当前位置：首页 > article >正文

CISSP 域5知识点身份认证与授权

article 2026/4/16 0:42:01

CISSP必修课⑤ | 身份认证与授权官方核心考点完全拆解 CISSP Domain 5 身份认证与授权 | 官方核心定位归属Domain 5 身份与访问管理Identity and Access Management, IAM对应OSG第十版**第13章《Managing Identity and Access》**核心内容同时覆盖Domain 3零信任架构、Domain 4网络安全接入、Domain 7安全运营的相关专项要求考试权重占Domain 515%总考试权重的50%以上是CISSP考试的核心必考模块概念题、场景题、流程题占比极高是IAM体系的两大核心支柱也是零信任架构的底层核心逻辑官方核心定位身份认证与授权是访问控制体系的前后两个核心环节二者缺一不可。身份认证解决“你是谁”的问题验证主体身份的真实性授权解决“你能做什么”的问题为已认证的合法主体分配匹配业务需求的访问权限二者共同构成了企业数字访问的第一道安全闸门是防范未授权访问、越权操作、内部威胁、数据泄露的核心技术基础⚠️ 底层红线规则考试不可突破a. 先认证后授权绝对禁止未完成身份真实性验证就为主体分配权限、允许访问资源这是最高频的错题红线b. 认证与授权必须严格遵循最小特权、职责分离、默认拒绝三大核心原则无原则例外c. 高风险场景必须强制启用多因素认证MFA单密码认证无法满足高安全等级要求d. 认证与授权的全流程必须全程可审计、不可篡改所有操作必须留存完整日志满足合规最低留存要求e. 零信任核心原则认证与授权不基于网络位置内网/外网每一次资源访问都必须重新完成身份验证与授权校验无永久默认信任f. 授权必须与主体的业务生命周期完全同步权限到期必须自动回收禁止永久过度授权核心边界厘清与官方标准术语定义认证与授权的核心边界必考易错点绝大多数考试错题源于对二者的概念混淆官方明确了二者的严格边界与先后顺序身份认证Authentication官方核心定义验证主体声称的身份是否真实、合法的过程确认“你是不是你声称的那个人”核心目标防范身份伪造、假冒、冒充确保访问主体的身份真实性执行顺序前置环节必须先完成认证才能执行授权典型场景账号密码登录、指纹解锁、证书校验、MFA验证授权Authorization官方核心定义为已通过认证的合法主体分配对客体的访问权限与操作范围的过程确认“你能访问什么、能做什么”核心目标防范越权访问、权限滥用确保主体仅能访问业务必需的最小资源执行顺序后置环节仅对已通过认证的主体生效典型场景普通员工仅能访问办公系统、财务人员仅能访问财务系统、管理员仅能执行指定运维操作官方标准术语定义1. 主体Subject发起访问请求的主动实体包括员工、外包人员、设备、服务、应用、API等是认证与授权的对象2. 客体Object被主体访问的被动资源包括文件、数据库、应用、系统、API、网络、设备等是授权的目标对象3. 凭证Credential用于验证主体身份真实性的材料包括密码、数字证书、安全令牌、生物特征、私钥、一次性密码OTP等4. 断言Assertion身份提供商IdP生成的、经过签名的身份验证结果用于在不同系统之间传递主体的身份信息与授权属性是联合身份认证的核心载体5. 身份提供商Identity Provider, IdP负责主体身份认证、身份信息管理的可信系统是联合身份体系的核心组件6. 服务提供商Service Provider, SP提供业务资源、应用服务的系统依赖IdP的身份断言结果为主体分配访问权限7. 最小特权原则Least Privilege仅授予主体完成本职工作必需的最小权限与最短生效时间是授权的第一核心原则8. 职责分离Separation of Duties, SoD将高风险操作的不同环节拆分给不同主体禁止单个主体完成全流程操作是授权环节的核心管控规则9. 