信息安全的核心:CIA三元组 | 安全千字文系列1
我们总是在说信息安全管理,那么信息安全管理到底是在管什么?我们要如何定义信息安全?
这里就要引出信息安全最基本的概念:CIA三元组。
这里的 C,指的是Confidentiality机密性
这里的 I ,指的是Integrity 完整性
这里的 A ,指的是Availability可用性。
为什么说CIA三元组是信息安全最基本的原则呢?因为我们做的信息安全管理,就是为了保障信息的机密性、完整性、可用性。这是贯穿整个信息安全管理全局的一个思路。包括在进行信息安全评估的时候,通常也从这三个方向着手进行分析。
机密性、完整性、可用性三者相互依存,形成一个不可分割的整体,三者中任何一个的损害都将影响到整个安全系统。
下面详细介绍一下CIA三元组:
机密性
机密性是防止未授权的用户访问数据,简单来说就是“不能看”。
为了维护机密性,通常会在数据的处理、传输、储存过程中进行一些诸如加密或者权限类的保护措施来进行安全控制。
针对机密性的破坏主要包括窃取密码文件、社会工程学、嗅探、肩窥等。
这里着重要提一下肩窥(shoulder surfing)。肩窥就是越过肩膀探看别人操作获取信息的做法,看到别人输入密码,或者看到一些办公信息导致的机密性损失。
“2016年,Reddit网友Tripleh280放出照片,称一位疑似是SE的员工在加拿大蒙特利尔的地铁上使用笔记本编辑一个演讲文档,其中显示下一作古墓丽影系列游戏的名称可能是《古墓丽影:暗影| Shadow of the Tomb Raider》”
这就是一个典型的肩窥破坏机密性的例子。
为何要着重提出肩窥呢?因为很多安全管理工作者总会有一种想法,认为只有所谓的“黑客入侵“、病毒攻击才会对安全造成破坏。这是必须扭转的错误观念。很多时候,进入办公室,偷走一块硬盘或者拿走一叠文件,往往会造成更大的损失。
完整性
完整性是防止未授权的修改数据,也就是:“不能改”
针对完整性的破坏主要有病毒、应用程序错误、逻辑炸弹,以及被授权用户的非授权操作。
所以,为了保护完整性,要进行严格的访问控制,严格的身份认证以及严密的人员培训。
完整性依赖于机密性,如果没有机密性,也就无法维护完整性。
可用性
可用性是保证经过授权的客户能及时准确的不间断的访问数据,也就是“一直用”
针对破坏可用性的威胁主要有设备故障、软件错误、包括一些不可抗力如洪水、火灾等。再企业中,造成可用性破坏的最主要原因是人为错误,疏忽或失职造成的如意外删除文件、私自分配资源、安全策略配置错误等。
可用性依赖于完整性和机密性。
不同机构对CIA三元组的需求重点是不同的,安全管理员要根据自己企业的实际情况进行安全管理分析。如军队和政府更倾向于更高的机密性,而私人企业更倾向较高的可用性。
以指纹识别举例:军队和政府可能要求指纹匹配率99%才能进入, 从而会导致有些授权用户需要尝试多次才能进入系统;而个人企业仅要求指纹匹配了95%就能进入系统,以保证授权员工一次性就能登录系统,但是这就导致了一些“万能指纹”的出现使得未授权的用户有进入系统的可能性。
本文首发于微信公众号:听雨的安全屋 tysafehouse
欢迎大家关注,在这里,我们不说技术,只聊管理。
转载于:https://www.cnblogs.com/Arthurdu/p/7097618.html
信息安全的核心:CIA三元组 | 安全千字文系列1相关推荐
- Java七十四: Java基础/核心知识总结 — — “Java千字文”
Java基础/核心知识总结 - - "Java千字文" Java基础/核心知识笔记终于完结,从Java语言诞生到jdk8新特性,共计74篇博文,43幅自制插图,35张表格,7万6千 ...
- 信息安全三要素(CIA):
信息安全要素(CIA): 即机密性(Confidentiality)完整性(Intergrity)可用性(Availability) 1.机密性:机密性是指保证信息不被非授权访问,即使非授权用户得 ...
- 信息安全三要素CIA
保密性(Confidentiality).完整性(Integrity)和可用性(Availability)是信息安全的三大基石. 1)保密性:保证信息不泄露给未经授权的用户. 2)完整性:保证信息从真 ...
- java面试核心知识点,详解系列文章
技术能力 通常,「技术能力」这个部分将紧接着你的个人简介之后,放在简历的核心版面.这样设计是有道理的,因为它能够帮助雇主更快的判断你的技能是否与需求相吻合. 因此在制作这一部分内容时,你应该考虑以下两 ...
- 【信息安全】信息安全三要素CIA
保密性(confidentiality):使信息不泄露给未授权的个人.实体.进程,或不被其利用的特性. 完整性(integrity):数据没有遭受以未授权方式所作的更改或破坏的特性. 可用性(avai ...
- 信息安全与网络空间安全
信息与信息安全 国际标准化组织对信息安全定义:为数据处理系统建立和采取技术.管理的安全保护,保护计算机硬件.软件.数据不因偶然的或恶意的原因而受到破坏.更改.泄露 信息安全问题的根源 内因:信息系统复 ...
- 计算机与信息安全的基本知识,信息安全的基本常识
信息安全定义 Ø从信息安全所涉及层面的角度进行描述,计算机信息安全定义为,保障计算机及其相关的和配套的设备.设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息 ...
- 信息安全的 CIA 三要素
互联网就像一个虚拟的社会.在它诞生的初期,互联网的应用相对简单,使用互联网的人数较少,人们对安全的设计与考虑都比较少.经过几十年的发展和普及,现在互联网已经深入到我们生活的每个方面.从电子邮件,信息搜 ...
- 信息安全的CIA三要素
1.信息的保密性,比较容易理解,就是具有一定保密程度的信息只能让有权读到或更改的人读到和更改.不过,这里提到的保密信息,有比较广泛的外延:它可以是国家机密,是一个企业或研究机构的核心知识产权,是一个银 ...
最新文章
- 2017 3月16日,上午
- eclipse svn提交忽略文件及文件夹,ignore设置无效..
- icinga的idoutils插件
- setiosflags(ios::fixed)和setprecision()
- dict去重python_python去重,一个由dict组成的list的去重示例
- java重排序_Java内存模型FAQ(四)重排序意味着什么?
- LeetCode 1311. 获取你好友已观看的视频(BFS+哈希map+vector排序)
- pycharm镜像源_pycharm安装第三方库
- 前沿 | 阿里达摩院最牛科技~摄像头ISP处理器,提升夜间识别精准率
- AI持续赋能,搜狗S1会给录音笔行业带来哪些新变化?
- 解决无法ping通 127.0.0.1
- Prolog入门教程(完整版+专家系统案例)
- 很多人知道外包的种种不好,但还是选择去外包,这是为什么呢?
- 如何使用启动盘PE桌面工具安装原版win7系统?
- SQLMap使用|命令大全(干货)
- 激活函数的作用是什么
- 空洞骑士复活歌女玛丽莎的方法(复活其他灵魂NPC同理)
- c语言程序设计猜拳小游戏答辩,C语言课程设计猜拳游戏.doc
- 海伦公式(附一种证明方法)
- 分析QQ微信使用的是UDP还是TCP协议