本次文章內容主要整理資訊安全定義、CIA元素與AAA的機制。

資訊安全定義:
保證資訊(及資訊系統)不受未經許可的使用者進入、使用、修改，甚至是銷毀。
通過這個定義，可以將資訊安全的主要訴求分為機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)，簡稱CIA (太酷惹吧)。

C、I、A三要素的內容:
機密性 (Confidentiality):
確保資料不論在傳遞或是儲存狀態時的隱密性，避免未經授權的使用者獲取欲保護的資料內容。

完整性 (Integrity): 代表確保資料無論是在傳輸或是儲存狀態，必須擁有相當的正確性與一致性。

可用性(Availability): 這邊的可用性是指當使用者需透過資訊系統進行操作時，資料與服務須保持可用的狀態，並必須能夠滿足使用者的需求。(可以想像卡通中為了讓壞人進不來在門上面鎖了一大堆鎖，結果發現壞人在裡面，反而出不去XD)

由此可知，資訊安全三要素之間存在著互相牽制的關係，亦即過度強化機密性，將犧牲完整性與可用性; 擁有高可用性的系統則往往會需要在機密性與完整性上妥協。如何在有限資源下，取得此三個要素之間的平衡是資訊安全管理當中重要的課題之一。

另外還有其他功能如鑑別性(Authenticity)、不可否認性(Non-repudiation)或可歸責性(Accountability)等，主要針對每次在資訊系統上的存取動作進行紀錄與究責，也有相關資訊將他們加入CIA元素當中討論，但筆者傾向用另一個名詞代稱 (AAA or 3A)來討論這些概念。

3A:
認證(Authtication):
代表使用者必須提供代表自己的身分(我是誰?)，以供資安系統識別資訊使用者的身分，例如：透過密碼、金鑰憑證等方式驗證使用者身分。

授權(Authorization):
在知道使用者是誰的情況下，便可依照實際的情況或職責給予欲存取資料者適當的權限。一般情況下會以最小權限（Least privilege）進行，代表只給予符合資料存取者之使用需求下的權限，以此避免過度授權而造成的資訊暴露或洩漏風險。

紀錄(Accounting):
主要的紀錄內容為資料存取者為誰、使用資訊的時間點或週期長短、分別存取了哪些資料、存取的裝置或地點等訊息。通過紀錄使用者與系統之間互動的軌跡，提供事後的資訊安全檢查與檢討。