默认拒绝原则Default Deny访问控制默认拒绝所有请求仅开放明确授权的权限与资源是认证与授权的通用底层规则10. 越权攻击攻击者绕过授权控制访问/操作超出自身权限范围的资源分为水平越权访问同级别其他主体的资源与垂直越权访问更高权限主体的资源是授权环节的核心防范目标️ 第一部分身份认证体系必考核心内容模块1身份认证的五大核心要素官方标准分类OSG第十版明确了身份认证的5类核心要素所有认证方式均归属这五大类多因素认证必须使用不同类别的要素同一类别的多个要素不算多因素认证这是考试最高频的易错点。你知道什么Something you know官方定义只有主体本人知道的秘密信息典型示例密码、PIN码、安全问题答案、passphrase核心特点成本最低、最易部署也最容易被破解、窃取、钓鱼考试考点最基础的认证要素单密码认证属于单因素认证安全性最低你拥有什么Something you have官方定义只有主体本人持有的物理/数字凭证典型示例硬件令牌、智能卡、U盾、手机SIM卡、数字证书、SSH密钥核心特点安全性远高于密码凭证丢失/泄露才会被冒用必须配合PIN码等要素实现多因素考试考点多因素认证的核心常用要素硬件令牌是高安全场景的官方推荐方式你是什么Something you are官方定义主体本人的生物特征具有唯一性、不可复制性典型示例指纹、虹膜、人脸、掌纹、声纹、视网膜、静脉识别核心特点不可转借、不可丢失用户体验好存在生物特征泄露后无法重置的风险考试考点强认证要素必须配合活体检测防范伪造高安全场景必须使用你在哪里Something you are / Where you are官方定义主体的物理位置、网络位置信息典型示例GPS定位、IP地址归属地、终端接入网段、物理门禁位置核心特点基于位置的动态认证要素可用于限制异常位置的访问请求考试考点零信任动态认证的核心辅助要素可用于防范异地异常登录你做什么Something you do官方定义主体的行为特征、操作习惯具有唯一性典型示例键盘敲击节奏、鼠标移动习惯、签名笔迹、操作行为模式核心特点基于行为的动态认证要素可用于持续信任评估防范身份冒用考试考点零信任持续认证的核心要素用于会话过程中的动态身份校验⚡ 考试高频红线规则⚠️ 多因素认证MFA必须使用两个及以上不同类别的要素比如“密码硬件令牌”是双因素认证而“密码安全问题”属于同一类别不算多因素认证这是最高频的错题点⚠️ 官方强制要求特权账号、远程访问账号、敏感系统账号必须启用MFA无例外⚠️ 单因素认证仅密码安全性最低禁止用于高安全场景模块2官方标准认证类型与适用场景单因素认证官方核心定义仅使用一类认证要素完成身份验证核心特点部署简单、用户体验好安全性极低易被破解、钓鱼官方推荐适用场景仅适用于无敏感数据的公开低风险场景官方不推荐用于企业内部业务系统双因素认证2FA官方核心定义使用两类不同的认证要素完成身份验证核心特点安全性大幅提升是企业级场景的最低安全标准官方推荐适用场景企业员工办公系统登录、VPN远程访问、普通业务系统多因素认证MFA官方核心定义使用三类及以上不同的认证要素完成身份验证核心特点安全性极高部署成本高用户体验相对复杂官方推荐适用场景特权账号登录、核心敏感系统、金融交易、涉密系统等高安全场景持续认证官方核心定义会话过程中基于主体的行为、位置、终端状态等要素持续动态校验身份真实性核心特点突破“一次登录、全程信任”的传统模式可实时发现身份冒用是零信任架构的核心认证模式官方推荐适用场景零信任架构、远程办公、高敏感业务系统、移动办公场景匿名认证官方核心定义仅验证主体的访问权限合法性不收集/验证主体的真实身份信息核心特点保护用户隐私无法实现审计追责官方推荐适用场景公开服务、匿名访问场景禁止用于企业内部业务系统联邦身份认证官方核心定义基于跨组织的信任关系通过可信的IdP完成身份认证实现一次认证、跨系统/跨企业访问核心特点无需在多个系统重复创建身份用户体验好权限集中管控官方推荐适用场景跨企业合作、多云平台访问、企业SSO单点登录、互联网应用跨平台登录模块3官方主流认证协议深度拆解必考重点OSG第十版明确了企业级场景的主流认证协议每个协议的工作层级、核心功能、适用场景、安全特性必须精准区分是考试场景题的核心出题区。 