在弓箭手村的資安修練第 11 天，開始了解資安不只是技術，更是一種生活哲學，每一位村民都知道，真正的防禦不能只是靠一把好弓，還要靠清楚的規則與層層把關的智慧。
今天要了解資安的核心之一——存取控制，就像村莊的門禁系統，誰能進來、能看什麼、能做什麼，都必須經過嚴格的判斷。主體（Subject）是提出請求的人或裝置，目的（Object）是他們想要接觸的資源，而存取規則則是守門人手中的名單，決定誰能通行。
但資安不只是一道門，而是一座城堡，所以「縱深防禦」的策略就顯得很重要，弓箭手村建立了多層防線，從人員訓練到技術防護，再到營運流程，每一層都在守護村莊的安全。

• 存取控制就是決定誰可以進來、能看什麼、能做什麼，就像你家門口的鎖一樣，不是每個人都能進來，也不是每個人進來後都能打開你的保險箱。
• Subject（主體）三元素：Who、What、When
  • 主體就是發起存取請求的角色。你可以把它想成是「誰在什麼時候，用什麼方式，想要進入某個資源」。
  • 這個「誰」不一定是人，也可能是：
    • 使用者（像你我）
    • 程式或流程（自動化任務）
    • 裝置（手機、筆電、伺服器）
    • 客戶端或端點（像是瀏覽器或應用程式）
  • 他們會在某個時間點，透過某種方式，向系統提出一個請求：「我可以進去嗎？」這個請求就是對某個資源的存取要求。
• Object（目的）：被存取的資源
  • Object 就是主體想要接觸的東西，也就是「目標」，可能是：
    • 一份文件
    • 一個資料庫
    • 一個服務（像是郵件伺服器）
    • 一個 API 或應用程式功能
• 你可以想像成主體在敲門，而 Object 就是門後的東西，系統會根據存取控制規則來判斷：「這個人（或裝置）有權限進來嗎？」

小口訣記憶法：
「誰、做什麼、什麼時候，想進哪裡？」
主體發起請求，目的就是資源，系統根據規則來決定放不放行。

• 存取規則 (Aceess Rule)：誰能進？誰不能進？
  • 你可以把存取規則想像成守門人，他手上拿著一份名單（存取控制清單Access Control List，ACL），上面寫著誰可以進入哪個地方、做哪些事。
  • 當一個主體（像是使用者、程式或裝置）想要存取某個資源（像是資料庫、檔案或服務），系統就會比對這個主體的身分，看看他在名單上有沒有通行權，如果有，就放行；如果沒有，就拒絕。
  • 這就像你去參加資安訓練營，門口的守衛會問：「你是誰？你有報名嗎？你現在可以進來嗎？」這一連串的檢查，就是存取規則在發揮作用。
• 縱深防禦 (Defense is Depth)：不只一道門，而是層層把關！
  • 資安不是只靠一道門就能守住的，它更像是一座城堡，有好幾層防線，這就是「縱深防禦」的概念。
  • 在這個策略裡，存取控制只是其中一層，其他層可能包括：
    • 人員訓練：讓大家知道什麼是安全行為
    • 技術防護：像是防火牆、加密、入侵偵測系統
    • 營運流程：像是備份、異常通報、權限審查
  • 這些層層防線互相配合，讓攻擊者就算突破一層，也還有其他防線在等著他，雖然不能保證百分之百不會被攻擊，但可以大幅降低風險、延長反應時間，讓防守方有機會反擊或阻止損害擴大。