資訊系統安全/訪問控制系統基礎

一位Wikibookian認為此頁面應拆分為具有更窄子主題的較小頁面。 您可以透過將此大頁面拆分為較小的頁面來提供幫助。請確保遵循命名策略。將書籍劃分為較小的部分可以提供更多重點，並允許每個部分都能做好一件事，從而使每個人都受益。 您可以在協助閱覽室中尋求幫助以劃分此書籍。

訪問控制是控制使用者和系統如何與其他系統和資源通訊和互動的安全功能。

訪問是主體和資源之間資訊流。

主體是請求訪問資源或資源中資料的活動實體。例如：使用者、程式、程序等。

資源是包含資訊的實體。例如：計算機、資料庫、檔案、程式、印表機等。

訪問控制使組織能夠控制、限制、監控和保護資源的可用性、完整性和機密性。

• 各種型別的使用者需要不同級別的訪問許可權 - 內部使用者、承包商、外部人員、合作伙伴等。
• 資源具有不同的分類級別 - 機密、僅限內部使用、私有、公共等。
• 必須在不同型別的使用者上保留不同的身份資料 - 憑據、個人資料、聯絡資訊、工作相關資料、數字證書、認知密碼等。
• 企業環境不斷變化 - 業務環境需求、資源訪問需求、員工角色、實際員工等。

• 最小許可權原則：規定如果未為個人或其所屬的組專門配置任何內容，則使用者不應能夠訪問該資源，即預設無訪問許可權。
• 職責分離：將任何衝突的責任領域分開，以減少未經授權或意外修改或濫用組織資產和/或資訊的機會。
• 知情權：它基於這樣一個概念，即個人只能訪問其執行工作職責絕對需要的資訊。

提供資源訪問許可權的標準包括

• 角色
• 組
• 位置
• 社會保險號
• 交易型別

• 拒絕未定義使用者或匿名帳戶訪問系統。
• 限制和監控管理員和其他強大帳戶的使用。
• 在特定次數的登入嘗試失敗後，暫停或延遲訪問功能。
• 使用者離開公司後立即刪除過時的使用者帳戶。
• 在 30 到 60 天后暫停未啟用的帳戶。
• 執行嚴格的訪問標準。
• 執行知情權和最小許可權原則。
• 停用不需要的系統功能、服務和埠。
• 替換帳戶上的預設密碼設定。
• 限制和監控全域性訪問規則。
• 確保登入 ID 不描述工作職能。
• 從帳戶和組成員身份中刪除冗餘資源規則。
• 從資源訪問列表中刪除冗餘使用者 ID、帳戶和基於角色的帳戶。
• 強制執行密碼輪換。
• 強制執行密碼要求（長度、內容、生命週期、分發、儲存和傳輸）。
• 稽核系統和使用者事件和操作，並定期檢視報告。
• 保護審計日誌。

• 基本原則 (CIA)
• 身份識別
• 身份驗證
• 授權
• 不可否認性

身份識別描述了一種確保主體是其聲稱實體的方法。例如：使用者名稱或賬戶號。

身份認證是證明主體身份的方法。例如：密碼、口令、PIN碼。

授權是控制主體訪問物件的方法。例如：使用者登入系統後無法刪除特定檔案。

注意：為了使主體訪問物件，必須經過身份識別、身份認證和授權這三個步驟。

向用戶或主體頒發身份識別值時，請確保：

• 每個值都應唯一，用於使用者問責。
• 應遵循標準命名方案。
• 這些值不應描述使用者的職位或任務。
• 這些值不應在使用者之間共享。

身份認證主體通常有3個因素。

• 使用者知道的東西 - 例如：密碼、PIN碼 - 成本最低，安全性最低。
• 使用者擁有的東西 - 例如：門禁卡、鑰匙 - 成本較高，安全性較高。
• 使用者本身 - 例如：生物識別 - 成本最高，安全性最高。

注意：要實現強身份認證，必須包含三個因素中的兩個 - 也稱為雙因素身份認證。

• 透過分析獨特的個人屬性或行為來驗證個人的身份。
• 它是驗證身份最有效、最準確的方法。
• 它是成本最高的身份認證機制。
• 生物識別系統的型別
  • 指紋識別 - 基於摩擦脊的脊端、分叉和一些指紋的細節。
  • 掌紋掃描 - 基於每個人手掌中獨特的皺紋、脊和溝槽。
  • 手形幾何識別 - 基於人的手和手指的形狀（長度、寬度）。
  • 視網膜掃描 - 基於眼球后部視網膜的血管圖案。
  • 虹膜掃描 - 基於眼睛周圍圍繞瞳孔的彩色部分。虹膜具有獨特的圖案、裂縫、顏色、環、日冕和溝壑。
  • 簽名動態 - 基於在簽署文件期間手部物理運動產生的電訊號。
  • 鍵盤動態 - 基於使用者在鍵盤上鍵入按鍵（口令）時產生的電訊號。
  • 聲紋識別 - 基於人類的聲音。
  • 人臉識別 - 基於人臉的不同骨骼結構、鼻樑、眼睛寬度、額頭大小和下巴形狀。
  • 手部地形 - 基於手部不同的峰、谷、整體形狀和曲率。
• 生物識別錯誤型別
  • 型別一錯誤：當生物識別系統拒絕授權使用者時（錯誤拒絕率）。
  • 型別二錯誤：當生物識別系統接受本應拒絕的冒充者時（錯誤接受率）。
  • 交叉錯誤率 (CER)：錯誤拒絕率等於錯誤接受率的點。也稱為等錯誤率 (EER)。

• 它是系統身份識別和身份認證機制中最常見的一種形式。
• 密碼是一串受保護的字元，用於驗證個人身份。
• 密碼管理
  • 密碼應得到妥善保證、更新並保密，以提供有效的安全性。
  • 密碼生成器可用於生成簡單、可發音的非字典詞密碼。
  • 如果使用者選擇自己的密碼，則系統應強制執行某些密碼要求（例如，堅持使用特殊字元、字元數、區分大小寫等）。
• 密碼攻擊技術
  • 電子監控 - 監聽網路流量以捕獲資訊，尤其是在使用者將密碼傳送到身份認證伺服器時。攻擊者可以複製密碼並在以後重新使用，這稱為重放攻擊。
  • 訪問密碼檔案 - 通常在身份認證伺服器上執行。密碼檔案包含許多使用者的密碼，如果洩露，可能會造成大量損害。此檔案應透過訪問控制機制和加密進行保護。
  • 暴力破解攻擊 - 使用迴圈遍歷許多可能的字元、數字和符號組合以發現密碼的工具執行。
  • 字典攻擊 - 使用數千個單詞的檔案與使用者密碼進行比較，直到找到匹配項。
  • 社會工程 - 攻擊者錯誤地讓個人相信她有權訪問特定資源。
• 密碼檢查器可用於透過嘗試侵入系統來檢查密碼的強度。
• 密碼應加密並雜湊。
• 應實施密碼老化。
• 應限制登入嘗試次數。

• 認知密碼是基於事實或意見的資訊，用於驗證個人身份（例如：母親的孃家姓）。
• 這最適合用於幫助臺服務，以及偶爾使用的服務。

• 它是一種基於令牌的系統，用於身份認證目的，其中服務僅使用一次。
• 它用於比靜態密碼提供更高安全級別的環境。
• 令牌生成器的型別
  • 同步（例如：SecureID） - 同步令牌裝置/生成器透過以下兩種方式之一與身份認證服務同步。
    • 基於時間：在這種方法中，令牌裝置和身份認證服務必須在其內部時鐘中保持相同的時間。令牌裝置上的時間值和金鑰用於建立一次性密碼。伺服器對該密碼進行解密，並將其與預期值進行比較。
    • 基於計數器：在這種方法中，使用者需要在計算機上啟動登入序列並在令牌裝置上按下按鈕。這會導致令牌裝置和身份認證服務前進到下一個身份認證值。此值和基本金鑰進行雜湊並顯示給使用者。使用者輸入此結果值以及使用者 ID 以進行身份認證。
  • 非同步：使用非同步令牌生成方法的令牌裝置使用挑戰/響應方案來認證使用者。在這種情況下，身份認證伺服器向用戶傳送一個挑戰，一個隨機值，也稱為隨機數。使用者將此隨機值輸入令牌裝置，令牌裝置對其進行加密並返回一個值，使用者使用該值作為一次性密碼。使用者將此值以及使用者名稱傳送到身份認證伺服器。如果身份認證伺服器可以解密該值並且它與之前傳送的挑戰值相同，則使用者將透過身份認證。
• 示例：SecureID
  • 它是RSA Security最廣泛使用的基於時間的令牌之一。
  • 它使用基於時間的同步雙因素身份認證。

