基礎要求

寫在前面：拿到藥方後，該如何精準用藥？ 在前面的文章中，我們學會了如何「診斷病情」（風險評估）並開立「藥方」（選擇目標安全等級 SL-T）。現在，我們手上拿著一張寫著「SL2」或「SL3」的藥方，接下來最關鍵的問題是：這張藥方對應的具體藥物和劑量是什麼？ 這篇文章，就是這份「用藥說明書」。我們將逐一拆解七大基礎要求（Foundational Requirements, FR），詳細說明在不同的安全等級（SL）下，每一個要求需要做到什麼程度。 可以這樣比喻： 這 7 個 FR 就像學校裡的 7 個科目（國文、數學、英文…），而安全等級 SL 就像是你需要達成的成績目標（及格、良好、優秀）。想拿到「優秀 (SL3)」的成績，你在每個科目上需要付出的努力和達到的標準，自然遠高於「及格 (SL1)」。 七大基礎要求的 SL 等級演進 以下，我們將深入探討每個 FR 從 SL1 到 SL4 的要求是如何層層遞進的。 FR 1 - 識別與認證控制 (Identification and Authentication Control) 核心精神：「確認你是誰，並驗證你的身份。」 SL 1 (基本要求)： 為每位使用者（包含操作員、維護人員）提供唯一的帳號。 使用密碼進行身份驗證。 SL 2 (強化要求)： 實施強密碼原則（例如：長度、複雜度、定期更換）。 導入角色為基礎的存取控制 (RBAC)，不同角色（如操作員 vs. 工程師）擁有不同帳號。 SL 3 (專業要求)： 強制使用多因子認證 (MFA)，例如：密碼 + 手機驗證碼。 具備集中式的帳號管理機制（如：整合 Active Directory）。 SL 4 (最高要求)： 使用更先進的 MFA（如：生物辨識、智慧卡）。 對所有遠端連線強制執行 MFA。 嚴格的連線逾時與工作階段管理。 FR 2 - 使用控制 (Use Control) 核心精神：「即使你進了門，也只能做你被允許做的事。」 ...