2013年11月1日 星期五

CISSP 領域重要名詞釋疑 - AAA 與 Nonrepudiation


Identity and Authentication, Authorization, and Accountability
單詞AAA也經常被使用,描述了 驗證、授權、記錄 的概念。跳脫AAA縮寫指的就是 身分確認 ,身分驗證之前會要求這三個A被落實。

Identity and Authentication (身分確認與驗證)
驗證身分的聲稱:假如你的名字叫做X,你聲稱你自己叫做X。此種身分單一確認是薄弱的,因為並未加以證實。你可以同時聲稱你自己是Y。證實一個身分稱之為驗證,你可以驗證你自己的身分,通常會提供額外資訊或是獨有的物件,例如:密碼以及護照。
通常在機場做通關時,登機員會問你的名字(身分)。你可以說你喜歡的任何事情,但是你對於近期相貌的說謊會產生問題:登機原會要求出示駕照或是護照。換句話說,他們想要藉此驗證你的身分。

有一個使用者Deckard想要在ericconrad.com登入他的電子郵件帳號。他鍵入了”deckard”在使用者名稱欄位上;這代表他在此系統上的身分。需要注意的是Deckard可以輸入任何東西在使用者欄位框上,但此一識別是薄弱的。如果他需要證實身分,則需要驗證。Deckard之後輸入了密碼”R3plicant”。這在ericconard.com系統上是一個正確的密碼,所以Deckard的身分可以被證實並且讓他進行登入。


Authorization (授權)
授權描述了你可以在系統上所執行的動作,當你已驗證與已授權。動作包含了 讀取、寫入、執行檔案與程式
假設你是公司裏面的一個資訊主管管理人力資源資料庫,你需要授權你自己與少數的員工去查閱資料庫(例如:病假與請假資訊)。你不應該被授權去看CIO的薪資。

使用者Deckard身分驗證與授權自己,並且登入該系統。他使用Linux的Cat指令去查看sebastion-address.txt檔案。Deckard是被受全去檢視該份檔案,所以具該權限是理所當然的。Deckard接著試著去看/etc/shadow,這裡存放著使用者的加密密碼。Deckard沒有被授權去檢視該檔案,因此拒絕存取。

Accountability (記錄稽核)
記錄掌握使用者所有可記錄的行動。這通常藉由登入及分析稽核資料。強制執行記錄可以幫助維持誠實者誠實。對某些使用者而言,了解資訊蒐集並不足以提供記錄;他們總是知道資料是被搜集且被稽核的,制裁可能導致違反政策。

一間健全的公司Kaiser Permanente在2009年針對違反政策(違反HIPPA條款《健康保險可攜與責任法》)的員工,開除並影響了超過20名員工後(他們非法檢視了Nadya Suleman好萊塢演員的用藥紀錄),執行強制記錄。詳見http://www.scmagazineus.
com/octomoms-hospital-records-accessed-15-workers-fired/article/129820/
光是蒐集資料是不足的,查明侵犯與制裁違法者也是必須的

Nonrepudiation (不可否認性)
不可否認性意指使用者不能否認已執行過的交易。它包含了授權以及完整性:不可否認性授權一個驗證身分的使用者執行交易,並且確保交易的完整性。你必須同時具有授權與完整性才具有不可否認特質:證實你簽署了一份汽車購買合約(驗證身分就是購買者)是沒有用的,如果你的汽車經銷商能夠更改價錢從20,000到40,000(合約違反資料完整性)。

沒有留言: