信息安全的三要素，分別是機(jī)密性、完整性、可用性，簡稱CIA。其中機(jī)密性強(qiáng)調(diào)的是不可見性，數(shù)據(jù)只能被授權(quán)的主體訪問；完整性強(qiáng)調(diào)的是不可改，數(shù)據(jù)只能最追加操作，對數(shù)據(jù)的修改過程進(jìn)行日志記錄；可用性強(qiáng)調(diào)的是可讀，數(shù)據(jù)的可達(dá)性。

在其他領(lǐng)域都有所謂的黃金法則，計算機(jī)安全也不意外。黃金法則主要包含三部分：認(rèn)證（Authentication）、授權(quán)（Authorization）、審計（Audit）。為什么稱它為“黃金”呢？一方面是因為，它包含的這三部分重要且通用；另一方面是因為，這三個單詞的前兩個字母都是 Au，而 Au 在元素周期表中代表著“金”。

其他的教材中，會給黃金法則加上問責(zé)（Accounting）這一部分，組成“4A 法則”；還有的會加上身份識別（Identification），組成“IAAAA 法則”。不管被劃分為幾個部分，這些法則的中心內(nèi)容都是相似的，都是圍繞著識別、認(rèn)證、授權(quán)、審計、問責(zé)這五個部分展開的。因此，黃金法則其實就是 IAAAA 法則更高一層的概括，它將識別和認(rèn)證、審計和問責(zé)歸納到了一起，更加強(qiáng)調(diào)了這兩兩之間的協(xié)同性質(zhì)。

搞清楚了“黃金法則”的概念，我們現(xiàn)在來看它的三個部分（認(rèn)證、授權(quán)、審計）。這三部分其實是一種串聯(lián)的關(guān)系。實際上，它描述的其實是用戶在使用應(yīng)用過程中的生命周期：先進(jìn)行登錄、再進(jìn)行操作、最后留下記錄。

下面我們來一一講解;

1. 身份識別和認(rèn)證

首先，我們先來了解一下黃金法則的第一個部分：認(rèn)證。認(rèn)證其實包括兩個部分：身份識別和認(rèn)證。身份識別其實就是在問“你是誰”，你會回答“你是你”。身份認(rèn)證則會問“你是你嗎”，那你要證明“你是你”這個回答是合法的。

身份識別和認(rèn)證通常是同時出現(xiàn)的一個過程。身份識別強(qiáng)調(diào)的是主體如何聲明自己的身份，而身份認(rèn)證強(qiáng)調(diào)的是，主體如何證明自己所聲明的身份是合法的。比如說，當(dāng)你在使用用戶名和密碼登錄的過程中，用戶名起到身份識別的作用，而密碼起到身份認(rèn)證的作用；當(dāng)你用指紋、人臉或者門卡等進(jìn)行登入的過程中，這些過程其實同時包含了身份識別和認(rèn)證。

通常來說，不管你以什么形式進(jìn)行登入，在身份識別的過程中，這些形式最終都需要落地成唯一的身份 id。在你后續(xù)的操作中，身份 id 都會始終跟隨會話，記錄在日志中。這也是后續(xù)授權(quán)、審計和問責(zé)的基礎(chǔ)。身份識別的過程并不關(guān)注合法性，因此，認(rèn)證是這個部分中最為關(guān)鍵的一環(huán)。

依據(jù)具體的認(rèn)證場景，對安全等級、易用性等的綜合考量，認(rèn)證形式可以大致分為三種。按照認(rèn)證強(qiáng)度由弱到強(qiáng)排序，分別是：

? 你知道什么（密碼、密保問題等）；

? 你擁有什么（門禁卡、安全令牌等）；

? 你是什么（生物特征，指紋、人臉、虹膜等）。

我們通過將多種類型的認(rèn)證進(jìn)行組合，可以形成多因素認(rèn)證機(jī)制，進(jìn)一步加強(qiáng)認(rèn)證強(qiáng)度。常見的，在登錄過程中，很多應(yīng)用會在輸入完賬號密碼后，讓你進(jìn)行手機(jī)驗證，這其實就是結(jié)合了“你知道什么”和“你擁有什么”的雙因素認(rèn)證。

可信的身份認(rèn)證是建立安全保障體系的第一步。如果身份認(rèn)證被破解，則后續(xù)的保護(hù)或者補(bǔ)救機(jī)制都無法起到太多的效果。因此，很多時候，通過衡量一個應(yīng)用的認(rèn)證安全等級，我們就能看出它整體的安全水平。那么怎樣才能做好身份認(rèn)證這個環(huán)節(jié)呢？這就需要進(jìn)行系統(tǒng)分析了.

