今天繼續講網路防護的部分，本來今天想直接針對不同的網路防護手段下去分析。但在提及那些東西前，基於本系列文寫作目的是想讓非資訊領域的人也能無痛閱讀，所以今天要先來講講網路防護的基本觀念。

網路防護與端點防護

在資訊安全的防禦端中，網路防護只是其中的一環，並且人們的聚焦點也都只侷限於那些保護網路本身的裝置。大家都知道防火牆，但卻很少人知道資料外洩防護系統。因此，為了全面性的了解資安，除了網路防護外，我們也該知道端點防護。

端點防護的概念是這樣的，因為網路不是單獨存在，跟網路串連在一起的東西有很多很多，若是只做網路防護而不管網路串連的系統，就會使攻擊者能透過這些系統滲透進網路中。因此，除了網路本身，被網路串聯在一起的東西也該被受到保護。 舉例而言，某人把一筆巨額財產放置在家的保險箱裡，鎖了保險箱，卻對其他可以進入房子的管道不予理會，這時候如果有一個小偷想偷走這筆錢，那它可以很輕易的找到門、窗戶、甚至是煙囪進入房子偷走這個保險箱，再去想辦法把錢從保險箱拿出來。所以在防止前被偷錢的這個目標上，我們應該除了鎖住錢，還應該把整個家都鎖好。

存取控管

首先可以先從存取控管下手，企業一般稱之為身分與存取管理(IAM)。存取控管不是甚麼新的觀念，人類從六千多年前開始使用門鎖時，就有了建築物進出控管的觀念。時至今日，這樣的觀念應用到網路、電腦、手機、應用程式、網站以及檔案的存取控管。

本質上，存取控管可分成身分識別、認證、授權、責任歸屬 四個環節：

• 身分識別: 以某種方式代表使用者的身分，例如：使用者 ID 或電子郵件地址。
• 認證: 證明使用者確實是他所表明的身分，最常見的方式是核對密碼正確與否來判別。
• 授權: 提供權限給使用者，或者拒絕存取。
• 責任歸屬: 追蹤曾經發生過的活動，透過記錄檔來追蹤使用者曾經試圖存取或者曾經存取什麼。

/補充/: 認證
認證是目前多數人認為四大環節中最重要的議題。
密碼是目前大多數系統最普遍使用的認證方式。但是密碼通常不太安全，因為容易被破解。
只要密碼夠短，駭客就能輕易猜到，駭客可嘗試所有可能的組合來暴力破解密碼。駭客也可使用一個密碼破解程式來產生出雜湊值相同的密碼。

但也有其他模式來進行認證，現今常被使用的認證模式大致有三種，也就是：

• 使用者知道的東西：一串記憶在您腦海中的字元和數字的組合；密碼。
• 您所擁有的東西：一個使用者在認證時需要用到的裝置或裝置上的軟體；例如實體的 RSA 金鑰，或是智慧型手機上的 Google Authenticator 驗證軟體。
• 代表使用者的東西：生物特徵；包括身體特徵 (如指紋、臉部辨識) 或行為特徵 (如聲紋)。