• 使用私鑰和數字簽名。
• 提供比密碼更高的安全級別。

• 口令是一系列字元，它比密碼更長，在某些情況下，在身份認證過程中代替密碼。
• 應用程式將口令轉換為虛擬密碼並轉換為應用程式所需的格式。
• 它比密碼更安全。

• 儲存資訊，但不能處理資訊。
• 比密碼更安全，但成本較高。
• 例如：刷卡、ATM 卡。

• 儲存資訊並具有處理資訊的能力，可以提供雙因素身份驗證（知道和擁有）。
• 智慧卡類別
  • 接觸式
  • 非接觸式
    • 混合式 - 具有 2 個晶片，支援接觸式和非接觸式。
    • 組合式 - 具有一個微處理器，可以與接觸式和非接觸式讀卡器通訊。
• 比儲存卡更昂貴且防篡改。
• 智慧卡攻擊型別
  • 故障注入：向智慧卡中引入計算錯誤，目的是揭露正在使用和儲存在卡上的加密金鑰。
  • 側通道攻擊：這些是非侵入性攻擊，用於揭示有關元件工作原理的敏感資訊，而無需嘗試利用任何型別的缺陷或弱點。以下是一些示例：
    • 差分功耗分析：檢查處理過程中釋放的功耗。
    • 電磁分析：檢查發射的頻率。
  • 時序分析：特定程序完成需要多長時間。
  • 軟體攻擊：向卡中輸入指令，允許攻擊者提取賬戶資訊。以下是一些示例：
    • 微探測：使用針頭透過超聲波振動去除卡電路上的外部保護材料，從而易於讀取卡的 ROM 晶片。
• 智慧卡標準
  • ISO/IEC
    • 14443-1：物理特性
    • 14443-2：射頻功率和訊號介面
    • 14443-3：初始化和防碰撞
    • 14443-4：傳輸協議

• 身份管理是一個廣泛的術語，它涵蓋了使用不同的產品透過自動化方式識別、認證和授權使用者。
• 身份管理系統是對實體（主體或物件）的身份生命週期進行管理，在此期間：
• 建立身份
  • 將名稱（或編號）與主體或物件關聯起來；
  • 重新建立身份：將新的或額外的名稱（或編號）連線到主體或物件；
• 描述身份
  • 可以將適用於此特定主體或物件的屬性分配給身份；
  • 重新描述身份：可以更改適用於此特定主體或物件的屬性；
• 銷燬身份。
• 身份管理挑戰
• 身份管理技術
• 授權原則

訪問控制可以在網路和各個系統的不同層面上實施。

訪問控制可以分為三層或三類，每一類都有不同的訪問控制機制，可以手動或自動執行。

• 管理控制
• 物理控制
• 技術或邏輯控制

每一類訪問控制都有幾個屬於它的組成部分，如下所述：

管理控制由組織的高層管理人員定義。

策略和程式

• 安全策略是一個高階計劃，說明管理層關於如何在組織內實施安全性的意圖，哪些行為是可以接受的，以及公司願意接受的風險水平。該策略源自塑造和限制公司的法律、法規和業務目標。
• 安全策略為每個員工和部門提供了關於如何實施和遵循安全性的方向，以及不遵守安全性的後果。程式、指南和標準提供了支援和執行公司安全策略的詳細資訊。

人員控制

• 人員控制指示員工如何與安全機制互動，並解決與這些期望相關的合規性問題。
• 狀態變更：這些控制指示在僱用、解僱、停職、調到其他部門或晉升員工時應採取哪些安全措施。
• 職責分離：應執行職責分離，以確保沒有人能夠單獨執行可能對公司造成損害的關鍵任務。

例如：銀行出納員必須獲得主管批准才能兌現超過 2000 美元的支票，這就是職責分離的一個例子。要發生安全漏洞，需要串謀，這意味著需要不止一個人參與欺詐，並且他們的行為需要協調一致。職責分離的使用極大地降低了安全漏洞和欺詐的可能性。

• 工作輪換意味著人員輪換工作，以便他們瞭解如何履行多個職位的職責。工作輪換的另一個好處是，如果個人試圖在其職位上進行欺詐，如果還有另一名員工知道該職位應該執行哪些任務以及如何執行這些任務，則更有可能被發現。

監管結構

• 管理層必須構建一個監管結構，該結構強制要求管理成員對員工負責，並對其活動產生 vested interest（切身利益）。如果一名員工被發現入侵包含客戶信用卡資訊的伺服器，該員工及其主管將面臨後果？

安全意識培訓

• 此控制幫助使用者/員工瞭解如何正確訪問資源，為什麼需要訪問控制以及不正確使用訪問控制的後果。

測試

• 此控制規定所有安全控制、機制和程式都應定期進行測試，以確保它們能夠正確支援為其設定的安全策略、目標和目標。
• 測試可以是演習，以測試對物理攻擊或網路中斷的反應，對防火牆和外圍網路進行滲透測試以發現漏洞，對員工進行查詢以評估他們的知識，或審查程式和標準以確保它們仍然與已實施的業務或技術變更保持一致。

• 安全策略
• 監控和監管
• 職責分離
• 工作輪換
• 資訊分類
• 人員程式
• 調查
• 測試
• 安全意識和培訓

物理控制支援並與管理和技術（邏輯）控制協同工作，以提供適當程度的訪問控制。

網路隔離

• 網路隔離可以透過物理和邏輯方式進行。網路的一部分可能包含 Web 伺服器、路由器和交換機，而另一部分網路可能包含員工工作站。
• 每個區域都將擁有必要的物理控制，以確保只有獲准人員才能進入和離開這些區域。

周界安全

• 周界安全的實施取決於公司和該環境的安全要求。
• 一個環境可能要求員工在被允許進入某個區域之前，必須出示包含照片身份資訊的保安徽章，由保安人員進行授權。另一個環境可能不需要身份驗證過程，允許任何人進入不同的區域。
• 周界安全還可以包括掃描停車場和等候區的閉路電視、圍欄、建築物周圍的燈光、運動探測器、感測器、警報以及建築物的位置和外觀。這些是提供物理訪問控制的周界安全機制的示例，透過為個人、設施和設施內的元件提供保護來提供保護。

計算機控制

• 每臺計算機都可以安裝和配置物理控制，例如機箱上的鎖以防止內部部件被盜，移除軟盤和CD-ROM驅動器以防止複製機密資訊，或實施保護裝置以減少電磁輻射，從而阻止透過無線電波收集資訊的企圖。

工作區域隔離

• 某些環境可能規定只有特定人員才能進入設施的某些區域。

資料備份

• 備份資料是一種物理控制措施，以確保在緊急情況或網路或系統中斷後仍可以訪問資訊。

佈線

• 可以使用不同型別的電纜在整個網路中傳輸資訊。
• 某些型別的電纜具有護套，可以保護資料免受發出電訊號的其他裝置的電干擾的影響。
• 某些型別的電纜在每根電線上都包裹有保護材料，以確保不同電線之間沒有串擾。
• 所有電纜都需要以不會妨礙人們通行或可能暴露於被切割、燒燬、壓扁或竊聽的危險中的方式佈設在整個設施中。

控制區

• 這是一個圍繞並保護髮出電訊號的網路裝置的特定區域。這些電訊號可以傳播一定的距離，並且可以透過專門製造的材料來控制，該材料用於構建控制區。
• 控制區用於抵抗滲透嘗試並禁止敏感資訊透過無線電波“洩露”。
• 控制區用於確保機密資訊得到包含，並阻止入侵者透過無線電波訪問資訊。
• 擁有非常敏感資訊的公司可能會透過在其處理該資訊的系統周圍建立控制區來保護這些資訊。

