CISSP 域5知识点 身份全生命周期管理

CISSP考点速记｜Domain5 身份全生命周期管理 👤🔄

官方定位：Domain 5 身份与访问管理的核心模块，占Domain5权重40%以上；对应OSG第十版**第13章《Managing Identity and Access》**全部内容 + Domain1合规要求 + Domain7审计要求。是IAM体系的核心骨架，企业合规审计的核心重点。

✨ 一、6条底层红线规则（考试不可突破）

1. 身份必须全局唯一：一人/一设备/一服务一号，绝对禁止共享账号（高安全场景下完全禁用）。
2. 权限必须按需分配、最小特权：仅授予完成当前业务必需的最小权限；禁止永久过度授权；权限必须与身份的业务生命周期完全同步。
3. 身份全流程必须全程可审计、不可篡改：所有创建、变更、授权、停用操作必须留存完整日志，满足合规最低留存要求。
4. 身份停用必须实时执行：人员离职、业务终止、设备报废时，必须立即回收所有权限、禁用身份，禁止出现孤儿账号。
5. 最终责任由最高管理层承担：不可通过外包、托管转移；所有操作必须符合业务覆盖地区的合规法规要求。
6. 零信任核心原则：身份是访问控制的核心边界，而非网络位置；每一次访问都必须基于身份进行验证，无论内外网。

🔍 二、官方标准术语速查（厘清边界，规避易错点）

1. 数字身份：主体在数字系统中的唯一、可验证标识，用于确认真实身份，包括用户、设备、服务、API等全类型主体。
2. 主体：请求访问资源的主动实体（员工、外包、设备、服务、应用、API）。
3. 客体：被主体访问的被动资源（文件、数据库、应用、系统、网络、设备）。
4. 凭证：用于验证身份真实性的材料（密码、证书、令牌、生物特征、私钥、OTP等）。
5. 身份供应：为主体创建数字身份、分配初始权限、开通系统访问的全流程（生命周期起点）。
6. 身份撤销：主体业务生命周期结束时，禁用/删除身份、回收所有权限、吊销凭证的全流程（生命周期终点）。
7. 特权账号：拥有系统/应用最高管理权限的账号（管理员、Root、系统服务、数据库管理员等），是生命周期风险最高的管控对象。
8. 孤儿账号：主体业务生命周期结束后，未被及时禁用/删除的遗留账号，是最常见的安全风险与合规违规点。
9. 权限蠕变/累积：主体岗位/业务变动时，旧权限未被回收，持续叠加新权限，最终权限超出业务需求，违背最小特权原则。
10. 用户访问评审：定期对身份的权限进行全面审计复核，验证权限与业务需求的匹配度，清理冗余权限、违规账号，是生命周期中合规管控的核心环节。
11. 最小特权原则：仅授予主体完成本职工作必需的最小权限与最短生效时间，是身份全生命周期管理的第一核心原则。
12. 职责分离：将高风险操作的不同环节拆分给不同主体，禁止单个主体完成全流程操作，防范权限滥用与内部舞弊，是授权环节的核心规则。
13. SCIM：跨域身份管理系统，用于不同系统之间身份信息自动同步的标准化协议，是身份全生命周期自动化管理的核心技术标准。
14. 联合身份：跨企业、跨系统、跨云平台的身份信任体系，实现一次认证、多处访问，是跨组织身份生命周期管理的核心框架。

🔄 三、身份全生命周期标准闭环流程（官方核心框架，必考）

OSG第十版明确：身份全生命周期管理必须形成完整的闭环，共7个环节（1个前置阶段 + 6个核心阶段）。

🏗️ 前置阶段：身份规划与设计

官方核心要求：生命周期管理的前置基础，必须在身份创建前完成顶层设计，避免后续管控混乱（安全左移）。

核心落地动作：

1. 定义身份分类与分级：按主体类型、风险等级、业务重要性划分，制定差异化管控规则。
2. 制定身份标准：明确全局唯一的身份命名规则、属性规范、密码策略、凭证要求、权限分级标准。
3. 设计授权模型：确定企业统一的访问控制模型（RBAC/ABAC/MAC/DAC）；明确权限申请、审批、变更的流程规则。
4. 明确责任边界：定义HR、业务部门、IT、安全、审计在生命周期各环节的职责。
5. 合规适配：匹配合规法规（GDPR、SOX、HIPAA、PCI‑DSS等），明确日志留存、权限评审、数据最小化的合规要求。

