차례:
- 식별 및 인증
- 설립
- 로 알려진 미리 정의 된 특정 기준 또는 임계 값을 기반으로 자동화 된 보고서를 생성 할 수 있습니다. 예를 들어, 클리핑 수준을 설정하여 다음에 대한 보고서를 생성 할 수 있습니다.
- D
비디오: Cisco Mobility Express Wi-Fi Solution 2024
액세스 제어 는 객체 ()가 시스템 또는 파일과 같은 수동 객체를 사용하도록 허용하거나 거부 할 수있는 기능입니다. 주체 (개인 또는 프로세스와 같은 활성 개체). 액세스 제어 시스템은 세 가지 필수 서비스를 제공합니다.
ID 및 인증 (I & A):
- 이는 시스템에 로그온 할 수있는 사용자를 결정합니다. 인증:
- 인증 된 사용자가 수행 할 수있는 작업을 결정합니다.
- 이는 사용자가 수행 한 작업을 식별합니다. 식별 및 인증 (I & A)
식별 및 인증
(I & A)는 누가 시스템에 로그온 할 수 있는지를 결정하는 2 단계 프로세스입니다. 식별
- 은 사용자가 자신이 누구인지 (예: 사용자 이름 사용) 시스템에 알리는 방법입니다. • 출입 통제 시스템의 식별 구성 요소는 일반적으로 사용자 이름 또는 사용자 ID를 기반으로하는 비교적 단순한 메커니즘입니다.
기반 • 컴퓨터 이름
- • MAC (Media Access Control) 주소
• 인터넷 프로토콜 (IP) 주소
• 프로세스 ID (PID)
식별을위한 유일한 요구 사항은 식별이
• 사용자를 고유하게 식별해야한다는 것입니다.
- 회장
또는
CEO 와 같은 레이블과 같은 조직에서 사용자의 위치 또는 상대적 중요성을 식별해서는 안됩니다. • root
,admin 및 sysadmin 과 같은 공통 또는 공유 사용자 계정을 사용하지 않아야합니다. • 그러한 계정은 아무런 책임도 제공하지 않으며 해커를위한 육감적 인 목표입니다. 인증 는 사용자의 소유권을 확인하는 프로세스입니다 (예: 입력 된 암호를 주어진 사용자 이름의 시스템에 저장된 암호와 비교).
인증은 다음 세 가지 요소 중 하나 이상을 기반으로합니다.
- • 알고있는 것, 암호 또는 PIN (개인 식별 번호)과 같은 이 경우 계정 소유자 만 계정에 액세스하는 데 필요한 암호 또는 PIN을 알고 있다고 가정합니다. 불행히도 암호는 종종 공유, 도난 또는 추측됩니다.
• 스마트 카드 나 토큰과 같은 것 이 경우 계정 소유자 만 계정 잠금을 해제하는 데 필요한 스마트 카드 또는 토큰이 있다고 가정합니다.
• 유감스럽게도 스마트 카드 나 토큰은 분실, 도난, 차용 또는 복제 될 수 있습니다. • 지문, 목소리, 망막 또는 홍채의 특징과 같은 당신의 존재
.이것은 당신의 몸에 붙어있는 손가락이나 안구가 실제로 당신의 것이고 당신을 고유하게 식별한다고 가정합니다.
• 주요 단점은 사용자 동의입니다. 많은 사람들은이 시스템을 사용하는 것에 대해 불안합니다. 인증 인증
(또는
설립
)은 시스템에 대한 사용자의 권한과 권한을 정의합니다. 사용자 (또는 프로세스)가 인증 된 후에 권한 부여는 사용자가 시스템에서 수행 할 수있는 작업을 결정합니다. 읽기 (R): 사용자가 읽기 가능 • 내용 읽기
• 디렉토리 목록 표시 내용:
- 쓰기 (W): 사용자는 다음 작업을 통해 파일 또는 디렉토리의 내용을
변경할 수 있습니다.
•
- 추가 • 작성 • 삭제 > • 이름 바꾸기 실행 (X): 파일이 프로그램 인 경우 사용자가 프로그램을 실행할 수 있습니다.
이러한 권한 및 사용 권한은
임의 액세스 제어 (DAC) 및
필수 액세스 제어
- 책임 (Accountability) 책임은 감사 추적 (기록) 및 로그와 같은 시스템 구성 요소를 사용하여 사용자를 자신의 행동과 연관시킵니다. 감사 추적 및 로그는 중요합니다.
보안 위반 감지 보안 사고 재발생 아무도 정기적으로 로그를 검토하지 않고 안전하고 일관된 방식으로 유지 관리되지 않으면 다음과 같이 허용되지 않을 수 있습니다. 증거. 많은 시스템이 클리핑 레벨
로 알려진 미리 정의 된 특정 기준 또는 임계 값을 기반으로 자동화 된 보고서를 생성 할 수 있습니다. 예를 들어, 클리핑 수준을 설정하여 다음에 대한 보고서를 생성 할 수 있습니다.