• 圍欄
• 鎖
• 徽章系統
• 保安
• 生物識別系統
• 安全門
• 照明
• 運動探測器
• 閉路電視
• 警報
• 備份
• 備份的安全儲存區域

稱為邏輯控制的技術控制是用於限制主體對物件訪問的軟體工具。它們可以是核心作業系統元件、附加安全軟體包、應用程式、網路硬體裝置、協議、加密機制和訪問控制指標。

它們透過限制可以訪問資源的主體數量來保護資源的完整性和可用性，並透過防止向未經授權的主體洩露來保護資源的機密性。

系統訪問

• 在這種型別中，對資源的訪問控制基於資料的敏感性、使用者的清除級別以及使用者的許可權和許可。作為系統訪問的技術控制，可以使用使用者名稱密碼、Kerberos實現、生物識別、PKI、RADIUS、TACACS或使用智慧卡進行身份驗證。

網路訪問

• 此控制定義了訪問不同網路資源（如路由器、交換機、防火牆、網橋等）的訪問控制機制。

加密和協議

• 這些控制用於保護資訊在網路中傳輸和駐留在計算機上的過程。它們保護資料的機密性和完整性，並強制執行特定的通訊路徑。

審計

• 這些控制跟蹤網路、網路裝置或特定計算機上的活動。它們有助於指出其他技術控制的弱點並進行必要的更改。

網路架構

• 此控制定義了網路的邏輯和物理佈局，以及不同網路段之間的訪問控制機制。

• ACL
• 路由器
• 加密
• 審計日誌
• 入侵檢測系統（IDS）
• 防病毒軟體
• 防火牆
• 智慧卡
• 撥號回撥系統
• 警報和提醒

每個訪問控制類別（管理、物理和技術）都在不同的級別工作，每個類別都具有不同的粒度級別，並根據型別執行不同的功能。

不同型別的訪問控制包括：

• 預防性 - 防止不希望發生的事件發生
• 檢測性 - 識別已發生的不希望發生的事件
• 糾正性 - 糾正已發生的不希望發生的事件
• 威懾性 - 阻止安全違規行為
• 恢復性 - 恢復資源和功能
• 補償性 - 為其他控制提供替代方案

概述

• 拒絕服務攻擊（DoS攻擊）或分散式拒絕服務攻擊（DDoS攻擊）是試圖使計算機資源無法供其預期使用者使用的企圖。儘管DoS攻擊的手段、動機和目標可能有所不同，但它通常包括一個人或多個人為阻止網際網路站點或服務有效或完全執行（暫時或無限期）而做出的協調一致的惡意努力。
• DoS攻擊的目的是迫使目標計算機（或多臺計算機）重置，或消耗其資源，以便它無法再提供其預期服務。

DoS攻擊型別

DoS攻擊可以透過多種方式進行。主要有五種攻擊型別：

• 消耗計算資源，例如頻寬、磁碟空間或CPU時間；
• 破壞配置資訊，例如路由資訊；
• 破壞狀態資訊，例如未經請求的TCP會話重置；
• 破壞物理網路元件。
• 阻礙預期使用者與受害者之間的通訊媒介，以便他們無法再充分通訊。

對策

不幸的是，沒有有效的方法可以防止成為DoS或DDoS攻擊的受害者，但您可以採取一些措施來降低攻擊者使用您的計算機攻擊其他計算機的可能性。

• 安裝並維護防病毒軟體。
• 安裝防火牆，並將其配置為限制進出計算機的流量。
• 遵循分發電子郵件地址的良好安全實踐。應用電子郵件過濾器可以幫助您管理不需要的流量。

概述

• 緩衝區溢位是一種異常情況，其中程序嘗試將資料儲存到固定長度緩衝區的邊界之外。結果是額外的資料覆蓋了相鄰的記憶體位置。被覆蓋的資料可能包括其他緩衝區、變數和程式流資料，並可能導致程序崩潰或產生不正確的結果。它們可以透過專門設計用於執行惡意程式碼或使程式以意外方式執行的輸入來觸發。因此，緩衝區溢位導致許多軟體漏洞，併成為許多漏洞利用的基礎。

緩衝區溢位技術

• 棧緩衝區溢位
  • 棧緩衝區溢位發生在程式寫入程式呼叫棧上的記憶體地址（超出預期的資料結構）時；通常是固定長度的緩衝區。

  • 棧緩衝區溢位錯誤是由於程式向位於棧上的緩衝區寫入的資料量超過了該緩衝區實際分配的大小而引起的。這幾乎總是會導致棧上相鄰資料的損壞，並且在溢位是由錯誤觸發的情況下，通常會導致程式崩潰或執行錯誤。
  • 技術嫻熟且懷有惡意意圖的使用者可能會利用基於棧的緩衝區溢位來以多種方式操縱程式。
    • 透過覆蓋記憶體中棧上靠近緩衝區的區域性變數來更改程式的行為，這可能對攻擊者有利。
    • 透過覆蓋棧幀中的返回地址。一旦函式返回，執行將從攻擊者指定的返回地址（通常是使用者輸入填充的緩衝區）繼續。
    • 透過覆蓋隨後執行的函式指標或異常處理程式。
• 堆緩衝區溢位
  • 堆溢位是另一種發生在堆資料區域的緩衝區溢位型別。堆上的記憶體是在執行時由應用程式動態分配的，通常包含程式資料。
  • 利用過程如下：如果應用程式在複製資料之前沒有先檢查資料是否適合塊（堆中的資料塊），則攻擊者可以嚮應用程式提供過大的資料，從而覆蓋下一個塊的堆管理資訊（元資料）。這允許攻擊者用四個位元組的資料覆蓋任意記憶體位置。在大多數環境中，這可能允許攻擊者控制程式執行。

對策

• 程式語言的選擇
• 使用安全的庫
• 棧粉碎保護，指的是用於檢測棧分配變數上的緩衝區溢位的各種技術。最常見的實現是StackGuard和SSP。
• 可執行空間保護，即將記憶體區域標記為不可執行，以便嘗試在這些區域執行機器程式碼將導致異常。它利用了硬體特性，例如NX位（不可執行位）。
• 地址空間佈局隨機化：一種技術，涉及在程序的地址空間中隨機排列關鍵資料區域的位置，通常包括可執行檔案的基址以及庫、堆和棧的位置。
• 深度資料包檢測：一種計算機網路資料包過濾形式，它在資料包透過檢查點時檢查資料和/或報頭部分，搜尋非協議合規性、病毒、垃圾郵件、入侵或預定義標準，以決定資料包是否可以透過，或者是否需要將其路由到不同的目的地，或者用於收集統計資訊。它也稱為內容檢查或內容處理。

概述

• 欺騙攻擊是指一個人或程式透過偽造資料成功偽裝成另一個人，從而獲得非法優勢的情況。
• 常見的欺騙技術
  • 中間人攻擊（MITM）：攻擊者能夠隨意讀取、插入和修改雙方之間的訊息，而雙方都不知道它們之間的連結已被破壞。攻擊者必須能夠觀察和攔截雙方之間傳遞的訊息。
  • IP地址欺騙：指的是建立具有偽造（欺騙）源IP地址的IP資料包，目的是隱藏傳送者的身份或冒充其他計算機系統。
  • URL欺騙：欺騙的URL描述了一個冒充另一個網站的網站。
  • 網路釣魚：以可信實體的名義進行電子通訊，企圖以犯罪和欺詐的方式獲取敏感資訊，例如使用者名稱、密碼和信用卡詳細資訊。
  • 來源欺騙：在HTTP請求中傳送不正確的來源資訊，有時是為了獲得對網站的未授權訪問。出於隱私考慮，它也可以用作不傳送任何來源的替代方案。
  • 檔案共享網路的欺騙：汙染檔案共享網路，唱片公司共享錯誤標記、失真或為空的檔案，以阻止從這些來源下載。
  • 主叫號碼欺騙：這允許呼叫者謊報自己的身份，並提供虛假姓名和號碼，當然可以將其用作欺詐或騷擾的工具。
  • 電子郵件地址欺騙：一種常用於垃圾郵件和網路釣魚的技術，透過更改電子郵件的某些屬性（如發件人、回信路徑和回覆地址欄位）來隱藏電子郵件訊息的來源。
  • 登入欺騙：一種用於獲取使用者密碼的技術。使用者會看到一個看起來很普通的使用者名稱和密碼登入提示，但實際上這是一個惡意程式，通常稱為木馬，受攻擊者控制。輸入使用者名稱和密碼後，這些資訊會被記錄下來或以某種方式傳遞給攻擊者，從而破壞安全。