考试高频考点：身份规划必须与业务战略、合规要求完全对齐；授权模型必须在规划阶段确定；职责分离必须在规划阶段明确高风险操作的拆分规则。

阶段1：身份创建与供应（Provisioning）

官方定义：生命周期的起点，为合法主体创建全局唯一的数字身份，分配最小必要的初始权限，开通对应系统的访问权限。

官方标准供应类型：

① 自动供应：与HR系统、资产管理系统联动，基于岗位/角色自动创建身份、分配初始权限，全程无人工干预。

• 官方推荐的首选方式，减少人工错误，实现实时供应（高频考点）。

② 工作流驱动供应：用于外包、第三方、临时项目人员；基于正式的申请‑审批工作流创建并分配权限，必须留存完整审批记录。

• 必须经过业务负责人、安全部门的多级审批，禁止无审批创建。

③ 自助注册供应：用于客户、外部用户、公开服务用户；基于实名验证自助注册，默认分配最小权限。

• 必须启用强身份验证，禁止匿名身份获得敏感资源访问权限。

④ 联合身份供应：用于跨企业、跨云合作场景；基于SAML/OIDC联合身份协议，通过信任的身份提供商完成核验，自动创建本地影子账号。

• 必须明确信任边界与权限范围，禁止过度授权。

🛑 官方强制安全要求：

1. 身份全局唯一：一人一号、一设备一号，绝对禁止共享账号。
2. 最小特权：初始权限必须严格遵循最小特权原则，仅授予完成入职/业务必需的最小权限，禁止默认分配全量权限。
3. 强密码+MFA：必须强制启用强密码策略、多因素认证（MFA），尤其是特权账号、远程访问账号。
4. 有效期：身份创建必须有明确的有效期，临时身份必须设置自动过期时间。
5. 全程留痕：所有创建操作必须留存申请、审批、创建的完整审计日志。

考试高频考点：自动供应是官方推荐首选；临时身份必须设置自动过期，永久权限必须经过最高级别审批；共享账号是高安全场景下完全禁用，所有场景题中使用共享账号的选项均为错误答案。

阶段2：身份认证与授权管理

官方定义：生命周期的核心管控环节，验证身份的真实性，为合法身份分配与业务需求匹配的访问权限（访问控制核心落地）。

🔐 官方核心认证要求：

• 必须基于“你知道什么、你拥有什么、你是什么”三类因素，实施多因素认证（MFA），高风险场景强制启用。
• 禁止弱密码、默认密码、空密码；定期轮换密码，禁止密码复用。
• 特权账号、远程访问账号、敏感系统账号必须启用强制MFA，无例外。
• 必须实现单点登录（SSO），减少凭证暴露面，同时实现统一认证策略管控。

🛡️ 官方标准授权模型（必考）

① RBAC（基于角色的访问控制）

• 核心定义：以岗位/角色为核心，权限绑定到角色，主体通过归属角色获得对应权限。
• 特点：权限与角色绑定，人员变动仅需调整角色归属，运维简单、标准化程度高。
• 适用场景：企业内部员工、标准化岗位，当前最主流的授权模型。
• 核心考点：最高频模型；核心是“角色‑权限”绑定，而非“用户‑权限”直接绑定；可有效防范权限蠕变。

② ABAC（基于属性的访问控制）

• 核心定义：基于主体属性、资源属性、环境属性、操作属性，通过动态策略决定是否授权访问。
• 特点：动态细粒度授权，无需预定义角色，适配复杂的跨组织、云原生场景。
• 适用场景：云平台、跨企业合作、零信任架构、动态业务场景。
• 核心考点：第十版重点强化；动态策略授权，适配零信任“始终验证”原则。

③ MAC（强制访问控制）

• 核心定义：系统基于安全标签，强制控制主体对客体的访问，用户无法自主修改权限。
• 特点：安全性极高，强制管控，不可绕过。
• 适用场景：政府、军方、涉密系统、高安全等级场景。
• 核心考点：系统强制控制，用户无法自主分配权限；与DAC完全相反。

