Availability 可用性

CIA Triad 的第三个 A —— 授权用户在需要时能访问数据。

听起来朴素,但实际是工程难度最大的一项 —— 保密和完整都是”防止某事发生”,可用性是”确保某事一直发生”。

实现手段:

• 冗余(Redundancy) —— 多副本、多数据中心、多机房
• 备份(Backup) —— 定期备份 + 异地存储 + 定期恢复演练
• 抗 DDoS 防护 —— 应对流量洪水
• 负载均衡 —— 把流量分散给多台服务器
• 高可用架构(HA) —— 任何单点故障都不能让全系统挂
• 灾难恢复计划(DR) —— 机房烧了,业务多久能恢复?

破坏 Availability 的事件:

• DDoS 攻击 —— 用流量淹没服务器
• 勒索软件 —— 加密关键数据让你访问不了
• 硬件故障 —— 磁盘坏、网络中断
• 自然灾害 —— 火灾、洪水、断电
• 人为失误 —— 误删数据、误改配置

跟其他两个的权衡:

• 加强 C → 增加验证步骤 → A 下降
• 加强 I → 增加校验/审批 → A 下降
• 加强 A → 增加副本、降低验证 → C/I 可能下降

Security posture 的核心就是在 CIA 三者之间根据业务找平衡。