對策

• 對指示您需要更改帳戶或警告指示帳戶將被終止而無需您線上執行某些操作的電子郵件保持懷疑態度。
• 致電合法公司以瞭解這是否是一條欺詐性訊息。
• 檢視位址列以檢視域名是否正確。
• 提交任何型別的財務資訊或憑據資料時，應建立SSL連線，這在位址列（https://）和瀏覽器右下角的閉鎖圖示中顯示。
• 不要點選電子郵件中的HTML連結。改為手動輸入URL。
• 不要以HTML格式接收電子郵件。

概述

• 所有電子裝置都會發出電訊號。這些訊號可能包含重要資訊，如果攻擊者購買了合適的裝置並將其放置在正確的位置，他可以從無線電波中捕獲這些資訊，並像直接在網路電線上竊聽一樣訪問資料傳輸。

對策

• Tempest：Tempest是一個程式的名稱，現在是一種抑制訊號輻射的標準化技術，使用遮蔽材料。生產此類裝置的供應商必須獲得此標準的認證。在經過Tempest評級的裝置中，其他元件也進行了修改，尤其是電源，以幫助減少使用的電量，這與僅具有外部金屬塗層的普通裝置（稱為法拉第籠）不同。這種型別的保護通常僅在軍事機構中需要，儘管其他高度安全的環境確實使用了這種型別的安全措施。
  • Tempest技術：Tempest技術複雜、笨拙且昂貴，因此僅用於確實需要這種高級別保護的高度敏感區域。存在兩種Tempest的替代方案。
    • 白噪聲：白噪聲是隨機電訊號的均勻頻譜。它分佈在整個頻譜上，因此頻寬是恆定的，入侵者無法從隨機噪聲或隨機資訊中解讀真實資訊。
    • 控制區：一些設施在其牆壁中使用材料來包含電訊號。這可以防止入侵者訪問透過網路裝置發出的電訊號發出的資訊。此控制區建立了一種安全邊界，旨在防止未經授權訪問資料或敏感資訊洩露。

概述

• 窺探是指使用直接觀察技術（例如，從某人的肩膀上看）來獲取資訊。在擁擠的地方，窺探尤其有效，因為在觀察某人填寫表單時相對容易。
  • 填寫表格
  • 在自動取款機或POS終端輸入其PIN碼
  • 在公共付費電話中使用電話卡
  • 在網咖、公共和大學圖書館或機場自助服務亭輸入密碼。
  • 在公共場所（如游泳池或機場）輸入租用儲物櫃的數字程式碼。
• 窺探也可以使用雙筒望遠鏡或其他增強視覺的裝置在遠處進行。廉價的微型閉路電視攝像機可以隱藏在天花板、牆壁或固定裝置中以觀察資料輸入。為了防止窺探，建議使用身體或用手遮擋檔案或鍵盤，使其無法看到。
• 最近的自動取款機現在都配備了複雜的顯示屏，可以阻止窺探。它在某個視角之外會變暗，並且瞭解螢幕上顯示內容的唯一方法是直接站在它前面。

• 某些型號的信用卡讀卡器鍵盤是凹陷的，並且在通往鍵盤的開口處的大部分割槽域都使用了橡膠防護罩。這使得偷窺變得更加困難，因為與以前的型號相比，看到鍵盤的視角更加受限。更進一步，有些鍵盤在每次按鍵後都會改變按鍵的物理位置。此外，不允許將安全攝像頭直接放置在 ATM 機上方。

概述

• 物件重用問題涉及到將之前包含一個或多個物件的介質重新分配給主體。
• 在允許另一個程序訪問物件之前，應安全地清除程序可能留下的敏感資訊。這確保了不打算向此個人或任何其他主體披露的資訊不會被披露。
• 對於儲存機密資訊的介質，應採取更嚴格的方法來確保檔案確實消失了，而不僅僅是它們的指標。

對策

• 敏感資料應由資料所有者進行分類。
• 資料的儲存和訪問方式也應受到軟體控制的嚴格控制和審計。
• 在允許一個主體使用之前使用過的介質之前，應擦除或消磁該介質。如果介質包含敏感資訊且無法清除，則應提供有關如何正確銷燬它的步驟，以便其他人無法獲取此資訊。

概述

• 資料殘留是指以某種方式被名義上擦除或移除的資料的殘留表示。這種殘留可能是由於名義上的刪除操作使資料保持完整，或者由於儲存介質的物理特性。
• 如果儲存介質被釋放到不受控制的環境中，資料殘留可能會導致敏感資訊的意外洩露。

對策

• 對策類別
  • 清除
    • 清除是以這樣一種方式從儲存裝置中刪除敏感資料，即根據資料的敏感性，確保資料無法使用正常的系統功能進行重建。資料可能仍然可以恢復，但需要付出非常規的努力。
    • 清除通常被認為是在組織內防止意外洩露的一種管理保護措施。例如，在組織內部重新使用軟盤之前，可以清除其內容以防止意外洩露給下一個使用者。
  • 清除
    • 清除或消毒是從系統或儲存裝置中刪除敏感資料，目的是使資料無法透過任何已知技術進行重建。
    • 清除通常在將介質釋放到控制範圍之外之前進行，例如在丟棄舊介質之前或將介質移動到具有不同安全要求的計算機之前。
• 對策方法
  • 覆蓋
    • 一種常用的對抗資料殘留的方法是用新資料覆蓋儲存介質。這通常稱為擦除或粉碎檔案或磁碟。由於此類方法通常僅可以透過軟體實現，並且可能能夠選擇性地僅針對介質的一部分，因此對於某些應用程式來說，它是一種流行且低成本的選擇。
    • 最簡單的覆蓋技術是在所有地方寫入相同的資料——通常只是一個全零模式。至少，這將防止簡單地再次讀取介質來檢索資料，因此它通常用於清除。
  • 消磁
    • 消磁是去除或減少磁場。應用於磁性介質時，消磁可以快速有效地清除整個介質元素。使用一種稱為消磁器的裝置，該裝置專為要擦除的介質而設計。
    • 消磁通常會使硬碟無法使用，因為它會擦除低階格式化，而低階格式化僅在工廠製造期間進行。消磁的軟盤通常可以重新格式化並重復使用。
  • 加密
    • 在資料儲存到介質上之前對其進行加密可以減輕對資料殘留的擔憂。如果解密金鑰足夠強大且受到仔細控制（即，本身不受資料殘留的影響），則它可以有效地使介質上的任何資料都無法恢復。即使金鑰儲存在介質上，覆蓋金鑰本身也可能比覆蓋整個磁碟更容易或更快。
    • 加密可以在逐檔案的基礎上進行，也可以在整個磁碟上進行。
  • 物理銷燬
    • 資料儲存介質的物理銷燬通常被認為是對抗資料殘留的最可靠方法，儘管成本最高。該過程通常既耗時又麻煩，而且顯然會使介質無法使用。此外，隨著現代介質的高記錄密度，即使是很小的介質碎片也可能包含大量資料。
    • 具體的銷燬技術包括
      • 透過研磨、粉碎等方式將介質物理分解。
      • 焚燒
      • 相變（即固態磁碟的液化或汽化）
      • 使用腐蝕性化學物質（如酸）處理記錄表面
      • 對於磁性介質，將其溫度升高到居里點以上

概述

• 後門是一種惡意計算機程式或特定手段，它利用已安裝軟體的漏洞並繞過正常的身份驗證，為攻擊者提供對受感染系統的未經授權的遠端訪問。
• 後門在後臺執行並隱藏在使用者面前。它與病毒非常相似，因此很難檢測和完全停用。
• 後門是最危險的寄生蟲型別之一，因為它允許惡意人員在受感染的計算機上執行任何可能的動作。攻擊者可以使用後門來
  • 監視使用者，
  • 管理檔案，
  • 安裝額外的軟體或危險的威脅，
  • 控制整個系統，包括任何存在的應用程式或硬體裝置，
  • 關閉或重啟計算機或
  • 攻擊其他主機。
• 後門通常還具有其他有害功能，例如擊鍵記錄、螢幕截圖捕獲、檔案感染，甚至完全系統破壞或其他有效載荷。這種寄生蟲是不同隱私和安全威脅的組合，它獨立執行，不需要任何控制。
• 大多數後門都是必須以某種方式安裝到計算機上的自主惡意程式。一些寄生蟲不需要安裝，因為它們的部分已經整合到遠端主機上執行的特定軟體中。程式設計師有時會在他們的軟體中留下這樣的後門，用於診斷和故障排除目的。駭客經常發現這些未公開的功能並利用它們入侵系統。

