資訊安全的第二個典型應用是網路防火牆,屬於存取控制的範疇。
存取控制就是指對於一個系統的存入與取出進行控制,簡單說就是管甚麼東西可以從外面到裡面(存)、甚麼東西可以從裡面到外面(取)。應用在資安系統上其實這個存跟取的對象通常就是所謂機密的資料。機密資料代表著企業的營運核心,稍有閃失就會對企業造成相當大的衝擊。不管是機密資料被竄改(存)或是被外流(取),都會帶來侵害。為了降低機密資料管理不當造成的風險,企業可以從事的動作就是去控制誰可以去新增、更改哪些機密資料,又誰可以下載、取出哪些機密資料。
存取控制的環節主要可以分為四個,分別為身分識別(Identification)、認證(Authentication)、授權(Authorisation)與責任歸屬(Accountability),又簡稱IAAA
這四個環節主要就是問系統與系統使用者的互動,可以想成四個問題互動:
系統: 你是誰?
使用者: 我是主管A (這是我的名字、帳號、ID號碼)
系統: 你如何證明你就是?
使用者: 我可以提供給你相關核對的資訊,例如密碼、token、指紋、IP位置、簽名等具有獨特性的訊息。
(這邊所核對的資訊必須是系統可以查閱的到、可驗證的資訊,光是具有獨特性是不夠的, e,g, 主管A說我屁股上有顆米老鼠圖樣的痣,但系統若事先不知道也不能驗證)
系統: 依據你提供的身分,你擁有這些特定資料的存取權限。
使用者: 好 : )
(根據不同的職位可以開放不同的權限,讓使用者只能獲得職務相關的資料,進一步降低資安的風險。常見的訪問控制模型有Mandatory Access Control(MAC), Role-Based Access Control(RBAC), Discretionary Access Control(DAC), Rule-Based Access Control(RBAC or RB-RBAC)。)
系統: 你剛剛做了哪些事情?
使用者: 就你剛剛看到的那些
(系統必須記錄哪個使用者針對此系統做了哪些更動,當未來資安出現問題或其他情境下需要調閱資料時,可以清楚看到系統互動中的人事時地物,也就是每個使用者的一舉一動以及時間訊息。)