1. Kerberos协议官方核心定位企业内网单点登录SSO的行业标准认证协议基于对称加密体系是Windows AD域环境的核心认证协议工作在应用层。核心组件必考KDC密钥分发中心Kerberos的核心可信第三方包含两大组件AS认证服务负责验证主体的初始身份发放TGT票据授予票据TGS票据授予服务负责验证TGT为主体发放访问特定服务的ST服务票据客户端主体发起访问请求的用户/服务应用服务器客体提供业务服务的资源服务器信任KDC签发的服务票据标准认证流程必考客户端向AS发送身份认证请求AS验证身份后使用客户端的密钥加密TGT返回给客户端客户端解密获得TGT向TGS发送TGT与服务访问请求TGS验证TGT有效性后发放对应服务的ST服务票据客户端向应用服务器发送ST服务器验证ST有效性后允许客户端访问服务可选双向认证服务器向客户端证明自身身份防范伪造服务器核心安全特性全程无需在网络中传输密码仅传输加密的票据防范密码窃听票据有固定的生命周期到期自动失效防范重放攻击支持双向认证同时验证客户端与服务器的身份实现企业内网单点登录一次认证即可访问多个授权服务考试高频考点Kerberos的核心是票据机制基于对称加密体系必须实现时钟同步所有节点的时钟偏差不能超过5分钟否则票据会失效防范重放攻击单点故障风险KDC是整个体系的核心一旦宕机所有认证都会失败核心易错点Kerberos仅解决身份认证问题不直接解决授权问题授权由应用服务器基于身份信息执行 2. SAML 2.0安全断言标记语言官方核心定位企业级联邦身份认证与单点登录的XML标准协议工作在应用层主要用于Web应用的跨域、跨企业单点登录。核心组件身份提供商IdP负责身份认证生成身份断言服务提供商SP信任IdP的断言为用户提供服务访问权限核心工作流程用户访问SP的Web应用SP将用户重定向到可信的IdPIdP完成用户的身份认证生成经过数字签名的SAML断言包含用户身份信息、授权属性IdP将SAML断言返回给用户浏览器再转发给SPSP验证SAML断言的签名与有效性确认用户身份合法后为用户分配访问权限允许用户登录应用核心安全特性基于数字签名实现断言的不可伪造、不可篡改防范中间人攻击实现跨企业、跨平台的联邦身份认证无需在SP重复创建账号身份凭证仅在IdP与用户之间传递SP不会获取用户的密码等敏感凭证支持基于断言的属性授权SP可基于断言中的属性分配精细化权限考试高频考点SAML 2.0是企业级Web应用联邦SSO的官方标准主要用于浏览器场景核心是基于XML的身份断言通过数字签名保障真实性核心易错点SAML同时传递身份信息与授权属性但核心功能是身份认证授权由SP最终执行 3. OAuth 2.0 与 OIDC 官方核心定位与区别必考易错点 OAuth 2.0官方核心定位开放授权框架不是身份认证协议核心功能实现用户对第三方应用的权限委托允许第三方应用在不获取用户密码的前提下访问用户在资源服务器上的限定资源适用场景互联网应用第三方登录授权、API权限委托、微服务之间的权限调用考试红线规则绝对不能将OAuth 2.0单独作为身份认证协议使用这是最高频错题点 OIDCOpenID Connect官方核心定位基于OAuth 2.0的身份认证层协议核心功能在OAuth 2.0的授权框架基础上增加了标准化的身份认证功能通过ID Token传递用户身份信息适用场景现代互联网应用、移动端应用、云原生应用的联合身份认证与单点登录官方推荐现代应用身份认证标准是OAuth 2.0的身份认证扩展 OAuth 2.0核心角色资源所有者用户拥有资源的访问权限客户端第三方应用请求访问用户的资源授权服务器负责验证用户身份发放授权令牌资源服务器存储用户资源验证授权令牌的有效性提供资源访问 OAuth 