CISP-AM访问管理策略

wen 网络安全 1

本文目录导读:

CISP-AM访问管理策略

  1. 策略制定的基本原则
  2. 核心策略内容(CISP-AM关注点)
  3. 策略实施的技术框架(CISP-AM常考)
  4. 审核与更新的要点
  5. 总结(备考或实战建议)

CISP-AM(注册信息安全专业人员-访问管理)认证涉及的是访问控制与身份管理的专业知识,关于CISP-AM访问管理策略,通常涵盖策略制定、模型选择、技术实现及运维审计等多个方面。

以下是基于CISP-AM知识体系整理的访问管理策略核心要点

策略制定的基本原则

  1. 最小权限原则:用户或系统进程仅被授予完成其任务所必需的最小权限。
  2. 职责分离原则:将敏感操作(如创建用户、授权、审批与审计)分配给不同人员,防止利益冲突或滥用权限。
  3. 默认拒绝原则:所有访问请求默认被拒绝,除非有明确授权。
  4. 权限需审批原则:任何权限的授予、变更或撤销均需经过正式审批流程。

核心策略内容(CISP-AM关注点)

一个完整的访问管理策略应包含以下7大模块:

身份生命周期管理策略

  • 账号注册与创建:统一身份源(如HR系统)自动同步或强身份验证后创建。
  • 账号变更与回收:员工转岗、离职或合同到期时,账号权限必须同步冻结或删除。
  • 僵尸账户与共享账户:禁止或严格控制共享账户,定期清理僵尸/测试账户。

认证策略

  • 多因子认证:对管理员、远程访问、高风险系统强制使用MFA(如动态令牌、生物识别)。
  • 密码策略:复杂度、长度(建议12位以上)、有效期、历史记录及登录失败锁定(如5次锁定15分钟)。
  • 单点登录策略:统一认证入口,减少密码疲劳,但需确保安全传输与票据时效。

授权与访问控制策略

  • 模型选择
    • DAC:适用于个人文件(较少用于企业核心系统)。
    • MAC:适用于涉密或高安全等级系统。
    • RBAC:主流模型,按角色(如“财务部经理”)授权,而非按用户个人。
    • ABAC:动态策略,结合用户属性、资源属性、环境条件(如IP、时间)进行决策。
  • 企业级策略:实施零信任网络访问,所有访问先认证、后授权。

特权账户管理策略

  • PAM核心:对管理员、root、DBA等特权账号进行管理。
  • 关键要求
    • 密码自动轮换(每48-72小时或每次使用后)。
    • 会话完全记录与回放(键盘记录、屏幕录像)。
    • 临时授权(Temporary Privilege Elevation)。
    • 特权账号审批与监控。

审计与合规策略

  • 日志记录:记录所有身份创建、权限变更、登录成功/失败、特权操作。
  • 定期审查:季度性或半年一次权限复核(用户-权限-角色对齐)。
  • 索权报告:对“已离职但未销户”或“权限过大”的用户进行预警。

远程与移动访问策略

  • 强制VPN或安全隧道。
  • 设备合规性检查(是否越狱、是否安装杀毒软件)。
  • 会话超时控制(15分钟无操作自动断开)。

异常行为检测与响应策略

  • 监控异常登录(地理位置跳跃、非工作时间、暴力破解)。
  • 建立UEBA基线,对异常访问行为实时告警与自动阻断。

策略实施的技术框架(CISP-AM常考)

  • IAM系统:集中管理身份库、认证、SSO、生命周期。
  • PAM系统:管理并为特权账户提供安全访问。
  • 目录服务:如LDAP、Active Directory,作为权威用户源。
  • API网关:对微服务架构下的API访问进行策略拦截与鉴权。

审核与更新的要点

  1. 定期策略符合性检查:内部审计或第三方评估。
  2. 应急变更流程:突发情况下(如安全告警)可快速降权或锁定账户。
  3. 策略文档化:所有策略需形成书面文档,并签署发布。

备考或实战建议)

在CISP-AM的理论或实际工作中,访问管理策略的核心是回答三个问题:

  1. 谁(身份):确保身份唯一、可信、统一。
  2. 能做什么(权限):严格遵循最小权限、职责分离。
  3. 在什么条件下(环境):结合时间、地点、设备、行为异常等动态因素。

一个完整的策略必须包含:管理目标、适用范围、具体规则(认证/授权/审计)、角色职责分工、违规处罚、合规审查周期。

如果你需要针对特定场景(如云环境、工业控制系统等)的细化策略,请提供具体方向,我可以展开说明。

抱歉,评论功能暂时关闭!