對策

• 功能強大的防病毒和反間諜軟體產品

概述

• 字典攻擊是由程式發起的，這些程式被提供了一系列常用單詞或字元組合（字典），然後將這些值與捕獲的密碼進行比較。
• 一旦識別出正確的字元組合，攻擊者就可以使用此密碼將自己認證為合法使用者。
• 有時，攻擊者甚至可以透過這種活動捕獲密碼檔案。

對策

為了正確保護環境免受字典和其他密碼攻擊，應遵循以下做法

• 不允許以明文形式傳送密碼。
• 使用加密演算法或雜湊函式加密密碼。
• 使用一次性密碼令牌。
• 使用難以猜測的密碼。
• 定期輪換密碼。
• 使用入侵檢測系統 (IDS) 檢測可疑行為。
• 使用字典破解工具查詢使用者選擇的弱密碼。
• 在密碼中使用特殊字元、數字以及大小寫字母。
• 保護密碼檔案。

概述

• 暴力破解定義為“嘗試所有可能的組合，直到找到正確的組合”。
• 發現密碼最有效的方法是透過混合攻擊，它結合了字典攻擊和暴力破解攻擊。
• 暴力破解攻擊也稱為窮舉攻擊。
• 這些通常用於撥號入侵，希望找到可以利用的調變解調器以獲取未經授權的訪問許可權。

對策

對於電話暴力破解攻擊，應實施此類活動的審計和監控，以發現可能表明撥號入侵的模式。

• 執行暴力破解攻擊以查詢弱點和掛起的調變解調器。
• 確保僅公開必要的電話號碼。
• 提供嚴格的訪問控制方法，使暴力破解攻擊不太可能成功。
• 監控和審計此類活動。
• 使用入侵檢測系統 (IDS) 監視可疑活動。
• 設定鎖定閾值。

概述

• 社會工程是一系列用於操縱人類自然信任傾向的技術，以獲取資訊，使駭客能夠未經授權地訪問有價值的系統以及該系統上駐留的資訊。
• 社會工程攻擊的形式
  • 物理：工作場所、電話、垃圾（翻垃圾桶）甚至線上
  • 心理：說服
  • 反向社會工程

常見的社會工程攻擊

• 在工作場所
  • 在工作場所，駭客可以像電影中那樣簡單地走進來，假裝成維修工人或顧問，擁有進入組織的許可權。然後，入侵者在辦公室裡四處走動，直到找到一些散落的密碼，然後帶著足夠的資訊離開大樓，以便在當晚晚些時候在家中利用網路。
  • 另一種獲取身份驗證資訊的技術就是站在那裡觀察一個毫不在意的員工輸入他的密碼。
• 電話/幫助臺
  • 這是最普遍的社會工程攻擊型別。
  • 駭客會打電話假冒某個有權威或相關職位的人，並逐步從使用者那裡獲取資訊。
  • 幫助臺特別容易受到這種攻擊。駭客可以透過對PBX或公司接線員耍花招來假裝他們是從公司內部打來的電話，因此來電顯示並不總是最好的防禦手段。
  • 幫助臺特別容易受到攻擊，因為它們存在的目的就是提供幫助，而試圖獲取非法資訊的人可能會利用這一點。
• 垃圾桶潛伏
  • 垃圾桶潛伏，也稱為翻垃圾，是另一種流行的社會工程方法。可以透過公司垃圾桶（垃圾箱）收集大量資訊。
  • 以下專案可能成為我們垃圾中的潛在安全洩露點
    • 公司電話簿，可以為駭客提供目標人員的姓名和電話號碼，以便他們進行假冒。
    • 組織結構圖包含有關組織內有權勢人員的資訊。
    • 備忘錄提供少量有用的資訊，以建立真實性。
    • 公司政策手冊向駭客展示公司真正的安全程度（或不安全程度）。
    • 會議日曆可能會告訴攻擊者哪些員工在特定時間不在城裡。
    • 系統手冊、敏感資料的列印輸出或登入名和密碼可能會為駭客提供解鎖網路所需的精確金鑰。
    • 磁碟和磁帶可以恢復，提供各種有用的資訊。
    • 公司抬頭信紙和備忘錄表格
• 線上
  • 駭客獲取線上密碼的一種方法是透過線上表單：他們可以傳送一些抽獎資訊，並要求使用者輸入姓名（包括電子郵件地址——這樣，他們甚至可能會獲得該人的公司帳戶密碼）和密碼。
  • 電子郵件也可用於更直接的方式來訪問系統。例如，來自真實身份的人傳送的郵件附件可能包含病毒、蠕蟲和特洛伊木馬。
• 說服
  • 這是一種技術，駭客自己從心理學的角度教授社會工程學，強調如何為攻擊創造完美的心理環境。
  • 說服的基本方法包括：冒充、討好、從眾、責任分散以及簡單的友好。無論使用哪種方法，主要目標都是讓洩露資訊的人相信社會工程師實際上是一個可以信任的人，可以將敏感資訊託付給他。另一個重要的關鍵是不要一次索取過多的資訊，而是要從每個人那裡獲取少量資訊，以維持舒適關係的表象。
    • 冒充通常意味著創造某種角色並扮演這個角色。冒充攻擊中可能扮演的一些常見角色包括：維修人員、IT支援人員、經理、可信的第三方或同事。
    • 從眾是一種基於群體的行為，但偶爾也可以在個人環境中使用，透過說服使用者相信其他人也一直在向駭客提供相同的資訊。當駭客以分散提供密碼的員工責任的方式進行攻擊時，會減輕員工的壓力。
• 反向社會工程
  • 這是駭客創造一個看似擁有權威的角色，以便員工向他索取資訊，而不是相反。如果經過充分的研究、計劃和執行，反向社會工程攻擊可能會為駭客提供更好的機會，從員工那裡獲取有價值的資料；但是，這需要大量的準備、研究和駭客攻擊前的準備才能完成。

對策

• 制定適當的安全策略，解決攻擊的物理和心理方面。
• 對員工和幫助臺人員進行適當的培訓。

介紹

• SSO 是一種技術，允許使用者一次輸入憑據，並能夠訪問主網路和輔助網路域中的所有資源。

優點

• 減少使用者花費在對資源進行身份驗證上的時間。
• 使管理員能夠簡化使用者帳戶並更好地控制訪問許可權。
• 透過降低使用者寫下密碼的可能性來提高安全性。
• 減少管理員在管理訪問許可權方面的時間。

侷限性

• 每個平臺應用程式和資源都需要接受相同型別的憑據，以相同的格式，並以相同的方式解釋其含義。

缺點

• 一旦某個人進入，他就進入了，從而為攻擊者提供了更大的範圍。

介紹

• Kerberos 是一種身份驗證協議，於 1980 年代中期作為 MIT 的 Athena 專案的一部分而設計。
• 它在 C/S 模型中工作，並且基於對稱金鑰加密。
• 它廣泛用於 UNIX 系統，也是 Windows 2k 和 2k3 的預設身份驗證方法，並且是異構網路的事實標準。

Kerberos 元件

• 金鑰分發中心 (KDC)
  • 儲存所有使用者和服務的金鑰以及資料庫中主體的資訊。
  • 在名為 AS 的服務的幫助下提供身份驗證服務。
  • 提供金鑰分發功能。
  • 提供票據授予服務 (TGS)。
• 金鑰是主體和 KDC 之間共享的金鑰，通常使用對稱金鑰加密演算法，用於對主體進行身份驗證並安全地進行通訊。
• 主體是使用者、應用程式或任何網路服務。
• 票據是由 KDC 生成的令牌，當一個主體需要對另一個主體進行身份驗證時，將其授予該主體。
• 域是一組主體。一個 KDC 可以負責一個或多個域。域允許管理員對資源和使用者進行邏輯分組。
• 會話金鑰是主體之間共享的金鑰，它將使他們能夠安全地進行通訊。

