Security Concepts 安全概念

• Information security
• • CIA triad，CIA資安鐵三角
  • • Confidentiality 資料的機密性 - 保護資訊不易被識別。
    • Integrity 資料的完整性 - 確保資訊沒有被修改過。
    • Availability 資料的可用性 - SLA，服務可供使用者使用。

除了上述鐵三角，其實資安還有三個目標，我也是在這次複習時才看到。

• • • 可鑑別性（Authenticity）- 識別你是誰，你是否被允許可存取。
    • 可歸責性（Accountability）- 能知道使用者操作者是誰。
    • 不可否認性（Non-repudiation）- 保留紀錄以供稽核或查詢。

• NIST Cybersecurity Framework NIST 資安框架
• • Identify 辨識
  • • 資產盤點、分類，找出公司需要保護的範圍與可能遭遇的已知威脅。
  • Protect 保護
  • • 依照識別的內容做好保護的策略，權限管控、架構修正。
  • Detect 偵測
  • • 監控受保護的資訊、設備、並設置告警及留下紀錄。
  • Respond 應變
  • • 當事件發生時該如何應對，那些相關人需通知。
  • Recover 復原
  • • 資訊、服務、設備如何恢復，並將過程紀錄修正與檢討，避免再次發生。

• Gap analysis
• • 依照採用的框架識別每個項目在 CIA 上目前的風險程度，嚴重性高的優先安排處理。
    若公司採用 NIST Cybersecurity Framwork 框架，在保護層面上針對權限管理上 CIA 分別分數為多少(Risk Levels)，相加後就可以知道哪些項目風險最高，那些可以晚一點再處理。

• Access control
• • IAM，Identity and access management
  • • 在GCP與AWS中做身分驗證管理的功能都較IAM，用於管理使用者與給與權限。
  • AAA
  • • Authentication 認證 - 你是誰?
    • Authorization 授權 - 你可以做什麼?
    • Accounting 紀錄 - 你做過什麼?