在前幾天我們談到雲端、Kubernetes 與 FinOps,這些技術雖然帶來便利與彈性,這些技術讓 IT 環境更具彈性與效率。然而,若缺乏穩固的資訊安全基礎,再先進的技術都可能成為風險。資訊安全的核心基礎,就是經典的 CIA三要素(Confidentiality、Integrity、Availability)。
這三個面向並不是獨立存在,而是相互影響、共同保護系統與資料的安全性。
1. 機密性(Confidentiality)
定義:確保資料僅能被「有權限的人」存取,避免未授權存取或外洩。
常見手段:
-
加密(Encryption):如 TLS/SSL、AES,確保資料在傳輸與儲存時無法被竊聽。
-
存取控制(Access Control):透過帳號權限、身份驗證(MFA、多因素驗證)來限制使用者範圍。
-
最小權限原則(Least Privilege):給使用者「剛好需要」的權限,而不是過度授權。
例子:醫院的電子病歷系統,必須確保只有醫師與病人本人能查看資料。
2. 完整性(Integrity)
定義:確保資料在傳輸、處理、儲存過程中未被未授權修改或竄改。
常見手段:
-
雜湊(Hashing):如 SHA-256,驗證檔案或訊息在傳輸過程中未被改動。
-
數位簽章(Digital Signature):驗證資料來源的真實性與未被篡改。
-
版本控制與稽核追蹤(Audit Trail):保留操作紀錄,便於檢查資料異動的合法性。
例子:金融交易紀錄必須確保金額與帳號資訊無法被竄改,否則會造成嚴重的財務風險。
3. 可用性(Availability)
定義:確保系統與資料在需要時能正常運作,避免因服務中斷造成業務受阻。
常見手段:
-
備援與容錯(Redundancy & Fault Tolerance):多區部署、伺服器叢集。
-
災難復原(Disaster Recovery, DR):異地備援、定期演練。
-
防止阻斷攻擊(DDoS Protection):利用防火牆、流量清洗、CDN 緩解攻擊。
例子:電商網站在特定節日必須保持高可用性,若網站宕機一小時,可能造成數百萬的營收損失。
CIA 三要素的平衡
實務上,CIA 三要素之間常常需要權衡:
- 加密提升機密性,但可能增加存取延遲,影響可用性。
- 嚴格存取控制能保護完整性,但若過度限制,會降低使用者體驗。
- 過度強調可用性(例如任何人都能快速存取),可能犧牲機密性與完整性。
因此,資訊安全的挑戰就是在三者之間取得平衡,根據業務需求制定合適的安全策略。
在雲端與分散式系統的時代,懂得如何在機密性、完整性與可用性之間取得平衡,將是每一個組織維持安全與信任的關鍵。