④ DAC（自主访问控制）

• 核心定义：资源的所有者可自主决定将权限分配给哪些主体。
• 特点：灵活性高，管控粒度细，安全性弱。
• 适用场景：普通办公系统、个人文件共享。
• 核心考点：资源所有者自主分配权限，是最基础的授权模型。

⑤ PBAC（基于策略的访问控制）

• 核心定义：企业级统一的授权策略框架，所有授权行为都遵循全局统一的安全策略。
• 特点：集中化策略管控，跨系统、跨平台统一执行。
• 适用场景：大型企业、多云、分布式系统。
• 核心考点：是RBAC/ABAC的上层策略框架，实现企业级统一授权管控。

🛑 官方强制授权要求：

1. 最小特权：严格遵循最小特权原则，仅授予完成业务必需的最小权限。
2. 职责分离：严格执行职责分离原则，高风险操作必须拆分环节，禁止单人全流程操作。
3. 有效期：权限必须设置明确的有效期，临时权限到期自动回收，禁止永久权限。
4. 审批留痕：所有授权操作必须经过正式审批，全程留痕，可审计。

考试高频考点：RBAC与ABAC的核心区别与适用场景是必考区分题；职责分离是强制要求，所有场景题中单人完成全流程高风险操作的选项均为错误答案；临时权限必须设置自动过期，到期自动回收，是高频场景题考点。

阶段3：身份运维与变更管理

官方定义：针对主体岗位变动、部门调整、业务变化、设备状态变更，同步调整身份属性、权限范围、访问规则，确保权限始终与业务需求对齐，防范权限蠕变。

🛑 官方标准变更场景与强制要求：

① 岗位/部门变动

• 原则：必须执行“先回收旧权限，再分配新权限”，绝对禁止只加不减。
• 流程：新权限必须基于新岗位的角色重新分配，经过正式审批。

② 临时权限变更

• 要求：必须明确申请事由、有效期、权限范围，经过多级审批，到期自动回收。
• 红线：禁止临时权限永久化。

③ 特权权限变更

• 要求：必须经过最高级别审批，全程录屏审计，实施双人控制。

④ 身份状态变更

• 要求：主体长期休假、离岗、设备离线时，必须立即锁定身份，禁用所有访问权限；返回岗位时重新核验身份后解锁。

⑤ 凭证变更

• 要求：必须定期轮换密码、证书、密钥；凭证泄露时必须立即重置，吊销旧凭证，同步更新所有系统配置。

🌟 官方最佳实践：

• 与HR系统、资产管理系统联动，实现人员/设备状态变动的自动同步，自动调整权限，减少人工操作。
• 建立权限申请、审批、变更、回收的标准化工作流，所有变更全程留痕。
• 定期清理冗余权限、休眠账号、长期未使用的权限，防范权限蠕变。

考试高频考点：岗位变动必须先回收旧权限，再分配新权限，禁止权限叠加，是防范权限蠕变的核心措施（高频场景题考点）；长期未登录的休眠账号必须锁定，重新启用必须重新核验身份与审批权限；特权账号的权限变更必须经过严格审批与双人控制。

阶段4：身份审计与合规评审

官方定义：生命周期的合规管控核心环节，通过持续监控、定期审计、全面评审，验证身份与权限的合规性，发现并整改违规风险，确保全流程符合安全策略与合规要求（官方强制必选环节）。

🛑 官方强制审计要求：

① 持续监控与实时告警

• 对身份的异常登录、越权访问、权限变更、特权操作、批量账号变动进行实时监控，异常行为立即触发告警。

② 用户访问评审（官方强制最低频率）

• 普通用户账号：至少每年1次全面评审。
• 特权账号、高风险岗位账号：至少每季度1次全面评审。
• 第三方/外包/临时账号：至少每半年1次全面评审。

③ 职责分离审计

• 定期审计高风险操作的职责分离执行情况，排查单人全流程操作的违规场景。

④ 日志审计

• 所有身份的创建、认证、授权、变更、停用操作必须留存不可篡改的审计日志。
• 日志留存时长必须满足合规要求：通用场景至少6个月；金融/医疗/涉密场景需留存3‑7年。

