1 / 26

ACCESS Control

ACCESS Control. Domain Objectives. • Provide definitions and key concepts • Identify access control categories and types • Discuss access control threats • Review system access control measures. Domain Objectives. • Review data access control measures

mpickett
Download Presentation

ACCESS Control

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ACCESS Control

  2. Domain Objectives • Provide definitions and key concepts • Identify access control categories and types • Discuss access control threats • Review system access control measures

  3. Domain Objectives • Review data access control measures • Understand intrusion detection and intrusion prevention systems • Understand access control assurance methods

  4. Information Security TRIAD • Availability • Integrity • Confidentiality

  5. Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

  6. Basic Requirements • Security ระบบมีความปลอดภัย • Reliability ระบบมีความน่าเชื่อถือ • Transparency ระบบมีความสะดวกใช้เช่น SSO • Scalability ระบบมีการรองรับการขยาย

  7. Key Concepts • Separation of Duties มีการแบ่งแยกการทำงาน • Least Privilege ใช้สิทธิให้น้อยที่สุด • Need-to-know รู้เท่าที่ควรรู้เท่านั้น • Information Classification การแบ่งประเภทของ information เช่น chmod

  8. Information Classification Procedures • Scope ประเภทของความลับ • Process กระบวนการ • Responsibility การรับผิดชอบ • Declassification การเปลี่ยนแปลงสิทธิ เช่นการเปิดซองจดหมาย • Marking and Labeling มีการทำเครื่องหมาย • Assurance การประกันคุณภาพ

  9. Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

  10. Access Control Categories • Preventive การป้องกันการเข้าถึงข้อมูล • Detective การดักจับ • Corrective การทำให้ถูกต้อง • Directive การทำการคำสั่งเช่น การสั่งให้ login • Deterrent มีมาตรการลงโทษ • Recovery การกู้คืนข้อมูล • Compensating ค่าตอบแทน

  11. Access Control Types • Administrative เชิงบริหาร • Technical (Logical) เชิงเทคนิค • Physical ทางด้านกายภาพ

  12. Access Control Examples

  13. Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

  14. Access Control Threats • Denial of Service หยุดให้บริการของระบบ • Buffer Overflow ทำให้ buffer ล้น • Mobile Code • Malware (Malicious Software) • Password Crackers • Spoofing/Masquerading แปลง Mac Address • Sniffers ไม่ต้อง install เครื่องที่เป้าหมายก่อน • Eavesdroppers การดักจับข้อมูล

  15. Access Control Threats • Emanations การแพร่กระจายของคลื่น • Shoulder Surfing การมองข้าม • Tapping เช่นการต่อtel แบบขนาน • Object Reuse เช่น restore recycle bin • Data Remanenceข้อมูลที่หลงเหลือgabage • Unauthorized Data Mining • Dumpster Diving • Back Door/Trap Door

  16. Access Control Threats • Theft ขโมย • Intruders ผู้บุกรุก • Social Engineering

  17. Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

  18. System Access Control • Identification เช่น รหัส ชื่อ สกุล • Authentication การตรวจสอบในระบบ • Authorization การมีสิทธิในการทำงานในระบบ • Accountability ความรับผิดชอบต่อระบบ

  19. Identification • • Methods กระบวนการที่ได้มาของการควบคุม • • Guidelines

  20. Authentication Methods • • Knowledge (Something you know) • • Ownership (Something you have) • • Characteristics (Something you are)

  21. Authentication by Knowledge • Password • Passphrase

  22. Authentication by Ownership • Tokens (One-time Passwords) • Smartcards • Memory Cards

  23. Smart Cards • Contact Smart Cards • Card body • Chip • Contacts • Contactless Smart Cards • Card body • Chip • Antenna

  24. Authentication by Characteristic • Biometrics • Physiological Biometrics • Behavioral Biometrics • Characteristics • Accuracy • Acceptability • Reaction time

  25. Static Biometric Types • • Fingerprint/Palm Print • • Hand Geometry • • Retina Scan • • Iris Scan

  26. Dynamic Biometric Types • Voice Pattern • Facial Recognition • Keystroke Dynamics • Signature Dynamics

More Related