2.0官方推荐授权模式授权码模式官方推荐的最安全模式适用于有后端服务的Web应用通过后端服务交换令牌避免令牌在前端泄露PKCE增强授权码模式适用于移动端、单页应用等无后端服务的公共客户端防范授权码拦截攻击客户端凭证模式适用于服务之间、微服务之间的机器对机器M2M认证无用户参与资源所有者密码模式官方不推荐仅适用于高度信任的内部应用会暴露用户密码给客户端隐式模式官方明确不推荐令牌直接返回给前端极易泄露已被淘汰考试高频考点核心红线OAuth 2.0是授权框架不是身份认证协议OIDC才是基于OAuth 2.0的身份认证协议授权码模式是官方推荐的最安全模式隐式模式已被淘汰核心适用场景第三方应用的权限委托无需向第三方暴露用户密码 4. RADIUS 与 TACACS 官方核心定位网络设备接入、VPN、无线接入的集中式认证、授权、审计协议是网络访问控制的核心认证协议二者的区别是必考区分题。 RADIUS传输协议UDP 1812认证、1813计费核心特性合并认证与授权功能审计功能较弱仅加密用户密码字段报文头部不加密跨厂商通用是网络接入的行业标准官方安全评级中等安全适用场景通用网络接入、无线AP、普通VPN、家用/中小企业网络设备接入 TACACS传输协议TCP 49核心特性完全分离认证、授权、审计三大功能可精细化管控对整个报文全加密安全性远高于RADIUS思科私有协议适配企业级设备管理场景官方安全评级高安全官方推荐适用场景企业级网络设备管理、特权账号运维、高安全等级的设备接入场景考试高频考点核心区别TACACS完全分离认证/授权/审计全报文加密RADIUS合并认证与授权仅加密密码TACACS使用TCPRADIUS使用UDPTACACS更适合设备管理场景RADIUS更适合通用网络接入场景 5. 其他核心认证协议1. LDAP/LDAPS官方定义轻量级目录访问协议LDAPS是加密版本工作在应用层核心用途企业级统一身份目录的核心协议用于存储身份信息、角色信息、权限属性是Kerberos、SAML等协议的底层身份数据库安全要求明文LDAP必须禁用替换为LDAPS636端口2. 802.1X官方定义数据链路层的端口级网络访问控制标准基于EAP可扩展认证协议用于有线/无线网络的接入认证核心组件请求者客户端、认证者交换机/AP、认证服务器RADIUS/TACACS适用场景企业内网接入、无线接入的官方推荐认证标准3. PAP/CHAPPAP明文密码认证完全不安全官方禁用CHAP挑战握手认证协议基于哈希校验不传输明文密码安全性高于PAP已被更安全的EAP协议替代️ 第二部分授权体系必考核心内容模块1授权的官方核心原则授权环节必须严格遵循以下6项核心原则是场景题中判断授权设计是否合规的核心依据与身份全生命周期管理的原则完全对齐。1. 最小特权原则仅授予主体完成本职工作必需的最小权限、最小范围、最短生效时间禁止过度授权、永久授权是授权的第一核心原则2. 默认拒绝原则访问控制默认拒绝所有请求仅开放明确授权的资源与操作禁止默认允许所有访问、仅封禁违规内容的设计3. 职责分离原则将高风险操作的不同环节拆分给不同主体禁止单个主体完成全流程操作分为两类互斥职责同一个人不能同时承担两个互斥的岗位比如出纳与会计、开发与投产、申请与审批功能分离同一个人不能完成高风险操作的全流程比如密钥恢复必须双人授权、配置变更必须双人复核4. 最小攻击面原则仅开放业务必需的资源访问权限关闭所有非必需的操作权限缩小主体可访问的资源范围减少攻击面5. 权限与生命周期同步原则权限必须与主体的业务生命周期完全同步岗位变动时回收旧权限业务结束/离职时全量回收所有权限禁止权限蠕变6. 全程可审计原则所有权限的申请、审批、分配、变更、回收操作必须全程留痕所有权限的使用行为必须记录完整日志可审计、可溯源模块2官方标准授权模型必考区分题OSG第十版明确了6类主流授权模型每个模型的核心逻辑、适用场景、安全等级必须精准区分是考试的核心出题区。 