详述安全威胁控制手段

  在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《详述网络威胁类型》里，J0ker给大家介绍了威胁信息资产保密性、完整性和可用性的各种威胁。控制对信息资源的访问，是防御这些威胁的有效手段，因此，J0ker打算在下面的几个文章里，详细的向大家介绍CISSP访问控制CBK里的威胁控制手段、以及现有的技术和工具。 　

  传统上，访问控制的手段可以分成管理访问控制（Administrative Access Control，包括人员控制）、物理访问控制（Physical Access Control）和逻辑访问控制（Logical Access Control），它们都是通过限制对信息系统及资源的访问来实现控制的。 　　

  管理访问控制手段主要是从管理层面上进行限制，如组织的安全策略及信息系统使用流程。在管理访问控制手段中还包括针对人员的控制（Personnel Control），人员控制主要是通过在招聘员工时的背景检查和签署安全保密协议，来确保能够访问到信息系统和资源的人员的可靠性。 　　

  物理访问控制包括锁和证件等有形的物件，而逻辑访问控制就是安装在信息系统内，作为信息系统的一部分发挥访问控制作用的手段，如反病毒软件、密码限制手段和加密技术等。

  下面是访问控制手段的一些实现的列表：

  1、逻辑控制（Technical/Logical Controls）访问控制软件，如防火墙、代理服务器等，反病毒软件、密码控制、智能卡/生物识别/证件 　　加密、拨号回呼系统、日志审计、入侵检测系统 　　

  2、管理控制（Administrative Controls）安全策略和流程、安全意识训练、职责分离、安全回顾和审计、职责轮换、人员雇佣和解雇策略、安全保密协议、背景检查。

  3、用户需要对自己的行为负责，用户所使用的唯一个人标识在不同的场合有不同的叫法，比如登录ID（Logon ID）、用户ID(User ID)、账户号码(Account Number)等，但它最常见的叫法是用户名（User Name）——用户向系统提供用户名。