cissp相关控制方向

  物理控制（Physical Controls）证件、十字转门（Turnstiles。使用锁、门、警卫等手段限制对物理资源的访问，对大部分的组织来说，部署所有可用的访问控制手段是既不经济也没有必要的。因此，组织必须在需要部署的访问控制手段和可用的访问控制手段之间进行平衡，并最终使访问控制手段的部署满足组织的安全策略。 　　

  理解访问控制手段之系统访问，为了让大家更容易理解各种访问控制手段，我们可以根据控制的对象把它们分成两类：系统访问和数据访问。我们先来看系统访问。 　　

  针对系统访问的访问控制用于限制或控制对系统资源的访问，它的流程包括对系统资源访问者身份的识别和身份验证，也即识别（Identification）和验证（Authentication）流程。 　　

  我们在日常工作中常常需要做的输入用户名、输入密码， 这个过程便是用户的身份识别和验证过程。在识别和验证流程中，用户首先必须让系统知道访问者是谁，通常情况下这一步是由用户提供他在系统中的用户名，接下去的步骤是由系统根据用户所提供的信息来验证第一步。在这里要提醒一下，不要把验证（Authentication）和授权（Authorization）这两个单词所弄混了，验证是确认用户的身份正确，而授权的动作发生用户身份识别和验证之后，确认用户可以做什么不可以做什么。 　　

  身份识别的功能，身份识别是所有信息系统安全功能的基础，信息系统内的所有实体都必须有一个唯一的标识以与其他实体相区别。

  唯一的身份标识是访问控制流程的重要组成部分，它提供如下功能： 　　

  1、确认用户的身份。　　

  2、与日志审计功能结合以提供审计能力(accountability) 　　

  逻辑控制（Technical/Logical Controls）。　

  访问控制软件，如防火墙、代理服务器等，反病毒软件、密码控制 　　智能卡/生物识别/证件、加密、拨号回呼系统、日志审计、入侵检测系统。 　　

  管理控制（Administrative Controls）安全策略和流程、安全意识训练、职责分离、安全回顾和审计、职责轮换、人员雇佣和解雇策略、安全保密协议、背景检查

  用户需要对自己的行为负责提供用户行为追踪能力