身份验证，授权和会计（authentication, authorization, and accounting (AAA)）Part II

通过审核（查看日志）来跟踪“谁做了什麽”来确定或确定责任制。记帐记录“已完成的工作”，而身份验证则标识并验证“谁做了”。不管活动是否被授权，都应记录或记录该活动，如下图/ OSG问题所示。
但是，惩罚措施是基於责任确认後的授权。授权的行为将不会受到惩罚，而未经授权的行为将受到惩罚。

-图片来源：CISSP官方学习指南（OSG）在线测试银行

定义不一致（Inconsistent Definitions）
此问题旨在促使AAA，身份验证，授权和计费的定义保持一致。用“审计”或“问责制”代替“会计”的最後一个“ A”并不少见。我强烈建议使用“会计”，因为无法进行审计，并且如果不进行会计就无法得出问责制。我的帖子《另一个AAA》也谈到了这个问题。
无论我们从字面上解释它还是将其与NIST词汇表或RFC等权威资料进行比较，官方学习指南（OSG）中对审计和会计的以下描述在逻辑上都是不合理的。
审核记录与系统和主题相关的事件和活动的日志记帐（也称为问责制）审核日志文件以检查合规性和违规性，以使主题对其行为负责

斯图尔特（James M.）查普，迈克；吉布森，达里尔。CISSP（ISC）2认证的信息系统安全专业人士官方学习指南（Kindle位置1737-1739）。威利。Kindle版。

会计（Accounting）
在财务会计中，“会计是记录与业务有关的财务交易的过程。会计过程包括汇总，分析这些交易并将其报告给监督机构，监管机构和税收实体。”（investopedia）
在IT中，记帐是“出於趋势分析，审计，计费或成本分配目的而收集有关资源使用情况的信息的行为。” （RFC 3539）
简而言之，会计跟踪活动并记录日志。审计跟踪是用於审计的相关日志的集合，或“按时间顺序的记录，用於重建和检查与安全相关的事务（从开始到最终结果）中围绕或导致特定操作，过程或事件的活动顺序。” （CNSSI 4009）

稽核（Auditing）
稽核是“独立审查和检查记录和活动，以评估系统控制的充分性，以确保遵守既定的政策和操作程序。” （CNSSI 4009）
问责制是“安全性目标，它产生了将实体的操作唯一地追溯到该实体的要求。” （CNSSI 4009）

验证（Authorization）
验证请求的身份的行为，它是来自相互已知的名称空间的预先存在的标签形式的消息，它是消息的始发者（消息身份验证）或通道的端点（实体身份验证）。（RFC 3539）

授权（Authorization）
确定特定权利（例如对某些资源的访问权）是否可以授予特定凭证的提交者。（RFC 3539）
参考
. 基於风险的稽核
. 什麽是会计？
. RFC 3539：身份验证，授权和会计（AAA）传输配置文件
. RFC 2866：RADIUS记帐

资料来源： Wentz Wu QOTD-20210211