資訊安全 (Information Security)3大 “CIA“要素

資訊安全之3大要素，業界慣用"CIA"稱之，包括機密性 (Confidentiality)、完整性(Integrity)與可用性(Availability)；更應增加諸如鑑別性、可歸責性、不可否認性與可靠性。

1.機密性 (Confidentiality)

機密性是指採用適當的安全機制保護資料和資源以避免暴露於無權限人員或程式之下，而危害到資訊安全目標。換言之，機密性是為維護資料在傳輸、儲存、與處理狀態時，不被非授權人員之存取、使用、或竄改。許多攻擊型態都是以破壞資訊的機密性為主，例如：網路抓取封包、偷取密碼檔案、利用監視軟體、網路掃描等，都是破壞機密性的攻擊行為。

2.完整性(Integrity)

指確保維持資料原來的狀態，只允許有權限的使用者可以修改資料內容。在資料內部與外部均需維持資料的一致性，例如，傳輸資料時，在傳輸中的資料與接收、儲存的資料，均需要保持一致而且是可以確認的。資料喪失完整性的原因，並非完全只是由於遭受外部攻擊，許多事件都會使資料無法維護完整性，例如，意外刪除檔案、鍵入不正確資料、錯誤指令、病毒感染等。針對上述這些事件，可以採用方法加以對抗，例如：意外刪除檔案，可以用嚴格驗證程序或存取控制，以減少意外發生；預防鍵入不正確資料，可以使用輸出入查核程式加以過濾等。對資產之精確與完整安全保證的特性，尚須關注以下三特性：
(i) 可歸責性 (Accountability)：確保實體之行為可唯一追溯到該實體的特性。
(ii) 鑑別性 (Authenticity)：確保一主體或資源之識別就是其所聲明者的特性。鑑別性適用於如使用者、程序、系統與資訊等實體。
(iii) 不可否認性 (Non-repudiation)：對一已發生之行動或事件的證明，使該行動或事件往後不能被否認的能力。

3. 可用性(Availability)

已授權實體在需要時可存取與使用之特性。始終如一預期之行為與結果的特性。可用性是為了確保資訊與系統能夠持續營運、正常使用，當合法使用者要求使用資訊系統時，例如，電子郵件、應用系統等，使用者均可以在適當的時間內獲得回應，並獲得所需服務。可用性需要與前述的機密性與完整性配合一起考慮，以符合既定的資訊安全目標。三者如無法整體考量密切配合，可能反而造成問題，例如：只考慮機密性，將網路資訊加密，或因記錄稽核而影響系統回覆時間，甚或延緩系統服務效能，而違反可用性的原則。