前言

将一些安全相关的问答进行整理汇总和陈述，形成一些以问答呈现的东西，加入一些自己的理解，欢迎路过的各位大佬进行讨论和论述。很多内容都会从甲方的安全认知去进行阐述。

1.安全存在的目的？

为了支持组织的目标、使命和宗旨。一切围绕组织为主，保价护航。

2.安全的约束？

• 具有成本效益，并非无限制的资源投入
• 合法合规，按照国际，当地政策进行调整
• 动态安全，没有绝对的安全，需要进行动态的调整和巡检。

3.安全的主要目标和宗旨？

CIA 是最基础的框架，且所有的起点都可以从这里开始，然后进行延展。

• Confidentiality 保密性
• Integrity 完整性
• availability 可用性

4.安全的无法支柱是什么

• 机密性
• 完整性
• 可用性
• 真实性
• 不可抵赖性

5. 什么是保密性

定义：为保障数据、客体或资源保密状态采取的措施。
目标：阻止或最小化未经授权的数据访问。（如果组织成功的话，那对应的效果就是防止了非必要的泄露）

PS：这里的访问实际上说的是数据的流动，数据只能流向有权限的目标。这里常见的问题就是：

• 未授权
• 越权

6. 什么是完整性

定义：保护数据的可靠性和正确性的概念
目标：防止了未经授权的数据更改。

PS：完整性其实就是数据在流动的过程中，不能被修改，最常见的就是

• 数据加密
• 数据签名
• 权限校验

完整性和保密性实际上是相互依赖的关系，二者有一没有做好，基本上都会出现问题。

7. 什么是可用性

定义：授权主体被授予实时的、不间断的客体访问权限。
目标：客体可以持续服务。

PS：可用性其实有的时候也会描述为可靠性，或者高可用，或者是给客户承诺的SLA
不只是安全事件，很多措施都是可以进行通用的。

• 多副本
• 多节点
• K8S

8. 什么是真实性

定义：可信的或非伪造的来源。
目标：确定来源的可靠性。

PS 实际上真实性就是用来说明你是你，真实性和完整性其实也是有一定的依赖性的。

真实性就是说明：你是你
完整性就是说明：完整，无变更

9. 什么是不可抵赖

定义：你做了这个事情你就不能够进行否认。
目标：做了就是做了，不能够二次修改或者抵赖。

PS：通过，标识，身份，认证和授权，以及记录，确保你做了这件事情就是做了，所以在安全中对于日志的权限很看重，主要原因就是因为日志有溯源的特性。

---

补充概述

在当今数字化时代，安全对于各类组织而言至关重要。其存在的目的主要是为了支持组织的目标、使命和宗旨，就像是为组织的前行保驾护航，确保组织能够在稳定、可靠的环境中开展业务活动，避免因安全问题而导致业务中断、数据泄露、声誉受损等不良后果，从而保障组织的持续发展和竞争力。

然而，安全并非没有约束。首先，它需要具有成本效益，不能无限制地投入资源。毕竟，组织的资源是有限的，需要在安全投入与业务收益之间找到一个平衡点。其次，安全措施必须合法合规，要依据国际以及当地的政策法规进行相应调整，确保组织在安全方面的作为符合法律要求，避免因违规而面临法律风险和处罚。再者，安全是动态的，不存在绝对的安全状态，因此需要不断地进行动态调整和巡检，以应对不断变化的威胁和风险。

谈及安全的主要目标和宗旨，CIA 三要素是最基础且关键的框架。保密性，即保障数据、客体或资源处于保密状态，阻止或最小化未经授权的数据访问，确保数据只能流向有权限的目标，防止未授权和越权访问等情况发生，避免不必要的数据泄露。完整性，是保护数据的可靠性和正确性，防止未经授权的数据更改，通过数据加密、数据签名、权限校验等手段，保障数据在流动过程中不被篡改，它与保密性相互依赖，共同维护数据的安全性。可用性，则是指授权主体能够实时、不间断地访问客体，确保客体可以持续提供服务，像多副本、多节
点、K8S 等技术手段都是为了保障可用性，有时也与可靠性、高可用以及 SLA 承诺等相关。

除了 CIA 三要素外，安全还有其他重要支柱。真实性，强调来源的可信性和非伪造性，确定来源的可靠性，与完整性有一定的依赖关系，共同确保信息的真实性和完整性。不可抵赖性，意味着一旦做了某件事就不能否认，通过标识、身份认证、授权以及记录等手段，保障行为的可追溯性，其中日志的权限管理尤为重要，因为日志具有溯源的关键特性。

总之，安全是一个多维度、动态且复杂的体系，其各个目标和支柱相互关联、相互支撑，共同构建起组织的安全防线，为组织的稳定运营和发展提供坚实的保障基础，而从甲方的安全认知角度来看，深刻理解这些安全概念和原则，有助于更好地制定和实施安全策略，应对日益复杂的安全挑战。