总结

网页主要介绍了资讯安全的基础概念、重要性，以及通过CIA三角模型（机密性、完整性、可用性）来评估和维护资信安全的方法，并且提到了其他三个安全性要素：不可否认性、鉴别性和存取权限控制。

摘要

文章首先阐述了资讯安全的重要性，强调资讯作为组织资产的保护，以及如何通过资信安全措施来保障續營運和最小化損失。接着详细解释了构成资信安全核心的CIA三角模型，包括机密性（保护信息不被未授权的访问）、完整性（确保信息不被未授权的修改或破坏）和可用性（确保授权用户能够访问信息和系统）。文章通过实例说明了这些原则在日常生活中的应用，并强调了它们在资信安全领域的重要性。此外，文章还扩展到三个额外的安全性要素：不可否认性（确保传输方和接收方无法否认其参与的行为）、鉴别性（确保能够验证用户身份）和存取权限控制（根据身份授予适当的访问权限），并提供了相关的实际案例。最后，文章提到了常见的安全攻击之一——目录遍历（Path Traversal）攻击。

观点

资讯安全是对资讯进行保护，防止未授权的访问、修改、破坏和不可用性，确保资讯的机密性、完整性和可用性。
CIA三角模型是评估和维护资信安全的关键框架，它要求资安措施能够平衡这三个方面，以适应有限的资源。
机密性、完整性和可用性是相互制约的，过高的一方可能会导致其他两方的降低。
不可否认性保证在数字交易中，参与者无法否认其行为，这对于法律责任和合规性至关重要。
鉴别性要求系统能够准确识别用户身份，这是防止未授权访问的基础。
存取权限控制确保用户只能访问其授权的资源，这有助于维护系统的整体安全性。
安全攻击如目录遍历（Path Traversal）攻击利用系统漏洞来访问未授权的文件和目录，这是资信安全专业人员需要关注和防范的威胁之一。

從零開始學資安 — 什麼是資訊安全?

🔖 文章索引

1. CIA Triad
 * 機密性 Confidentiality 
 * 完整性 Integrity 
 * 可用性 Availability

2. 其它安全性要素
 * 不可否認性 Non-repudiation 
 * 鑑別性 Authentication 
 * 存取權限控制 Access Control

自己因為在資安公司工作，所以也常被長輩問資安到底在幹嘛？自己通常會說：資安像房子的保全系統(包括硬體跟軟體面)，保全做得好，就算有人想侵入也侵入不了(有厲害的門跟窗)、甚至還可以偵測房子附近異常活動 (陌生人在門口探頭探腦)，及早讓屋主做準備！

好啦，但還是要從教科書面解釋一下到底什麼是資訊安全，首先需要知道什麼是安全？最簡單的定義是沒有危險，並且受到保護不受到各種威脅、造成危險、危害、損失。那資訊安全呢? 其實大同小異只是主體從人變成資訊。

〝資訊對組織而言就是一種資產，和其它重要的營運資產一樣有價值，因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅，確保持續營運，將營運損失降到最低，得到最豐厚的投資報酬率和商機。〞

以上相當好理解，例如你是灰笍生技公司，但在發表疫苗前一週所有開發的機密資訊都被 XX 偷看並搶先發表，那相信營運一定會大受損失。

那如何判斷這資訊安不全呢? 從最 High Level 角度可以以 CIA Triad 來評判，以下這個影片超簡單易懂的很推薦先點來看

CIA Triad

Confidentiality 機密性、Integrity 完整性、Availability 可用性 是資訊安全的鐵三角，任何違反他們的事件行為都都會減低資安的防護強度，有可能對公司重要資產或機密資料造成威脅。

公司的每一位員工都可根據 CIA 原則來判斷哪些事件或行為應該受到管制與規範。

機密性(Confidentiality)

Keeping information secret.

