2026-05-20 06:17:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文深入解析CISSPOSG第十版Domain5身份与访问管理的核心变化，重点阐述从传统访问控制矩阵到身份即安全边界的范式转变。关键更新包括ZeroTrust架构成为核心原则、ABAC动态访问控制模型扩展、MFA强化与无密码认证技术、特权访问管理及身份威胁检测。文档提供了备考优先级排序和跨知识域联动建议，强调场景化思维应对考试。 综合评分： 88 文章分类： 解决方案,技术标准,安全培训,安全建设,政策法规

cover_image

【OSG10变化】Domain 5 身份与访问管理的核心变化

原创

CISSP Learning CISSP Learning

CISSP Learning

2026年5月19日 08:30 北京

在小说阅读器读本章

去阅读

引言

Domain 5（身份与访问管理，IAM）是CISSP八个知识域中最贴近”人”的一个——它讨论的是如何确保正确的人能够以正确的方式访问正确的资源。在OSG第九版（2015年）到第十版（2021年）的六年里，这个Domain经历了从”访问控制矩阵”到”身份即安全边界”的根本性转变。

传统的防火墙边界正在消亡，身份已经上升为新的安全边界。Zero Trust架构将”永不信任，始终验证”（Never Trust, Always Verify）奉为圭臬，而IAM正是Zero Trust的基石。本文作为”OSG10 vs 9系列”的第六篇，深入解析Domain 5在第十版中的核心变化。

一、身份管理范式的演进：从矩阵到生态

1.1第九版的访问控制矩阵思维

第九版写作时期，身份管理的主流方法是基于静态访问控制矩阵的RBAC（基于角色的访问控制）模型： • 用户按部门或职能分配预定义角色 • 角色绑定权限，权限与资源关联 • 访问决策主要由管理员手动配置 • 身份生命周期管理相对简单（入职、转岗、离职）

这种模型的核心假设是：身份是相对稳定的，用户一旦获得授权，在其角色范围内可以相对自由地访问资源。

1.2第十版的身份即边界范式

第十版彻底重构了Domain 5的设计原则，将身份管理提升到企业安全架构的核心层级：

新增关键概念： • Identity as a Service（IDaaS）：云端身份管理服务（如Azure AD、Okta、AWS IAM Identity Center），支持SaaS化的身份治理 • 身份威胁检测与响应（ITDR）：专门针对身份基础设施的威胁检测和响应能力 • 自来水平等（Just-in-Time Access）：临时授权而非永久角色 assignment，减少攻击面 • 身份编排（Identity Orchestration）：跨多系统的身份自动化流程编排

1.3身份管理生命周期的扩展

第十版建立了一个更完整的身份生命周期管理框架： • 身份创建与配置（Identity Provisioning）：自动化用户账号创建、权限初始分配 • 身份认证（Authentication）：多因素认证、无密码认证（Passkey、FIDO2） • 身份授权（Authorization）：基于上下文的动态访问决策 • 身份治理（Identity Governance）：访问权评审、特权账号管理、合规审计 • 身份销毁（Deprovisioning）：自动化离职/转岗时的权限回收

二、访问控制模型的深度演进

2.1传统访问控制模型的重新定位

第十版对传统访问控制模型（DAC、MAC、RBAC）有了更深入的场景化讨论：

DAC（自主访问控制）： • 资源所有者自行决定谁能访问 • 适用于协作环境和敏捷团队 • 安全挑战：数据散布、权限蠕变

MAC（强制访问控制）： • 系统强制执行基于标签的访问决策 • 适用于政府/军事高安全环境 • 安全挑战：灵活性低、部署复杂

RBAC（基于角色的访问控制）： • 角色作为权限分配的中间层 • 简化权限管理，减少权限复杂度 • 安全挑战：角色爆炸、角色嵌套复杂性

2.2 ABAC与基于属性的访问控制

第十版大幅扩展了ABAC（Attribute-Based Access Control）的讨论，这是相比第九版最重要的新增内容：

ABAC核心概念： • 主体属性：用户角色、部门、 clearance level、位置 • 资源属性：数据分类、创建者、敏感度 • 环境属性：时间、设备类型、IP范围、威胁级别 • 操作属性：读、写、执行、删除

ABAC决策引擎：

通过策略引擎动态评估多维度属性组合，决策是否允许访问。典型策略示例： • “如果用户角色=研发 AND 数据分类=机密 AND 访问时间=工作时间 AND 设备已注册 THEN 允许只读访问”

XACML（eXtensible Access Control Markup Language）： • 标准的策略描述语言 • 支持集中化的策略管理与分发 • 用于ABAC的策略执行点（PEP）和策略决策点（PDP）

2.3 基于风险的访问控制

第十版新增了基于风险的访问控制（Risk-Based Access Control）概念： • 访问决策不仅基于静态规则，还基于实时风险评分 • 风险因素：用户行为异常、设备合规状态、威胁情报 • 高风险访问触发step-up认证或拒绝访问 • 与Zero Trust架构深度集成

三、身份认证的现代化升级

3.1 MFA的全面强化

第九版对MFA的讨论相对基础，主要集中在两因素认证的概念。第十版大幅扩展了MFA的深度和广度：

认证因素分类的扩展：

第十版新增的重要认证技术： • FIDO2/WebAuthn：基于公钥加密的无密码认证标准，支持Passkey，消除密码钓鱼风险 • Adaptive MFA（自适应MFA）：根据访问上下文（设备、位置、风险评分）动态选择认证强度 • Passwordless Authentication：完全消除密码，使用Windows Hello、Touch ID等生物识别或硬件Key

