D5-07 6–8 分钟 重要程度:高
最小权限、知其所需、职责分离与会话控制
IAM 不只认证,还要限制已认证主体能做什么。最小权限、知其所需、职责分离和会话控制可降低滥用风险。
一、必须记住
- Least privilege 只授予完成任务所需的最低权限。
- Need to know 即使有许可,也只访问工作需要的数据。
- Separation of duties 避免单人完成高风险流程。
- Constrained interface 限制用户可执行或可见功能。
- Content-dependent control 根据资料内容限制访问,例如数据库视图。
- Context-dependent control 根据活动、时间、位置或流程状态限制访问。
- 会话管理要防止认证后未授权使用,例如锁屏、超时和重新认证。
二、核心概念
权限约束
最小权限降低账号被滥用时的影响;知其所需要求即使主体具备许可,也只能访问任务所需资料。
职责分离
职责分离避免单一人员独立完成敏感交易,例如创建供应商和批准付款不应由同一人完成。
内容与上下文控制
内容相关控制依据数据内容限制访问;上下文相关控制依据时间、位置、步骤或先前行为决定是否允许访问。
三、CISSP 判断规则
- 问降低过度授权,优先 Least privilege。
- 问有许可但业务不需要,优先 Need to know。
- 问防止单人舞弊,优先 Separation of duties。
- 问用户界面隐藏不可用功能,优先 Constrained interface。
四、常见陷阱
- 最小权限不是不给权限,而是只给完成任务所需权限。
- 知其所需是额外限制,不等于分类许可本身。
- 会话超时和锁屏属于认证后保护,不是账号生命周期替代品。
五、英文关键字
Least privilege (最小权限) 定义:只授予完成任务所需的最低权限。 Need to know (知其所需) 定义:即使有许可,也只能访问工作需要的数据。 Separation of duties (职责分离) 定义:拆分敏感流程,避免单人完成高风险操作。 SOD (职责分离) 定义:Separation of Duties。 Constrained interface (受约束接口) 定义:根据用户权限限制可见功能和操作。 Content-dependent control (依赖内容的控制) 定义:根据数据内容限制访问。 Context-dependent control (依赖上下文的控制) 定义:根据时间、位置、活动或流程状态限制访问。 Session management (会话管理) 定义:管理认证后会话,防止未授权继续使用。
小测验
1. 某员工有机密许可,但某项目与其工作无关,因此不应访问该项目资料。最符合哪个原则?
知其所需要求主体只访问工作任务需要的数据。
2. 防止同一人同时创建供应商并批准付款,最符合?
职责分离避免单人完成高风险流程。
3. 应用根据角色隐藏用户无权执行的按钮,属于?
受约束接口限制用户可见和可执行功能。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成