🔐 CISSP必修课⑤ | 身份认证与授权(官方核心考点完全拆解)
🌊 CISSP Domain 5 身份认证与授权 | 官方核心定位
📍 归属:Domain 5 身份与访问管理(Identity and Access Management, IAM),对应OSG第十版**第13章《Managing Identity and Access》**核心内容,同时覆盖Domain 3零信任架构、Domain 4网络安全接入、Domain 7安全运营的相关专项要求
🎯 考试权重:占Domain 5(15%总考试权重)的50%以上,是CISSP考试的核心必考模块,概念题、场景题、流程题占比极高,是IAM体系的两大核心支柱,也是零信任架构的底层核心逻辑
🔑 官方核心定位:身份认证与授权是访问控制体系的前后两个核心环节,二者缺一不可。
- 身份认证解决“你是谁”的问题,验证主体身份的真实性
- 授权解决“你能做什么”的问题,为已认证的合法主体分配匹配业务需求的访问权限
二者共同构成了企业数字访问的第一道安全闸门,是防范未授权访问、越权操作、内部威胁、数据泄露的核心技术基础
⚠️ 底层红线规则(考试不可突破)
a. 先认证,后授权:绝对禁止未完成身份真实性验证,就为主体分配权限、允许访问资源,这是最高频的错题红线
b. 认证与授权必须严格遵循最小特权、职责分离、默认拒绝三大核心原则,无原则例外
c. 高风险场景必须强制启用多因素认证(MFA),单密码认证无法满足高安全等级要求
d. 认证与授权的全流程必须全程可审计、不可篡改,所有操作必须留存完整日志,满足合规最低留存要求
e. 零信任核心原则:认证与授权不基于网络位置(内网/外网),每一次资源访问都必须重新完成身份验证与授权校验,无永久默认信任
f. 授权必须与主体的业务生命周期完全同步,权限到期必须自动回收,禁止永久过度授权
📖 核心边界厘清与官方标准术语定义
🔍 认证与授权的核心边界(必考易错点)
绝大多数考试错题源于对二者的概念混淆,官方明确了二者的严格边界与先后顺序:
🔹 身份认证(Authentication)
- 官方核心定义:验证主体声称的身份是否真实、合法的过程,确认“你是不是你声称的那个人”
- 核心目标:防范身份伪造、假冒、冒充,确保访问主体的身份真实性
- 执行顺序:前置环节,必须先完成认证,才能执行授权
- 典型场景:账号密码登录、指纹解锁、证书校验、MFA验证
🔹 授权(Authorization)
- 官方核心定义:为已通过认证的合法主体,分配对客体的访问权限与操作范围的过程,确认“你能访问什么、能做什么”
- 核心目标:防范越权访问、权限滥用,确保主体仅能访问业务必需的最小资源
- 执行顺序:后置环节,仅对已通过认证的主体生效
- 典型场景:普通员工仅能访问办公系统、财务人员仅能访问财务系统、管理员仅能执行指定运维操作
📚 官方标准术语定义
1. 主体(Subject):发起访问请求的主动实体,包括员工、外包人员、设备、服务、应用、API等,是认证与授权的对象
2. 客体(Object):被主体访问的被动资源,包括文件、数据库、应用、系统、API、网络、设备等,是授权的目标对象
3. 凭证(Credential):用于验证主体身份真实性的材料,包括密码、数字证书、安全令牌、生物特征、私钥、一次性密码(OTP)等
4. 断言(Assertion):身份提供商(IdP)生成的、经过签名的身份验证结果,用于在不同系统之间传递主体的身份信息与授权属性,是联合身份认证的核心载体
5. 身份提供商(Identity Provider, IdP):负责主体身份认证、身份信息管理的可信系统,是联合身份体系的核心组件
6. 服务提供商(Service Provider, SP):提供业务资源、应用服务的系统,依赖IdP的身份断言结果,为主体分配访问权限
7. 最小特权原则(Least Privilege):仅授予主体完成本职工作必需的最小权限与最短生效时间,是授权的第一核心原则
