III. ACCESS CONTROL
2. Giải thích về Access Control
Ví dụ, một key card có thể hoạt động như một access control và cấp quyền truy cập đến một khu vực được phân loại. Bởi vì credential này có thể được chuyển giao hoặc thậm chí bị đánh cắp, nó không phải là một cách an toàn để xử lý kiểm soát truy cập.
48
Một phương pháp an toàn hơn để kiểm soát truy cập liên quan đến việc xác thực hai yếu tố. Người mong muốn truy cập phải thể hiện các thông tin và một yếu tố thứ hai để chứng thực danh tính. Yếu tố thứ hai có thể là một mã truy cập, số PIN (Personal Identification Number - mã số định danh cá nhân, dùng để xác nhận người dùng) hoặc thậm chí là sinh trắc học.
Có ba yếu tố có thể được sử dụng để xác thực:
Một điều gì đó chỉ có người dùng được biết, chẳng hạn như password hoặc số PIN.
Cái gì đó là một phần của người sử dụng, chẳng hạn như dấu vân tay, quét võng mạc hay cách khác là đo sinh trắc học.
Một cái gì đó thuộc về người sử dụng, chẳng hạn như là một thẻ hoặc một chìa khóa.
Đối với bảo mật máy tính, điều khiển truy cập bao gồm ủy quyền, chứng thực và việc kiểm toán của các thực thể đang cố gắng để truy cập. Mô hình kiểm soát truy cập có một chủ thể (subject) và một đối tượng hay có thể gọi là một khách thể (object). Chủ thể - người sử dụng - là một trong những cố gắng để truy cập vào các đối tượng - thường là phần mềm. Trong hệ thống máy tính, một danh sách kiểm soát truy cập có chứa một danh sách các quyền truy cập và người sử dụng mà các điều khoản áp dụng. Những dữ liệu này có thể được xem bởi những người nhất định và được điều khiển bởi kiểm soát truy cập. Điều này cho phép quản trị viên bảo mật thông tin và thiết lập đặc quyền như những thông tin gì có thể được truy cập, những người có thể truy cập vào nó và thời điểm nào nó có thể được truy cập.