D1-02 6–9 分钟 重要程度:高
身份标识、身份认证、授权、审计、可问责性
IAAAA 是 CISSP 判断访问控制与责任追踪的基础。先声明身份,再验证身份,再授权,最后通过审计支持可问责性。
一、必须记住
- Identification 是声明身份。
- Authentication 是验证身份声明。
- Authorization 是授予访问权限。
- Auditing 是记录和检查活动。
- Accountability 需要唯一身份、准确认证、日志和审计支持。
二、核心概念
身份标识与身份认证
主体先提供身份标识,系统再验证身份是否有效。密码、令牌、智能卡、生物特征都属于认证因素。
授权
认证通过后,系统才判断主体可以访问哪些客体、执行哪些操作。常见模型包括 DAC、MAC、RBAC。
审计与可问责性
审计记录主体活动。只有身份唯一、认证可靠、日志完整,组织才能把行为追溯到具体主体,形成可问责性。
三、CISSP 判断规则
- 看到“证明是谁”选 Authentication。
- 看到“允许做什么”选 Authorization。
- 看到“追踪责任”选 Accountability / Auditing。
- 不可否认性依赖可问责性、日志、数字签名、证书等机制。
四、常见陷阱
- Authentication 不等于 Authorization。
- 共享账号会破坏可问责性。
- 只有日志而没有唯一身份,仍然难以问责。
五、英文关键字
Identification (身份标识) 定义:声明自己是谁。 Authentication (身份认证) 定义:验证身份声明是否有效。 Authorization (授权) 定义:决定主体可以访问什么、执行什么操作。 Auditing (审计) 定义:记录和检查主体活动。 Accounting (记账) 定义:记录使用情况并支持追踪。 Accountability (可问责性) 定义:能把行为追溯到唯一主体。
考试判断:共享账号会破坏可问责性。 Non-repudiation (不可否认性) 定义:主体不能否认已执行的行为。
考试判断:共享账号会破坏可问责性。 Non-repudiation (不可否认性) 定义:主体不能否认已执行的行为。
小测验
1. 用户输入用户名是在执行哪个步骤?
用户名用于声明身份,属于 Identification。验证密码或证书才是 Authentication。
2. 系统判断用户是否可以读取某份文件,属于哪个步骤?
判断主体能否访问客体是 Authorization。
3. 哪种做法最直接削弱可问责性?
共享账号无法把行为可靠追溯到唯一个人,因此削弱 Accountability。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成