安全问答—安全的基本架构
前言
将一些安全相关的问答进行整理汇总和陈述,形成一些以问答呈现的东西,加入一些自己的理解,欢迎路过的各位大佬进行讨论和论述。很多内容都会从甲方的安全认知去进行阐述。
1.安全存在的目的?
为了支持组织的目标、使命和宗旨。一切围绕组织为主,保价护航。
2.安全的约束?
- 具有成本效益,并非无限制的资源投入
- 合法合规,按照国际,当地政策进行调整
- 动态安全,没有绝对的安全,需要进行动态的调整和巡检。
3.安全的主要目标和宗旨?
CIA 是最基础的框架,且所有的起点都可以从这里开始,然后进行延展。
- Confidentiality 保密性
- Integrity 完整性
- availability 可用性
4.安全的无法支柱是什么
- 机密性
- 完整性
- 可用性
- 真实性
- 不可抵赖性
5. 什么是保密性
定义:为保障数据、客体或资源保密状态采取的措施。
目标:阻止或最小化未经授权的数据访问。(如果组织成功的话,那对应的效果就是防止了非必要的泄露)
PS:这里的访问实际上说的是数据的流动,数据只能流向有权限的目标。这里常见的问题就是:
- 未授权
- 越权
6. 什么是完整性
定义:保护数据的可靠性和正确性的概念
目标:防止了未经授权的数据更改。
PS:完整性其实就是数据在流动的过程中,不能被修改,最常见的就是
- 数据加密
- 数据签名
- 权限校验
完整性和保密性实际上是相互依赖的关系,二者有一没有做好,基本上都会出现问题。
7. 什么是可用性
定义:授权主体被授予实时的、不间断的客体访问权限。
目标:客体可以持续服务。
PS:可用性其实有的时候也会描述为可靠性,或者高可用,或者是给客户承诺的SLA
不只是安全事件,很多措施都是可以进行通用的。
- 多副本
- 多节点
- K8S
8. 什么是真实性
定义:可信的或非伪造的来源。
目标:确定来源的可靠性。
PS 实际上真实性就是用来说明你是你,真实性和完整性其实也是有一定的依赖性的。
真实性就是说明:你是你
完整性就是说明:完整,无变更
9. 什么是不可抵赖
定义:你做了这个事情你就不能够进行否认。
目标:做了就是做了,不能够二次修改或者抵赖。
PS:通过,标识,身份,认证和授权,以及记录,确保你做了这件事情就是做了,所以在安全中对于日志的权限很看重,主要原因就是因为日志有溯源的特性。
补充概述
在当今数字化时代,安全对于各类组织而言至关重要。其存在的目的主要是为了支持组织的目标、使命和宗旨,就像是为组织的前行保驾护航,确保组织能够在稳定、可靠的环境中开展业务活动,避免因安全问题而导致业务中断、数据泄露、声誉受损等不良后果,从而保障组织的持续发展和竞争力。
然而,安全并非没有约束。首先,它需要具有成本效益,不能无限制地投入资源。毕竟,组织的资源是有限的,需要在安全投入与业务收益之间找到一个平衡点。其次,安全措施必须合法合规,要依据国际以及当地的政策法规进行相应调整,确保组织在安全方面的作为符合法律要求,避免因违规而面临法律风险和处罚。再者,安全是动态的,不存在绝对的安全状态,因此需要不断地进行动态调整和巡检,以应对不断变化的威胁和风险。
谈及安全的主要目标和宗旨,CIA 三要素是最基础且关键的框架。保密性,即保障数据、客体或资源处于保密状态,阻止或最小化未经授权的数据访问,确保数据只能流向有权限的目标,防止未授权和越权访问等情况发生,避免不必要的数据泄露。完整性,是保护数据的可靠性和正确性,防止未经授权的数据更改,通过数据加密、数据签名、权限校验等手段,保障数据在流动过程中不被篡改,它与保密性相互依赖,共同维护数据的安全性。可用性,则是指授权主体能够实时、不间断地访问客体,确保客体可以持续提供服务,像多副本、多节
点、K8S 等技术手段都是为了保障可用性,有时也与可靠性、高可用以及 SLA 承诺等相关。
除了 CIA 三要素外,安全还有其他重要支柱。真实性,强调来源的可信性和非伪造性,确定来源的可靠性,与完整性有一定的依赖关系,共同确保信息的真实性和完整性。不可抵赖性,意味着一旦做了某件事就不能否认,通过标识、身份认证、授权以及记录等手段,保障行为的可追溯性,其中日志的权限管理尤为重要,因为日志具有溯源的关键特性。
总之,安全是一个多维度、动态且复杂的体系,其各个目标和支柱相互关联、相互支撑,共同构建起组织的安全防线,为组织的稳定运营和发展提供坚实的保障基础,而从甲方的安全认知角度来看,深刻理解这些安全概念和原则,有助于更好地制定和实施安全策略,应对日益复杂的安全挑战。