8. 职责分离(Separation of Duties, SoD):将高风险操作的不同环节拆分给不同主体,禁止单个主体完成全流程操作,是授权环节的核心管控规则
9. 默认拒绝原则(Default Deny):访问控制默认拒绝所有请求,仅开放明确授权的权限与资源,是认证与授权的通用底层规则
10. 越权攻击:攻击者绕过授权控制,访问/操作超出自身权限范围的资源,分为水平越权(访问同级别其他主体的资源)与垂直越权(访问更高权限主体的资源),是授权环节的核心防范目标
🛡️ 第一部分:身份认证体系(必考核心内容)
🔑 模块1:身份认证的五大核心要素(官方标准分类)
OSG第十版明确了身份认证的5类核心要素,所有认证方式均归属这五大类,多因素认证必须使用不同类别的要素,同一类别的多个要素不算多因素认证,这是考试最高频的易错点。
🔸 你知道什么(Something you know)
- 官方定义:只有主体本人知道的秘密信息
- 典型示例:密码、PIN码、安全问题答案、passphrase
- 核心特点:成本最低、最易部署,也最容易被破解、窃取、钓鱼
- 考试考点:最基础的认证要素,单密码认证属于单因素认证,安全性最低
🔸 你拥有什么(Something you have)
- 官方定义:只有主体本人持有的物理/数字凭证
- 典型示例:硬件令牌、智能卡、U盾、手机SIM卡、数字证书、SSH密钥
- 核心特点:安全性远高于密码,凭证丢失/泄露才会被冒用,必须配合PIN码等要素实现多因素
- 考试考点:多因素认证的核心常用要素,硬件令牌是高安全场景的官方推荐方式
🔸 你是什么(Something you are)
- 官方定义:主体本人的生物特征,具有唯一性、不可复制性
- 典型示例:指纹、虹膜、人脸、掌纹、声纹、视网膜、静脉识别
- 核心特点:不可转借、不可丢失,用户体验好,存在生物特征泄露后无法重置的风险
- 考试考点:强认证要素,必须配合活体检测防范伪造,高安全场景必须使用
🔸 你在哪里(Something you are / Where you are)
- 官方定义:主体的物理位置、网络位置信息
- 典型示例:GPS定位、IP地址归属地、终端接入网段、物理门禁位置
- 核心特点:基于位置的动态认证要素,可用于限制异常位置的访问请求
- 考试考点:零信任动态认证的核心辅助要素,可用于防范异地异常登录
🔸 你做什么(Something you do)
- 官方定义:主体的行为特征、操作习惯,具有唯一性
- 典型示例:键盘敲击节奏、鼠标移动习惯、签名笔迹、操作行为模式
- 核心特点:基于行为的动态认证要素,可用于持续信任评估,防范身份冒用
- 考试考点:零信任持续认证的核心要素,用于会话过程中的动态身份校验
⚡ 考试高频红线规则
⚠️ 多因素认证(MFA)必须使用两个及以上不同类别的要素,比如“密码+硬件令牌”是双因素认证,而“密码+安全问题”属于同一类别,不算多因素认证,这是最高频的错题点
⚠️ 官方强制要求:特权账号、远程访问账号、敏感系统账号必须启用MFA,无例外
⚠️ 单因素认证(仅密码)安全性最低,禁止用于高安全场景
🎯 模块2:官方标准认证类型与适用场景
🔸 单因素认证
- 官方核心定义:仅使用一类认证要素完成身份验证
- 核心特点:部署简单、用户体验好,安全性极低,易被破解、钓鱼
- 官方推荐适用场景:仅适用于无敏感数据的公开低风险场景,官方不推荐用于企业内部业务系统
🔸 双因素认证(2FA)
- 官方核心定义:使用两类不同的认证要素完成身份验证
- 核心特点:安全性大幅提升,是企业级场景的最低安全标准
- 官方推荐适用场景:企业员工办公系统登录、VPN远程访问、普通业务系统
🔸 多因素认证(MFA)
- 官方核心定义:使用三类及以上不同的认证要素完成身份验证
- 核心特点:安全性极高,部署成本高,用户体验相对复杂
