当前位置：首页 > news >正文

CISSP 域5知识点身份认证与授权

news 2026/4/16 0:55:20

🔐 CISSP必修课⑤ | 身份认证与授权（官方核心考点完全拆解）

🌊 CISSP Domain 5 身份认证与授权 | 官方核心定位

📍 归属：Domain 5 身份与访问管理（Identity and Access Management, IAM），对应OSG第十版**第13章《Managing Identity and Access》**核心内容，同时覆盖Domain 3零信任架构、Domain 4网络安全接入、Domain 7安全运营的相关专项要求

🎯 考试权重：占Domain 5（15%总考试权重）的50%以上，是CISSP考试的核心必考模块，概念题、场景题、流程题占比极高，是IAM体系的两大核心支柱，也是零信任架构的底层核心逻辑

🔑 官方核心定位：身份认证与授权是访问控制体系的前后两个核心环节，二者缺一不可。

身份认证解决“你是谁”的问题，验证主体身份的真实性
授权解决“你能做什么”的问题，为已认证的合法主体分配匹配业务需求的访问权限

二者共同构成了企业数字访问的第一道安全闸门，是防范未授权访问、越权操作、内部威胁、数据泄露的核心技术基础

⚠️ 底层红线规则（考试不可突破）

a. 先认证，后授权：绝对禁止未完成身份真实性验证，就为主体分配权限、允许访问资源，这是最高频的错题红线

b. 认证与授权必须严格遵循最小特权、职责分离、默认拒绝三大核心原则，无原则例外

c. 高风险场景必须强制启用多因素认证（MFA），单密码认证无法满足高安全等级要求

d. 认证与授权的全流程必须全程可审计、不可篡改，所有操作必须留存完整日志，满足合规最低留存要求

e. 零信任核心原则：认证与授权不基于网络位置（内网/外网），每一次资源访问都必须重新完成身份验证与授权校验，无永久默认信任

f. 授权必须与主体的业务生命周期完全同步，权限到期必须自动回收，禁止永久过度授权

📖 核心边界厘清与官方标准术语定义

🔍 认证与授权的核心边界（必考易错点）

绝大多数考试错题源于对二者的概念混淆，官方明确了二者的严格边界与先后顺序：

🔹 身份认证（Authentication）

官方核心定义：验证主体声称的身份是否真实、合法的过程，确认“你是不是你声称的那个人”
核心目标：防范身份伪造、假冒、冒充，确保访问主体的身份真实性
执行顺序：前置环节，必须先完成认证，才能执行授权
典型场景：账号密码登录、指纹解锁、证书校验、MFA验证

🔹 授权（Authorization）

官方核心定义：为已通过认证的合法主体，分配对客体的访问权限与操作范围的过程，确认“你能访问什么、能做什么”
核心目标：防范越权访问、权限滥用，确保主体仅能访问业务必需的最小资源
执行顺序：后置环节，仅对已通过认证的主体生效
典型场景：普通员工仅能访问办公系统、财务人员仅能访问财务系统、管理员仅能执行指定运维操作

📚 官方标准术语定义

1. 主体（Subject）：发起访问请求的主动实体，包括员工、外包人员、设备、服务、应用、API等，是认证与授权的对象

2. 客体（Object）：被主体访问的被动资源，包括文件、数据库、应用、系统、API、网络、设备等，是授权的目标对象

3. 凭证（Credential）：用于验证主体身份真实性的材料，包括密码、数字证书、安全令牌、生物特征、私钥、一次性密码（OTP）等

4. 断言（Assertion）：身份提供商（IdP）生成的、经过签名的身份验证结果，用于在不同系统之间传递主体的身份信息与授权属性，是联合身份认证的核心载体

5. 身份提供商（Identity Provider, IdP）：负责主体身份认证、身份信息管理的可信系统，是联合身份体系的核心组件

6. 服务提供商（Service Provider, SP）：提供业务资源、应用服务的系统，依赖IdP的身份断言结果，为主体分配访问权限

7. 最小特权原则（Least Privilege）：仅授予主体完成本职工作必需的最小权限与最短生效时间，是授权的第一核心原则

8. 职责分离（Separation of Duties, SoD）：将高风险操作的不同环节拆分给不同主体，禁止单个主体完成全流程操作，是授权环节的核心管控规则

9. 默认拒绝原则（Default Deny）：访问控制默认拒绝所有请求，仅开放明确授权的权限与资源，是认证与授权的通用底层规则

10. 越权攻击：攻击者绕过授权控制，访问/操作超出自身权限范围的资源，分为水平越权（访问同级别其他主体的资源）与垂直越权（访问更高权限主体的资源），是授权环节的核心防范目标