2. 授權(quán)

在確認(rèn)完“你是你”之后，下一個需要明確的問題就是“你能做什么”。毫無疑問，在系統(tǒng)或者應(yīng)用中，我們的操作都會受到一定的限制。比如，某些文件不可讀，某些數(shù)據(jù)不可修改。這就是授權(quán)機(jī)制。除了對“你能做什么”進(jìn)行限制，授權(quán)機(jī)制還會對“你能做多少”進(jìn)行限制。比如，手機(jī)流量授權(quán)了你能夠使用多少的移動網(wǎng)絡(luò)數(shù)據(jù)。

最原始和最安全的授權(quán)機(jī)制，一定是你的每一次操作，都經(jīng)過了管理人員的審批和確認(rèn)。比如我們申請簽證的過程，其實就是一次申請授權(quán)的過程。當(dāng)部分國家的簽證策略比較嚴(yán)格時（如美國），那么我們每次出入境都需要重新申請簽證，這也就意味著，會有很多的操作需要進(jìn)行授權(quán)審批，其效率肯定是無法保證的（可以想想美國大使館門前的長隊）。

因此，很多時候，我們會定義自動化的授權(quán)機(jī)制來進(jìn)行更快速的響應(yīng)。比如，某些國家會制定免簽或者落地簽政策，只要符合一定的條件（如擁有中國護(hù)照），就能夠直接出入境。這就相當(dāng)于將“是否擁有中國護(hù)照”當(dāng)成了一種授權(quán)的規(guī)則。同樣地，安全領(lǐng)域中也有很多成熟的授權(quán)策略，如：自主訪問控制、強(qiáng)制訪問控制等。關(guān)于這些策略，在后續(xù)的課程中，我們也會進(jìn)行詳細(xì)地講解。

3. 審計和問責(zé)

當(dāng)你在授權(quán)下完成操作后，安全需要檢查一下“你做了什么”，這個檢查的過程就是審計。當(dāng)發(fā)現(xiàn)你做了某些異常操作時，安全還會提供你做了這些操作的“證據(jù)”，讓你無法抵賴，這個過程就是問責(zé)。

舉一個生活中的例子，當(dāng)你去銀行辦理業(yè)務(wù)時，工作人員會讓你對一些單據(jù)簽字。這些單據(jù)就是審計的信息來源，而簽字則保證了你確認(rèn)這是你進(jìn)行的操作，這就是問責(zé)的體現(xiàn)。

審計和問責(zé)通常也是共同出現(xiàn)的一個過程，因為它們都需要共同的基礎(chǔ)：日志。很容易理解，所謂審計，就是去通過日志還原出用戶的操作歷史，從而判斷是否出現(xiàn)違規(guī)的操作。而問責(zé)則是通過日志的完整性，來確保日志還原出來的操作是可信的。想象一下，如果一份日志可以被人任意地篡改，那我們基于這份日志去進(jìn)行審計，即使發(fā)現(xiàn)違規(guī)操作，也無法證明違規(guī)操作確實發(fā)生了，只能是白費(fèi)功夫。

可能你會產(chǎn)生疑問，你已經(jīng)獲得了授權(quán)，理論上這些操作都應(yīng)該是合法的，那為什么還需要審計呢？當(dāng)然，如果授權(quán)機(jī)制能夠達(dá)到“完美”，那么審計的意義確實不大。然而，我們一直都強(qiáng)調(diào)，安全不存在“銀彈”，不可能達(dá)到 100% 的安全。即使是 1% 的漏洞，也可能造成 100% 的損傷。

在授權(quán)中，我們需要平衡可用性和安全性，很多時候都會選擇犧牲部分的安全保障，來降低使用成本。而審計是事后的策略，它做的任何操作，理論上都不會直接影響用戶，因此，能夠做到更全面更嚴(yán)格，也能發(fā)現(xiàn)更多的問題。所以，審計這一環(huán)節(jié)，對于發(fā)現(xiàn)安全問題、回溯產(chǎn)生的攻擊、完善安全保護(hù)體系來說，非常重要。

