在資訊安全裡,為了保護重要資料不被亂用,我們會建立一套「誰可以看、誰可以動」的控制方式。這裡有幾個基本的觀念,你一定要先搞懂:
主體(Subject)是誰?
主體就是「會主動去存取資料」的角色。像是:
- 使用者(你我他)
- 系統程式(幫你跑資料的軟體)
物件(Object)是什麼?
物件是「被主體存取的東西」,比方說:
- 檔案
- 資料庫
- 其他程式或資源
簡單說:主體做動作,物件被動接受。
存取(Access)是什麼意思?
主體對物件做的行為就叫「存取」,常見的像:
- 讀取(看資料)
- 修改(改內容)
- 刪除(移除檔案)
存取規則(Access Rule)是怎麼管的?
這就是我們設定的「誰能做什麼」的規則。像是:
- 小明可以讀A資料夾,但不能改
- 管理員可以修改、刪除資料
透過這些規則,我們能夠控制主體與物件之間的互動路線。
信賴路徑(Trusted Path)是什麼?
這是指讓主體安全地連到正確物件的路徑。換句話說,就是幫使用者走一條不會被駭客偷改或偷看的安全通道,確保資料不會中途被攔截或變造。
三種存取控制方式
為了保護資料安全,我們會從以下三方面來管理:
- 實體存取控制:防止未經授權的實體存取,保護物理資產。
- 技術存取控制:透過技術手段保護資訊系統和網絡。
- 管理存取控制:通過政策、程序和人員管理來保護資訊資產。
小小總結!
資訊安全不只是電腦裡的事,它結合了人、制度、工具三種方法來保護你的資料不被亂用。只要你理解了誰能動什麼、怎麼管控,就等於踏出了資安管理的第一步!
