12、云安全保障：平衡安全与实用的艺术

云安全保障：平衡安全与实用的艺术

1. “安全”的真正含义

在 IT 行业中，我们常常听到“这是完全安全的”这样的表述，但“安全”究竟意味着什么呢？安全其实是指减轻系统被入侵所带来负面影响的能力。系统被入侵可能会影响其机密性、完整性或可用性。

依据美国国家标准与技术研究院（NIST）的“联邦信息处理标准出版物 199”（FIPS 199），安全事件对系统的影响主要分为四类：业务流程、组织资产、财务损失和对个人的伤害。具体的影响级别划分如下表所示：
| 影响级别 | 业务流程 | 组织资产 | 财务损失 | 对个人的伤害 |
| — | — | — | — | — |
| 低 | 任务能力下降，但组织仍能执行主要功能，不过功能的有效性明显降低 | 轻微损坏 | 轻微 | 轻微 |
| 中等 | 任务能力显著下降，组织仍可执行主要功能，但功能的有效性大幅降低 | 显著损坏 | 显著 | 对个人造成显著伤害，但不涉及生命损失或严重的生命威胁性伤害 |
| 高 | 任务能力严重下降或丧失，组织无法执行一项或多项主要功能 | 重大损坏 | 重大 | 对个人造成灾难性伤害，涉及生命损失或严重的生命威胁性伤害 |

不同类型的入侵会导致不同方面的安全问题：
- 机密性 ：指防止信息被未经授权披露。例如 2010 年维基解密公布美国外交电报，就造成了美国机密信息的泄露，损害了其信誉。
- 完整性 ：指确保信息的完整，即防止信息被未经授权修改或破坏。比如政府网站被特殊利益集团黑客攻击，发布宣传内容而非官方信息；或者计算机病毒更改比特币交易的接收地址。