資安三大法則C.I.A (Confidentiality保密性,Integrity完整性,Availability可用性)的兼顧,往往是互相衝突的。就拿OS或軟體patching來說吧,大量部署保障了可用性,但patching就得用package打包才來得及,而這些binaries是否會在過程中受到污染?進而影響了C與I?
另一個極端是保障C與I,乾脆每個patch都從源碼開始檢視,再加密簽署,自己編譯才部署。哇,效率大為降低,A就保障不了了。
所以看來,資安管理還是首要得做的,從風險評估來看,不同的系統得用不同的C.I.A來對待吧。
沒有留言:
張貼留言