DAC自主访问控制官方核心定义资源的所有者可自主决定将资源的访问权限分配给哪些主体核心逻辑权限管控的主体是资源所有者所有者可自主分配、修改、回收权限系统不强制干预安全等级低典型适用场景普通办公系统、个人文件共享、非敏感业务场景考试高频考点核心特点是资源所有者自主分配权限是最基础、最灵活的授权模型安全性最弱 MAC强制访问控制官方核心定义系统基于安全标签强制控制主体对客体的访问主体与客体都有固定的安全密级标签用户无法自主修改权限核心逻辑基于“不上读、不下写”的BLP保密性模型主体只能读取安全等级等于/低于自身的资源只能写入安全等级等于/高于自身的资源系统强制管控不可绕过安全等级极高典型适用场景政府、军方、涉密系统、高安全等级关键信息基础设施考试高频考点核心特点是系统强制控制用户无法自主修改权限与DAC完全相反核心目标是保障数据保密性 RBAC基于角色的访问控制官方核心定义以岗位/角色为核心将权限与角色绑定主体通过归属角色获得对应的权限不直接给用户分配权限核心逻辑核心是“角色-权限”绑定而非“用户-权限”直接绑定人员变动仅需调整角色归属无需批量修改权限可实现职责分离、最小特权安全等级中高典型适用场景企业内部员工管理、标准化岗位场景、大中型企业内部系统是当前最主流的授权模型考试高频考点考试最高频模型核心是角色为核心可有效防范权限蠕变三大类型核心RBAC、层级RBAC、受限RBAC ABAC基于属性的访问控制官方核心定义基于主体属性、资源属性、环境属性、操作属性通过动态策略决定是否授权访问核心逻辑动态细粒度授权无需预定义角色通过“如果-那么”的策略规则实现授权比如“仅允许财务部门的员工在工作时间、公司内网访问财务系统的非涉密文件”安全等级高典型适用场景云平台、跨企业合作、零信任架构、动态业务场景、分布式微服务架构考试高频考点第十版重点强化模型核心是动态策略、多属性决策适配零信任“始终验证”原则灵活性远高于RBAC Rule-BAC基于规则的访问控制官方核心定义基于预定义的全局规则决定是否允许访问请求核心逻辑也叫上下文相关访问控制基于固定的规则执行授权比如“仅允许8:00-18:00访问系统”“禁止来自境外IP的访问请求”安全等级中典型适用场景防火墙、网络访问控制、接入场景的规则化管控考试高频考点核心特点是基于固定规则的强制管控通常与其他模型结合使用而非单独使用 PBAC基于策略的访问控制官方核心定义企业级统一的授权策略框架所有授权行为都遵循全局统一的安全策略跨系统、跨平台统一执行核心逻辑是RBAC/ABAC/Rule-BAC的上层策略框架实现企业级集中化的授权策略管控确保所有系统的授权规则符合企业统一安全策略安全等级高典型适用场景大型企业、多云环境、分布式系统、跨平台业务场景考试高频考点核心是企业级统一策略管控解决不同系统授权规则不一致的问题⚡ 考试高频易错点1. DAC与MAC的核心区别DAC是所有者自主控权MAC是系统强制控权二者完全相反2. RBAC与ABAC的核心区别RBAC是静态的角色绑定适合标准化岗位ABAC是动态的多属性决策适合复杂的动态场景3. Rule-BAC是基于固定规则的上下文管控通常作为其他模型的补充而非独立的授权体系模块3授权的官方标准执行流程1. 权限申请主体基于业务需求提交权限申请明确申请的权限范围、有效期、申请事由2. 多级审批基于权限的风险等级执行业务负责人、数据所有者、安全部门的多级审批高风险权限必须最高级别审批3. 权限分配审批通过后基于最小特权原则为主体分配申请的最小权限设置明确的有效期4. 权限执行主体访问资源时系统校验主体的身份与权限仅允许授权范围内的操作默认拒绝所有未授权请求5. 权限审计定期开展用户访问评审UAR复核权限与业务需求的匹配度清理冗余权限、违规权限6. 权限回收权限到期、岗位变动、业务结束、人员离职时立即全量回收对应权限禁用相关访问规则️ 零信任架构下的认证与授权第十版重点强化内容OSG第十版明确零信任架构的核心是以身份为中心的动态认证与授权彻底打破“内网可信、外网不可信”的传统假设官方定义了零信任认证与授权的三大核心要求1. 