什麼是 CIA 資安鐵三角?
CIA 資安鐵三角(CIA Triad)是一種資安模型,基於三大核心原則:機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)。該模型為組織提供了一套指引,以制定能涵蓋這三個關鍵面向的資安程序與政策。儘管 CIA 資安鐵三角的概念較為寬泛與高層次,但它已被證實是一套可靠的模型,不僅能指引資安規劃,還能協助識別網路安全威脅(Cybersecurity Threats),並採取適當的安全與風險緩解措施以防止或儘量減輕風險。
CIA 資安鐵三角雖然是建立有效安全態勢的重要組成部分,但它們之間有時會相互衝突。
例如,為確保機密性而設計的資料存取機制可能較為繁瑣,並影響資料的可用性。如何在 CIA 資安鐵三角的三要素之間取得恰當平衡,需根據各組織的具體需求而定。
並非所有網路安全威脅都來自企業外部的網路攻擊(Cyber Attack)。因此,在針對機密性設計 CIA 資安鐵三角防護措施時,必須同時考量外部的網路犯罪分子,以及內部的疏失行為或惡意內部人員。
CIA 資安鐵三角在網路安全中的重要性是什麼?
CIA 資安鐵三角為資訊安全提供整體性的指引。它協助組織評估自身環境、找出資安漏洞、尋找解決方案,並最佳化既有的防護措施。藉由全面考量 CIA 資安鐵三角的三大核心原則,組織能夠審慎衡量各要素的重要性,進而取得平衡,採取整合式的資安防護策略。
CIA 資安鐵三角的重要性有助於解決資安弱點。以下是三個核心相關的幾個範例。
機密性(Confidentiality)解決的資安漏洞包括:
- 惡意軟體(Malware)
- 中間人攻擊(Man in the middle, MITM)
- 網路釣魚(spear phishing)攻擊
- 間諜軟體(Spyware)
- 未修補的軟體
- 弱密碼
完整性(Integrity)解決的資安漏洞包括:
- 使用者權限過高
- 惡意軟體(Malware)
- 實體篡改
- 勒索軟體(Ramsomware)
- SQL 注入攻擊(SQL injection)
可用性(Availability)解決的資安漏洞包括:
- 災難(例如,火災、洪水和地震)
- 分散式阻斷服務 (DDoS) 攻擊
- 硬體故障
- 設定錯誤
- 硬碟或伺服器的實體損壞
- 勒索軟體(Ramsomware)
- 軟體錯誤
CIA 資安鐵三角的組成是什麼?
機密性(Confidentiality)
機密性是指透過系統與流程來限制資訊的存取、使用與分享,以防止未經授權的存取行為,進而保護資料安全。為了維持最高的資料保護(Data protection)標準並確保敏感資訊(Sensitive information)的安全,CIA 資安鐵三角中的機密性實作應遵循最小權限(principle of least priSensitive information – Articlevilege, PoLP) 原則。這表示使用者僅被授權在執行任務所必須的資訊存取權限,且只在需要的期間內開放。
當使用者存取帳戶時,要求進行多因子驗證(Multi-Factor authentication, MFA)是機密性的一個例子。在此情況下,使用者登入網站後,系統會要求輸入傳送至其行動裝置(或其它)的驗證碼,接著可能還需回答一個安全性問題。
完整性(Integrity)
完整性是指資料受到保護,避免遭到未經授權的修改或刪除。做為 CIA 資安鐵三角的一環,完整性有助於確保資料的可信度與完整性。
雜湊值、加密、數位憑證和數位簽章都是 CIA 資安鐵三角中完整性要素的例子。這些方法可以驗證資料的完整性,並有助於確保資料的真實性不會被否認或推翻。
可用性(Availability)
可用性是指使用者在需要時,能即時且可靠地存取資料。這也代表系統必須受到保護,防止遭到篡改。
CIA 資安鐵三角中的可用性,常被視為預警指標(俗稱「礦坑裡的金絲雀」);當系統遭到入侵或攻擊時,可用性通常是最早出現異常的跡象。因此,在實務應用中,可用性經常被優先考慮於機密性與完整性之上。
CIA 資安鐵三角力求避免與減輕中斷可用性的例子包括 DDoS 攻擊與勒索軟體。這些攻擊手法以及其他與可用性相關的攻擊向量(Attack Vector) ,是可用性層面的資安防護重點。即使資料保密且其完整性得以維持,若無法存取,也對任何人毫無價值。
CIA 資安鐵三角使用哪些類型的安全控制?
