CIA

• C：
  • 保密設計：
    1. 遮罩：資料顯示在屏幕或打印表格上
    2. 加密：資料被傳輸或儲存在事務資料儲存或脫機歸檔中
       • 公開：雜湊，加密
       • 隱藏：隱寫術、浮水印
       • 密碼分析：在密碼防護機制中發現漏洞的科學
       • 工作因素：與防護機制的金鑰大小和使用的工作機制相關，顛覆或逃避防護機制
         例如：
         使用暴力攻擊方法來破壞系統（嘗試使用所有可能的按鍵組合）
         在有限的時間和算力情況，除了一次性密碼外，所有密碼演算法都可以破解。
       • 金鑰：金鑰是控制密碼算法的加密和解密操作的一系列符號。
       • 金鑰管理：生命週期包括金鑰的生成，交換，儲存，輪換，歸檔和銷毀
    3. 加密算法：
       • 對稱的：
         • 單個金鑰進行加密和解密
         • 優點：快速高效
         • 挑戰：
           • 在不影響保密性的情況下進行金鑰交換和管理
           • 可擴展性，更多用戶，更多金鑰
           • 不可否認性未得到解決
       • 不對稱：
         • 機密性：使用他們的公鑰編寫訊息，而他們使用其私鑰解開訊息
         • 數字簽章：使用私鑰來寫訊息的簽名，然後使用公鑰來檢查它否是您發出的
         • 優點：解決對稱的所有挑戰
    4. 加密應用程式：
       • 數字證書：
         • 發給
         • 頒發者：證書頒發機構名稱
         • 有效期：發佈日、到期日
         • 指紋
       • 數字簽章
• I：
  • 雜湊：
    • 確保資料完整性：發送具有雜湊值的原始資料，接收具有相同雜湊值的資料和雜湊值
    • 無衝突：無法在兩個不同的輸入上計算相同的雜湊值
      • 加鹽
        • 兩個人使用相同的密碼，但用戶名不同
        • 普通雜湊，PW的雜湊值將相同
        • 加鹽雜湊，將隨機字節添加到原始值，以獲得不同的雜湊值
    • 常見的雜湊函數：
      • MD2，MD4，MD5
      • SHA-0，SHA-1，SHA-2（SHA-256/224，SHA-512/384）
      • HAVAL
  • 參照完整性：
    • 資料庫主鍵和外鍵
  • 資源鎖定：
    • 死結
• A：
  • 複製：
    • 資料，資料庫，軟體：冗餘
    • 主從或主從備份方案
  • 容錯轉移：
    • 自動從活動的交易軟體、伺服器、系統、硬體組件或網路切換到備用（或冗餘）系統 - 可擴展性：
    • 垂直擴展意是將其他資源添加到現有節點。
    • 水平縮放意是將較新的節點添加到現有節點。

AAA

• 認證方式：
  • 多因子
  • 單點登錄（SSO）

• 授權
• 問責制

原則

通用性：組件之間的通用性

• 會議：
  • 控制通訊會話：用戶和程序，程序元素
  • HTTPS
  • 個別通訊應單獨加密
  • 關注點：在哪裡採用這些方法
• 例外：
  • 沒有訊息洩漏
• 組態

介面

• 日誌記錄提供資料，介面是安全和支持團隊存取資料的方式
  1. 管理控制台
  2. 記錄界面
  3. 頻道內管理：
     • 使用與應用程序相同的通訊渠道
     • 溝通簡單
     • 相同溝通渠道會面臨相同的威脅
  4. 頻道外管理：
     • 分開溝通
     • 允許應用受到攻擊時進行管理
     • 更多資源