡,并最终使访问控制手段的部署满足组织的安全策略。
理解访问控制手段之系统访问
为了让大家更容易理解各种访问控制手段,我们可以根据控制的对象把它们分成两类:系统访问和数据访问。我们先来看系统访问。
1、身份识别的功能
身份识别是所有信息系统安全功能的基础,信息系统内的所有实体都必须有一个唯一的标识以与其他实体相区别。唯一的身份标识是访问控制流程的重要组成部分,它提供如下功能:
1、确认用户的身份
2、与日志审计功能结合以提供审计能力(accountability)
◆提供用户行为追踪能力