iT邦幫忙

2025 iThome 鐵人賽

DAY 2
1
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 2

Day2 | CIA 與 AAA 的延伸概念與應用場景

  • 分享至 

  • xImage
  •  

資安核心原則全解析:CIA、AAA 與延伸概念

在資安領域中,除了常見的 CIA 三大支柱(Confidentiality、Integrity、Availability),還有許多延伸的概念也經常出現在 iPAS 資安初級考題中,例如:不可否認性(Non-repudiation)、身分識別性(Authentication)、真實性(Authenticity)、可歸責性(Accountability)等。

本篇一次整理這些重點屬性、對應的攻擊手法與防護技術,幫助你建立扎實的資安觀念!

🔐 CIA 三大核心支柱

屬性 定義說明 常見攻擊 防護技術
機密性 (Confidentiality) 確保只有授權者可存取資料 資料外洩、駭客入侵 加密、存取控制、VPN
完整性 (Integrity) 確保資料未被未授權竄改 資料篡改、中間人攻擊 雜湊、數位簽章、HMAC
可用性 (Availability) 確保資源在需要時可正常使用 DDoS、系統當機、勒索軟體 冗餘備援、備份、負載平衡、DDoS 防護

🔍 延伸資安屬性補充(AAA+)

屬性 定義說明 常見攻擊 防護技術
不可否認性 (Non-repudiation) 防止使用者否認其已執行的操作,適用於通訊或交易記錄 交易否認、身份盜用 數位簽章、數位憑證、PKI
身分識別性 (Authentication) 驗證使用者或裝置的身分合法性 身份冒充、密碼猜測 密碼、多因素驗證、生物辨識
真實性 (Authenticity) 確保通訊與資料來源的真實性 偽造憑證、網路釣魚、Deepfakes DKIM(郵件)、SSH 公鑰、憑證鏈信任
可歸責性 (Accountability) 明確記錄與追蹤使用者行為責任 身份隱藏、日誌刪除或偽造 審計日誌、ACL、集中式日誌管理系統

Tips:容易搞混的觀念整理

  • Authentication vs. Authorization:驗證身份(你是誰)與授權權限(你能做什麼)

  • Non-repudiation ≠ Integrity:不可否認性主要處理「事後否認」,而完整性是保證資料未被更改

  • Accountability ≠ Traceability:前者強調「責任歸屬」,後者偏重於「資料流程追蹤」

📖 延伸補充資源


上一篇
Day 1 | 資安核心三要素:CIA 與 AAA 初探
下一篇
Day3 | 個人資料保護法與資安事件通報制度簡介
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言