網絡安全控制(Network Security Controls)

網絡安全控制用於確保網絡服務的機密性、完整性和可用性。這些安全控制措施可以是技術性或管理性的保障，目的是將安全風險降至最低。為了減少網絡被攻擊或破壞的風險，充分的網絡安全需要實施合適的網絡安全控制組合。
網絡安全控制包括：

• 認證（Authentication）
• 授權（Authorization）
• 稽核（Accounting）
• 存取控制（Access Control）
• 身份識別（Identification）
• 密碼學（Cryptography）
• 安全政策（Security Policy）
  這些控制幫助組織制定應對網絡安全問題的策略。網絡安全控制的多層防護與網絡結合使用，以減少攻擊或破壞的風險。這些控制的重疊使用確保了深度防禦的網絡安全。

存取控制術語 (Access Control Terminology)

用於定義對特定資源的存取控制主要術語有以下四種：

• 主體（Subject）
  主體可以定義為用戶或進程，這些實體嘗試存取對象。此外，主體是那些在系統上執行某些操作的實體。
• 對象（Object）
  對象是被實施存取限制的顯式資源。對象上實施的存取控制進一步控制用戶執行的操作。例如：文件或硬件設備。
• 參考監控器（Reference Monitor）
  參考監控器監控根據特定存取控制規則施加的限制。它對主體在對象上執行某些操作的能力實施一組規則。
• 操作（Operation）
  操作是主體在對象上執行的動作。用戶嘗試刪除文件是操作的一個例子。在此情況下，用戶是主體，刪除是操作，而文件是對象。

存取控制原則 (Access Control Principles)

存取控制原則涉及限制或允許用戶或進程的存取控制。該原則包括伺服器接收來自用戶的請求，並通過存取控制指令（Access Control Instruction, ACI）來對用戶進行身份驗證。伺服器可以允許或拒絕用戶執行任何操作，如讀取、寫入、存取文件等。
存取控制允許用戶存取整個目錄、目錄的子樹以及目錄中的特定條目和屬性值。可以為單個用戶或用戶組設置許可權值。目錄和屬性值包含存取控制指令。
存取控制功能使用由安全管理員維護的授權資料庫來檢查請求用戶的授權詳細信息。

存取控制的一般步驟：

1. 用戶在登錄系統時需要提供他們的憑證/身份識別。
2. 系統通過資料庫驗證用戶提供的憑證/身份識別，如密碼、指紋等。
3. 一旦用戶的身份驗證成功，系統會授予用戶使用系統的權限。
4. 系統只允許用戶執行已獲授權的操作或存取已獲授權的資源。

存取控制指令的三個主要部分：

• 目標（Target）：針對某些屬性和實體設置權限。這些屬性和實體被稱為目標。
• 許可權（Permission）：針對目標設置的許可權說明了允許或拒絕對這些目標進行的操作。
• 綁定規則（Bind Rule）：指定存取控制指令的主體。