資安小白認識資安三要素

根據 ChatGPT 安排的建議，接下來要學習的是：

• 資安三要素：CIA（三要素：機密性、完整性、可用性）
• 網路基礎：HTTP/HTTPS、IP、DNS 等，了解攻擊通常針對哪個層級

資安三要素有「機密性（Confidentiality）」、「完整性（Integrity）」、「可用性（Availability）」，且三者需要維持平衡的狀態。

機密性（Confidentiality）

• 擁有權限的使用者才能取用資訊，保護敏感資訊不被洩漏。
• 常見攻擊
• • 資料竊取（Data Breach）：駭客未經授權存取企業資料庫，竊取客戶個資。
  • 嗅探攻擊（Sniffing）：攻擊者透過監聽網路封包攔截未加密的資料。

✅ 好的機密性管理：

• 你公司的系統有「角色權限管理」，只有 HR 能夠存取員工薪資資料，而工程師無法看到。

❌ 機密性不足的風險：

• 某員工的筆電被偷了，但沒有加密硬碟，導致裡面的公司機密文件被駭客存取。

PM 如何管理機密性？

✔ 確保團隊使用適當的權限控管（RBAC, Role-Based Access Control）。
✔ 要求敏感資訊要加密（如資料庫內的密碼應該雜湊儲存（Hashing Storage），而不是明文）。

雜湊是一種單向函數（One-way Function），可以將輸入資料轉換為固定長度的字串，但無法逆向還原原始資料。

舉例來說，假設你有一組密碼 MySecureP@ssword123，經過 SHA-256（常見的雜湊演算法）計算後，會變成：6dcd4ce23d88e2ee9568ba546c007c63e3b32b7e273b5f77c62b47f86b57d36f

這個雜湊值看起來完全不同，且無法透過演算法逆推回 MySecureP@ssword123。

---

完整性（Integrity）

• 維護資訊在傳輸或儲存過程中不被未授權的修改、刪除或偽造。
• 常見攻擊
• • 中間人攻擊（MITM）：攻擊者攔截並篡改傳輸的資料。
  • SQL 注入（SQL Injection）：惡意修改資料庫中的資料。
  • 硬碟故障造成資料損失
  • 人為操作錯誤或刪除

✅ 好的完整性管理：

• 公司內部的財務報表，系統會使用「數位簽章」來確保內容沒有被修改過。

❌ 完整性不足的風險：

• 駭客發動 中間人攻擊（MITM, Man-in-the-Middle），在使用者連線 Wi-Fi 時竄改資料，讓客戶轉帳時金額變成駭客的帳戶。
• SQL Injection 攻擊：攻擊者輸入惡意指令，改變資料庫內容（例如：更改用戶密碼，或在你的系統中新增一筆假交易）。

PM 如何管理完整性？

✔ 要求系統使用 HTTPS（加密通訊），避免 MITM 攻擊。
✔ 確保團隊有使用 Hashing & 數位簽章，來驗證關鍵資料的完整性。
✔ 要求開發團隊做好輸入驗證（Input Validation），避免 SQL Injection 或 XSS 攻擊。

---

可用性（Availability）

• 妥善維護資訊，以達到資料隨時是可取用的狀態，避免受到攻擊或系統故障影響。
• 常見攻擊
• • DDoS 攻擊（分散式阻斷服務攻擊）：透過大量流量癱瘓系統。
  • 勒索軟體（Ransomware）：加密企業資料並勒索贖金。

✅ 好的可用性管理：

• 你的公司有「**異地備援（Disaster Recovery, DR）」，當台北機房掛掉時，系統會自動切換到美國機房，確保服務不中斷。
• 團隊有設定 DDoS 防護機制（（分散式阻斷服務攻擊，Distributed Denial of Service），如 Cloudflare, AWS WAF），防止駭客透過大量請求癱瘓系統。

❌ 可用性不足的風險：

• 你公司 沒有 DDoS 防禦，結果某天駭客發動流量攻擊，導致網站整天無法運作，造成公司重大損失。
• 你們的 系統沒有定期備份，結果工程師誤刪資料時，完全無法復原，影響業務運行。

PM 如何管理可用性？

✔ 確保團隊有備份策略（Backup & Disaster Recovery），避免數據遺失。
✔ 確保有 DDoS 防禦機制（如 WAF, CDN），避免流量攻擊影響服務。
✔ 定期做系統負載測試，確保能承受高流量狀況（如雙 11 促銷）。

總結：PM 如何運用 CIA？