Information Security
Resources(資源)
需要安全保障及加以保護的有價資源。例如:銀行帳戶中的密碼。
Principals(主體)
允許存取資源的用戶或客戶端。
Identities(身分) and Credentials(認證)
用以檢查主體身分的憑證。例如:用戶ID及密碼。
Authentications(認證)
用以驗證本體身分的安全系統。例如:你的指紋,你的影像;當同時需要多個驗證因素(factor)時,又稱為多重因素(Multi-factor)認證。
Claims(聲明)
主體提供的用於身分驗證的個人資訊。例如:你的指紋,你的影像。
Rights(權限)
安全系統授予你對資源的操作權限。例如:你是資源擁有者的的話,你可以擁有完全控制的操作權限。
Roles(角色)
角色與權限相互關聯,不同的角色擁有不同限制的權限。
Authorizations(授權)
對於主體授予權限或角色的過程。例如:於ATM取款時,系統要求你插入金融卡以及輸入一個密碼(PIN),這包含了兩個認證因素。
Threats(威脅)
威脅是可能發生的安全危險。STRIDE威脅模型:Spoofing(偽造)、Tampering(竄改)、Repudiation(否認)、Information disclosure(資訊揭露)、Denial of service, DoS(服務阻斷)、Elevation of Privilege(權限提升)。
Vulnerabilities(漏洞)
漏洞是可以用於攻擊的弱點,計算機系統中,仍存在許多漏洞:硬體,軟體,網路,人員,組織。