CIA 資安鐵三角中主要使用的安全控制範例包括:
- 機密性政策(Confidentiality Policy)
- 資料分類(Data Classification)
- 資料治理(Data Governance)計畫
- 資料保留政策
- 數位存取控制方法,例如多因子驗證(MFA) 和無密碼(Passwordless authentication)登入
- 靜態資料和動態資料加密
- 企業安全系統
- 防毒軟體(Anti-Virus Software)
- 企業端點保護(Endpoint Protection, EPR)
- 資料遺失防護解決方案
- 防火牆(Firewall)
- 身分與存取管理(Identity and Access Management, IAM)
- 角色型存取控制(Role-Based Access Control, RBAC) 系統
- 保密協議
- 實體存取控制
- 強式(高強度)密碼
企業為何使用 CIA 資安鐵三角
簡單卻強大的 CIA 資安鐵三角被各類企業廣泛使用。原因眾多,其中包括 CIA 資安鐵三角可以做到以下事項:
加速應變處理。
在安全事件發生後,CIA 資安鐵三角的每一個要素都會發揮作用。用來保護敏感資料(Sensitive information)機密性的系統,有助於減輕安全事件所帶來的影響。
例如,遏制受影響系統所採取的隔離通訊協定可以阻止或減少資料洩露,而加密則能確保敏感資料即使受到洩露也無法被利用。至於完整性控制措施(例如日誌記錄(Log)機制),則有助於團隊判斷攻擊者是否曾經篡改系統或資料,進而讓團隊能夠還原有效的版本。
遵循 CIA 資安鐵三角可用性最佳實務,有助於在發生攻擊或其他服務中斷時,能夠迅速恢復對系統與資料的存取權限。
為安全教育訓練計畫提供架構。
透過概述威脅並詳細說明在最佳化組織安全態勢過程中,使用者需要遵守的核心安全措施,CIA 資安鐵三角為安全教育訓練計畫提供架構。為了維護機密性,使用者教育訓練應涵蓋存取控制(Access Control) 與敏感資料處理流程、對社交工程(Social Engineering)手法的認識,以及妥善的密碼管理(Password Management) 與加密的重要性。
與完整性相關的關鍵教育訓練包括:如何辨識資料遭篡改的痕跡、如何確保資訊維持可信度,瞭解在輸入或使用資料前驗證資料來源的重要性,以及在資料完整性可能遭破壞時,回報與應對事件的標準流程。至於可用性方面,使用者應熟悉資安事件與事故復原流程、如何因應與可用性相關的威脅(例如 DDoS 攻擊或系統故障),以及備份作業的相關程序。
提供網路安全事估的評估。
從 CIA 資安鐵三角的角度評估資安事件的影響,能夠提供結構化的評估方法,也有助於組織更清楚地掌握其安全措施的成效,以及需要改進的地方。
有助於中斷網路攻擊鏈(cyber kill chain)。
CIA 資安鐵三角透過引導安全措施,在攻擊的不同階段(即偵察、武器化、運送、利用漏洞、安裝、下達指揮與控制,以及針對目標的行動)阻斷攻擊,進而協助切斷網路攻擊鏈。攻擊者通常會試圖破壞 CIA 資安鐵三角中的一或多個要素,因此每個核心在這過程中都扮演著關鍵角色。
CIA 資安鐵三角的挑戰
雖然 CIA 資安鐵三角被廣泛譽為建立強大網路安全態勢的基石,但出現部份質疑的意見。以下是與 CIA 資安鐵三角相關的一些限制與挑戰。
平衡安全性和可用性
CIA 資安鐵三角的問題之一,在於如何在安全性與可用性之間取得平衡。這類問題源自於在維護機密性、完整性與可用性的同時,必須與順暢的使用者體驗之間取得平衡。
更強化的安全措施,例如嚴格的存取控制、加密技術和頻繁的資料驗證,雖然可以提升系統的安全性,卻可能降低其可用性,使其使用起來更加困難和耗時。這可能導致使用者的效率降低,甚至因此試圖繞過安全通訊協定。而若過度強調可用性、簡化安全層級,則可能減弱防護能力,使系統更容易遭受攻擊。