而問責(zé)，是對審計結(jié)果的一個保障，有的時候我們也稱之為“不可否認(rèn)性”。一方面，它保證了黑客無法通過篡改日志或者仿造身份，來隱藏自己的行為；另一方面它也保證了，當(dāng)審計中發(fā)現(xiàn)了惡意的行為，需要尋求法律保護(hù)時，我們能夠提供充分的證據(jù)。

從法律上來說，一個企業(yè)和應(yīng)用在遭受攻擊時，只能進(jìn)行被動防御。如果想要主動出擊，打擊黑客的話，必須通過法律的途徑。因此，建立完善的問責(zé)機(jī)制，能夠為企業(yè)提供“法律保護(hù)”，大大提高企業(yè)安全的自信力。

這里需要注意一下，一定不要狹義地去理解黃金法則的每個模塊。認(rèn)證不僅是帳密登錄，也可以是生物特征識別或者證書等形式；授權(quán)不只是基于簡單規(guī)則的訪問控制，基于內(nèi)容或者會話的檢測等也是授權(quán)的一部分；審計也不只是簡單的翻日志，很多機(jī)器學(xué)習(xí)、異常檢測的算法，也都能運(yùn)用到審計中來。針對不同的數(shù)據(jù)，不同的訪問形式，我們能夠采用的認(rèn)證、授權(quán)、審計技術(shù)都不盡相同。

換一種方式來概括的話，你可以這么理解：大部分情況下，事前防御屬于認(rèn)證，事中防御屬于授權(quán)，事后防御屬于審計。

例如：我們采用 SSO 的登錄方式，SSO 登錄時對用戶名和密碼進(jìn)行校驗，SSO 通過在用戶多次輸入錯誤密碼進(jìn)行處理、每三個月更換一次密碼（后臺系統(tǒng)）等方式來加強(qiáng)認(rèn)證的安全性；在業(yè)務(wù)系統(tǒng)中，用戶的大部分操作都會對具體的權(quán)限進(jìn)行驗證；操作會以日志的形式進(jìn)行記錄。這樣基本保證了用戶和數(shù)據(jù)的安全，而且有些操作需要回溯的時候也能查到誰操作的、在哪個時間點操作的、操作了什么。

寫在最后：

做防御產(chǎn)品的，可以從兩個角度去分析CIA。一方面防御產(chǎn)品為客戶的數(shù)據(jù)提供了哪些CIA保護(hù)，另一方面，防御產(chǎn)品本身自己又做了哪些CIA保護(hù)。WAF中的核心數(shù)據(jù)，我覺得有兩種，一種是WAF自身的代碼和策略，另一種是流經(jīng)WAF的客戶數(shù)據(jù)。如果后一種數(shù)據(jù)的CIA被攻破，導(dǎo)致客戶數(shù)據(jù)在WAF中泄漏或者篡改了，作為一個安全產(chǎn)品，就很尷尬了。

不同的應(yīng)用、不同的模塊會受到不同的安全威脅，當(dāng)然，我們面對這些威脅也會有不同的解決方案。萬變不離其宗。正如安全威脅都是針對 CIA 三元組產(chǎn)生的攻擊一樣，安全解決方案在根本思路上也都是相通的。不同的應(yīng)用、不同的模塊會受到不同的安全威脅，當(dāng)然，我們面對這些威脅也會有不同的解決方案。萬變不離其宗。正如安全威脅都是針對 CIA 三元組產(chǎn)生的攻擊一樣，安全解決方案在根本思路上也都是相通的。

提個問題：如果服務(wù)器被黑客攻擊，是否可以根據(jù)日志記錄查到黑客的地址，如果黑客是通過web代理，或者肉機(jī)發(fā)動攻擊，似乎要想找出黑客的mac地址會是一件不可能的事情。

其實理論上來說，代理之后，是無法直接找到原地址的。但是黑客通常會在各種地方露出一些馬腳。比如有的代理本身存在漏洞，安全人員可以控制代理機(jī)器，然后進(jìn)一步溯源。又或者黑客進(jìn)行反彈shell，就不能通過代理了，必須直連到某個公網(wǎng)服務(wù)上，而公網(wǎng)服務(wù)往往會暴露很多信息。