🛡️ 第一部分：身份认证体系（必考核心内容）

🔑 模块1：身份认证的五大核心要素（官方标准分类）

OSG第十版明确了身份认证的5类核心要素，所有认证方式均归属这五大类，多因素认证必须使用不同类别的要素，同一类别的多个要素不算多因素认证，这是考试最高频的易错点。

🔸 你知道什么（Something you know）

官方定义：只有主体本人知道的秘密信息
典型示例：密码、PIN码、安全问题答案、passphrase
核心特点：成本最低、最易部署，也最容易被破解、窃取、钓鱼
考试考点：最基础的认证要素，单密码认证属于单因素认证，安全性最低

🔸 你拥有什么（Something you have）

官方定义：只有主体本人持有的物理/数字凭证
典型示例：硬件令牌、智能卡、U盾、手机SIM卡、数字证书、SSH密钥
核心特点：安全性远高于密码，凭证丢失/泄露才会被冒用，必须配合PIN码等要素实现多因素
考试考点：多因素认证的核心常用要素，硬件令牌是高安全场景的官方推荐方式

🔸 你是什么（Something you are）

官方定义：主体本人的生物特征，具有唯一性、不可复制性
典型示例：指纹、虹膜、人脸、掌纹、声纹、视网膜、静脉识别
核心特点：不可转借、不可丢失，用户体验好，存在生物特征泄露后无法重置的风险
考试考点：强认证要素，必须配合活体检测防范伪造，高安全场景必须使用

🔸 你在哪里（Something you are / Where you are）

官方定义：主体的物理位置、网络位置信息
典型示例：GPS定位、IP地址归属地、终端接入网段、物理门禁位置
核心特点：基于位置的动态认证要素，可用于限制异常位置的访问请求
考试考点：零信任动态认证的核心辅助要素，可用于防范异地异常登录

🔸 你做什么（Something you do）

官方定义：主体的行为特征、操作习惯，具有唯一性
典型示例：键盘敲击节奏、鼠标移动习惯、签名笔迹、操作行为模式
核心特点：基于行为的动态认证要素，可用于持续信任评估，防范身份冒用
考试考点：零信任持续认证的核心要素，用于会话过程中的动态身份校验

⚡ 考试高频红线规则

⚠️ 多因素认证（MFA）必须使用两个及以上不同类别的要素，比如“密码+硬件令牌”是双因素认证，而“密码+安全问题”属于同一类别，不算多因素认证，这是最高频的错题点

⚠️ 官方强制要求：特权账号、远程访问账号、敏感系统账号必须启用MFA，无例外

⚠️ 单因素认证（仅密码）安全性最低，禁止用于高安全场景

🎯 模块2：官方标准认证类型与适用场景

🔸 单因素认证

官方核心定义：仅使用一类认证要素完成身份验证
核心特点：部署简单、用户体验好，安全性极低，易被破解、钓鱼
官方推荐适用场景：仅适用于无敏感数据的公开低风险场景，官方不推荐用于企业内部业务系统

🔸 双因素认证（2FA）

官方核心定义：使用两类不同的认证要素完成身份验证
核心特点：安全性大幅提升，是企业级场景的最低安全标准
官方推荐适用场景：企业员工办公系统登录、VPN远程访问、普通业务系统

🔸 多因素认证（MFA）

官方核心定义：使用三类及以上不同的认证要素完成身份验证
核心特点：安全性极高，部署成本高，用户体验相对复杂
官方推荐适用场景：特权账号登录、核心敏感系统、金融交易、涉密系统等高安全场景