- 官方推荐适用场景:特权账号登录、核心敏感系统、金融交易、涉密系统等高安全场景
🔸 持续认证
- 官方核心定义:会话过程中,基于主体的行为、位置、终端状态等要素,持续动态校验身份真实性
- 核心特点:突破“一次登录、全程信任”的传统模式,可实时发现身份冒用,是零信任架构的核心认证模式
- 官方推荐适用场景:零信任架构、远程办公、高敏感业务系统、移动办公场景
🔸 匿名认证
- 官方核心定义:仅验证主体的访问权限合法性,不收集/验证主体的真实身份信息
- 核心特点:保护用户隐私,无法实现审计追责
- 官方推荐适用场景:公开服务、匿名访问场景,禁止用于企业内部业务系统
🔸 联邦身份认证
- 官方核心定义:基于跨组织的信任关系,通过可信的IdP完成身份认证,实现一次认证、跨系统/跨企业访问
- 核心特点:无需在多个系统重复创建身份,用户体验好,权限集中管控
- 官方推荐适用场景:跨企业合作、多云平台访问、企业SSO单点登录、互联网应用跨平台登录
🔐 模块3:官方主流认证协议深度拆解(必考重点)
OSG第十版明确了企业级场景的主流认证协议,每个协议的工作层级、核心功能、适用场景、安全特性必须精准区分,是考试场景题的核心出题区。
🔑 1. Kerberos协议
🎯 官方核心定位:企业内网单点登录(SSO)的行业标准认证协议,基于对称加密体系,是Windows AD域环境的核心认证协议,工作在应用层。
🔹 核心组件(必考)
- KDC(密钥分发中心):Kerberos的核心可信第三方,包含两大组件:
- AS(认证服务):负责验证主体的初始身份,发放TGT(票据授予票据)
- TGS(票据授予服务):负责验证TGT,为主体发放访问特定服务的ST(服务票据)
- 客户端(主体):发起访问请求的用户/服务
- 应用服务器(客体):提供业务服务的资源服务器,信任KDC签发的服务票据
🔹 标准认证流程(必考)
- 客户端向AS发送身份认证请求,AS验证身份后,使用客户端的密钥加密TGT,返回给客户端
- 客户端解密获得TGT,向TGS发送TGT与服务访问请求,TGS验证TGT有效性后,发放对应服务的ST(服务票据)
- 客户端向应用服务器发送ST,服务器验证ST有效性后,允许客户端访问服务
- 可选双向认证:服务器向客户端证明自身身份,防范伪造服务器
🔹 核心安全特性
- 全程无需在网络中传输密码,仅传输加密的票据,防范密码窃听
- 票据有固定的生命周期,到期自动失效,防范重放攻击
- 支持双向认证,同时验证客户端与服务器的身份
- 实现企业内网单点登录,一次认证即可访问多个授权服务
🔹 考试高频考点
- Kerberos的核心是票据机制,基于对称加密体系
- 必须实现时钟同步,所有节点的时钟偏差不能超过5分钟,否则票据会失效,防范重放攻击
- 单点故障风险:KDC是整个体系的核心,一旦宕机,所有认证都会失败
- 核心易错点:Kerberos仅解决身份认证问题,不直接解决授权问题,授权由应用服务器基于身份信息执行
🔑 2. SAML 2.0(安全断言标记语言)
🎯 官方核心定位:企业级联邦身份认证与单点登录的XML标准协议,工作在应用层,主要用于Web应用的跨域、跨企业单点登录。
🔹 核心组件
- 身份提供商(IdP):负责身份认证,生成身份断言
- 服务提供商(SP):信任IdP的断言,为用户提供服务访问权限
🔹 核心工作流程
- 用户访问SP的Web应用,SP将用户重定向到可信的IdP
- IdP完成用户的身份认证,生成经过数字签名的SAML断言(包含用户身份信息、授权属性)
- IdP将SAML断言返回给用户浏览器,再转发给SP
- SP验证SAML断言的签名与有效性,确认用户身份合法后,为用户分配访问权限,允许用户登录应用
🔹 核心安全特性
- 基于数字签名实现断言的不可伪造、不可篡改,防范中间人攻击
- 实现跨企业、跨平台的联邦身份认证,无需在SP重复创建账号
- 身份凭证仅在IdP与用户之间传递,SP不会获取用户的密码等敏感凭证