Kerberos 身份驗證過程

• 使用者在工作站 (WS) 中輸入使用者名稱和密碼。
• 工作站上的 Kerberos 軟體將使用者名稱傳送到 KDC 上的身份驗證伺服器 (AS)。
• AS 生成票據授予票據 (TGT)，使用儲存在資料庫中的使用者的金鑰對其進行加密，並使用 TGT 將其傳送給使用者。
• 使用者輸入的密碼將轉換為金鑰，使用該金鑰解密票據 (TGT)，從而使用者可以訪問 WS。
• 假設使用者想要使用印表機，使用者的系統將 TGT 傳送到 KDC 上的 TGS。
• TGS 生成一個新票據，其中包含兩個會話金鑰例項，一個使用使用者的金鑰加密，另一個使用列印伺服器的金鑰加密。此票據還可能包含身份驗證器，其中包含有關使用者的資訊。
• 新票據傳送到使用者的系統，該系統用於對列印伺服器進行身份驗證。
• 使用者的系統解密並提取會話金鑰，向票據新增第二個身份驗證器（一組身份資訊），並將票據傳送到列印伺服器。
• 列印伺服器接收票據，解密並提取會話金鑰，並解密並提取票據中的兩個身份驗證器。如果列印伺服器可以解密並提取會話金鑰，則它知道 KDC 建立了票據，因為只有 KDC 擁有用於加密會話金鑰的金鑰。如果 KDC 和使用者放入票據中的身份驗證器資訊匹配，則列印伺服器知道它從正確的使用者那裡收到了票據。

Kerberos 的弱點

• KDC 可能是單點故障。如果 KDC 出現故障，則沒有人可以訪問所需的資源。KDC 需要冗餘。
• KDC 必須能夠及時處理它接收到的請求數量。它必須具有可擴充套件性。
• 金鑰臨時儲存在使用者的計算機上，這意味著入侵者有可能獲取這些金鑰。
• 會話金鑰被解密並駐留在使用者的計算機上，無論是快取還是金鑰表中。同樣，入侵者可以捕獲這些金鑰。
• Kerberos 易受密碼猜測攻擊。KDC 不知道是否正在進行字典攻擊。
• 如果未啟用加密，則 Kerberos 不會保護網路流量。

介紹

• SESAME（多供應商環境中應用程式的安全歐洲系統）是一種 SSO 技術，旨在擴充套件 Kerberos 的功能並改進其弱點。
• SESAME 使用對稱和非對稱加密技術來保護資料交換並對主體進行網路資源身份驗證。
• SESAME 使用數字簽名的特權屬性證書 (PAC) 對主體到物件進行身份驗證。PAC 包含主體的身份、對物件的訪問能力、訪問時間段以及 PAC 的生命週期。

介紹

• 域是一組可供主體使用的資源。
• 安全域是指在相同安全策略下工作並由同一組管理的資源集。
• 域可以透過邏輯邊界分隔，例如
  • 帶有 ACL 的防火牆
  • 做出訪問決策的目錄服務

  • 擁有自身訪問控制列表 (ACL) 的物件，ACL 指明哪些個人或組可以訪問這些物件。
• 域可以以分層的方式構建，從而決定不同域之間的關係以及不同域中的主體之間通訊的方式。
• 主體可以訪問信任級別相同或更低的域中的資源。

介紹

• 瘦客戶端是無盤計算機，有時也稱為啞終端。
• 它基於 C/S 技術，使用者需要登入到遠端伺服器才能使用計算和網路資源。
• 當用戶啟動客戶端時，它會執行一小段指令，然後將自身指向一個伺服器，該伺服器將實際下載作業系統或互動式作業系統軟體到終端。這強制執行了一種嚴格的訪問控制型別，因為計算機在自身身份驗證到中央伺服器之前無法執行任何操作，然後伺服器為計算機提供其作業系統、配置檔案和功能。
• 瘦客戶端技術為使用者提供了另一種型別的單點登入 (SSO) 訪問，因為使用者只需向中央伺服器或主機身份驗證，然後伺服器為他們提供對所有授權和必要資源的訪問。

介紹

• 訪問控制模型是一個框架，它規定了主體如何訪問物件。
• 它使用訪問控制技術和安全機制來執行模型的規則和目標。
• 主要有三種類型的訪問控制模型
  • 自主訪問控制，
  • 強制訪問控制，以及
  • 非自主訪問控制（也稱為基於角色的訪問控制）。

• 訪問控制基於所有者的酌情決定（意願）。
• 使用 DAC 的系統使資源的所有者能夠指定哪些主體可以訪問特定的資源。
• DAC 最常見的實現是透過 ACL，ACL 由所有者規定和設定，並由作業系統執行。
• 示例：Unix、Linux 和 Windows 的訪問控制基於 DAC。
• DAC 系統根據主體的身份授予或拒絕訪問許可權。身份可以是使用者身份或組身份（基於身份的訪問控制）。

• 此模型結構非常嚴格，基於附加到所有物件的安全性標籤（也稱為敏感性標籤）。
• 主體透過將主體分類為秘密、絕密、機密等來獲得安全許可，物件也以類似的方式進行分類。
• 許可和分類資料儲存在安全標籤中，安全標籤繫結到特定的主體和物件。
• 當系統做出關於是否滿足訪問物件的請求的決定時，它基於主體的許可、物件的分類和系統的安全策略。
• 此模型適用於軍事系統，在軍事系統中，分類和機密性至關重要。
• NSA 的 SE Linux 和可信 Solaris 是此模型的示例。
• 安全標籤由分類和類別組成，其中分類指示安全級別，類別強制執行需要知道規則。

• RBAC 基於使用者角色，並使用一組集中管理的控制來確定主體和物件如何互動。
• RBAC 方法簡化了訪問控制管理。
• 對於員工流動性高的公司來說，這是一個最佳系統。
• 注意：RBAC 通常可以與 MAC 和 DAC 系統結合使用。

模型	訪問控制所有者	安全策略由以下機構執行
DAC	資料所有者	ACL
MAC	作業系統	安全標籤
RBAC	管理員	角色/職能職位

不同的訪問控制技術可用於支援不同的訪問控制模型。

• 基於規則的訪問控制
• 受限使用者介面
• 訪問控制矩陣
• 內容相關訪問控制
• 上下文相關訪問控制

• 基於規則的訪問控制使用特定的規則來指示主體和物件之間可以和不可以發生什麼。
• 主體在訪問物件之前應滿足一組預定義的規則。
• 它不一定是基於身份的，即它可以適用於所有使用者或主體，而不管其身份如何。
• 例如：路由器和防火牆使用規則來過濾傳入和傳出的資料包。

• 受限使用者介面透過不允許使用者請求某些功能或資訊或訪問特定系統資源來限制使用者的訪問能力。
• 主要有三種類型的受限介面
  • 選單和外殼
  • 資料庫檢視
  • 物理受限介面

• 訪問控制矩陣是一個主體和物件表，指示各個主體可以對各個物件執行的操作。
• 分配給各個主體的訪問許可權稱為能力，分配給物件的訪問許可權稱為訪問控制列表 (ACL)。
• 此技術使用能力表來指定主體關於特定物件的許可權。能力可以是令牌、票據或金鑰的形式。
  • 每一行是一個能力，每一列是給定使用者的 ACL。
  • Kerberos 使用基於能力的系統，其中每個使用者都獲得一個票據，該票據是其能力表。
• ACL 是授權訪問特定物件的主題列表，它們定義了授予的授權級別（在個人和組級別）。
• ACL 將值從訪問控制矩陣對映到物件。
• 注意：能力表繫結到主體，而 ACL 繫結到物件。

• 對物件的訪問基於物件中的內容。
• 示例：資料庫檢視、電子郵件過濾等。

• 訪問決策是基於資訊集合的上下文，而不是基於資料的敏感性。
• 示例：防火牆在允許資料包進入網路之前收集其狀態資訊時，會做出基於上下文的訪問決策。

訪問控制管理可以透過兩種方式進行。

• 集中式
• 分散式。

• 這裡有一個實體（部門或個人）負責監督對所有企業資源的訪問。
• 這種型別的管理提供了一種一致且統一的方法來控制使用者訪問許可權。
• 示例：RADIUS、TACACS 和 Diameter