🔸 持续认证

官方核心定义：会话过程中，基于主体的行为、位置、终端状态等要素，持续动态校验身份真实性
核心特点：突破“一次登录、全程信任”的传统模式，可实时发现身份冒用，是零信任架构的核心认证模式
官方推荐适用场景：零信任架构、远程办公、高敏感业务系统、移动办公场景

🔸 匿名认证

官方核心定义：仅验证主体的访问权限合法性，不收集/验证主体的真实身份信息
核心特点：保护用户隐私，无法实现审计追责
官方推荐适用场景：公开服务、匿名访问场景，禁止用于企业内部业务系统

🔸 联邦身份认证

官方核心定义：基于跨组织的信任关系，通过可信的IdP完成身份认证，实现一次认证、跨系统/跨企业访问
核心特点：无需在多个系统重复创建身份，用户体验好，权限集中管控
官方推荐适用场景：跨企业合作、多云平台访问、企业SSO单点登录、互联网应用跨平台登录

🔐 模块3：官方主流认证协议深度拆解（必考重点）

OSG第十版明确了企业级场景的主流认证协议，每个协议的工作层级、核心功能、适用场景、安全特性必须精准区分，是考试场景题的核心出题区。

🔑 1. Kerberos协议

🎯 官方核心定位：企业内网单点登录（SSO）的行业标准认证协议，基于对称加密体系，是Windows AD域环境的核心认证协议，工作在应用层。

🔹 核心组件（必考）

KDC（密钥分发中心）：Kerberos的核心可信第三方，包含两大组件：
- AS（认证服务）：负责验证主体的初始身份，发放TGT（票据授予票据）
- TGS（票据授予服务）：负责验证TGT，为主体发放访问特定服务的ST（服务票据）
客户端（主体）：发起访问请求的用户/服务
应用服务器（客体）：提供业务服务的资源服务器，信任KDC签发的服务票据

🔹 标准认证流程（必考）

客户端向AS发送身份认证请求，AS验证身份后，使用客户端的密钥加密TGT，返回给客户端
客户端解密获得TGT，向TGS发送TGT与服务访问请求，TGS验证TGT有效性后，发放对应服务的ST（服务票据）
客户端向应用服务器发送ST，服务器验证ST有效性后，允许客户端访问服务
可选双向认证：服务器向客户端证明自身身份，防范伪造服务器

🔹 核心安全特性

全程无需在网络中传输密码，仅传输加密的票据，防范密码窃听
票据有固定的生命周期，到期自动失效，防范重放攻击
支持双向认证，同时验证客户端与服务器的身份
实现企业内网单点登录，一次认证即可访问多个授权服务

🔹 考试高频考点

Kerberos的核心是票据机制，基于对称加密体系
必须实现时钟同步，所有节点的时钟偏差不能超过5分钟，否则票据会失效，防范重放攻击
单点故障风险：KDC是整个体系的核心，一旦宕机，所有认证都会失败
核心易错点：Kerberos仅解决身份认证问题，不直接解决授权问题，授权由应用服务器基于身份信息执行

🔑 2. SAML 2.0（安全断言标记语言）

🎯 官方核心定位：企业级联邦身份认证与单点登录的XML标准协议，工作在应用层，主要用于Web应用的跨域、跨企业单点登录。

🔹 核心组件

身份提供商（IdP）：负责身份认证，生成身份断言
服务提供商（SP）：信任IdP的断言，为用户提供服务访问权限

🔹 核心工作流程

用户访问SP的Web应用，SP将用户重定向到可信的IdP
IdP完成用户的身份认证，生成经过数字签名的SAML断言（包含用户身份信息、授权属性）
IdP将SAML断言返回给用户浏览器，再转发给SP
SP验证SAML断言的签名与有效性，确认用户身份合法后，为用户分配访问权限，允许用户登录应用

🔹 核心安全特性

基于数字签名实现断言的不可伪造、不可篡改，防范中间人攻击
实现跨企业、跨平台的联邦身份认证，无需在SP重复创建账号
身份凭证仅在IdP与用户之间传递，SP不会获取用户的密码等敏感凭证
支持基于断言的属性授权，SP可基于断言中的属性分配精细化权限

🔹 考试高频考点

SAML 2.0是企业级Web应用联邦SSO的官方标准，主要用于浏览器场景
核心是基于XML的身份断言，通过数字签名保障真实性
核心易错点：SAML同时传递身份信息与授权属性，但核心功能是身份认证，授权由SP最终执行

