在資訊安全中,管理帳號和權限就像守門員一樣,決定誰可以進來、看什麼、做什麼。以下是三個重要的基礎觀念,用來幫助我們保護資料不被亂用:
01 帳號管理:誰是誰?要先認清楚!
當使用者要進入系統時,我們得先「確認你是誰」,這就分兩個步驟:
📌身分識別(Identification):
使用者告訴系統自己是誰,像是輸入帳號。
📌 身分鑑別(Authentication):
系統用一些方法驗證你是不是本人,像是輸入密碼、插入卡片或使用指紋。
📌 識別符(Identifier) = 帳號
- 每個人要有自己獨一無二的帳號
- 不可以多人共用帳號,這樣才追得到誰做了什麼(可歸責性)
- 帳號應和使用者的真實身分有連結
- 機關單位要有申請、修改、刪除帳號的管理流程,主管還要核准
- 要定期檢查帳號,並處理停用閒置、離職員工的帳號
📌 鑑別符(Authenticator) = 密碼
- 密碼是用來「驗證身分」的重要工具
- 也可以是晶片卡、指紋、數位憑證等
- 密碼要夠強、定期更換、不應重複使用太多次
02 授權原則:有權限,才能做事
確認使用者身分之後,我們還要決定他能做什麼。這就是「授權」。
授權時要注意幾個重要原則:
03 可歸責性:誰做了什麼,要查得到!
可歸責性就是讓系統知道「誰做了什麼事」的能力。只要有問題,就能透過紀錄追查來源。
這通常靠 log(日誌)紀錄來做到,以下是必要條件:
- 每位使用者都有唯一帳號(如:ID)
- 密碼等驗證方式足夠安全(如:密碼強度)
- 系統中所有存取路徑都是被管控的
- 所有操作都會被記錄下來
- 系統記錄會顯示發生的時間順序
- 紀錄不能被隨便刪除或更改
小小總結!
帳號與權限管理不只是設定密碼這麼簡單,它是保護資訊最基本、也是最重要的一環。只要確定身分、控制權限、保留紀錄,才能讓系統更安全、更可追蹤。如果你剛接觸資安,從這裡開始了解就對了!
