CISSP的成长之路（十七）：复习访问控制

一、威胁的分类

访问控制通常部署在信息设施中，对信息处理环境——系统（包括硬件、操作系统和应用程序）、网络平台及连接（Intranet、Extranet和Internet）提供保护。除此之外，访问控制还对物理环境，诸如建筑物的入口、计算机中心，乃至特定的个人工作站。要更深入了解访问控制，必须先了解影响系统资源的各种威胁，单从保密性、完整性和可用性三者的层次上来说，这些威胁可以分类成：

保密性威胁：指某个实体，包括个人、程序或计算机获取对敏感信息的访问权。保密性威胁是访问控制针对的主要威胁类型之一。
完整性威胁：指某个实体未经授权访问并影响系统资源，另外一种完整性威胁的表现形式是实体未经授权的对系统资源进行添加或修改。完整性威胁也是访问控制针对的主要威胁类型之一。
可用性威胁：指系统中的某个资产被摧毁、使之不 可用或变得无用。

二、常见威胁列表

仅仅从C-I-A这个层次上去了解威胁的类型是远远不够的，我们在日常工作中所遭遇到的威胁往往更具体更技术化。下面J0ker再列举一下具体的威胁例子以帮助大家对访问控制所涉及的威胁有更深入的了解，当然，因为IT技术和威胁都在迅速的发展，J0ker不可能给出一个十分完整的威胁列表，下面所举出的例子，更多的是为了让大家了解常见威胁及其内容，并了解这些常见威胁属于哪种影响系统的威胁类型。另外，J0ker是按照这些威胁的英文单词顺序来列的，而非它们的重要程度或出现频率。

缓冲区溢出（Buffer Overflow）： 缓冲区溢出是软件中最古老也最常见的问题，它是因为一个程序所获得的输入超出了它缓冲区的容量，导致程序出现异常并改变运行路径。缓冲区溢出通常会导致恶意代码的插入执行或程序获得管理员权限。缓冲区溢出属于破坏保密性和可用性的威胁。
隐蔽信道（Convert Channel）：隐蔽信道指违反组织安全策略的隐蔽的数据传输路径，通常出现在两个或多个用户共享信息时。隐蔽信道包括时间信道（Timing Channel）和存储信道（Storage Channel）。隐蔽信道属于破坏保密性的威胁。
数据残余（Data Remanence）：数据残余指在磁盘存储设备被消磁或数据被覆盖后，磁盘上仍存在的可被读出的数据。这些残余的数据可能会被有意或无意读出，并导致泄密。数据残余属于破坏保密性的威胁。
垃圾回收（Dumpster Diving）：垃圾回收指攻击者通过翻找组织的垃圾桶，并在其中获得诸如用户名、密码等有价值信息的攻击手法。垃圾回收属于破坏保密性的威胁。
监听（Eavesdropping）：指攻击者使用软件（如嗅探器等）监听网络，或使用设备对电信网络中所传输的数据进行监听的活动。监听属于破坏保密性的威胁。
电磁侦听（Emanations）：指攻击者使用特殊的设备，对目标硬件设备散发出来的电磁辐射、各种无线网络的信号等进行获取并还原的行为。电磁侦听属于破坏保密性的威胁。
黑客（Hacker）：黑客通常指通过技术手段获得非授权的系统访问，黑客有多种类型，如白帽黑客（White-Hat，合法的漏洞研究者）、黑帽黑客（Black-Hat，通过攻击来炫耀自己的技术人员）、恶意黑客（Malicious Hacker，会导致危害或损失的攻击者），通常我们常说的黑客，指的就是恶意黑客。
身份伪造（Impersonation）：指攻击者伪装自己成为一个授权用户以获得未授权访问。身份伪造属于破坏保密性的威胁。
内部入侵者（Internal Intruder）：指组织内部人员使用外部入侵者的手法对组织的敏感信息进行未授权访问。通常可以分为两种类型：授权用户尝试去访问没有得到授权的信息或资源；授权用户尝试物理访问没有得到授权的设备。内部入侵者属于破坏保密性的威胁。
处理能力损失（Loss of processing capability）：指由于系统由于有意或意外的破坏停止进行信息处理。处理能力损失属于破坏可用性的威胁。
恶意代码（Malicious Code）：指可以违反安全策略访问系统或获得最高系统权限的代码。恶意代码威胁还会在下面的文章中详细介绍。
中间人攻击（Man in the middle）：指攻击者在网络中拦截并重定向数据通讯，以期获取数据通讯中的敏感信息。中间人攻击属于破坏保密性的威胁。
移动代码（Mobile Code）：指通过网络从一个服务器上传输到客户端，并在客户端上执行的可执行内容，Java和VB script便是很好的例子。
目标重用（Object Reuse）：指某个实体（用户、程序等）可以访问前一个实体访问磁盘、内存、临时文件等留下的信息，造成敏感信息的未授权访问。目标重用属于破坏保密性的威胁。
密码破解（Password Cracker）：指专用于在密码文件里面获取加密密码的软件或程序，如果未授权用户能够对密码文件进行访问，就有可能通过破解密码文件内保持的密码，从而获得对敏感信息的访问权限。
物理访问（Physical Access）：指对信息处理设施，如网络设备、主机、设施附属设施的物理访问。物理访问控制在物理安全CBK中会有详细介绍。
重放（Replay）：指攻击者通过在在网络中捕获数据包并重新发送给目标主机以获得未授权的访问。重放攻击属于破坏保密性和完整性的威胁。
嗅探器（Sniffer）：指能够在网络上读取或捕获数据包的软件工具，攻击者通常使用嗅探器来获得敏感信息。嗅探器属于破坏保密性的威胁。
IP欺骗（Spoofing）：指攻击者通过IP欺骗获取只验证客户端IP的服务器访问权限。IP欺骗属于破坏保密性的威胁。
社会工程学（Social Engineering）：指未授权用户通过欺骗授权用户以获取对敏感信息访问的行为。
间谍行为（Spying）：指攻击者通过诸如窃听、摄像等高科技手段来获取敏感信息的活动。间谍活动属于破坏保密性的威胁。
针对性数据挖掘（Targeted data mining）：指通过搜索数据库的可读信息，并根据可读信息推断出敏感信息内容的行为。针对性数据挖掘属于破坏保密性的威胁。
后门（Trapdoor）：指系统开发者在系统程序中留下的可供其不经过验证就访问系统资源的功能。后门属于破坏保密性的威胁。
隧道（Tunneling）：指跳过系统所提供的功能，直接访问底层设备的技术。隧道技术在使用底层访问方法的同时也跳过了系统的访问控制功能。隧道技术属于破坏保密性的威胁。

以上所列的只是常见的威胁保密性和完整性的威胁，而对于威胁可用性的拒绝服务威胁，和无法明确区分威胁类型的恶意代码，在下面的内容中J0ker还会继续介绍。在CISSP考试中，常常会考察以上威胁的概念和分类，有时候也会考察某个特定威胁的防御方法。