在前幾天我們談到雲端、Kubernetes 與 FinOps，這些技術雖然帶來便利與彈性，這些技術讓 IT 環境更具彈性與效率。然而，若缺乏穩固的資訊安全基礎，再先進的技術都可能成為風險。資訊安全的核心基礎，就是經典的 CIA三要素（Confidentiality、Integrity、Availability）。

這三個面向並不是獨立存在，而是相互影響、共同保護系統與資料的安全性。

1. 機密性（Confidentiality）

定義：確保資料僅能被「有權限的人」存取，避免未授權存取或外洩。

常見手段：

• 加密（Encryption）：如 TLS/SSL、AES，確保資料在傳輸與儲存時無法被竊聽。
• 存取控制（Access Control）：透過帳號權限、身份驗證（MFA、多因素驗證）來限制使用者範圍。
• 最小權限原則（Least Privilege）：給使用者「剛好需要」的權限，而不是過度授權。

例子：醫院的電子病歷系統，必須確保只有醫師與病人本人能查看資料。

2. 完整性（Integrity）

定義：確保資料在傳輸、處理、儲存過程中未被未授權修改或竄改。

常見手段：

• 雜湊（Hashing）：如 SHA-256，驗證檔案或訊息在傳輸過程中未被改動。
• 數位簽章（Digital Signature）：驗證資料來源的真實性與未被篡改。
• 版本控制與稽核追蹤（Audit Trail）：保留操作紀錄，便於檢查資料異動的合法性。

例子：金融交易紀錄必須確保金額與帳號資訊無法被竄改，否則會造成嚴重的財務風險。

3. 可用性（Availability）

定義：確保系統與資料在需要時能正常運作，避免因服務中斷造成業務受阻。

常見手段：

• 備援與容錯（Redundancy & Fault Tolerance）：多區部署、伺服器叢集。
• 災難復原（Disaster Recovery, DR）：異地備援、定期演練。
• 防止阻斷攻擊（DDoS Protection）：利用防火牆、流量清洗、CDN 緩解攻擊。

例子：電商網站在特定節日必須保持高可用性，若網站宕機一小時，可能造成數百萬的營收損失。

CIA 三要素的平衡

實務上，CIA 三要素之間常常需要權衡：

• 加密提升機密性，但可能增加存取延遲，影響可用性。
• 嚴格存取控制能保護完整性，但若過度限制，會降低使用者體驗。
• 過度強調可用性（例如任何人都能快速存取），可能犧牲機密性與完整性。

因此，資訊安全的挑戰就是在三者之間取得平衡，根據業務需求制定合適的安全策略。

在雲端與分散式系統的時代，懂得如何在機密性、完整性與可用性之間取得平衡，將是每一個組織維持安全與信任的關鍵。