範圍有限
CIA 資安鐵三角受到質疑的原因之一,是它僅關注機密性、完整性與可用性,卻未涵蓋網路安全中的其他重要面向,例如:身分驗證Authentication)、責任歸屬、不可否認性與安全意識,同時也忽略了持續監控、事件回應(incident response)與網路威脅情報(Cyber threat intelligence)等需求。若僅關注這三個要素,可能會導致安全態勢出現漏洞,因為攻擊者可能會利用這些被 CIA 資安鐵三角忽略的領域。
缺乏明確性
CIA 資安鐵三角的局限性之一是缺乏明確性,這會在有效實施針對不同組織需求以及較缺乏資安知識的組織量身打造時帶來挑戰。雖然 CIA 資安鐵三角強調機密性、完整性和可用性的基本原則,但其架構相對簡化,並未提供如何滿足這些要求的詳細指示。
這種模糊性可能導致對安全實務的解釋和運用不一致,進而造成防護上的漏洞。此外,缺乏具體的衡量指標或架構,會使組織難以有效評估自身的安全態勢或判斷漏洞時的優先順序,進而影響針對複雜的網路威脅(Cyber Threats)制定對應策略的能力。
CIA 資安鐵三角的優勢
儘管面臨挑戰,CIA 資安鐵三角仍被廣泛使用,因為它可以帶來許多好處。以下是組織在使用 CIA 資安鐵三角做為安全計畫指引時,可能獲得的幾項好處:
- 資料安全(Data Security)和隱私(Data Privacy):有助於防止未經授權的資料存取、竊取或篡改。
- 法規遵循(Regulatory Compliance):確保組織遵守保護敏感資訊的法規和法律架構。
- 主動風險預防:有助於辨識和減輕漏洞,以彌補安全漏洞並防範網路攻擊。
- 可存取性:透過防止未經授權的存取,維持系統與資料的可用性,並確保其品質。
- 安全性設定檔:最佳化組織的網路安全態勢,以增強整體安全性。
- 員工培訓:提供指導方針,確保網路安全教育訓練計畫具有全面性與有效性。
參考 CIA 資安鐵三角的標準
做為資訊安全生態系統的關鍵核心,CIA 資安鐵三角的要素被多項標準所引用,包括以下幾項:
ISO 27001
ISO 在 ISO 27001 標準的說明中,將「資料完整性、機密性和可用性」列為其主要優勢之一。該標準指出,ISO 27001 將有助於組織「確保各類資產(例如財務報表、智慧財產、員工資料,以及第三方相關的資訊)在需要時皆能保持未受損、具機密性並可供使用」。
GDPR
歐盟的《一般資料保護規範》(GDPR) 是全球最嚴格的隱私和安全法律之一,其第 32 條提到 CIA 資安鐵三角的基石(亦即,「確保處理系統和服務的持續機密性、完整性、可用性和彈性」)。
PCI-DSS
支付卡產業資料安全標準 (PCI DSS) 在整個標準中明確提及機密性和完整性,特別是在第 3 項(「保護儲存的帳戶資料」)與第 7 項(「限制對系統元件與持卡人資料的存取」)中。至於可用性則體現在例如維護安全的系統(第 6 項)以及確保持續監控與存取控制(第 10 與第 11 項)等措施。
NIST SP 800-53
NIST SP 800-53(資訊系統和組織的安全和隱私控制)在整個標準中引用 CIA 資安鐵三角的各要素。機密性在第 3.3.4 節(資訊機密性的安全和隱私控制)中引用,完整性在第 3.3.3 節(資訊完整性的安全和隱私控制)中引用,可用性在第 3.3.2 節(資訊可用性的安全和隱私控制)中引用。
CIA 資安鐵三角:基本原則雖然簡單,實踐起來卻不容易
從最基本的層面來看,資訊安全的核心是建立在 CIA 資安鐵三角之上。這項久經考驗的準則可以幫助企業建立和維持其所需的安全態勢,以保護其資產。
CIA 資安鐵三角的有效性,因其在全球多數資訊安全指引、最佳實務與標準中的體現而更加獲得強化。CIA 資安鐵三角甚至被納入安全與隱私保護的規章中。
不要因為 CIA 資安鐵三角表面上看起來簡單而大意。它應該是每位資安從業人員的基本配備。
