安全的本质，其实是保护数据。

用户使用产品的过程就是和企业进行数据交换的过程，保护数据被合法的使用，这才是安全的本质。

安全原则

• 机密性
• 完整性
• 可用性

机密性——不可见

机密性就是确保数据只被授权的主体访问，不被任何未授权的主体访问。

针对机密性的攻击主要是对保护技术进行破解。保护技术包括：加密，隔离，混淆，隐藏等等。

攻击方法是破解加解密算法，逆向混淆代码等等。

完整性——不可改

完整性是保证数据只能被授权的主体进行授权后的修改。

针对完整性的保护技术包括，授权机制，访问控制，日志记录，审计，还有就是加密，签名等，让数据完整性可以被验证。

针对完整性的攻击包括：对数据的恶意篡改，已经授权的主体对数据的破坏，误删数据等等。

可用性——可读

可用性是指保证数据能够被授权的主体访问。

这是最基本的服务，我们在运营过程中，讲的高可用服务就是这样。怎么做机房运维，怎么做多地的冗余，怎么做备份，都是为了可用性。

在研发层面上，怎么做到高并发，低延迟，处理海量的数据，怎么进行扩容，都是高可用的一些东西。

从攻击角度来讲，Dos攻击就是为了让数据不可用。

可用性是大部分公司都很重视的基础功能，而前面两个机密性和完整性还没有受到重视。