⑤ 合规报告

• 定期输出身份合规审计报告，提交管理层与审计部门，留存用于监管合规检查。

考试高频考点：用户访问评审是官方强制要求的合规环节，必须按频率定期执行，是必考概念题；特权账号的评审频率远高于普通账号，是高频考点；审计日志必须不可篡改、不可删除，必须备份到独立的日志服务器，是合规强制要求；异常行为监控必须实时告警，及时处置风险。

阶段5：身份停用与撤销（Deprovisioning）

官方定义：生命周期的终点，主体业务生命周期结束时，立即执行身份停用、权限全量回收、凭证吊销，防范孤儿账号带来的安全风险。

🛑 官方标准触发场景：

• 员工正式离职、退休、辞退
• 外包/第三方人员合作到期、项目结束
• 设备报废、下线、丢失
• 服务/应用下线、合作终止
• 身份长期未使用、违规被封禁

💥 官方强制执行动作（必考）

1. 实时执行：离职/合作到期当日，必须立即禁用身份，禁止延迟操作。
2. 全量权限回收：回收该身份在所有系统、应用、平台、网络中的全部访问权限（包括本地系统、云平台、VPN、远程访问、物理门禁等）。
3. 凭证与密钥吊销：吊销该身份对应的数字证书、API密钥、访问令牌、SSH密钥，禁止继续使用。
4. 数据处置：回收该身份持有的企业数据，转移给对应业务负责人，按合规要求留存或销毁。
5. 审计归档：完整记录身份停用的全流程操作，留存审计日志，归档该身份的全生命周期档案。
6. 最终销毁：经过留存期后，对不再需要的身份执行彻底删除，不可恢复。

考试高频考点：员工离职当日必须立即禁用账号、回收所有权限，所有场景题中延迟操作的选项均为错误答案；必须全量回收所有系统的权限，不能仅回收核心系统权限，防止遗漏；必须吊销对应的证书、密钥、令牌，仅禁用账号无法防范凭证复用的风险；孤儿账号的核心成因是未及时执行身份撤销，是高频合规考点。

阶段6：身份归档与退役处置

官方要求：生命周期的收尾环节，对已停用的身份档案、审计日志、操作记录，按合规要求进行归档留存，到期后执行安全销毁。

• 归档内容必须包含身份全生命周期的所有申请、审批、操作、审计日志，不可篡改。
• 归档留存时长必须满足合规法规的最低要求，不得提前销毁。
• 到期销毁必须执行安全的不可恢复销毁，全程双人复核、审计记录。

🎯 四、专项场景身份全生命周期管控（第十版重点强化，高频考点）

1. 特权账号全生命周期管理（PAM）

官方核心定位：特权账号是企业风险最高的身份，必须实施比普通账号更严格的全生命周期管控（考试最高频的专项考点）。

🛑 全生命周期强制管控要求：

• 创建阶段：必须经过最高级别审批，全局唯一，禁止共享；必须与普通账号分离（管理员先用普通账号办公，仅在执行高风险操作时使用特权账号）。
• 授权阶段：严格遵循最小特权原则，仅授予必需的管理权限，禁止全量超级权限；优先使用JIT即时授权，仅在需要时临时授予权限，使用后立即回收（最小化特权暴露面）。
• 运维阶段：必须通过PAM平台统一保管密码，自动定期轮换；特权操作必须经过审批，全程录屏审计；强制启用MFA，禁止远程直接使用特权账号。
• 审计阶段：至少每季度开展一次特权账号权限评审；每月审计特权操作日志；实时监控异常特权行为。
• 撤销阶段：人员岗位变动/离职时，立即回收特权权限，禁用特权账号，轮换所有相关密码与密钥。

2. 服务/应用账号全生命周期管理

官方定义：用于应用之间、服务之间、系统之间通信的非人员账号，是企业最容易被忽略的高风险账号（第十版重点强化内容）。

🛑 强制管控要求：

• 创建阶段：必须明确归属部门、负责人、业务用途、有效期，禁止无归属的服务账号；禁止使用服务账号进行人工登录操作。
• 授权阶段：严格遵循最小特权原则，仅授予完成服务通信必需的最小权限，禁止给服务账号分配管理员权限。
• 运维阶段：必须定期轮换密码、密钥、证书；禁止硬编码到代码、配置文件中；必须通过密钥管理系统统一保管，禁止明文存储。
• 审计阶段：定期评审服务账号的权限与有效期，监控异常登录、异常操作，禁止服务账号的人工交互式登录。
• 撤销阶段：服务/应用下线时，立即删除服务账号，回收所有权限，吊销对应的密钥与证书。