🔑 3. OAuth 2.0 与 OIDC

🎯 官方核心定位与区别（必考易错点）

🔸 OAuth 2.0

官方核心定位：开放授权框架，不是身份认证协议
核心功能：实现用户对第三方应用的权限委托，允许第三方应用在不获取用户密码的前提下，访问用户在资源服务器上的限定资源
适用场景：互联网应用第三方登录授权、API权限委托、微服务之间的权限调用
考试红线规则：绝对不能将OAuth 2.0单独作为身份认证协议使用，这是最高频错题点

🔸 OIDC（OpenID Connect）

官方核心定位：基于OAuth 2.0的身份认证层协议
核心功能：在OAuth 2.0的授权框架基础上，增加了标准化的身份认证功能，通过ID Token传递用户身份信息
适用场景：现代互联网应用、移动端应用、云原生应用的联合身份认证与单点登录
官方推荐：现代应用身份认证标准，是OAuth 2.0的身份认证扩展

🔹 OAuth 2.0核心角色

资源所有者：用户，拥有资源的访问权限
客户端：第三方应用，请求访问用户的资源
授权服务器：负责验证用户身份，发放授权令牌
资源服务器：存储用户资源，验证授权令牌的有效性，提供资源访问

🔹 OAuth 2.0官方推荐授权模式

授权码模式：官方推荐的最安全模式，适用于有后端服务的Web应用，通过后端服务交换令牌，避免令牌在前端泄露
PKCE增强授权码模式：适用于移动端、单页应用等无后端服务的公共客户端，防范授权码拦截攻击
客户端凭证模式：适用于服务之间、微服务之间的机器对机器（M2M）认证，无用户参与
资源所有者密码模式：官方不推荐，仅适用于高度信任的内部应用，会暴露用户密码给客户端
隐式模式：官方明确不推荐，令牌直接返回给前端，极易泄露，已被淘汰

🔹 考试高频考点

核心红线：OAuth 2.0是授权框架，不是身份认证协议，OIDC才是基于OAuth 2.0的身份认证协议
授权码模式是官方推荐的最安全模式，隐式模式已被淘汰
核心适用场景：第三方应用的权限委托，无需向第三方暴露用户密码

🔑 4. RADIUS 与 TACACS+

🎯 官方核心定位：网络设备接入、VPN、无线接入的集中式认证、授权、审计协议，是网络访问控制的核心认证协议，二者的区别是必考区分题。

🔸 RADIUS

传输协议：UDP 1812（认证）、1813（计费）
核心特性：
1. 合并认证与授权功能，审计功能较弱
2. 仅加密用户密码字段，报文头部不加密
3. 跨厂商通用，是网络接入的行业标准
官方安全评级：中等安全
适用场景：通用网络接入、无线AP、普通VPN、家用/中小企业网络设备接入

🔸 TACACS+

传输协议：TCP 49
核心特性：
1. 完全分离认证、授权、审计三大功能，可精细化管控
2. 对整个报文全加密，安全性远高于RADIUS
3. 思科私有协议，适配企业级设备管理场景
官方安全评级：高安全，官方推荐
适用场景：企业级网络设备管理、特权账号运维、高安全等级的设备接入场景

🔹 考试高频考点

核心区别：TACACS+完全分离认证/授权/审计，全报文加密；RADIUS合并认证与授权，仅加密密码
TACACS+使用TCP，RADIUS使用UDP
TACACS+更适合设备管理场景，RADIUS更适合通用网络接入场景

🔑 5. 其他核心认证协议

1. LDAP/LDAPS

官方定义：轻量级目录访问协议，LDAPS是加密版本，工作在应用层
核心用途：企业级统一身份目录的核心协议，用于存储身份信息、角色信息、权限属性，是Kerberos、SAML等协议的底层身份数据库
安全要求：明文LDAP必须禁用，替换为LDAPS（636端口）

2. 802.1X

官方定义：数据链路层的端口级网络访问控制标准，基于EAP可扩展认证协议，用于有线/无线网络的接入认证
核心组件：请求者（客户端）、认证者（交换机/AP）、认证服务器（RADIUS/TACACS+）
适用场景：企业内网接入、无线接入的官方推荐认证标准

