在弓箭手村的資安修練第 12 天，在修練的過程中，我們不只需要學會射箭的技巧，更要知道應該如何守護資訊的安全邊界。所以今天我們來到了一個關鍵的課題：誰是誰？能做什麼？做了什麼？又該給多少權限？
透過 IAAA 四大概念——識別、驗證、授權、稽核——村莊建立了清晰的身分與行為規則，而「最小特權」與「特權帳號」則像是弓箭手的裝備分級，確保每個人只拿到他該拿的弓，不讓錯誤的箭射向錯誤的目標。

IAAA四大核心概念

• 識別 (Identification)：你是誰？
  • 系統要先知道你是誰。
  • 像是你走進公司，跟櫃台說：「我是這裡的員工，資安部門的。」
    • 輸入帳號、員工編號、使用者名稱等。
• 驗證（Authentication）：你說的是真的嗎？(參閱DAY03)
  • 系統部會只聽你說，它還要確認你是本人。
  • 像是櫃台會請你出示員工證或者輸入密碼。
    • 密碼、指紋、手機驗證碼、多重驗證等。
• 授權（Authorization）：你可以做甚麼？(參閱DAY14)
  • 確認你是本人後，系統會根據你的身分給你相對應的權限。
  • 像你是資安部門的，可以進入機房，但其他非資安部門的就不能進。
    • 角色權限設定、資源存取控制、系統功能限制等。
• 稽核（Auditing）：你做了甚麼？
  • 系統會記錄你做過的事，以便日後查詢或調查。
  • 像門禁系統會記錄你幾點進出、進了哪個區域。
    • 系統日誌、操作記錄、存取報告等。

最小特權 (Least Privilege)

• 只給使用者「剛好夠用」的權限，不多也不少。
  • 每個人只能存取他們工作上需要的資源。
  • 不該讓使用者擁有他們不需要的權限，這樣可以降低風險。
  • 例如：如果你只是幫忙輸入資料，就不需要能刪除資料的權限。
• 優點：減少誤操作的機會、降低被濫用或攻擊的風險。

特權帳號 (Privilege Account)

• 這類帳號是用來處理比較敏感或重要的事情。
  • 權限比較高，通常是管理人員(Administrator)或主管在使用。
  • 存取權限的安全等級會根據資料的重要性而提高。
  • 這些帳號要特別保護，因為一但被濫用，影響可能會很大。
  • 例如：只有授權的人才能看財務報表、更改設定、刪除資料。

職責分離 (Separation of Duties)

• 一個人不能掌控整個流程，避免濫權或舞弊。
• 避免利益衝突濫用、詐騙。
  • 公司裡不能同一個人申請支票又簽發支票。
  • 透過分工，讓每個人只負責一部分，互相牽制。
  • 這樣可以降低內部風險，防止利益衝突或詐騙。