永不信任始终验证无论主体处于内网还是外网每一次资源访问请求都必须重新完成完整的身份认证与授权校验没有永久的默认信任2. 最小权限按需授权仅授予主体完成单次操作必需的最小权限基于主体身份、设备健康、访问上下文、风险评分动态调整授权范围禁止永久全量权限3. 持续信任评估动态管控会话过程中持续监控主体的行为、设备状态、访问上下文动态评估信任等级发现异常立即终止会话、撤销权限实现持续认证与动态授权零信任认证与授权的核心落地技术 SPA单包授权主体先向授权服务器发送一个加密的单包授权请求验证通过后才开放网络访问端口实现“先认证、后连接”隐藏业务资源防止端口扫描与攻击 mTLS双向TLS客户端与服务器双向验证对方的数字证书同时完成客户端与服务端的身份认证是微服务、API场景的零信任核心认证技术动态策略引擎基于多维度属性实时计算访问请求的风险评分动态决定是否允许访问、分配对应的权限范围持续信任评估实时监控主体的行为、设备健康、访问模式发现异常立即触发二次认证、缩小权限、终止会话常见攻击与官方标准防护措施针对身份认证的常见攻击与防护密码破解攻击官方核心定义包括暴力破解、字典攻击、彩虹表攻击、撞库攻击破解用户的密码凭证官方标准防护措施强制强密码策略、密码定期轮换、禁止密码复用启用账户锁定策略限制失败登录尝试次数强制启用MFA多因素认证密码加盐哈希存储禁止明文/弱哈希存储密码钓鱼攻击官方核心定义通过伪造钓鱼网站、邮件、短信诱导用户泄露账号密码、验证码、令牌官方标准防护措施开展全员安全意识培训识别钓鱼攻击部署邮件安全网关、钓鱼防护工具启用MFA即使密码泄露也无法登录禁用密码自动填充防范钓鱼网站窃取密码中间人攻击MitM官方核心定义攻击者插入通信双方之间窃听、篡改认证报文窃取凭证、伪造身份官方标准防护措施全程启用TLS 1.2/1.3加密通信禁用低版本协议启用服务器证书强校验禁止接受自签名/无效证书使用Kerberos、SAML等带数字签名的认证协议防范报文篡改重放攻击官方核心定义攻击者截获合法的认证报文在后续重新发送伪造合法身份登录官方标准防护措施认证报文添加时间戳、随机数、一次性会话ID票据/令牌设置短生命周期到期自动失效Kerberos等协议强制时钟同步防范重放 Pass-the-Hash哈希传递官方核心定义攻击者窃取用户密码的哈希值直接使用哈希值完成认证无需破解明文密码官方标准防护措施禁用LM/NTLM哈希认证启用Kerberos认证限制管理员账号的登录范围禁止普通终端使用管理员账号登录启用LSA保护防范哈希值窃取强制启用MFA 凭证填充攻击官方核心定义攻击者利用从其他渠道泄露的账号密码批量尝试登录企业系统官方标准防护措施启用泄露密码检测禁止用户使用已泄露的密码启用异常登录检测防范异地、异常设备批量登录强制启用MFA限制单IP的登录请求频率针对授权的常见攻击与防护垂直越权攻击官方核心定义低权限主体绕过授权控制访问/操作高权限主体的资源比如普通用户访问管理员功能官方标准防护措施严格遵循最小特权原则默认拒绝所有访问每一次操作都必须在服务端重新校验权限不能仅在前端做权限控制启用越权操作检测与告警定期开展权限审计清理过度授权水平越权攻击官方核心定义同权限级别的主体绕过授权控制访问/操作其他同级别主体的资源比如用户A查看用户B的个人信息官方标准防护措施权限校验必须同时验证主体身份与资源归属不能仅验证是否登录启用数据级的访问控制每一次数据访问都必须校验权限最小化数据返回范围禁止批量返回全量数据启用异常访问行为检测权限提升攻击官方核心定义攻击者利用系统漏洞、配置错误将自身的低权限提升至高权限获取系统管理员权限官方标准防护措施严格遵循最小特权原则禁止普通用户获得过度权限及时修复系统、应用的权限提升漏洞禁用普通用户的系统管理权限实时监控权限变更、提权操作触发告警权限蠕变/过度授权官方核心定义主体岗位变动后旧权限未回收持续叠加新权限最终获得远超业务需求的权限官方标准防护措施岗位变动严格执行“先回收旧权限再分配新权限”定期开展用户访问评审UAR清理冗余权限所有权限必须设置有效期临时权限到期自动回收基于RBAC模型实现标准化权限管控禁止直接给用户分配权限⚠️ 官方明确的常见误区纠正考试高频错题点❌ 误区1认证和授权是一回事完成认证就等于完成了授权✅ 官方纠正认证和授权是两个完全独立的前后环节认证解决“你是谁”授权解决“你能做什么”通过认证不代表拥有访问权限必须完成授权校验才能访问资源先认证后授权是不可突破的红线。