3. PAP/CHAP

PAP：明文密码认证，完全不安全，官方禁用
CHAP：挑战握手认证协议，基于哈希校验，不传输明文密码，安全性高于PAP，已被更安全的EAP协议替代

🛡️ 第二部分：授权体系（必考核心内容）

🔑 模块1：授权的官方核心原则

授权环节必须严格遵循以下6项核心原则，是场景题中判断授权设计是否合规的核心依据，与身份全生命周期管理的原则完全对齐。

1. 最小特权原则：仅授予主体完成本职工作必需的最小权限、最小范围、最短生效时间，禁止过度授权、永久授权，是授权的第一核心原则

2. 默认拒绝原则：访问控制默认拒绝所有请求，仅开放明确授权的资源与操作，禁止默认允许所有访问、仅封禁违规内容的设计

3. 职责分离原则：将高风险操作的不同环节拆分给不同主体，禁止单个主体完成全流程操作，分为两类：

互斥职责：同一个人不能同时承担两个互斥的岗位，比如出纳与会计、开发与投产、申请与审批
功能分离：同一个人不能完成高风险操作的全流程，比如密钥恢复必须双人授权、配置变更必须双人复核

4. 最小攻击面原则：仅开放业务必需的资源访问权限，关闭所有非必需的操作权限，缩小主体可访问的资源范围，减少攻击面

5. 权限与生命周期同步原则：权限必须与主体的业务生命周期完全同步，岗位变动时回收旧权限，业务结束/离职时全量回收所有权限，禁止权限蠕变

6. 全程可审计原则：所有权限的申请、审批、分配、变更、回收操作必须全程留痕，所有权限的使用行为必须记录完整日志，可审计、可溯源

🔓 模块2：官方标准授权模型（必考区分题）

OSG第十版明确了6类主流授权模型，每个模型的核心逻辑、适用场景、安全等级必须精准区分，是考试的核心出题区。

🔸 DAC（自主访问控制）

官方核心定义：资源的所有者可自主决定将资源的访问权限分配给哪些主体
核心逻辑：权限管控的主体是资源所有者，所有者可自主分配、修改、回收权限，系统不强制干预
安全等级：低
典型适用场景：普通办公系统、个人文件共享、非敏感业务场景
考试高频考点：核心特点是资源所有者自主分配权限；是最基础、最灵活的授权模型，安全性最弱

🔸 MAC（强制访问控制）

官方核心定义：系统基于安全标签，强制控制主体对客体的访问，主体与客体都有固定的安全密级标签，用户无法自主修改权限
核心逻辑：基于“不上读、不下写”的BLP保密性模型，主体只能读取安全等级等于/低于自身的资源，只能写入安全等级等于/高于自身的资源；系统强制管控，不可绕过
安全等级：极高
典型适用场景：政府、军方、涉密系统、高安全等级关键信息基础设施
考试高频考点：核心特点是系统强制控制，用户无法自主修改权限；与DAC完全相反；核心目标是保障数据保密性

🔸 RBAC（基于角色的访问控制）

官方核心定义：以岗位/角色为核心，将权限与角色绑定，主体通过归属角色获得对应的权限，不直接给用户分配权限
核心逻辑：核心是“角色-权限”绑定，而非“用户-权限”直接绑定；人员变动仅需调整角色归属，无需批量修改权限；可实现职责分离、最小特权
安全等级：中高
典型适用场景：企业内部员工管理、标准化岗位场景、大中型企业内部系统，是当前最主流的授权模型
考试高频考点：考试最高频模型；核心是角色为核心；可有效防范权限蠕变；三大类型：核心RBAC、层级RBAC、受限RBAC

🔸 ABAC（基于属性的访问控制）

官方核心定义：基于主体属性、资源属性、环境属性、操作属性，通过动态策略决定是否授权访问
核心逻辑：动态细粒度授权，无需预定义角色，通过“如果-那么”的策略规则实现授权；比如“仅允许财务部门的员工，在工作时间、公司内网，访问财务系统的非涉密文件”
安全等级：高
典型适用场景：云平台、跨企业合作、零信任架构、动态业务场景、分布式微服务架构
考试高频考点：第十版重点强化模型；核心是动态策略、多属性决策；适配零信任“始终验证”原则；灵活性远高于RBAC

