写点什么

身份认证

用户头像
escray
关注
发布于: 2021 年 05 月 23 日
身份认证

极客时间《安全攻防技能 30 讲》学习笔记 03

04 | 身份认证:除了账号密码,我们还能怎么做身份认证?


一般说到身份认证,比较容易想到的是对外认证,特别是现在相对人们的“统一登录认证”,但是对内认证可能考虑的比较少,后者也确实更难一些。


之前已经看过这篇专栏,最近刚好要写一个关于统一登录认证的实施方案,所以又回来重读。


基于 CAS 框架的单点登录,我觉的专栏讲的很清楚,但是我有一点好奇,JWT 是否过于轻量级(过时)?现在似乎 OAuth 2.0 比较热门,我也顺路去隔壁的 《OAuth 2.0 实战课》看了一眼。


一个内部云平台上的,一个“大”系统内若干子系统的统一登录认证,应该如何处理?目前是打算同时支持 JWT 和 OAuth 两种接入方式,不知道是否可以。

18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?


最近刚刚了解了一下等保和国密,所以就跳到这一篇,先学习一下。


看到留言里面说,老师是从等保 2.0 开始讲起的,但是我似乎没有看到啊,之前在知乎看到一篇关于等保 2.0 的文章,等保 2.0 在 1.0 标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计……


五个级别是从 1.0 延续下来的,并且规定动作(定级、备案、建设整改、等级测评、监督检查)和主题责任都没有改变。

https://www.zhihu.com/question/51443853


我也看到留言里面又说等保不尽如人意,不过我觉得有这样一个标准总归是好事情,而且现在如果投标项目,对等保还是有要求的。如果出了安全故障,然后被追责,企业也会慢慢重视起来。


可能所有的认证,不论是面向企业还是个人的,都会面临类似的问题。


本篇最有价值的应该是借鉴的部分,从等保中借鉴安全体系建设要区分技术和管理;从 ISO270001 中借鉴 PDCA 流程规划,从 NIST 借鉴 IPDRR 框架(Identify、Protect、Detect、Respond、Recover)

发布于: 2021 年 05 月 23 日阅读数: 13
用户头像

escray

关注

Let's Go 2017.11.19 加入

Let's Go,用 100 天的时间从入门到入职

评论

发布
暂无评论
身份认证