특정 기간에 로그온 시도 횟수가 세 번 이상 실패 함
- 비활성화 된 사용자 계정을 사용하려는 모든 시도
- 이 보고서는 시스템 관리자 또는 보안 관리자가 가능한 침입 시도를보다 쉽게 식별 할 수 있습니다.
액세스 제어 기술
액세스 제어 기술은 일반적으로 임의 또는
- 필수
- 로 분류됩니다. 각 카테고리 별 특정 액세스 제어 방법뿐만 아니라 임의 액세스 제어 (DAC)와 필수 액세스 제어 (MAC) 간의 차이점을 이해하는 것은 Security + 시험을 통과하는 데 중요합니다.
임의적 접근 통제
D
임의 접근 통제 (DAC)는 파일 (또는 다른 자원)의 소유자가 결정한 접근 정책이다. 소유자는 파일 액세스 권한이있는 사용자와 권한을 결정합니다. DAC의 두 가지 중요한 개념은 파일 및 데이터 소유권입니다. 시스템의 모든 객체에는 소유자가 있어야합니다. 액세스 정책은 리소스 소유자 (파일, 디렉토리, 데이터, 시스템 자원 및 장치 포함)에 의해 결정됩니다. 이론적으로 소유자가없는 객체는 보호되지 않습니다.
일반적으로 자원의 소유자는 자원을 만든 사람 (예: 파일 또는 디렉토리)입니다.
액세스 권한 및 사용 권한: 소유자가 특정 리소스에 대해 개별 사용자 또는 그룹에 지정할 수있는 컨트롤입니다. 임의 액세스 제어는 다음 기술을 통해 적용될 수 있습니다.
액세스 제어 목록
- (ACL)은 특정 개체에 대해 제목에 할당 된 특정 권한 및 사용 권한을 지정합니다. 액세스 제어 목록은 임의 액세스 제어를 적용하기위한 유연한 방법을 제공합니다. 역할 기반 액세스 제어 는 조직 또는 기능적 역할에 따라 그룹 구성원을 할당합니다. 이 전략은 액세스 권한과 권한 관리를 크게 단순화합니다.
- • 개체에 대한 액세스 권한과 사용 권한은 모든 그룹 또는 개인에 할당됩니다. • 개인은 하나 또는 여러 그룹에 속할 수 있습니다. 개인은
누적 된
- 권한 (자신이 속한 그룹의 모든 허가)을 획득하도록 지정되거나
- 매 그룹의 일부가 아닌 모든 허가에서 실격 될 수 있습니다
필수 액세스 제어
필수 액세스 제어 (MAC)는 소유자가 아닌 시스템이 결정한 액세스 정책입니다. MAC은 분류 된 정부 및 군대 정보와 같이 매우 민감한 데이터를 처리하는 다단계 시스템 에 사용됩니다. 다단계 시스템 은 주체와 객체간에 여러 분류 수준을 처리하는 단일 컴퓨터 시스템입니다. MAC의 두 가지 중요한 개념은 다음과 같습니다. 감도 레이블:
MAC 기반 시스템에서 모든 주체와 객체는
레이블 이 할당되어야합니다. 주체의 민감도 레이블은 신뢰 수준을 지정합니다. 객체의 민감도 레이블은 액세스에 필요한 신뢰 수준을 지정합니다. 주어진 객체에 액세스하기 위해서는, 그 객체는 요구 된 객체와 같거나 높은 민감도 레벨을 가져야한다. 데이터 가져 오기 및 내보내기: 다른 시스템에서 정보 가져 오기를 제어하고 다른 시스템 (프린터 포함)으로 내보내기는 MAC 기반 시스템의 중요한 기능입니다. 민감한 레이블이 적절히 유지되고 구현되도록해야합니다. 민감한 정보는 항상 적절하게 보호됩니다.
규칙 기반 접근 통제:
- 이 유형의 통제는 요청 된 객체에 대한 접근을위한 특정 조건을 정의한다. 모든 MAC 기반 시스템은 규칙 기반 액세스 제어의 간단한 형태를 구현하여 일치 여부에 따라 액세스를 허용 또는 거부해야하는지 여부를 결정합니다. • 개체의 민감도 레이블 • 개체의 민감도 레이블 Thesecan은 여러 객체 및 / 또는 주체와 관련된 복잡한 액세스 제어 결정에 사용될 수 있습니다. 격자 모델
- 은 피사체와 같은 한 쌍의 요소에 대해 가장 낮은 999 및 999 최소 상한값을 정의하는 수학적 구조이다. 및 개체.
