偶爾,在一些Security的書籍或網路文章等文獻會看到鑑別性、不可否認性、存取控制及稽核,考題似乎也出現這幾個名詞來湊熱鬧。實際上,這幾個名詞也非常重要,而且在生活上常常被派上用場,只是我們的知識不足而忽略了這些重要的名詞了。
鑑別性(Authentication)
鑑別性用來身分鑑別以及資料鑑別。最常看到是登入某系統時的帳號,這是唯一識別使用者的依據;而訊息鑑別是要能確保資料訊息之傳輸來源,這麼多鑑別都是為了要避免惡意的傳送者以假冒原始傳送者來傳送不安全的資料內容。通常,會使用數位簽章或資料加密等方式來預防假冒訊息問題。
不可否認性(Non-Repudiation)
當我們在超商完成一筆交易後,總不能回頭再向店員說:錢還我,剛剛的交易不算。當然,店員也不是省油的燈,店員一定會操作交易資訊系統,把就在剛剛發生的交易記錄叫出來對質。在資訊安全環境中,無論是資料的發送方或接收方,皆不可否認曾進行過的資料傳輸及交易等行為,也就是說,發送方不得否認曾傳送某筆資料,而接收方也不能辯稱未曾接收到資料。
存取控制(Access Control)
存取控制比較抽象,是用於資訊系統的控制項。在資訊系統內,每個合法的使用者有其使用資源等級,分配不同之使用權限。一般用職務來分級等,等級愈高者,其權限愈大,反之亦然。存取控制主要的目的是根據系統的授權方略,對合法的使用者進行授權認證,並且確認是否為合格授權者,主要用來防止未經授權而隨意存取系統資源。
稽核(Accountability)
當一切都正常運作時,不能說是資訊系統已達到絕對安全。就Security而言,沒有百分之百的安全,任何資訊安全的產品/軟體,提供者絕對不敢保證安全該產品/軟體後,任何的資訊系統就可以百分之百地安心使用。所以,必須再透過第3方單位來找碴,於是必須藉由稽核記錄(Audit Log)來追蹤非法使用操作留下來的記錄,以盡快找到發生資安事件之真正原因。