🔸 Rule-BAC（基于规则的访问控制）

官方核心定义：基于预定义的全局规则，决定是否允许访问请求
核心逻辑：也叫上下文相关访问控制，基于固定的规则执行授权，比如“仅允许8:00-18:00访问系统”“禁止来自境外IP的访问请求”
安全等级：中
典型适用场景：防火墙、网络访问控制、接入场景的规则化管控
考试高频考点：核心特点是基于固定规则的强制管控，通常与其他模型结合使用，而非单独使用

🔸 PBAC（基于策略的访问控制）

官方核心定义：企业级统一的授权策略框架，所有授权行为都遵循全局统一的安全策略，跨系统、跨平台统一执行
核心逻辑：是RBAC/ABAC/Rule-BAC的上层策略框架，实现企业级集中化的授权策略管控，确保所有系统的授权规则符合企业统一安全策略
安全等级：高
典型适用场景：大型企业、多云环境、分布式系统、跨平台业务场景
考试高频考点：核心是企业级统一策略管控，解决不同系统授权规则不一致的问题

⚡ 考试高频易错点

1. DAC与MAC的核心区别：DAC是所有者自主控权，MAC是系统强制控权，二者完全相反

2. RBAC与ABAC的核心区别：RBAC是静态的角色绑定，适合标准化岗位；ABAC是动态的多属性决策，适合复杂的动态场景

3. Rule-BAC是基于固定规则的上下文管控，通常作为其他模型的补充，而非独立的授权体系

🔄 模块3：授权的官方标准执行流程

1. 权限申请：主体基于业务需求，提交权限申请，明确申请的权限范围、有效期、申请事由

2. 多级审批：基于权限的风险等级，执行业务负责人、数据所有者、安全部门的多级审批，高风险权限必须最高级别审批

3. 权限分配：审批通过后，基于最小特权原则，为主体分配申请的最小权限，设置明确的有效期

4. 权限执行：主体访问资源时，系统校验主体的身份与权限，仅允许授权范围内的操作，默认拒绝所有未授权请求

5. 权限审计：定期开展用户访问评审（UAR），复核权限与业务需求的匹配度，清理冗余权限、违规权限

6. 权限回收：权限到期、岗位变动、业务结束、人员离职时，立即全量回收对应权限，禁用相关访问规则

🛡️ 零信任架构下的认证与授权（第十版重点强化内容）

OSG第十版明确，零信任架构的核心是以身份为中心的动态认证与授权，彻底打破“内网可信、外网不可信”的传统假设，官方定义了零信任认证与授权的三大核心要求：

1. 永不信任，始终验证：无论主体处于内网还是外网，每一次资源访问请求，都必须重新完成完整的身份认证与授权校验，没有永久的默认信任

2. 最小权限，按需授权：仅授予主体完成单次操作必需的最小权限，基于主体身份、设备健康、访问上下文、风险评分，动态调整授权范围，禁止永久全量权限

3. 持续信任评估，动态管控：会话过程中持续监控主体的行为、设备状态、访问上下文，动态评估信任等级，发现异常立即终止会话、撤销权限，实现持续认证与动态授权

🔧 零信任认证与授权的核心落地技术

🔸 SPA（单包授权）：主体先向授权服务器发送一个加密的单包授权请求，验证通过后，才开放网络访问端口，实现“先认证、后连接”，隐藏业务资源，防止端口扫描与攻击

🔸 mTLS（双向TLS）：客户端与服务器双向验证对方的数字证书，同时完成客户端与服务端的身份认证，是微服务、API场景的零信任核心认证技术

🔸 动态策略引擎：基于多维度属性，实时计算访问请求的风险评分，动态决定是否允许访问、分配对应的权限范围

🔸 持续信任评估：实时监控主体的行为、设备健康、访问模式，发现异常立即触发二次认证、缩小权限、终止会话

🎯 常见攻击与官方标准防护措施

🔴 针对身份认证的常见攻击与防护

🔸 密码破解攻击

官方核心定义：包括暴力破解、字典攻击、彩虹表攻击、撞库攻击，破解用户的密码凭证
官方标准防护措施：
1. 强制强密码策略、密码定期轮换、禁止密码复用
2. 启用账户锁定策略，限制失败登录尝试次数
3. 强制启用MFA多因素认证
4. 密码加盐哈希存储，禁止明文/弱哈希存储密码