3. 第三方/外包/临时人员身份全生命周期管理

官方要求：第三方人员是企业身份管控的高风险环节，必须实施比正式员工更严格的生命周期管控。

🛑 强制管控要求：

• 创建阶段：必须基于正式的合作合同、保密协议，经过业务负责人、安全部门的多级审批；必须明确身份有效期，到期自动禁用；仅授予完成工作必需的最小权限，禁止访问与工作无关的资源。
• 运维阶段：必须定期复核合作有效性，权限到期自动回收；禁用共享账号，强制启用MFA；全程监控访问行为，异常操作立即告警。
• 审计阶段：至少每半年开展一次权限评审，验证权限与工作内容的匹配度，审计访问日志。
• 撤销阶段：合作到期/项目结束当日，立即禁用身份，全量回收所有权限，吊销凭证，回收企业数据与设备。

4. 设备/物联网/OT身份全生命周期管理

第十版重点强化内容：物联网、工控、移动设备的数字身份，必须实施全生命周期管控，是零信任架构的核心基础。

🛑 官方核心要求：

• 创建阶段：设备上线前必须完成身份注册，生成唯一的设备身份，配置对应的安全基线，仅授予完成业务必需的最小网络与系统访问权限。
• 运维阶段：定期校验设备身份的真实性，监控设备异常行为，更新设备证书与密钥，修复安全漏洞。
• 审计阶段：定期评审设备的在线状态、权限范围，清理离线、报废设备的身份。
• 撤销阶段：设备报废、下线、丢失时，立即吊销设备身份，回收所有访问权限，加入黑名单，禁止再次接入网络。

🛠️ 五、核心支撑技术与协议速查

技术/协议：SCIM（跨域身份管理系统）

• 官方核心定位：身份自动同步的标准化协议。
• 在生命周期中的核心作用：实现不同系统、跨云平台之间的身份信息、权限信息自动同步，是身份供应/变更/撤销自动化的核心技术。
• 考试高频考点：第十版重点强化，是实现生命周期自动化管理的核心标准。

技术/协议：LDAP / LDAPS

• 官方核心定位：轻量级目录访问协议。
• 在生命周期中的核心作用：企业统一的身份目录服务，集中存储身份属性、角色、权限信息，是身份管理的核心底层数据库。
• 考试高频考点：LDAPS是加密版本，明文LDAP必须禁用；是企业内网身份管理的核心协议。

技术/协议：Kerberos

• 官方核心定位：企业级单点登录认证协议。
• 在生命周期中的核心作用：基于票据机制实现身份认证，是企业AD域环境的核心认证协议，统一身份认证与生命周期管控。
• 考试高频考点：核心是票据机制，KDC是核心组件；必须实现时钟同步。

技术/协议：SAML 2.0

• 官方核心定位：联邦身份认证协议。
• 在生命周期中的核心作用：实现跨企业、跨平台的Web应用单点登录，是联合身份供应的核心协议，解决跨组织身份生命周期管理。
• 考试高频考点：基于XML格式，实现身份提供商与服务提供商之间的信任传递。

技术/协议：OAuth 2.0 / OIDC

• 官方核心定位：现代授权与身份认证框架。
• 在生命周期中的核心作用：OAuth 2.0是授权框架，用于第三方应用的权限委托；OIDC是基于OAuth 2.0的身份认证层，实现现代应用、移动端、云平台的联合身份管理。
• 考试高频考点：核心易错点：OAuth 2.0是授权框架，不是身份认证协议，OIDC才实现身份认证。

技术/协议：RADIUS / TACACS+

• 官方核心定位：网络设备接入认证协议。
• 在生命周期中的核心作用：实现网络设备、VPN、无线接入的身份认证、授权、审计，是设备身份生命周期管理的核心协议。
• 考试高频考点：TACACS+完全分离认证、授权、审计，全报文加密，安全性高于RADIUS。

技术/协议：MFA

• 官方核心定位：多因素认证。
• 在生命周期中的核心作用：强身份验证技术，身份认证环节的核心安全控制，防范凭证泄露导致的未授权访问。
• 考试高频考点：高风险场景必须强制启用MFA，是必考基础考点。

