CIA Triad 信息安全铁三角
网络安全的三个核心目标,几乎所有具体的安全工作最终都在服务其中至少一个:
C — Confidentiality 保密性
只有授权的人能看到。
- 加密(Encryption)
- 访问控制(Access Control)
- 身份验证(Authentication)
I — Integrity 完整性
数据没有被未授权篡改。
- 数字签名(Digital Signature)
- 哈希校验(Hash / Checksum)
- 版本控制 + 审计日志
A — Availability 可用性
需要的时候能访问到。
- 冗余(Redundancy)
- 备份(Backup)
- 抗 DDoS
三者常常此消彼长
| 加强谁 | 代价 |
|---|---|
| C ↑ | 增加加密/审批步骤,A 下降(访问变慢) |
| I ↑ | 增加校验/签名,A 下降(写入变慢) |
| A ↑ | 简化访问、增加副本,C 下降(更多入口) |
安全工程的核心不是”三个都拉满”,而是根据业务场景调权重:
- 银行系统:C > I > A
- 政府机密:C >>> I > A
- 电商网站:A > I > C
- 医疗记录:I = C > A
跟其他概念的关系
- threat 通常针对 CIA 中的某一项发起
- security-posture 评估的就是 CIA 三方面的整体能力
- pii / spii 主要关注 C 和 I