- 支持基于断言的属性授权,SP可基于断言中的属性分配精细化权限
🔹 考试高频考点
- SAML 2.0是企业级Web应用联邦SSO的官方标准,主要用于浏览器场景
- 核心是基于XML的身份断言,通过数字签名保障真实性
- 核心易错点:SAML同时传递身份信息与授权属性,但核心功能是身份认证,授权由SP最终执行
🔑 3. OAuth 2.0 与 OIDC
🎯 官方核心定位与区别(必考易错点)
🔸 OAuth 2.0
- 官方核心定位:开放授权框架,不是身份认证协议
- 核心功能:实现用户对第三方应用的权限委托,允许第三方应用在不获取用户密码的前提下,访问用户在资源服务器上的限定资源
- 适用场景:互联网应用第三方登录授权、API权限委托、微服务之间的权限调用
- 考试红线规则:绝对不能将OAuth 2.0单独作为身份认证协议使用,这是最高频错题点
🔸 OIDC(OpenID Connect)
- 官方核心定位:基于OAuth 2.0的身份认证层协议
- 核心功能:在OAuth 2.0的授权框架基础上,增加了标准化的身份认证功能,通过ID Token传递用户身份信息
- 适用场景:现代互联网应用、移动端应用、云原生应用的联合身份认证与单点登录
- 官方推荐:现代应用身份认证标准,是OAuth 2.0的身份认证扩展
🔹 OAuth 2.0核心角色
- 资源所有者:用户,拥有资源的访问权限
- 客户端:第三方应用,请求访问用户的资源
- 授权服务器:负责验证用户身份,发放授权令牌
- 资源服务器:存储用户资源,验证授权令牌的有效性,提供资源访问
🔹 OAuth 2.0官方推荐授权模式
- 授权码模式:官方推荐的最安全模式,适用于有后端服务的Web应用,通过后端服务交换令牌,避免令牌在前端泄露
- PKCE增强授权码模式:适用于移动端、单页应用等无后端服务的公共客户端,防范授权码拦截攻击
- 客户端凭证模式:适用于服务之间、微服务之间的机器对机器(M2M)认证,无用户参与
- 资源所有者密码模式:官方不推荐,仅适用于高度信任的内部应用,会暴露用户密码给客户端
- 隐式模式:官方明确不推荐,令牌直接返回给前端,极易泄露,已被淘汰
🔹 考试高频考点
- 核心红线:OAuth 2.0是授权框架,不是身份认证协议,OIDC才是基于OAuth 2.0的身份认证协议
- 授权码模式是官方推荐的最安全模式,隐式模式已被淘汰
- 核心适用场景:第三方应用的权限委托,无需向第三方暴露用户密码
🔑 4. RADIUS 与 TACACS+
🎯 官方核心定位:网络设备接入、VPN、无线接入的集中式认证、授权、审计协议,是网络访问控制的核心认证协议,二者的区别是必考区分题。
🔸 RADIUS
- 传输协议:UDP 1812(认证)、1813(计费)
- 核心特性:
- 合并认证与授权功能,审计功能较弱
- 仅加密用户密码字段,报文头部不加密
- 跨厂商通用,是网络接入的行业标准
- 官方安全评级:中等安全
- 适用场景:通用网络接入、无线AP、普通VPN、家用/中小企业网络设备接入
🔸 TACACS+
- 传输协议:TCP 49
- 核心特性:
- 完全分离认证、授权、审计三大功能,可精细化管控
- 对整个报文全加密,安全性远高于RADIUS
- 思科私有协议,适配企业级设备管理场景
- 官方安全评级:高安全,官方推荐
- 适用场景:企业级网络设备管理、特权账号运维、高安全等级的设备接入场景
🔹 考试高频考点
- 核心区别:TACACS+完全分离认证/授权/审计,全报文加密;RADIUS合并认证与授权,仅加密密码
- TACACS+使用TCP,RADIUS使用UDP
- TACACS+更适合设备管理场景,RADIUS更适合通用网络接入场景
🔑 5. 其他核心认证协议
1. LDAP/LDAPS
- 官方定义:轻量级目录访问协议,LDAPS是加密版本,工作在应用层
- 核心用途:企业级统一身份目录的核心协议,用于存储身份信息、角色信息、权限属性,是Kerberos、SAML等协议的底层身份数据库
