当前位置：首页 > news >正文

安全问答—安全的基本架构

news 2025/9/29 2:04:38

前言

将一些安全相关的问答进行整理汇总和陈述，形成一些以问答呈现的东西，加入一些自己的理解，欢迎路过的各位大佬进行讨论和论述。很多内容都会从甲方的安全认知去进行阐述。

1.安全存在的目的？

为了支持组织的目标、使命和宗旨。一切围绕组织为主，保价护航。

2.安全的约束？

具有成本效益，并非无限制的资源投入
合法合规，按照国际，当地政策进行调整
动态安全，没有绝对的安全，需要进行动态的调整和巡检。

3.安全的主要目标和宗旨？

CIA 是最基础的框架，且所有的起点都可以从这里开始，然后进行延展。

Confidentiality 保密性
Integrity 完整性
availability 可用性

4.安全的无法支柱是什么

机密性
完整性
可用性
真实性
不可抵赖性

5. 什么是保密性

定义：为保障数据、客体或资源保密状态采取的措施。
目标：阻止或最小化未经授权的数据访问。（如果组织成功的话，那对应的效果就是防止了非必要的泄露）

PS：这里的访问实际上说的是数据的流动，数据只能流向有权限的目标。这里常见的问题就是：

未授权
越权

6. 什么是完整性

定义：保护数据的可靠性和正确性的概念
目标：防止了未经授权的数据更改。

PS：完整性其实就是数据在流动的过程中，不能被修改，最常见的就是

数据加密
数据签名
权限校验

完整性和保密性实际上是相互依赖的关系，二者有一没有做好，基本上都会出现问题。

7. 什么是可用性

定义：授权主体被授予实时的、不间断的客体访问权限。
目标：客体可以持续服务。

PS：可用性其实有的时候也会描述为可靠性，或者高可用，或者是给客户承诺的SLA
不只是安全事件，很多措施都是可以进行通用的。

多副本
多节点
K8S

8. 什么是真实性

定义：可信的或非伪造的来源。
目标：确定来源的可靠性。

PS 实际上真实性就是用来说明你是你，真实性和完整性其实也是有一定的依赖性的。

真实性就是说明：你是你
完整性就是说明：完整，无变更

9. 什么是不可抵赖

定义：你做了这个事情你就不能够进行否认。
目标：做了就是做了，不能够二次修改或者抵赖。

PS：通过，标识，身份，认证和授权，以及记录，确保你做了这件事情就是做了，所以在安全中对于日志的权限很看重，主要原因就是因为日志有溯源的特性。

补充概述

在当今数字化时代，安全对于各类组织而言至关重要。其存在的目的主要是为了支持组织的目标、使命和宗旨，就像是为组织的前行保驾护航，确保组织能够在稳定、可靠的环境中开展业务活动，避免因安全问题而导致业务中断、数据泄露、声誉受损等不良后果，从而保障组织的持续发展和竞争力。

然而，安全并非没有约束。首先，它需要具有成本效益，不能无限制地投入资源。毕竟，组织的资源是有限的，需要在安全投入与业务收益之间找到一个平衡点。其次，安全措施必须合法合规，要依据国际以及当地的政策法规进行相应调整，确保组织在安全方面的作为符合法律要求，避免因违规而面临法律风险和处罚。再者，安全是动态的，不存在绝对的安全状态，因此需要不断地进行动态调整和巡检，以应对不断变化的威胁和风险。

谈及安全的主要目标和宗旨，CIA 三要素是最基础且关键的框架。保密性，即保障数据、客体或资源处于保密状态，阻止或最小化未经授权的数据访问，确保数据只能流向有权限的目标，防止未授权和越权访问等情况发生，避免不必要的数据泄露。完整性，是保护数据的可靠性和正确性，防止未经授权的数据更改，通过数据加密、数据签名、权限校验等手段，保障数据在流动过程中不被篡改，它与保密性相互依赖，共同维护数据的安全性。可用性，则是指授权主体能够实时、不间断地访问客体，确保客体可以持续提供服务，像多副本、多节
点、K8S 等技术手段都是为了保障可用性，有时也与可靠性、高可用以及 SLA 承诺等相关。

除了 CIA 三要素外，安全还有其他重要支柱。真实性，强调来源的可信性和非伪造性，确定来源的可靠性，与完整性有一定的依赖关系，共同确保信息的真实性和完整性。不可抵赖性，意味着一旦做了某件事就不能否认，通过标识、身份认证、授权以及记录等手段，保障行为的可追溯性，其中日志的权限管理尤为重要，因为日志具有溯源的关键特性。

总之，安全是一个多维度、动态且复杂的体系，其各个目标和支柱相互关联、相互支撑，共同构建起组织的安全防线，为组织的稳定运营和发展提供坚实的保障基础，而从甲方的安全认知角度来看，深刻理解这些安全概念和原则，有助于更好地制定和实施安全策略，应对日益复杂的安全挑战。

前言