RADIUS

• 它是一種客戶端/伺服器認證協議，用於對遠端使用者進行身份驗證和授權。
• 訪問伺服器儲存使用者憑據
• 它是由 Livingston Enterprises 開發的一種開放標準協議。

TACACS

• TACACS 經歷了三代：TACACS、擴充套件 TACACS（XTACACS）和 TACACS+。
  • TACACS 將其身份驗證和授權流程結合起來，
  • XTACACS 將身份驗證、授權和審計流程分開，並且
  • TACACS+ 是具有擴充套件雙因素使用者身份驗證的 XTACACS。
• TACACS 使用固定密碼進行身份驗證，而 TACACS+ 允許使用者使用動態（一次性）密碼，從而提供更多保護。
• TACACS+ 提供與 RADIUS 基本相同的功能，但在某些特性上存在一些差異。
  • TACACS+ 使用 TCP 作為其傳輸協議，而 RADIUS 使用 UDP。
  • RADIUS 僅在使用者密碼從 RADIUS 客戶端傳輸到 RADIUS 伺服器時對其進行加密。其他資訊，如使用者名稱、計費和授權服務，以明文形式傳遞。這為攻擊者提供了捕獲會話資訊以進行重放攻擊的公開途徑。TACACS+ 對所有這些資料進行加密，因此沒有 RADIUS 協議固有的漏洞。
  • RADIUS 協議將身份驗證和授權功能結合在一起，而 TACACS+ 使用真正的 AAA 架構，該架構將身份驗證、授權和計費功能分開，從而能夠對遠端使用者進行身份驗證。TACACS+ 還能夠定義更細粒度的使用者配置檔案，這些配置檔案可以控制使用者可以執行的實際命令。

注意：當可以使用簡單的使用者名稱/密碼身份驗證並且使用者只需要接受或拒絕才能獲得訪問許可權（如 ISP）時，RADIUS 是合適的協議。對於需要更復雜的身份驗證步驟和更嚴格控制更復雜授權活動的（如企業網路）環境，TACACS+ 是更好的選擇。

Diameter

• Diameter 是一種協議，旨在建立在 RADIUS 功能的基礎上並克服其許多限制。此協議的建立者決定將其命名為 Diameter，作為 RADIUS 一詞的文字遊戲，因為直徑是半徑的兩倍。
• Diameter 是另一個 AAA 協議，它提供與 RADIUS 和 TACACS+ 相同型別的功能，但也提供更多靈活性和功能，以滿足當今複雜多樣的網路的新需求，在這些網路中，我們希望我們的無線裝置和智慧手機能夠對其進行身份驗證網路，並且我們使用漫遊協議、移動 IP、PPPoE 等。
• Diameter 提供了一個基礎協議，該協議定義了報頭格式、安全選項、命令和 AVP（屬性值對）。此基礎協議允許擴充套件以關聯其他服務，例如 VoIP、FoIP、移動 IP、無線和手機身份驗證。因此，Diameter 可用作所有這些不同用途的 AAA 協議。
• RADIUS 和 TACACS+ 是客戶端/伺服器協議，這意味著伺服器部分無法向客戶端部分發送主動命令。伺服器部分只能在被請求時才能說話。Diameter 是一種基於對等體的協議，允許任一端發起通訊。
  • 此功能允許 Diameter 伺服器向訪問伺服器傳送訊息，要求使用者在嘗試訪問安全資源時提供另一個身份驗證憑據。
  • 此功能還允許 Diameter 伺服器在必要時出於某種原因斷開使用者連線。
• Diameter 與 RADIUS 向後相容，使用 UDP 和 AVP，並提供代理伺服器支援。
• 它具有比 RADIUS 更好的錯誤檢測和糾正功能以及故障轉移特性，從而提供了更好的網路彈性。
• Diameter 還透過使用 IPSec 或 TLS 提供端到端安全，而 RADIUS 中則沒有此功能。
• Diameter 具有為其他協議和服務提供 AAA 功能的功能和能力，因為它具有龐大的 AVP 集。RADIUS 有 28 (256) 個 AVP，而 Diameter 有 232 個。因此，更多的 AVP 允許更多功能和服務存在並在系統之間通訊。
• Diameter 提供以下 AAA 功能
  • 身份驗證
    • PAP、CHAP、EAP
    • 身份驗證資訊的端到端保護
    • 重放攻擊防護
  • 授權
    • 重定向、安全代理、中繼和代理
    • 狀態協調
    • 主動斷開連線
    • 按需重新授權
  • 計費
    • 報告、ROAMOPS 計費、事件監控

• 分散式訪問控制管理方法將訪問控制權授予更接近資源的人員。
• 在這種方法中，通常是職能經理向員工分配訪問控制權限。
• 透過這種型別的管理，更改可以更快地發生，因為並非只有一個實體在為整個組織進行更改。
• 可能會出現可能對組織不利衝突，因為不同的經理和部門可以以不同的方式實施安全和訪問控制。
• 某些控制可能會重疊，在這種情況下，操作可能無法得到適當的規定或限制。
• 這種型別的管理不提供與集中式方法相同的一致控制方法。

訪問控制監控是一種跟蹤誰嘗試訪問特定網路資源的方法。

ACM 系統可以分為兩類：入侵防禦系統 (IPS) 和入侵檢測系統 (IDS)。

入侵檢測是指檢測對計算機、網路或電信基礎設施的未經授權的使用或攻擊的過程。

IDS 旨在幫助減輕駭客或侵入敏感計算機和網路系統可能造成的損害。

IDS 的常見元件

• 感測器：收集流量和使用者活動資料並將其傳送到分析器。
• 分析器：檢測其被程式設計為視為可疑的活動，並將警報傳送到管理介面。
• 管理介面：報告警報詳細資訊。

IDS 的常見功能

• 監視攻擊
• 解析審計日誌
• 保護系統檔案
• 在攻擊期間提醒管理員
• 揭露駭客的技術
• 說明需要解決哪些漏洞
• 幫助追蹤單個駭客

• 基於網路的 IDS：基於網路的 IDS (NIDS) 使用感測器，這些感測器要麼是安裝了必要軟體的主機計算機，要麼是專用的裝置——每個裝置都具有以混雜模式工作的網路介面卡 (NIC)。NIC 驅動程式捕獲所有流量並將其傳遞給分析器以查詢特定型別的模式。
• 基於主機的 IDS：基於主機的 IDS (HIDS) 可以安裝在各個工作站和/或伺服器上，並監視不適當或異常的活動。HIDS 通常用於確保使用者不會刪除系統檔案、重新配置重要設定或以任何其他方式危及系統。

HIDS 和 NIDS 都可以採用以下技術

• 基於知識或特徵
• 基於統計異常
• 基於規則

基於知識或特徵

• 這些是基於知識的系統，其中積累了一些關於特定攻擊的知識，並開發了一個稱為特徵的模型。
• 這些系統的主要缺點是它們無法檢測新的攻擊，並且需要編寫一些特徵並持續更新。
• 也稱為誤用檢測系統
• 攻擊
  • Land 攻擊（修改資料包以具有相同的源/目的 IP）

  Security Humor: Attacks or viruses that have been discovered in production environments are referred to as being “in
  the wild.” Attacks and viruses that exist but have not been released are referred to as being “in the zoo.”