- 安全要求:明文LDAP必须禁用,替换为LDAPS(636端口)
2. 802.1X
- 官方定义:数据链路层的端口级网络访问控制标准,基于EAP可扩展认证协议,用于有线/无线网络的接入认证
- 核心组件:请求者(客户端)、认证者(交换机/AP)、认证服务器(RADIUS/TACACS+)
- 适用场景:企业内网接入、无线接入的官方推荐认证标准
3. PAP/CHAP
- PAP:明文密码认证,完全不安全,官方禁用
- CHAP:挑战握手认证协议,基于哈希校验,不传输明文密码,安全性高于PAP,已被更安全的EAP协议替代
🛡️ 第二部分:授权体系(必考核心内容)
🔑 模块1:授权的官方核心原则
授权环节必须严格遵循以下6项核心原则,是场景题中判断授权设计是否合规的核心依据,与身份全生命周期管理的原则完全对齐。
1. 最小特权原则:仅授予主体完成本职工作必需的最小权限、最小范围、最短生效时间,禁止过度授权、永久授权,是授权的第一核心原则
2. 默认拒绝原则:访问控制默认拒绝所有请求,仅开放明确授权的资源与操作,禁止默认允许所有访问、仅封禁违规内容的设计
3. 职责分离原则:将高风险操作的不同环节拆分给不同主体,禁止单个主体完成全流程操作,分为两类:
- 互斥职责:同一个人不能同时承担两个互斥的岗位,比如出纳与会计、开发与投产、申请与审批
- 功能分离:同一个人不能完成高风险操作的全流程,比如密钥恢复必须双人授权、配置变更必须双人复核
4. 最小攻击面原则:仅开放业务必需的资源访问权限,关闭所有非必需的操作权限,缩小主体可访问的资源范围,减少攻击面
5. 权限与生命周期同步原则:权限必须与主体的业务生命周期完全同步,岗位变动时回收旧权限,业务结束/离职时全量回收所有权限,禁止权限蠕变
6. 全程可审计原则:所有权限的申请、审批、分配、变更、回收操作必须全程留痕,所有权限的使用行为必须记录完整日志,可审计、可溯源
🔓 模块2:官方标准授权模型(必考区分题)
OSG第十版明确了6类主流授权模型,每个模型的核心逻辑、适用场景、安全等级必须精准区分,是考试的核心出题区。
🔸 DAC(自主访问控制)
- 官方核心定义:资源的所有者可自主决定将资源的访问权限分配给哪些主体
- 核心逻辑:权限管控的主体是资源所有者,所有者可自主分配、修改、回收权限,系统不强制干预
- 安全等级:低
- 典型适用场景:普通办公系统、个人文件共享、非敏感业务场景
- 考试高频考点:核心特点是资源所有者自主分配权限;是最基础、最灵活的授权模型,安全性最弱
🔸 MAC(强制访问控制)
- 官方核心定义:系统基于安全标签,强制控制主体对客体的访问,主体与客体都有固定的安全密级标签,用户无法自主修改权限
- 核心逻辑:基于“不上读、不下写”的BLP保密性模型,主体只能读取安全等级等于/低于自身的资源,只能写入安全等级等于/高于自身的资源;系统强制管控,不可绕过
- 安全等级:极高
- 典型适用场景:政府、军方、涉密系统、高安全等级关键信息基础设施
- 考试高频考点:核心特点是系统强制控制,用户无法自主修改权限;与DAC完全相反;核心目标是保障数据保密性
🔸 RBAC(基于角色的访问控制)
- 官方核心定义:以岗位/角色为核心,将权限与角色绑定,主体通过归属角色获得对应的权限,不直接给用户分配权限
- 核心逻辑:核心是“角色-权限”绑定,而非“用户-权限”直接绑定;人员变动仅需调整角色归属,无需批量修改权限;可实现职责分离、最小特权
- 安全等级:中高
- 典型适用场景:企业内部员工管理、标准化岗位场景、大中型企业内部系统,是当前最主流的授权模型
- 考试高频考点:考试最高频模型;核心是角色为核心;可有效防范权限蠕变;三大类型:核心RBAC、层级RBAC、受限RBAC
🔸 ABAC(基于属性的访问控制)
- 官方核心定义:基于主体属性、资源属性、环境属性、操作属性,通过动态策略决定是否授权访问