❌ 误区2OAuth 2.0是身份认证协议可以单独用于用户登录认证✅ 官方纠正OAuth 2.0是开放授权框架核心功能是权限委托不是身份认证协议无法标准化验证用户身份只有基于OAuth 2.0扩展的OIDC协议才是标准化的身份认证协议这是考试最高频的错题点。❌ 误区3密码安全问题属于双因素认证✅ 官方纠正双因素认证必须使用两个不同类别的认证要素密码和安全问题都属于“你知道什么”属于同一类别不算双因素认证只有“密码硬件令牌”“密码指纹”这种不同类别的组合才是合规的双因素认证。❌ 误区4RBAC模型已经过时应该全部替换为ABAC模型✅ 官方纠正RBAC与ABAC没有绝对的优劣只有适用场景不同RBAC适合标准化的企业内部岗位场景运维简单、标准化程度高ABAC适合复杂的动态、跨组织、云原生场景二者可以结合使用而非完全替换。❌ 误区5内网环境下一次认证通过后整个会话期间无需再次验证身份与权限✅ 官方纠正这是传统边界架构的错误假设零信任架构明确要求无论内网还是外网每一次资源访问都必须重新验证身份与授权会话过程中必须持续评估信任状态没有永久默认信任。❌ 误区6DAC模型中系统可以强制控制用户的权限分配✅ 官方纠正DAC模型的核心是资源所有者自主分配权限系统不会强制干预只有MAC模型是系统强制控制权限用户无法自主修改二者的核心逻辑完全相反不可混淆。❌ 误区7只要启用了MFA就不会被账号盗用✅ 官方纠正MFA可以大幅提升账号安全性但不是绝对安全攻击者可通过钓鱼攻击、SIM卡劫持、木马窃取令牌等方式绕过MFA必须结合设备健康校验、异常行为检测、持续信任评估才能实现全面防护。本知识点与其他知识域的官方关联 Domain 1 安全与风险管理认证与授权是风险缓解的核心落地措施是防范未授权访问、数据泄露、内部威胁的核心手段认证与授权的策略必须符合企业安全治理与合规要求最终责任由最高管理层承担 Domain 2 资产安全授权的核心依据是资产分级分类高敏感资产必须配套更严格的认证与授权管控数据最小化原则直接决定了授权的范围与粒度 Domain 3 安全架构与工程安全模型BLP、Biba等是授权模型的底层理论基础密码学体系是认证协议、数字签名、加密通信的核心技术支撑 Domain 4 通信与网络安全802.1X、RADIUS/TACACS、VPN等网络接入认证是网络安全架构的核心准入环节零信任网络架构的核心是基于身份的认证与授权 Domain 5 身份与访问管理认证与授权是IAM体系的两大核心支柱身份全生命周期管理是认证与授权的前置基础权限审计是生命周期管理的核心环节 Domain 6 安全评估与测试认证绕过、越权漏洞、权限配置错误是渗透测试的核心内容认证与授权体系的合规性审计是安全评估的核心环节 Domain 7 安全运营认证异常行为监控、告警响应、事件处置、日志审计是安全运营的核心日常工作特权账号的认证与授权管控是运营的重点内容 Domain 8 软件开发安全应用层的认证与授权控制是DevSecOps的核心组成部分必须内置到软件开发生命周期中防范越权漏洞、认证绕过等安全缺陷总结 CISSP Domain 5 身份认证与授权是企业安全的核心支柱需要掌握认证与授权的严格边界与先后顺序五大认证要素与多种认证协议的适用场景六类授权模型的核心逻辑与适用场景零信任架构下的动态认证与授权要求常见攻击的官方标准防护措施7大官方误区纠正认证解决“你是谁”授权解决“你能做什么”二者缺一不可共同构成企业数字安全的第一道防线

