ISC2 CC Notes 3 Security Architecture and Engineering

領域 3：安全架構與工程 (Security Architecture and Engineering)

雖然您的來源將此領域稱為「存取控制類別與類型 (Access Control Categories and Types)」，但從內容來看，它涵蓋了更廣泛的安全架構和工程原則，特別是關於如何實施和管理存取控制，以及相關的物理和技術控制措施。本領域旨在確保資訊系統和環境的安全，防止未經授權的存取和潛在威脅。

存取控制類別 (Access Control Categories)

存取控制措施可分為三大類:

1. 行政 (指令性) 控制 (Administrative, Directive, Controls)：這是基於組織的政策、程序、法規以及員工訓練和意識。它們是高階的、指導性的控制措施。
2. 技術 (邏輯) 控制 (Technical (Logical) Controls)：這是透過硬體、軟體或韌體實現的控制措施，例如防火牆、路由器和加密。
3. 物理控制 (Physical Controls)：這是保護實體資產和區域的控制措施，例如鎖、圍籬、警衛、大門和防撞柱。

存取控制類型 (Access Control Types)

除了類別，存取控制也可以根據其功能分為不同類型。許多控制措施可能同時屬於多種類型，在評估時應根據具體情境判斷其主要類型:

• 預防性控制 (Preventative)：在行動發生前阻止其發生。例子包括：最小權限原則 (Least Privilege)、藥物測試、入侵防禦系統 (IPS)、防火牆和加密。
• 偵測性控制 (Detective)：在攻擊期間或之後偵測到行動。例子包括：入侵偵測系統 (IDS)、閉路電視 (CCTV)、警報和防毒軟體。
• 糾正性控制 (Corrective)：在事件發生後修復問題。例子包括：防毒軟體、修補程式和入侵防禦系統 (IPS)。
• 復原性控制 (Recovery)：協助在事件發生後進行復原。例子包括：災害復原環境 (DR Environment)、備份和高可用性環境 (HA Environments)。
• 威懾性控制 (Deterrent)：阻止潛在的惡意行動。例子包括：圍籬、警衛、狗、燈光和「小心惡犬」標誌。
• 補償性控制 (Compensating)：當主要的控制措施無法實施或成本過高時，提供的替代控制措施。

物理安全控制 (Physical Security Controls)

物理安全控制是確保組織資產和人員安全的重要組成部分。細節包括：

• 周邊防禦 (Perimeter defense)：使用圍籬作為威懾或預防手段。較小的圍籬（如 3 英尺/1 米）可以起到威懾作用，而較高的圍籬（如 8 英尺/2.4 米）則能有效預防入侵。
• 大門 (Gates)：應進行監控或配備警衛。
• 障礙物/防撞柱 (Barriers/Bollards)：用於控制車輛通行，防止車輛攻擊設施。
• 燈光 (Lights)：作為偵測和威懾控制，應全面照亮區域，可使用靜態或運動感應燈。
• 閉路電視 (CCTV)：作為偵測和威懾控制，監控周邊和內部區域，並進行數位錄影。
• 鎖 (Locks)：有多種類型。
  • 鑰匙鎖 (Key Locks)：需要實體鑰匙，容易被複製或被鎖匠工具開啟。
  • 密碼鎖 (Combination Locks)：安全性較低，容易受到暴力破解攻擊。
  • 任何鑰匙鎖都可以被撬開或撞開，所需時間取決於鎖的品質。應嚴密保管主鑰匙及其保管地點。
• 門禁卡 (Access Cards)：
  • 智慧卡 (Smart Cards)：接觸式或非接觸式，使用 ICC 或 RFID 技術。
  • 磁條卡 (Magnetic Stripe Cards)：容易複製。
• 人員閘道 (Mantraps)：一個有兩扇門的房間。第一扇門必須完全關閉後，第二扇門才能打開。每扇門可以使用不同的認證方法（知識、持有物、生物特徵）。有時會使用重量感測器來偵測是否有額外的人員進入。
• 旋轉閘門 (Turnstiles)：允許單人進入，防止尾隨。
• 限制區域 (Restricted Areas)：訪客需要佩戴徽章、簽署訪客日誌並由人員陪同。供應商也應由人員陪同並進行安全檢查。
• 牆壁、地板和天花板 (Walls, Floors, and Ceilings)：應符合縱深防禦策略，確保入侵者無法透過這些途徑進入安全區域。應使用足夠堅固的材料，且牆壁應從真實地板延伸到真實天花板，以防止繞過。
• 警衛 (Guards)：可以是專業（經過訓練，可能攜帶武器）或業餘（未經訓練，可能攜帶武器）的警衛。擬警衛 (Pseudo Guard) 則是不攜帶武器的警衛。警衛應有明確的規章制度，並接受訓練以防止社交工程攻擊。
• 警犬 (Dogs)：作為威懾、偵測和補償控制措施，通常用於受控的封閉區域。潛在問題包括責任風險。