🔸 钓鱼攻击

官方核心定义：通过伪造钓鱼网站、邮件、短信，诱导用户泄露账号密码、验证码、令牌
官方标准防护措施：
1. 开展全员安全意识培训，识别钓鱼攻击
2. 部署邮件安全网关、钓鱼防护工具
3. 启用MFA，即使密码泄露也无法登录
4. 禁用密码自动填充，防范钓鱼网站窃取密码

🔸 中间人攻击（MitM）

官方核心定义：攻击者插入通信双方之间，窃听、篡改认证报文，窃取凭证、伪造身份
官方标准防护措施：
1. 全程启用TLS 1.2/1.3加密通信，禁用低版本协议
2. 启用服务器证书强校验，禁止接受自签名/无效证书
3. 使用Kerberos、SAML等带数字签名的认证协议，防范报文篡改

🔸 重放攻击

官方核心定义：攻击者截获合法的认证报文，在后续重新发送，伪造合法身份登录
官方标准防护措施：
1. 认证报文添加时间戳、随机数、一次性会话ID
2. 票据/令牌设置短生命周期，到期自动失效
3. Kerberos等协议强制时钟同步，防范重放

🔸 Pass-the-Hash（哈希传递）

官方核心定义：攻击者窃取用户密码的哈希值，直接使用哈希值完成认证，无需破解明文密码
官方标准防护措施：
1. 禁用LM/NTLM哈希认证，启用Kerberos认证
2. 限制管理员账号的登录范围，禁止普通终端使用管理员账号登录
3. 启用LSA保护，防范哈希值窃取
4. 强制启用MFA

🔸 凭证填充攻击

官方核心定义：攻击者利用从其他渠道泄露的账号密码，批量尝试登录企业系统
官方标准防护措施：
1. 启用泄露密码检测，禁止用户使用已泄露的密码
2. 启用异常登录检测，防范异地、异常设备批量登录
3. 强制启用MFA
4. 限制单IP的登录请求频率

🔴 针对授权的常见攻击与防护

🔸 垂直越权攻击

官方核心定义：低权限主体绕过授权控制，访问/操作高权限主体的资源，比如普通用户访问管理员功能
官方标准防护措施：
1. 严格遵循最小特权原则，默认拒绝所有访问
2. 每一次操作都必须在服务端重新校验权限，不能仅在前端做权限控制
3. 启用越权操作检测与告警
4. 定期开展权限审计，清理过度授权

🔸 水平越权攻击

官方核心定义：同权限级别的主体，绕过授权控制，访问/操作其他同级别主体的资源，比如用户A查看用户B的个人信息
官方标准防护措施：
1. 权限校验必须同时验证主体身份与资源归属，不能仅验证是否登录
2. 启用数据级的访问控制，每一次数据访问都必须校验权限
3. 最小化数据返回范围，禁止批量返回全量数据
4. 启用异常访问行为检测

🔸 权限提升攻击

官方核心定义：攻击者利用系统漏洞、配置错误，将自身的低权限提升至高权限，获取系统管理员权限
官方标准防护措施：
1. 严格遵循最小特权原则，禁止普通用户获得过度权限
2. 及时修复系统、应用的权限提升漏洞
3. 禁用普通用户的系统管理权限
4. 实时监控权限变更、提权操作，触发告警

🔸 权限蠕变/过度授权

官方核心定义：主体岗位变动后，旧权限未回收，持续叠加新权限，最终获得远超业务需求的权限
官方标准防护措施：
1. 岗位变动严格执行“先回收旧权限，再分配新权限”
2. 定期开展用户访问评审（UAR），清理冗余权限
3. 所有权限必须设置有效期，临时权限到期自动回收
4. 基于RBAC模型实现标准化权限管控，禁止直接给用户分配权限