存取控制安全(Access Control).doc

存取控制安全(Access Control)程序應用安全(Application Security)企業永續計畫(Business Continuity and Disaster Recovery Planning)密碼學(Cryptography)安全與風險管理(Information Security and Risk Management)資訊法規(Legal, Regulations, Compliance and Investigations)操作安全(Operations Security)實體環境安全(Physical (Environmental) Security)安全架構與設計(Security Architecture and Design)通訊與網路安全(Telecommunications and Network Security)(1)存取控制安全(Access Control)允許或拒絕某些資源的取用，並查驗索求者來源。 基本存取控制概念識別(Identification)認證(Authentication)授權(Authorization)檢證(Accountability)(2)程序應用安全(Application Security)包含了防止錯誤的程序安全策略，或是於設計、開發與部署階段的缺陷管控。 基本程序應用安全策略安全測試(Security Testing)安全標準(Security Standards)安全規範(Security Regulations)(3)企業永續計畫(Business Continuity and Disaster Recovery Planning)有關企業體中資訊與系統相關部份，如何維繫整體，使其正常運作並提供服務。 企業永續計畫生命週期部署維護(Maintenance)優缺分析(Analysis)解決方案(Solution Design)方案實作(Implementation)檢測驗證(Testing and Acceptance)(4)自古便是一門訊息隱藏的學門，今日則為資訊理論(Information Theory)的一個分支。 現代密碼學對稱式密碼方法(Symmetric-key Cryptography)非對稱式密碼方法(Public-key Cryptography)密碼解譯(Cryptanalysis)密碼學基礎(Cryptography Primitives)密碼學協定(Cryptography Protocols)(5)安全與風險管理(Information Security and Risk Management)風險管理是一道鑑定資訊資源弱點與威脅的程序，並施行對策，根據資訊資源的價值，來降低風險程度。 管理程序包含：鑑別資源價值，包含人、物、場所、軟硬體、資料進行威脅評量，天災、人禍、內外部惡意者進行弱點評量，以標準、訓練、策略等來進行評估風險損害管控，將損害程度以量化方式進行評估採行適當措施評量措施成效(6)資訊法規(Legal, Regulations, Compliance and Investigations)對於處理、使用、存取資訊資源的人群，設立規範、作業標準、法律規範等，用以限制或保護個人與團體的利益。這些規範可以是公司或個人內部，或是具有公權力的司法機關所制定的。(7)操作安全(Operations Security)關乎任何與資料、系統、訊息的處理、儲存、維護、傳遞與備援等動作的安全考量，設定限制以保護資源的完整性。(8)實體環境安全(Physical (Environmental) Security)從實際環境中針對持有之資料、系統、作業環境等資源、設備或設施進行保護措施。 安全工程(Security Engineering)定義之實體安全要素施放障礙，以防止或延遲入侵或降低損害程度威脅警告，設置警鈴或警衛等措施以通報威脅威脅回應，對入侵行為進行驅逐、拖延或鎖定安全工程(Security Engineering)是一門處理實體世界系統的安全性與完整性的工程領域。(9)安全架構與設計