技術或邏輯安全控制 (Technical or Logical Security Controls)

技術或邏輯控制是透過軟體或硬體實現的。

• 存取控制系統 (Access Control Systems)：根據存取控制列表 (ACL) 或其他機制來確定是否允許或拒絕存取。最常見的配置是控制面板作為中心 (hub)，讀卡機作為分支 (spokes)。
• 集中式 vs. 分散式 vs. 混合式 (Centralized vs. Decentralized vs. Hybrid)：
  • 集中式 (Centralized)：單一系統控制所有存取，易於管理，但可能存在流量開銷和響應時間問題。如果中央系統被破壞，整個網路可能受到影響。
  • 分散式 (Decentralized)：本地系統獨立控制存取，響應時間更快，但安全性可能不一致，管理更困難。
  • 混合式 (Hybrid)：結合集中式控制和本地伺服器更新。

身份識別與存取佈建 (Identity and Access Provisioning)

• 概念 (Concept)：一個實體（例如用戶）可以擁有多個身份，每個身份可以有多個屬性。組織也可以有多個身份，例如母公司及其子公司。
• 生命週期 (Lifecycle)：一個建議的身份與存取佈建生命週期包括：創建身份、管理屬性、管理憑證、啟用身份、管理存取、監控活動、撤銷身份、刪除身份。應制定明確的政策，例如定期審查閒置帳戶並在一定時間後刪除。
• 聯合身份管理 (Federated Identity Management - FIDM)：將個人在不同身份管理系統中的電子身份和屬性連結起來。

存取控制模型 (Access Control Models)

組織可以根據其安全目標選擇不同的存取控制模型。

• 自主存取控制 (Discretionary Access Control - DAC)：通常用於當 可用性 (Availability) 最重要時。存取權限由物件的擁有者自行決定。大多數作業系統普遍使用此模型。使用 DACL (Discretionary ACL)，基於使用者身份。
• 強制存取控制 (Mandatory Access Control - MAC)：通常用於當 機密性 (Confidentiality) 最重要時。存取權限由標籤 (Labels) 和許可等級 (Clearance) 決定。這在軍事或高度重視機密性的組織中常見。
  • 標籤 (Labels)：分配給物件。
  • 許可等級 (Clearance)：分配給主體 (Subject)。主體的許可等級必須「支配」物件的標籤才能存取。標籤可以比「最高機密」更細緻，例如「最高機密 – 核武」。
• 基於角色 (Role-Based Access Control - RBAC)：通常用於當 完整性 (Integrity) 最重要時。存取權限基於用戶的角色和權限，有助於用戶管理。這在私營組織中很常見，例如根據用戶的職位（如薪資人員）賦予相應的存取權限。
• 基於屬性 (Attribute-Based Access Control - ABAC)：存取權限基於主體、物件和環境的屬性。屬性可以包括用戶的姓名、角色、ID、許可等級；物件的名稱、擁有者、創建日期；以及環境（例如存取的地點或時間、威脅等級）。這也被稱為基於政策的存取控制 (PBAC) 或基於聲明的存取控制 (CBAC)。
• 基於上下文 (Context-Based Access Control)：存取物件的權限基於某些上下文參數。例如：存取時間、地點、回應順序或存取歷史記錄。要求用戶在輸入用戶名和密碼後回答 CAPTCHA 挑戰，或根據 MAC 位址過濾無線網路存取，都是基於上下文的存取控制。
• 基於內容 (Content-Based Access Control)：存取權限基於物件的屬性或內容。例如：根據內容的值或屬性來決定是否顯示應用程式中的選單、資料庫中的視圖，或限制對機密資訊的存取。

此外，技術上還有基於規則的存取控制 (Rule Based Access Control - RUBAC)，主要用於防火牆的 IF/THEN 語句，但也可以與其他模型結合使用以提供縱深防禦。

存取控制的關鍵原則 (Key Principles of Access Control)

這些原則是實施有效存取控制的基礎：

• 最小權限 (Least Privilege)：給予員工或系統僅夠其執行職責所需的最低限度的存取權限，不多也不少。這是一種預防性控制。
• 需要知道 (Need to Know)：即使你有存取權限，如果你的工作不需要知道該資訊，就不應該存取它。
• 職責分離 (Separation of Duties)：將任務分配給多個人員，以防止欺詐和錯誤。如果職責分離不可行，則需要補償性控制。

行政安全 (Administrative Security)

除了政策和訓練等行政控制外，還有一些與行政安全相關的措施：

• 工作輪換 (Job Rotation)：在考試中，這被視為一種偵測錯誤和欺詐的手段。
• 資料分類政策 (Data Classification Policies)：雖然在領域 5 中有更詳細的討論，但在領域 3 中也提到了資料分類政策作為行政控制的一部分。這有助於確定應對不同類型資料採取的安全措施。

希望這個詳細的解釋對您理解領域 3 有所幫助！