公司在面临针对机密性，完整性和可用性的攻击的时候，应该怎么去解决安全问题呢？有个黄金法则可以指导工作。

黄金法则

1. 认证
2. 授权
3. 审计

认证-事前防御

认证是为了确保用户身份的。身份识别是问用户，你是谁？身份认证则是问，你是你么？

通常来讲，我们认证最后就会落在身份ID上。 这个身份ID会跟随着会话一直存在。

认证的方式有很多种，包括下面

1. 你知道什么？ 包括密码，密保答案等等
2. 你拥有什么？ 包括门禁卡，安全令牌等等
3. 你是什么？ 包括人脸，指纹，虹膜等生物特征等等

这三个的认证强度是由弱到强。很多网站采用多因子认证来加强认证的强度。比如：密码+手机验证码

授权-事中防御

授权是告诉你，你能做什么？这就存在了授权的机制。这个机制能告诉你，你能做什么？你能做多少。

比如，你可以调用一个API，而且一天只能调用2000次，这就是授权机制来决定的。

审计-事后追责

审计是为了安全，来检查你做了什么。这个检查的过程就是审计，为了这个审计的过程，系统需要记录所有的操作来进行分析，也让你无法抵赖。