❌ 六、官方明确的常见误区纠正（考试高频错题点）

误区1：共享账号只要密码足够复杂，就是安全的。

官方纠正：共享账号的核心风险是无法实现审计追责，无法确认操作的实际执行人，一旦出现安全事件无法溯源；同时多人共享会大幅提升凭证泄露风险。官方明确不推荐共享账号，高安全场景下完全禁用。

误区2：员工离职只要禁用AD账号就行，不用管其他系统的权限。

官方纠正：身份撤销必须全量回收该身份在所有系统、应用、平台、VPN、云服务中的全部权限。仅禁用AD账号会导致大量遗留权限与孤儿账号，带来严重安全风险。离职当日必须完成全量权限回收与账号禁用。

误区3：岗位变动时，直接给员工叠加新岗位的权限就行，不用回收旧权限。

官方纠正：这种操作会直接导致权限蠕变/权限累积，员工最终会获得远超业务需求的过度权限，严重违背最小特权原则。岗位变动必须严格执行“先回收旧权限，再分配新权限”的原则。

误区4：用户访问评审（UAR）每年做一次就行，所有账号统一频率。

官方纠正：普通账号至少每年一次评审；但特权账号、高风险岗位账号、第三方账号必须提高评审频率（特权账号至少每季度一次，临时账号至少每半年一次）。不能所有账号统一频率。

误区5：服务账号可以设置永久不过期的密码，避免业务中断。

官方纠正：永久密码会大幅提升泄露风险。服务账号的密码、密钥必须定期轮换，禁止硬编码到代码中；必须通过密钥管理系统统一保管。可以通过自动化轮换机制避免业务中断，而非设置永久密码。

误区6：身份管理就是创建账号和删除账号，不用全流程管控。

官方纠正：身份全生命周期管理是从规划、创建、授权、变更、审计到撤销的完整闭环管控，而非简单的账号增删。权限变更、持续审计、合规评审是生命周期管理的核心环节，缺失会导致权限失控、合规违规。

误区7：RBAC模型已经过时，应该全部替换为ABAC模型。

官方纠正：RBAC与ABAC没有绝对的优劣，只有适用场景不同。RBAC适合标准化的企业内部岗位场景，运维简单、标准化程度高；ABAC适合复杂的动态、跨组织、云原生场景。二者可以结合使用，而非完全替换。

🔗 七、跨域关联官方速记

• 域1 安全与风险管理：身份全生命周期管理是风险缓解的核心落地措施，权限管控是防范内部威胁、数据泄露的核心手段；生命周期管理必须符合企业安全治理策略与合规要求，最终责任由最高管理层承担。
• 域2 资产安全：身份授权的核心依据是资产分级分类，高敏感资产必须配套更严格的身份访问控制；数据最小化、数据留存要求直接决定身份的权限范围与生命周期。
• 域3 安全架构与工程：安全模型、安全设计原则是身份授权模型的底层基础；密码学体系是身份认证、凭证管理的核心技术支撑。
• 域4 通信与网络安全：身份是零信任网络架构的核心边界，网络访问控制、VPN、无线接入都必须基于身份全生命周期管理实现准入管控。
• 域6 安全评估与测试：身份权限审计、渗透测试、配置合规检查，都是验证身份全生命周期管理有效性的核心手段，用于发现权限滥用、违规账号、配置缺陷。
• 域7 安全运营：身份异常行为监控、告警响应、事件处置、日志审计，都是安全运营的核心日常工作；特权账号管理、漏洞修复是运营环节的核心内容。
• 域8 软件开发安全：服务账号、API身份管理、应用权限控制，是DevSecOps的核心组成部分，身份安全必须内置到软件开发生命周期中。

🔐 身份全生命周期管理的本质，是让身份的权限与业务生命周期完全同频，从生到死全程可控、可审计、可追溯，严格遵循最小特权原则，从源头杜绝未授权访问的风险。

在零信任架构体系中，身份已经取代传统的网络边界，成为企业安全的核心基石，而全生命周期管理，就是这块基石的核心骨架。

持续更新 CISSP 8大知识域考点解析，关注 @老张的张 带你用人话掌握信息安全核心知识。