- 核心逻辑:动态细粒度授权,无需预定义角色,通过“如果-那么”的策略规则实现授权;比如“仅允许财务部门的员工,在工作时间、公司内网,访问财务系统的非涉密文件”
- 安全等级:高
- 典型适用场景:云平台、跨企业合作、零信任架构、动态业务场景、分布式微服务架构
- 考试高频考点:第十版重点强化模型;核心是动态策略、多属性决策;适配零信任“始终验证”原则;灵活性远高于RBAC
🔸 Rule-BAC(基于规则的访问控制)
- 官方核心定义:基于预定义的全局规则,决定是否允许访问请求
- 核心逻辑:也叫上下文相关访问控制,基于固定的规则执行授权,比如“仅允许8:00-18:00访问系统”“禁止来自境外IP的访问请求”
- 安全等级:中
- 典型适用场景:防火墙、网络访问控制、接入场景的规则化管控
- 考试高频考点:核心特点是基于固定规则的强制管控,通常与其他模型结合使用,而非单独使用
🔸 PBAC(基于策略的访问控制)
- 官方核心定义:企业级统一的授权策略框架,所有授权行为都遵循全局统一的安全策略,跨系统、跨平台统一执行
- 核心逻辑:是RBAC/ABAC/Rule-BAC的上层策略框架,实现企业级集中化的授权策略管控,确保所有系统的授权规则符合企业统一安全策略
- 安全等级:高
- 典型适用场景:大型企业、多云环境、分布式系统、跨平台业务场景
- 考试高频考点:核心是企业级统一策略管控,解决不同系统授权规则不一致的问题
⚡ 考试高频易错点
1. DAC与MAC的核心区别:DAC是所有者自主控权,MAC是系统强制控权,二者完全相反
2. RBAC与ABAC的核心区别:RBAC是静态的角色绑定,适合标准化岗位;ABAC是动态的多属性决策,适合复杂的动态场景
3. Rule-BAC是基于固定规则的上下文管控,通常作为其他模型的补充,而非独立的授权体系
🔄 模块3:授权的官方标准执行流程
1. 权限申请:主体基于业务需求,提交权限申请,明确申请的权限范围、有效期、申请事由
2. 多级审批:基于权限的风险等级,执行业务负责人、数据所有者、安全部门的多级审批,高风险权限必须最高级别审批
3. 权限分配:审批通过后,基于最小特权原则,为主体分配申请的最小权限,设置明确的有效期
4. 权限执行:主体访问资源时,系统校验主体的身份与权限,仅允许授权范围内的操作,默认拒绝所有未授权请求
5. 权限审计:定期开展用户访问评审(UAR),复核权限与业务需求的匹配度,清理冗余权限、违规权限
6. 权限回收:权限到期、岗位变动、业务结束、人员离职时,立即全量回收对应权限,禁用相关访问规则
🛡️ 零信任架构下的认证与授权(第十版重点强化内容)
OSG第十版明确,零信任架构的核心是以身份为中心的动态认证与授权,彻底打破“内网可信、外网不可信”的传统假设,官方定义了零信任认证与授权的三大核心要求:
1. 永不信任,始终验证:无论主体处于内网还是外网,每一次资源访问请求,都必须重新完成完整的身份认证与授权校验,没有永久的默认信任
2. 最小权限,按需授权:仅授予主体完成单次操作必需的最小权限,基于主体身份、设备健康、访问上下文、风险评分,动态调整授权范围,禁止永久全量权限
3. 持续信任评估,动态管控:会话过程中持续监控主体的行为、设备状态、访问上下文,动态评估信任等级,发现异常立即终止会话、撤销权限,实现持续认证与动态授权
🔧 零信任认证与授权的核心落地技术
🔸 SPA(单包授权):主体先向授权服务器发送一个加密的单包授权请求,验证通过后,才开放网络访问端口,实现“先认证、后连接”,隐藏业务资源,防止端口扫描与攻击
🔸 mTLS(双向TLS):客户端与服务器双向验证对方的数字证书,同时完成客户端与服务端的身份认证,是微服务、API场景的零信任核心认证技术
🔸 动态策略引擎:基于多维度属性,实时计算访问请求的风险评分,动态决定是否允许访问、分配对应的权限范围
🔸 持续信任评估:实时监控主体的行为、设备健康、访问模式,发现异常立即触发二次认证、缩小权限、终止会话
