大家好，這篇要來和大家聊聊資安的基本概念有哪些

因為是講理稐，所以這篇可能會有點無聊，但我會盡量講的有趣一點（不然真的會睡著）

那，什麼是資安呢？
這個在資通安全管理法裡有定義（資通就是資訊+通訊的意思）

資安有三個很核心的目標/要素，那就是CIA Triad（絕對不是中央情資局）

• 資料的機密性（Confidentiality）
• 資料的完整性（Integrity）
• 資料的可用性（Availability）

取他們第一個英文單字，那就叫做CIA啦
但也有人稱他們為AIC Triad，為了避免和CIA（Central Intelligence Agency，中央情資局）搞混

那他們為什麼很重要呢？

舉個例子，不知道大家有沒有看過海綿寶寶
海綿寶寶有一集要去買海超人的54號卡，所以先跑去銀行領錢

不知道也沒關係！我們就用這個當例子 ((被打

1. 機密性（Confidentiality）
既然海綿寶寶有銀行的帳戶，就代表銀行有海綿寶寶的個資
那銀行就必須對海綿寶寶的個資「保密」，確保不會被其他人知道，這就是機密性（Confidentiality）

所以機密性的概念就是：「確保資料的儲存或傳遞是保密的，避免敏感資料被未經授權的人取得」

2. 完整性（Integrity）
銀行必須確保海綿寶寶戶頭裡的餘額是「正確的」，沒有多一元少一元
只有在海綿寶寶「本人」去存、提款時，餘額才會作更動，這就是完整性（Integrity）

這裡可以看到海綿寶寶拿他的存摺給銀行櫃員，確認餘額有多少

所以完整性的概念就是：「確保資料的內容正確且完整，在「任何情況下」沒有被「未經授權」的人做不當的修改或毀損，只有經過「合法授權」的人能作更改，藉此保持資料的一致性、準確性、可信度」

3. 可用性（Availability）
如果海綿寶寶去領錢或轉帳時，銀行說：你不能對你的帳戶做任何操作
那他一定會氣炸，因為他就沒錢買海超人的54號卡了（然後他就去搶銀行了）

所以銀行必須確保「客戶」能對自己的帳戶進行操作，這就是可用性（Availability）

那可用性的概念就是：「確保經授權的使用者要對系統進行操作時，能確實的存取與使用」

而這三要素其實存在著「互相牽制」的關係

舉個例子，假設你今天很講究「機密性」，做了很多的管制，光登入就要密碼、雙重認證、生物辨識等
那勢必會降低「完整性」和「可用性」，因為須通過層層關卡，才能存取到資料，也就變得不那麼便利

相反的，如果你想要「可用性高」，希望服務是便利的、即時的，那勢必會降低「機密性」和「完整性」

所以要如何在這三要素裡「取得平衡」，是個很重要的議題

除了上述說的三要素，其實資安還有三個目標在

• 可鑑別性（Authenticity）
• 可歸責性（Accountability）
• 不可否認性（Non-repudiation）

1. 可鑑別性（Authenticity）
就是能辨別使用者的身分，究竟誰才是真的，誰才是假的

像下面這張圖，大家一看就知道是誰在模仿誰了

而Authentication（身分驗證）的應用其實能再細分成三種，以下是 wiki 的定義：

• 你所知道的（Something you know）：帳號/密碼
• 你所擁有的（Something you have）：IC卡、數位裝置、數位簽章、一次性密碼（One-time password，簡稱OTP）
• 你所具備的（Something you are）：指紋、虹膜、聲紋、臉部特徵、靜脈指紋、DNA

像手機上就涵蓋了帳號/密碼、IC卡、數位裝置、一次性密碼（OTP）、指紋、臉部特徵等

2. 可歸責性（Accountability）
就是要追究責任時，有辦法找到是誰的錯

3. 不可否認性（Non-repudiation）
假設章魚哥去郵箱收信時，看到海綿寶寶寄了一封信給他，那他和海綿寶寶都不能否認「有寄信」或「有看到信」
因為海綿寶寶「確實」有去寄信，而章魚哥也「確實」有看到海綿寶寶寄信給他

就像派大星「不能否認」自己是派大星一樣，因為這是既定事實

以上就是今天的介紹

這篇為了能讓內容生動一點，使用海綿寶寶的故事來講解CIA的理論
希望大家看完能對資安的概念更加了解