在資訊安全領域中，要怎麼樣定義或是知道資訊安全的目標呢？最常聽見的就是 C-I-A 的概念，C-I-A 分別代表機密性（Confidentiality）、完整性（Integrity）、可用性（Availability），以下將分別介紹其所代表的意義與可能的威脅。

機密性（Confidentiality）

確保資訊僅可以在授權的情況下被存取，而不被任何未經授權的人員、實體或程序揭露。
常見的機密資訊有個人身分識別資訊（Personally Identifiable Information, PII）、受保護健康資訊（Personally Identifiable Information, PII）外，也包含了公司或組織的商業機密、研究機密、設計機密等智慧財產權的相關資料。

可能威脅

• 窺視（Snooping）：蒐集公開、可被容易存取的資訊，例如偷看辦公桌上的資料，可透過辦公桌淨空政策預防。
• 翻找垃圾桶：透過翻找垃圾桶或回收箱，尋找可能需要的敏感資料，可透過碎紙機預防紙本敏感資料被取得？
• 竊聽（Eavesdropping、Wiretapping）：透過竊聽談話內容獲得敏感資訊，Eavesdropping 為實體的竊聽、Wiretapping 為電子形式的竊聽，可透過加密通訊協定預防。
• 社交工程（Social Engineering）：透過釣魚信件、釣魚網站騙取機密資料或於使用者裝置植入惡意程式，僅能透過教育使用者辨識社交工程手法來進行預防。

完整性（Integrity）

確保資訊的正確、完整、一致而無缺漏錯誤，且在儲存、處理和傳輸的過程中，不被未經授權的竄改或刪除。
一致性（Consistency）是與完整性相關概念，要求資料在形式、內容和代表的意義完全相同，可透過建立基準線（Baseline）來確認資料的一致性，若日後將現在的狀態與基準線比較時，發現有不相同且無法核對修改記錄的地方，就可以初步判定完整性、一致性已經遭到破壞。

可能威脅

• 未經授權修改：導入「最小權限」概念，控管可修改資料的權限僅由少數必要的人持有。
• 假冒：與社交工程類似，僅能透過教育使用者進行防範。
• 中間人攻擊（Man-In-The-Middle，MITM）：攻擊者於通訊線路或 Session 中途進行攔截並修改或竊取資訊。
• 重送攻擊（Replay）：攻擊者竊聽登入資訊後，重複使用先前的所攔截到的身分驗證資訊（credentials），讓對方誤認為攻擊者代表合法的使用者。

可用性（Availability）

指系統或資訊在被需要時能被存取，滿足被授權的使用者能在需要的時間與地點，以所需的形式與格式獲得資料或存取系統。
當然在現實上無法提供 100% 可靠的系統或資訊，但至少要能依照重要性（輕重緩急）提供符合使用者需求的可用性。

可能威脅

• DoS 阻斷服務攻擊（Denial of Service）：可利用防火牆或其他方式（如 CDN），防止未經授權的連線，減少 DoS 造成的影響。
• 電力中斷：加大供電設備容量、備用發電機。
• 硬體故障：準備備用硬體以供隨時更換。
• 資料毀損：定期備份並異地存放，減少因各種原因導致資料毀損或滅失的風險。
• 服務中斷：系統故障等。