本文目录导读:

CISP-AM(注册信息安全专业人员-访问管理)认证涉及的是访问控制与身份管理的专业知识,关于CISP-AM访问管理策略,通常涵盖策略制定、模型选择、技术实现及运维审计等多个方面。
以下是基于CISP-AM知识体系整理的访问管理策略核心要点:
策略制定的基本原则
- 最小权限原则:用户或系统进程仅被授予完成其任务所必需的最小权限。
- 职责分离原则:将敏感操作(如创建用户、授权、审批与审计)分配给不同人员,防止利益冲突或滥用权限。
- 默认拒绝原则:所有访问请求默认被拒绝,除非有明确授权。
- 权限需审批原则:任何权限的授予、变更或撤销均需经过正式审批流程。
核心策略内容(CISP-AM关注点)
一个完整的访问管理策略应包含以下7大模块:
身份生命周期管理策略
- 账号注册与创建:统一身份源(如HR系统)自动同步或强身份验证后创建。
- 账号变更与回收:员工转岗、离职或合同到期时,账号权限必须同步冻结或删除。
- 僵尸账户与共享账户:禁止或严格控制共享账户,定期清理僵尸/测试账户。
认证策略
- 多因子认证:对管理员、远程访问、高风险系统强制使用MFA(如动态令牌、生物识别)。
- 密码策略:复杂度、长度(建议12位以上)、有效期、历史记录及登录失败锁定(如5次锁定15分钟)。
- 单点登录策略:统一认证入口,减少密码疲劳,但需确保安全传输与票据时效。
授权与访问控制策略
- 模型选择:
- DAC:适用于个人文件(较少用于企业核心系统)。
- MAC:适用于涉密或高安全等级系统。
- RBAC:主流模型,按角色(如“财务部经理”)授权,而非按用户个人。
- ABAC:动态策略,结合用户属性、资源属性、环境条件(如IP、时间)进行决策。
- 企业级策略:实施零信任网络访问,所有访问先认证、后授权。
特权账户管理策略
- PAM核心:对管理员、root、DBA等特权账号进行管理。
- 关键要求:
- 密码自动轮换(每48-72小时或每次使用后)。
- 会话完全记录与回放(键盘记录、屏幕录像)。
- 临时授权(Temporary Privilege Elevation)。
- 特权账号审批与监控。
审计与合规策略
- 日志记录:记录所有身份创建、权限变更、登录成功/失败、特权操作。
- 定期审查:季度性或半年一次权限复核(用户-权限-角色对齐)。
- 索权报告:对“已离职但未销户”或“权限过大”的用户进行预警。
远程与移动访问策略
- 强制VPN或安全隧道。
- 设备合规性检查(是否越狱、是否安装杀毒软件)。
- 会话超时控制(15分钟无操作自动断开)。
异常行为检测与响应策略
- 监控异常登录(地理位置跳跃、非工作时间、暴力破解)。
- 建立UEBA基线,对异常访问行为实时告警与自动阻断。
策略实施的技术框架(CISP-AM常考)
- IAM系统:集中管理身份库、认证、SSO、生命周期。
- PAM系统:管理并为特权账户提供安全访问。
- 目录服务:如LDAP、Active Directory,作为权威用户源。
- API网关:对微服务架构下的API访问进行策略拦截与鉴权。
审核与更新的要点
- 定期策略符合性检查:内部审计或第三方评估。
- 应急变更流程:突发情况下(如安全告警)可快速降权或锁定账户。
- 策略文档化:所有策略需形成书面文档,并签署发布。
备考或实战建议)
在CISP-AM的理论或实际工作中,访问管理策略的核心是回答三个问题:
- 谁(身份):确保身份唯一、可信、统一。
- 能做什么(权限):严格遵循最小权限、职责分离。
- 在什么条件下(环境):结合时间、地点、设备、行为异常等动态因素。
一个完整的策略必须包含:管理目标、适用范围、具体规则(认证/授权/审计)、角色职责分工、违规处罚、合规审查周期。
如果你需要针对特定场景(如云环境、工业控制系统等)的细化策略,请提供具体方向,我可以展开说明。