🎯 常见攻击与官方标准防护措施
🔴 针对身份认证的常见攻击与防护
🔸 密码破解攻击
- 官方核心定义:包括暴力破解、字典攻击、彩虹表攻击、撞库攻击,破解用户的密码凭证
- 官方标准防护措施:
- 强制强密码策略、密码定期轮换、禁止密码复用
- 启用账户锁定策略,限制失败登录尝试次数
- 强制启用MFA多因素认证
- 密码加盐哈希存储,禁止明文/弱哈希存储密码
🔸 钓鱼攻击
- 官方核心定义:通过伪造钓鱼网站、邮件、短信,诱导用户泄露账号密码、验证码、令牌
- 官方标准防护措施:
- 开展全员安全意识培训,识别钓鱼攻击
- 部署邮件安全网关、钓鱼防护工具
- 启用MFA,即使密码泄露也无法登录
- 禁用密码自动填充,防范钓鱼网站窃取密码
🔸 中间人攻击(MitM)
- 官方核心定义:攻击者插入通信双方之间,窃听、篡改认证报文,窃取凭证、伪造身份
- 官方标准防护措施:
- 全程启用TLS 1.2/1.3加密通信,禁用低版本协议
- 启用服务器证书强校验,禁止接受自签名/无效证书
- 使用Kerberos、SAML等带数字签名的认证协议,防范报文篡改
🔸 重放攻击
- 官方核心定义:攻击者截获合法的认证报文,在后续重新发送,伪造合法身份登录
- 官方标准防护措施:
- 认证报文添加时间戳、随机数、一次性会话ID
- 票据/令牌设置短生命周期,到期自动失效
- Kerberos等协议强制时钟同步,防范重放
🔸 Pass-the-Hash(哈希传递)
- 官方核心定义:攻击者窃取用户密码的哈希值,直接使用哈希值完成认证,无需破解明文密码
- 官方标准防护措施:
- 禁用LM/NTLM哈希认证,启用Kerberos认证
- 限制管理员账号的登录范围,禁止普通终端使用管理员账号登录
- 启用LSA保护,防范哈希值窃取
- 强制启用MFA
🔸 凭证填充攻击
- 官方核心定义:攻击者利用从其他渠道泄露的账号密码,批量尝试登录企业系统
- 官方标准防护措施:
- 启用泄露密码检测,禁止用户使用已泄露的密码
- 启用异常登录检测,防范异地、异常设备批量登录
- 强制启用MFA
- 限制单IP的登录请求频率
🔴 针对授权的常见攻击与防护
🔸 垂直越权攻击
- 官方核心定义:低权限主体绕过授权控制,访问/操作高权限主体的资源,比如普通用户访问管理员功能
- 官方标准防护措施:
- 严格遵循最小特权原则,默认拒绝所有访问
- 每一次操作都必须在服务端重新校验权限,不能仅在前端做权限控制
- 启用越权操作检测与告警
- 定期开展权限审计,清理过度授权
🔸 水平越权攻击
- 官方核心定义:同权限级别的主体,绕过授权控制,访问/操作其他同级别主体的资源,比如用户A查看用户B的个人信息
- 官方标准防护措施:
- 权限校验必须同时验证主体身份与资源归属,不能仅验证是否登录
- 启用数据级的访问控制,每一次数据访问都必须校验权限
- 最小化数据返回范围,禁止批量返回全量数据
- 启用异常访问行为检测
🔸 权限提升攻击
- 官方核心定义:攻击者利用系统漏洞、配置错误,将自身的低权限提升至高权限,获取系统管理员权限
- 官方标准防护措施:
- 严格遵循最小特权原则,禁止普通用户获得过度权限
- 及时修复系统、应用的权限提升漏洞
- 禁用普通用户的系统管理权限
- 实时监控权限变更、提权操作,触发告警
🔸 权限蠕变/过度授权
- 官方核心定义:主体岗位变动后,旧权限未回收,持续叠加新权限,最终获得远超业务需求的权限
- 官方标准防护措施:
- 岗位变动严格执行“先回收旧权限,再分配新权限”
- 定期开展用户访问评审(UAR),清理冗余权限
- 所有权限必须设置有效期,临时权限到期自动回收
- 基于RBAC模型实现标准化权限管控,禁止直接给用户分配权限
⚠️ 官方明确的常见误区纠正(考试高频错题点)
❌ 误区1:认证和授权是一回事,完成认证就等于完成了授权
