根據安全性要求，允許/拒絕對象與對象進行通訊的能力。
它需要對資訊，計算機，網路和所有其他基礎結構（建築物）進行保護。

• CIA：機密性，完整性，可用性
• 確定資源（需要保護哪些實體）和用戶（確定需要存取的人）之間的關係，設置存取控制級別
• 最小權限原則：僅為他們需要執行的任務提供所需的最小存取權限，預設為無存取權限
• 職責分離：在用戶之間分配任務/權限，制止欺詐，分割認知
• 驗證因素：
  • 知識因素：一個人知道的東西（PIN）
  • 權限因素：一個人擁有的東西（智慧卡）
  • 特徵因素：人的身份（指紋）
• 密碼類型：大寫/小寫，數字，特殊字符
  • 組合：字典單詞的混合
  • 靜態：固定密碼，較不安全
  • 認知：通過提出一系列問題來驗證身份
  • 一次：一次使用後銷毀
  • 圖形：驗證碼
• 通過限制壽命（天數），歷史記錄（防止重複使用），期限（無活動的會話時間），複雜性，長度來管理密碼
• 權限因素：同步/非同步憑證（手持設備），記憶卡（帶有身份驗證資訊的刷卡，不受保護的資料），智慧卡（帶有晶片，通常受PIN保護）
• 生理系統/生物統計學：
  • 指紋，手指掃描（特徵小於指紋）
  • 手形，手形
  • 手掌或手部掃描
  • 臉部/視網膜掃描（視網膜血管圖案）
  • 虹膜掃描
  • 血管掃描（手/臉靜脈模式，出現錯誤排斥的風險）
• 行為特徵：
  • 簽名動態（筆劃速度，筆觸壓力，加速度）
  • 按鍵動態（鍵入模式，飛行/停留時間）
  • 聲音模式/打印（聲音模式）
• 生物特徵：
  • 登錄時間：獲得樣本的時間（重複次數）
  • 特徵提取：從樣本中獲取資訊的方法
  • 準確性
  • 產出率（不應超過5- 10秒）
  • 接受性（對於用戶來說）
  • FRR：錯誤拒絕率
  • FAR：錯誤接受率（不安全）
  • CER：交叉錯誤率（百分比），當FRR = FAR時，是最重要的指標
• 最有效：虹膜掃描，視網膜掃描，指紋
• 最高接受度：語音模式，鍵盤敲擊模式，簽名動態
• 目錄服務：X.500（DAP），LDAP，X.400（通常由SMTP取代）
• SSO：單一登入，通過網路存取所有資源
  • 易於管理，可實施更強的密碼，更快地存取資源，高效登錄，只需記住一個密碼
  • 漏洞會影響所有系統（尤其是黑客）
• Kerberos：具有對稱加密的SSO系統，在Windows Server / Linux / MacOS中為預設設置
  • KDC是單點故障，需要擴展，需要保護會話金鑰，需要對Kerberos流量進行加密，所有系統都需要同步的時鐘，易受密碼猜測攻擊的影響
• SESAME：Kerberos的擴充，還在每個主機上使用非對稱加密和受信任的身份驗證伺服器
• 聯合身份：跨企業/域的可移植身份
• 交叉認證：每個組織都應盡一切努力將所有其他組織認證為受信任（符合標準）
• 受信任的第三方/橋樑模型：每個組織都遵循第三方的標準
• 安全領域：網路上可供使用的資源
• 審核監視：用戶事件以及網路/系統/應用程序事件和鍵盤敲擊模式
• 準則：
  • 需要審計日誌管理計劃（控制日誌大小，備份過程，審查計劃）
  • 刪除審核日誌應由兩個人控制（兩個管理員），否則是不可能的
  • 監視高權限帳戶（root / admins）
  • 審核跟踪監視事務（誰，何時，何時以及成功/失敗）
• 漏洞評估：確定網路中的脆弱環節，資產優先等級
  • 個人：審查標準做法/程序
  • 物理：設施/周邊保護
  • 系統/網路：查看系統，網路和網路拓撲
• 滲透測試模擬攻擊以識別執行緒
• 步驟：
  • 有關目標系統/設備的文檔資訊
  • 收集有關攻擊方法的資訊（例如，通訊埠掃描）
  • 識別已知漏洞
  • 執行攻擊以獲得權限存取
  • 記錄結果，報告發現
• 策略：
  • 盲測：對系統的了解有限，組織知道會進行測試
  • 雙盲測試：相同，但組織不了解測試
  • 目標測試：有關網路和測試雙方的最大資訊
• 知識水平：
  • 零：攻擊者對組織的網路一無所知（封閉/黑匣子測試）
  • 部分：網路公開資訊
  • 完整：提供所有詳細資訊
• 存取控制類別：
  • 補償性：降低風險，替代主要的交流（例如，兩個人的兩個鑰匙）
  • 糾正：減少攻擊的影響，恢復實體（例如伺服器映像，滅火器）
  • 偵探：檢測攻擊，例如IDS，日誌，作業輪換
  • 威懾：威懾/勸阻攻擊者，例如認證，圍欄，照明，NDA
  • 指令：組織內可接受的做法，AUP（可接受的使用政策）
  • 預防性：鎖，識別證，加密，警衛，培訓
  • 恢復：恢復資源，例如備份，異地設施
• 存取控制類型：
  • 管理控件：軟體控制，例如監督，人員控制，安全意識培訓
  • 邏輯（技術）控件：限制對軟體/硬體組件的存取，例如防火牆，密碼，IDS
  • 物理控制：保護設施，例如徽章，警衛，狗，電纜
• 存取控制模式：：
  • 任意存取控制：所有者指定存取資源的主題（需要知道）
  • 強制存取控制：驗證基於安全標籤（僅管理員可以修改），比DAC安全
  • 基於角色的存取控制：每個主題都有1- n個角色，不如DAC + MAC安全
  • 基於規則的存取控制：適用於所有用戶的全局規則，使用配置文件來控制存取權限，通常由路由器/防火牆使用
  • 與內容有關的存取控制：由對像中包含的資料決定的存取
  • 取決於上下文的存取控制：基於主題/對象屬性和環境的存取（例如，僅在一天的特定時間登錄）
  • ACM：功能表，其中列出主題/對象和適用的主題動作
  • ACL：ACM中的對象序列
• 存取方式：
  • 密碼：字典或暴力攻擊
  • 社交工程：網路釣魚，越肩視角，身份盜用
  • DoS / DDoS：向設備發送請求以降低性能
  • 緩衝區溢出：程式碼注入，通過inout驗證和定期更新避免
  • 移動代碼：軟體通過網路（Java Script，小程序，ActiveX）傳輸
  • 惡意軟體：病毒，蠕蟲，特洛伊木馬，間諜軟體
  • 欺騙：攻擊者的通訊似乎來自受信任的來源，通過IP /鏈結欺騙，中間人(Man in Middle)
  • 監聽/竊聽：從媒體收集所有傳輸的資料
  • 發出：發射電磁信號（屏蔽）
• 後門：惡意實施的無限制存取