D1-02 6–9 分钟 重要程度:高

身份标识、身份认证、授权、审计、可问责性

IAAAA 是 CISSP 判断访问控制与责任追踪的基础。先声明身份,再验证身份,再授权,最后通过审计支持可问责性。

一、必须记住

  • Identification 是声明身份。
  • Authentication 是验证身份声明。
  • Authorization 是授予访问权限。
  • Auditing 是记录和检查活动。
  • Accountability 需要唯一身份、准确认证、日志和审计支持。

二、核心概念

身份标识与身份认证

主体先提供身份标识,系统再验证身份是否有效。密码、令牌、智能卡、生物特征都属于认证因素。

授权

认证通过后,系统才判断主体可以访问哪些客体、执行哪些操作。常见模型包括 DAC、MAC、RBAC。

审计与可问责性

审计记录主体活动。只有身份唯一、认证可靠、日志完整,组织才能把行为追溯到具体主体,形成可问责性。

三、CISSP 判断规则

  • 看到“证明是谁”选 Authentication。
  • 看到“允许做什么”选 Authorization。
  • 看到“追踪责任”选 Accountability / Auditing。
  • 不可否认性依赖可问责性、日志、数字签名、证书等机制。

四、常见陷阱

  • Authentication 不等于 Authorization。
  • 共享账号会破坏可问责性。
  • 只有日志而没有唯一身份,仍然难以问责。

五、英文关键字

Identification (身份标识) Authentication (身份认证) Authorization (授权) Auditing (审计) Accounting (记账) Accountability (可问责性) Non-repudiation (不可否认性)

小测验

1. 用户输入用户名是在执行哪个步骤?

用户名用于声明身份,属于 Identification。验证密码或证书才是 Authentication。

2. 系统判断用户是否可以读取某份文件,属于哪个步骤?

判断主体能否访问客体是 Authorization。

3. 哪种做法最直接削弱可问责性?

共享账号无法把行为可靠追溯到唯一个人,因此削弱 Accountability。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成