✅ 官方纠正:认证和授权是两个完全独立的前后环节,认证解决“你是谁”,授权解决“你能做什么”;通过认证不代表拥有访问权限,必须完成授权校验才能访问资源,先认证后授权是不可突破的红线。
❌ 误区2:OAuth 2.0是身份认证协议,可以单独用于用户登录认证
✅ 官方纠正:OAuth 2.0是开放授权框架,核心功能是权限委托,不是身份认证协议,无法标准化验证用户身份;只有基于OAuth 2.0扩展的OIDC协议,才是标准化的身份认证协议,这是考试最高频的错题点。
❌ 误区3:密码+安全问题属于双因素认证
✅ 官方纠正:双因素认证必须使用两个不同类别的认证要素,密码和安全问题都属于“你知道什么”,属于同一类别,不算双因素认证;只有“密码+硬件令牌”“密码+指纹”这种不同类别的组合,才是合规的双因素认证。
❌ 误区4:RBAC模型已经过时,应该全部替换为ABAC模型
✅ 官方纠正:RBAC与ABAC没有绝对的优劣,只有适用场景不同;RBAC适合标准化的企业内部岗位场景,运维简单、标准化程度高;ABAC适合复杂的动态、跨组织、云原生场景,二者可以结合使用,而非完全替换。
❌ 误区5:内网环境下,一次认证通过后,整个会话期间无需再次验证身份与权限
✅ 官方纠正:这是传统边界架构的错误假设,零信任架构明确要求,无论内网还是外网,每一次资源访问都必须重新验证身份与授权,会话过程中必须持续评估信任状态,没有永久默认信任。
❌ 误区6:DAC模型中,系统可以强制控制用户的权限分配
✅ 官方纠正:DAC模型的核心是资源所有者自主分配权限,系统不会强制干预;只有MAC模型是系统强制控制权限,用户无法自主修改,二者的核心逻辑完全相反,不可混淆。
❌ 误区7:只要启用了MFA,就不会被账号盗用
✅ 官方纠正:MFA可以大幅提升账号安全性,但不是绝对安全,攻击者可通过钓鱼攻击、SIM卡劫持、木马窃取令牌等方式绕过MFA;必须结合设备健康校验、异常行为检测、持续信任评估,才能实现全面防护。
🔗 本知识点与其他知识域的官方关联
🔸 Domain 1 安全与风险管理:认证与授权是风险缓解的核心落地措施,是防范未授权访问、数据泄露、内部威胁的核心手段;认证与授权的策略必须符合企业安全治理与合规要求,最终责任由最高管理层承担
🔸 Domain 2 资产安全:授权的核心依据是资产分级分类,高敏感资产必须配套更严格的认证与授权管控;数据最小化原则直接决定了授权的范围与粒度
🔸 Domain 3 安全架构与工程:安全模型(BLP、Biba等)是授权模型的底层理论基础;密码学体系是认证协议、数字签名、加密通信的核心技术支撑
🔸 Domain 4 通信与网络安全:802.1X、RADIUS/TACACS+、VPN等网络接入认证,是网络安全架构的核心准入环节;零信任网络架构的核心是基于身份的认证与授权
🔸 Domain 5 身份与访问管理:认证与授权是IAM体系的两大核心支柱,身份全生命周期管理是认证与授权的前置基础,权限审计是生命周期管理的核心环节
🔸 Domain 6 安全评估与测试:认证绕过、越权漏洞、权限配置错误是渗透测试的核心内容;认证与授权体系的合规性审计是安全评估的核心环节
🔸 Domain 7 安全运营:认证异常行为监控、告警响应、事件处置、日志审计,是安全运营的核心日常工作;特权账号的认证与授权管控是运营的重点内容
🔸 Domain 8 软件开发安全:应用层的认证与授权控制是DevSecOps的核心组成部分,必须内置到软件开发生命周期中,防范越权漏洞、认证绕过等安全缺陷
🔚 总结
📌 CISSP Domain 5 身份认证与授权是企业安全的核心支柱,需要掌握:
- 认证与授权的严格边界与先后顺序
- 五大认证要素与多种认证协议的适用场景
- 六类授权模型的核心逻辑与适用场景
- 零信任架构下的动态认证与授权要求
- 常见攻击的官方标准防护措施
- 7大官方误区纠正
认证解决“你是谁”,授权解决“你能做什么”,二者缺一不可,共同构成企业数字安全的第一道防线!