CISSP 域5知识点身份认证与授权

相关文章：

CISSP 域5知识点身份认证与授权

CISSP 域5知识点身份全生命周期管理

【电路设计】LDO旁路电容的选型误区与实战解析

Mac上用Xcode学C语言

【硬件开发】自举电路设计实战：从原理到参数计算

从印度神话到代码实现：用Python手把手带你玩转汉诺塔（附递归可视化）

别再只看像素了！工业相机镜头选型避坑指南：从像面规格到法兰距的实战解析

Fast_Lio系列（1）——从零搭建Livox Mid360与FAST_LIO的融合开发环境

技术支持的体系建设与服务水平管理

从半加器到全加器：计算机组成原理中的加法器设计与实现

保姆级教程：手把手教你将YOLO/VOC数据集转成DETR能用的COCO格式（附完整Python脚本）

《苍穹外卖》实战：从零到一构建高并发外卖系统核心笔记

别再只做图像识别了！真正赚钱的多模态边缘场景正在爆发——3个已规模化商用的工业质检/远程医疗/智能座舱案例深度解密

如何管理Oracle服务器的内核共享内存_shmmax与shmall计算

Hermes Agent 集成实践：从协议到生产

Java的java.lang.ModuleLayer依赖分析

ENSP模拟器外网访问全攻略：从环境搭建到成功ping通8.8.8.8

Mac NTFS读写终极指南：免费开源工具Nigate让你的硬盘自由飞翔

技术问题的解决思路与创新方法应用

终极指南：使用ncmdump轻松解密网易云音乐NCM文件

【多模态模型解释权威指南】：SITS2026核心演讲深度解码——3大不可忽视的认知盲区与5步可落地的XAI实践框架

AMD-GAIA开源框架-本地AI智能体

紧急预警：2024年已发现11起多模态生成偏见致商业合规风险事件！附欧盟AI Act第10条适配自查清单与72小时应急响应模板

智能客服进入“感知智能”分水岭（SITS2026已验证）：3个月内未升级多模态能力的团队，将面临首波客户流失预警

工业质检进入“感知觉醒”时代：激光雷达+高光谱+Transformer三模态融合方案首次披露，仅限大会VIP通道获取

35岁后端程序员必看！转型AI大模型应用开发，收藏这份抄作业指南，少走弯路！

SITS2026多模态评测集深度解析（业界首份全栈评估框架白皮书）

告别Init.d！用Magisk实现安卓开机自启动的3个实战场景（含批量部署脚本）

别再手动画圈了！用高德猎鹰服务API+Postman，5分钟搞定电子围栏（附完整请求参数）

基于LDAP与AES加密的企业级登录认证方案实践