基於統計異常

• 這些是基於行為的系統，它們不使用任何預定義的特徵，而是處於學習模式，透過持續取樣環境的正常活動來構建配置檔案。
• 在大多數情況下，IDS 處於學習模式的時間越長，它構建的配置檔案越準確，提供的保護也越好。
• 構建配置檔案後，將根據所有未來流量上的相同取樣構建不同的配置檔案，並將資料進行比較以識別異常。
• 也稱為基於配置檔案的系統
• 優點
  • 可以檢測新的攻擊，包括 0 天攻擊

  • 還可以檢測低速和緩慢的攻擊，攻擊者試圖透過在較長時間內一次傳送少量資料包來躲避雷達。
• 缺點
  • 開發正確的配置檔案以減少誤報可能很困難。
  • 攻擊者有可能將其活動整合到網路流量的行為模式中。可以透過確保在 IDS 處於學習模式時沒有正在進行的攻擊活動來控制這一點。
  • 這些系統的成功因素基於確定適當的閾值，以減少/避免誤報（閾值設定過低）或漏報（閾值設定過高）。
• 攻擊
  • 透過DoS使IDS離線並向IDS傳送不正確的資料，以分散網路和安全人員的注意力，使他們忙於追蹤錯誤的資料包，而真正的攻擊正在進行。
• 技術
  • 基於協議異常
    • 這些型別的 IDS 對其將監控的每個協議都有特定的瞭解。
    • IDS 構建每個協議正常用法的配置檔案（模型），並將其用於與實際操作期間構建的配置檔案進行匹配。
    • 常見協議漏洞
      • 在DLL層，ARP沒有任何針對ARP攻擊的保護，攻擊者可以在其表中插入偽造資料。
      • 在網路層，ICMP可用於LOKI攻擊，將資料從一個地方移動到另一個地方，而該協議最初設計僅用於傳送狀態資訊。此資料可以是程式碼，可以由受感染系統上的後門執行。
      • IP報頭可以很容易地被修改以進行欺騙攻擊（一個冒充另一個）。
      • 在傳輸層，TCP資料包可以注入兩個系統之間的連線中，以進行會話劫持攻擊。
  • 基於流量異常
    • 這些系統具有流量異常過濾器，可以檢測流量模式的變化，例如DoS攻擊或網路上出現的新服務。
    • 一旦建立了一個捕獲環境普通流量基線的配置檔案，所有未來的流量模式都將與該配置檔案進行比較。
    • 與所有過濾器一樣，閾值是可調的，以調整靈敏度，以減少誤報和漏報的數量。
    • 由於這是一種基於統計異常的IDS，因此它可以檢測未知攻擊。

基於規則

• 基於規則的入侵檢測通常與專家系統的使用相關聯。
• 專家系統由知識庫、推理引擎和基於規則的程式設計組成。
  • 知識表示為規則，要分析的資料稱為事實。
  • 系統的知識是用基於規則的程式設計（如果情況則採取行動）編寫的。這些規則應用於事實，即來自感測器或正在監控的系統的資料。
• 示例：考慮規則-如果root使用者建立檔案1並建立檔案2，使得它們在同一目錄中，則呼叫AdministrativeTool1觸發傳送警報。此規則的定義是，如果root使用者在同一目錄中建立兩個檔案，然後呼叫特定的管理工具，則應傳送警報。
• 規則越複雜，對軟體和硬體處理的要求就越高。
• 無法檢測新的攻擊。
• 技術
  • 基於狀態的IDS
    • 當變數的值發生變化時，就會發生狀態轉換，這通常在每個系統中連續發生。
    • 在基於狀態的IDS中，初始狀態是攻擊執行前的狀態，而受損狀態是成功滲透後的狀態。
    • IDS具有規則，概述了哪些狀態轉換序列應該發出警報。基於狀態的IDS尋找的是初始狀態和受損狀態之間發生的活動，如果任何狀態轉換序列與其預配置規則匹配，它就會發送警報。
    • 這種型別的IDS在活動流的上下文中掃描攻擊特徵，而不是僅僅檢視單個數據包。它只能識別已知的攻擊，並且需要頻繁更新其特徵。
  • 基於模型的IDS
    • 在基於模型的IDS中，產品具有多個場景模型，這些模型表示特定攻擊和入侵是如何發生的。這些模型概述瞭如果系統受到攻擊，系統將如何表現，攻擊者將執行的不同步驟，以及如果發生特定入侵，可用於分析的證據。
    • IDS接收審計日誌資料並將其與已開發的不同模型進行比較，以檢視資料是否滿足任何模型的規範。如果IDS在審計日誌中找到與特定模型特徵匹配的資料，它就會發送警報。

• 基於網路的IDS使用感測器進行監控。感測器作為分析引擎，放置在IDS負責監控的網路段上。
• 感測器從事件生成器接收原始資料，並將其與特徵資料庫、配置檔案或模型進行比較，具體取決於IDS的型別。
• 如果存在某種型別的匹配，指示可疑活動，則感測器與響應模組協作以確定需要執行哪種型別的活動（透過即時訊息、頁面、電子郵件發出警報，或執行防火牆重新配置等）。
• 感測器的作用是過濾接收到的資料，丟棄無關資訊，並檢測可疑活動。
• 可以使用監控控制檯監控所有感測器，併為網路人員提供所有感測器在網路中活動的概覽，但在交換環境中會出現困難，在交換環境中，流量透過VPN轉發，不會重新廣播到所有埠。這可以透過使用生成樹埠映象所有埠的流量到一個監控埠來克服。
• 感測器放置
  • 感測器可以放置在防火牆外部以檢測攻擊。
  • 防火牆內部（在周界網路中）以檢測實際入侵。
  • 在高度敏感區域、DMZ和外部網上。
• 在高流量環境中可以使用多個感測器來確保所有資料包都得到檢查。如果需要最佳化網路頻寬和速度，可以設定不同的感測器來分析每個資料包的不同特徵。這樣，分析負載就可以分散到不同的點。

傳統的IDS僅檢測到可能正在發生某些不良事件併發出警報。IPS的目標是檢測此活動，並首先不允許流量訪問目標。

IPS是一種預防性和主動性技術，而IDS是一種偵查性和事後技術。

關於IPS一直存在著長期的爭論，結果證明它是IDS的擴充套件，IDS的所有內容也適用於IPS，除了IPS是預防性的，而IDS是偵查性的。蜜罐

蜜罐

問責制是跟蹤和記錄主體對物件的操作的方法。

審計是一項活動，其中監控使用者/主體的物件操作，以驗證敏感性策略是否得到執行，並可用作調查工具。

審計的優勢

• 跟蹤個人執行的未經授權的活動。
• 檢測入侵。
• 重建事件和系統狀況。
• 提供法律資源材料並生成問題報告。

注意：安全專業人員應該能夠訪問環境及其安全目標，瞭解應該審計哪些操作，以及在捕獲資訊後應該如何處理這些資訊——而不浪費過多的磁碟空間、CPU能力和人員時間。

審計什麼？

• 系統級事件
  • 系統性能
  • 登入嘗試（成功和不成功）
  • 登入ID
  • 每次登入嘗試的日期和時間
  • 使用者和終端的鎖定
  • 管理實用程式的使用
  • 使用的裝置
  • 執行的功能
  • 更改配置檔案的請求
• 應用程式級事件
  • 錯誤訊息
  • 開啟和關閉的檔案
  • 檔案的修改
  • 應用程式內的安全違規
• 使用者級事件
  • 身份識別和身份驗證嘗試
  • 使用過的檔案、服務和資源
  • 發起的命令
  • 安全違規

審計資訊審查

• 審計跟蹤可以手動或透過自動化方式進行審查。
• 審計審查型別
  • 面向事件：在事件發生時進行。
  • 定期：定期進行以訪問系統的健康狀況。
  • 即時：在審計資訊建立時，藉助自動化工具進行。
• 審計跟蹤分析工具：這些工具有助於減少/過濾不必要的審計日誌資訊，並僅提供審計所需的資訊。
• 審計跟蹤分析工具型別
  • 審計減少工具：這些工具減少審計日誌中的資訊量，丟棄平凡的任務資訊並記錄系統性能、安全和使用者功能資訊，這些資訊對於審計是必要的。
  • 差異檢測工具：這些工具監控計算機和資源使用趨勢，並檢測異常活動的變化，例如：員工在非工作時間登入機器。

  • 攻擊特徵 - 檢測：這些工具根據資料庫中的一些預定義模式解析審計日誌。如果某個模式與資料庫中的任何模式或特徵匹配，則表明已發生或正在進行攻擊。
  • 按鍵監控。

保護審計資料和日誌資訊

• 應透過實施嚴格的訪問控制來保護審計日誌。
• 應使用數字簽名、訊息摘要工具和強大的訪問控制來確保資料的完整性。
• 機密性可以透過加密和訪問控制來保護，並可以儲存在 CD-ROM 上以防止資料丟失或修改。日誌的修改通常稱為擦除。
• 應捕獲並報告對審計日誌的未授權訪問嘗試。