3.2 SSO与联邦身份的扩展

第十版大幅扩展了单点登录（SSO）和联邦身份的讨论：

SSO协议演进：

第十版新增的联邦身份概念： • Identity Provider（IdP）：身份提供者，如Azure AD、Okta、Ping Identity • Service Provider（SP）：服务提供者，消费IdP断言的应用 • Trusted Identity Bridge：跨多个IdP的联合身份管理 • Cloud Identity Services：AWS IAM Identity Center、Google Workspace Identity等

3.3 特权访问管理的强化

第十版新增了对 Privileged Access Management（PAM）的专门深入讨论： • PAM核心组件：特权账号发现、密码保险库（Password Vault）、会话监控、审计 • Privileged Access workstation（PAW）：专用特权访问工作站，隔离管理任务 • Just-in-Time特权：临时提升权限，用完即回收，减少持久特权风险 • Privileged Account Lifecycle Management：特权账号的创建、审批、使用、销毁全流程

四、身份治理与合规的新重点

4.1访问评审与合规的现代化

第十版新增了大量关于持续访问合规的内容： • Access Review（访问评审）：定期评审用户权限，移除不必要的访问（Access Recertification） • SoD（职责分离）冲突检测：检测可能导致欺诈的权限组合（如同时拥有采购权和对公付款权） • Segregation of Duties Matrix：维护敏感操作的职责分离矩阵 • 合规报告自动化：生成满足SOX、GDPR、等保等合规要求的访问报告

4.2用户行为分析（UEBA）

第十版新增了对User Entity Behavior Analytics（UEBA）的系统讨论： • 行为基线建立：学习用户正常行为模式（登录时间、访问资源、流量） • 异常检测：识别偏离基线的异常行为（账号共享、横向移动、异常数据访问） • 机器学习驱动：使用ML算法检测复杂攻击模式 • 与SIEM/SOAR集成：与安全运营平台联动，自动响应异常

4.3隐私与身份管理的交叉

第十版新增了GDPR、CCPA等隐私法规对IAM的影响： • 数据最小化：仅收集和使用认证所需的最少个人数据 • 删除权（Right to be Forgotten）：用户要求删除其身份数据的能力 • 身份数据隔离：将身份属性与业务数据分离，减少隐私泄露风险

五、Zero Trust架构下的身份安全

5.1 Zero Trust的IAM基石

第十版将Zero Trust架构作为Domain 5的核心主题之一：

Zero Trust的IAM核心原则： • 永不信任：无论来源如何，不自动信任任何用户、设备或系统 • 始终验证：每次访问都需要进行身份认证和授权验证 • 最小权限：仅授予完成任务所需的最少权限 • 微分段：将网络分段与身份结合，实现精细化访问控制

5.2身份威胁检测与响应（ITDR）

第十版新增了专门的ITDR概念： • 身份基础设施保护：保护Active Directory、Azure AD等身份基础设施免受攻击 • Kerberoasting防御：检测服务账号票据请求异常 • Golden Ticket攻击检测：检测伪造的TGT票据 • Privilege Escalation检测：识别权限提升攻击路径

5.3 SASE与身份安全的融合

第十版新增了SASE（Secure Access Service Edge）与IAM的深度集成： • 身份驱动的策略：访问策略基于身份而非IP地址 • 云端身份网关：统一身份认证和访问控制 SaaS 化交付 • ZTNA（Zero Trust Network Access）：替代VPN的零信任网络访问解决方案

六、备考建议：Domain 5的高效应对策略

6.1新增内容的优先级排序

根据第十版的内容权重和考试出现频率，建议按以下优先级学习Domain 5的新增内容：

第一优先级（必考）： • Zero Trust架构的核心原则（与Domain 1呼应） • ABAC与基于属性的访问控制 • MFA各种因素和协议（SAML、OAuth、OIDC） • PAM和特权访问管理

第二优先级（高频）： • 身份生命周期管理（Provisioning/Govemance） • Access Review和SoD冲突检测 • UEBA行为异常检测 • FIDO2/WebAuthn无密码认证

第三优先级（理解为主）： • Identity as a Service（IDaaS）概念 • ITDR身份威胁检测 • 隐私法规对IAM的影响 • SASE与ZTNA融合

6.2建立场景化思维

Domain 5的考试题目越来越强调场景化判断。备考时建议： • 看到访问控制选型题，考虑是选择RBAC、ABAC还是DAC的场景 • 看到认证场景题，识别需要哪种MFA组合（知识+持有 vs 生物+上下文） • 看到特权访问场景题，考虑PAM的Just-in-Time原则是否被应用 • 看到联邦身份场景题，考虑使用SAML还是OAuth/OIDC

6.3 与其他Domain的联动

Domain 5与其他Domain有大量交叉，建议建立以下知识连接： • Domain 1（风险管理）：访问控制风险评估、基于风险的访问决策 • Domain 2（资产安全）：数据分类与访问权限的关联 • Domain 4（通信与网络安全）：ZTNA替代VPN的网络访问模式 • Domain 7（安全运营）：身份事件响应、UEBA与SIEM联动 • Domain 8（软件开发安全）：安全的身份验证实现（OWASP Top 10）

总结

Domain 5在OSG第十版中的变化，本质上反映了安全边界从”网络中心”到”身份中心”的范式转移。传统的访问控制矩阵正在被动态的、基于上下文的、Zero Trust驱动的身份管理所取代。

备考的核心策略是：理解每个变化的底层驱动力——为什么Zero Trust变得重要了（边界模糊化），为什么ABAC比RBAC更灵活（云原生环境），为什么MFA需要现代化（密码钓鱼攻击泛滥）。理解这些”为什么”，才能在考试中应对复杂的场景题。

本公众号各类文章仅供学习交流之用！

更多资料获取，请加入【CISSP Learning】知识星球

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CISSP Learning CISSP Learning CISSP Learning《【OSG10变化】Domain 5 身份与访问管理的核心变化》