👩🏻: 告訴你一個秘密千萬不能告訴別人
👦🏽: 好
👩🏻: 我喜歡 Mike 很久了，真希望能跟他再一起

(體育課時)
👦🏽: Mike, Hannah 其實喜歡你很久了 
🧑🏻‍🦱: 但他不是我喜歡那類型誒

以上就違反機密原則，因為你想保護的資訊(喜歡 Mike) 被外流出去了。

任何機密資訊未經授權所都無法被看到，應用在資訊安全上 Confidentiality 也是保護資料，不讓外人被看到或被偷走。

哪些是需要被保護資料呢? 只要是不能公開的資料，就是敏感資料。例如

機密的交易資料
公司正在開發的技術，如果這些資訊被洩露，可能造成龐大損失
軍事機密
你的個人資訊例如信用卡資料、醫療紀錄、個人資訊等等

完整性(Integrity)

Maintaining the expected state of our information or systems

👩🏻: 這是我保護很久的日記，我要出國一趟請你幫我保護好
👦🏽: 好

(回到家)
👦🏽: 開始仿造 Hannah 筆跡修改他日記
👦🏽: 並把幾頁不利於自己的日記撕掉

以上就違完整性密原則，因為原本的機密資訊被竄改/撕掉。

任何機密資訊所都無法被入侵者偷偷竄改/刪除，資訊安全上應該要確保資料的完整性且不被未授權的人修改，以及確保資料處理的過程是安全且合規的。

可用性(Availability)

Ensures that the information or systems are accessible to those with permisions

(平日記都放在第一格抽屜)
👩🏻: 今天想寫個日記了
👩🏻: (發現日記不在抽屜不見了)

以上就違反可用性原則，因為你是日記主人應該隨時可以拿日記，但他卻不見了讓你無法取用。

已經取得授權可以及時地且不間斷地讀取或使用資料，資訊安全上要確保資料的順暢性，像停電或網路斷了也是違反此原則。

Confidentiality 機密性、Integrity 完整性、Availability 可用性資訊安全三要素關係是互相牽制的，例如：機密性超級高，會造成完整性與可用性的降低 ; 相對需要高可用性的系統則會讓機密性與完整性的降低，因此如何在有限資源下，讓三者保持平衡就是每個公司需要面對的重要議題。

其它安全性要素

除了最基本的 C. I. A 其實還衍伸出另外三個安全性要素，可以並列 The six basic security concepts

不可否認性 Non-repudiation

傳送方或接收方，都不能否認曾進行資料傳輸或接收

👩🏻: 這是我給你的紙條，請你回家看過再回覆我
👦🏽: 好

(回到家)
👦🏽: 打開紙條看見上面寫: '我喜歡你'

(隔天)
👩🏻: 你看紙條了嗎?
👦🏽: 什麼紙條？我太忙忘記了

以上就違反不可否認性原則，因為 👦🏽 明明有拿到紙條但卻否認

鑑別性 Authentication

能辨別資訊使用者的身份

👩🏻: 這是我保護很久的日記，我要出國一趟請你幫我保護好
👦🏽: 好

(回到家)
👦🏽: 開始仿造 Hannah 筆跡修改他日記

(回國後)
👩🏻: 這不是我的筆跡!

👩🏻 可以辨別日記是不是自己寫的，這就擁有鑑別性，當然不是自己寫的內容就不算數

生活中 Authentication 應用就是透過密碼或憑證方式驗證使用者身分，例如銀行帳號／密碼 (Something you know)、指紋解鎖 (Something you are)、你的身分證 (Something you have)。

Authority / Access Control 存取權限控制

依照身份給予適當的權限

👩🏻: 媽媽說他今天出門，家裡保險箱內有錢讓我買菜用
👼: (想買糖果)去保險箱想敲開拿錢，結果沒用因為被鎖住

因為 👼 沒有權限可以打開保險箱，所以錢就不會被拿走

常見攻擊: 目錄遍歷 Path Traversal