信息安全的核心:CIA三元组 | 安全千字文系列1
我们总是在说信息安全管理,那么信息安全管理到底是在管什么?我们要如何定义信息安全?
这里就要引出信息安全最基本的概念:CIA三元组。
这里的 C,指的是Confidentiality机密性
这里的 I ,指的是Integrity 完整性
这里的 A ,指的是Availability可用性。
为什么说CIA三元组是信息安全最基本的原则呢?因为我们做的信息安全管理,就是为了保障信息的机密性、完整性、可用性。这是贯穿整个信息安全管理全局的一个思路。包括在进行信息安全评估的时候,通常也从这三个方向着手进行分析。
机密性、完整性、可用性三者相互依存,形成一个不可分割的整体,三者中任何一个的损害都将影响到整个安全系统。

下面详细介绍一下CIA三元组:
机密性
机密性是防止未授权的用户访问数据,简单来说就是“不能看”。
为了维护机密性,通常会在数据的处理、传输、储存过程中进行一些诸如加密或者权限类的保护措施来进行安全控制。
针对机密性的破坏主要包括窃取密码文件、社会工程学、嗅探、肩窥等。
这里着重要提一下肩窥(shoulder surfing)。肩窥就是越过肩膀探看别人操作获取信息的做法,看到别人输入密码,或者看到一些办公信息导致的机密性损失。
“2016年,Reddit网友Tripleh280放出照片,称一位疑似是SE的员工在加拿大蒙特利尔的地铁上使用笔记本编辑一个演讲文档,其中显示下一作古墓丽影系列游戏的名称可能是《古墓丽影:暗影| Shadow of the Tomb Raider》”

这就是一个典型的肩窥破坏机密性的例子。
为何要着重提出肩窥呢?因为很多安全管理工作者总会有一种想法,认为只有所谓的“黑客入侵“、病毒攻击才会对安全造成破坏。这是必须扭转的错误观念。很多时候,进入办公室,偷走一块硬盘或者拿走一叠文件,往往会造成更大的损失。
完整性
完整性是防止未授权的修改数据,也就是:“不能改”
针对完整性的破坏主要有病毒、应用程序错误、逻辑炸弹,以及被授权用户的非授权操作。
所以,为了保护完整性,要进行严格的访问控制,严格的身份认证以及严密的人员培训。
完整性依赖于机密性,如果没有机密性,也就无法维护完整性。
可用性
可用性是保证经过授权的客户能及时准确的不间断的访问数据,也就是“一直用”
针对破坏可用性的威胁主要有设备故障、软件错误、包括一些不可抗力如洪水、火灾等。再企业中,造成可用性破坏的最主要原因是人为错误,疏忽或失职造成的如意外删除文件、私自分配资源、安全策略配置错误等。
可用性依赖于完整性和机密性。
不同机构对CIA三元组的需求重点是不同的,安全管理员要根据自己企业的实际情况进行安全管理分析。如军队和政府更倾向于更高的机密性,而私人企业更倾向较高的可用性。
以指纹识别举例:军队和政府可能要求指纹匹配率99%才能进入, 从而会导致有些授权用户需要尝试多次才能进入系统;而个人企业仅要求指纹匹配了95%就能进入系统,以保证授权员工一次性就能登录系统,但是这就导致了一些“万能指纹”的出现使得未授权的用户有进入系统的可能性。
本文首发于微信公众号:听雨的安全屋 tysafehouse
欢迎大家关注,在这里,我们不说技术,只聊管理。
信息安全的核心:CIA三元组 | 安全千字文系列1的更多相关文章
- 掌握 javascript 核心概念 最好的教程 系列 之一
链接 新链接 函数优先, 在扫描创建变量阶段, 会先收集函数, 如果前面有同名函数或者变量, 这个新函数会覆盖前面同名的: 而如果这时候是变量, 则不能去覆盖前面已有的值. function test ...
- Spring核心框架 - AOP的起源及介绍
一.AOP技术起源 AOP技术的诞生并不算晚,早在1990年开始,来自Xerox Palo Alto Research Lab(即PARC)的研究人员就对面向对象思想的局限性进行了分析.他们研究出了一 ...
- java多线程系列(一)
java多线程技能 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我 ...
- java多线程系列(二)
对象变量的并发访问 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我 ...
- java多线程系列(三)---等待通知机制
等待通知机制 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我的理解 ...
- java多线程系列(四)---Lock的使用
Lock的使用 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我的理 ...
- java多线程系列(五)---synchronized ReentrantLock volatile Atomic 原理分析
java多线程系列(五)---synchronized ReentrantLock volatile Atomic 原理分析 前言:如有不正确的地方,还望指正. 目录 认识cpu.核心与线程 java ...
- java多线程系列(六)---线程池原理及其使用
线程池 前言:如有不正确的地方,还望指正. 目录 认识cpu.核心与线程 java多线程系列(一)之java多线程技能 java多线程系列(二)之对象变量的并发访问 java多线程系列(三)之等待通知 ...
- java多线程系列(七)---Callable、Future和FutureTask
Callable.Future和FutureTask 前言:如有不正确的地方,还望指正. 目录 认识cpu.核心与线程 java多线程系列(一)之java多线程技能 java多线程系列(二)之对象变量 ...
随机推荐
- Redis学习-复制
Redis支持简单且易用的主从复制(master-slave replication)功能, 该功能可以让从服务器(slave server)成为主服务器(master server)的精确复制品.以 ...
- NIO Socket编程实例
1.阻塞模式实例 NIOUtil类,用来通过SOcket获取BufferedReader和PrintWriter. package IO; import java.io.BufferedReader; ...
- python 分片
有些书中叫做分片,有些书中叫做切片,翻译时的一些误差) 概念:将序列按段进行切割 作用:通过分片操作符来访问一定范围内的元素 实现:分片是通过两个冒号相隔的索引来实现 范围:符合序列特性即可使用切片功 ...
- SQL server 用命令行更改数据库
(计应154兰家才) CREATE DATABASE 数据库名 ON [PRIMARY] ( <数据文件参数> [,…n] [<文件组参数>] ) [LOG ON] ( ...
- VR全景智慧城市
随着虚拟现实产业的发展,我国对虚拟现实产业也越来越重视了.我国虚拟现实VR市场增长速度很快,市场活跃性很高,很多人都看好我国的虚拟现实VR市场,而且未来国内虚拟现实VR市场的销量还将有更大的增长.据赛 ...
- 如何用C#寻找100到999的所有水仙花数?
首先解释一下何为水仙花数:水仙花数只是自幂数的一种,严格来说是三位数的个位.十位.百位的3次幂数相加等于原来的数字,称为水仙花数.(例如:1^3 + 5^3+ 3^3 = 153) 那么如何通过C#语 ...
- 那些年,让我们一起着迷的Spring
构建企业级应用框架(SpringMVC+Spring+Hibernate/ibatis[Mybatis]) 框架特点:半成品,封装了特定的处理流程和控制逻辑,成熟的,不断升级的软件.重用度高,开发效率 ...
- javaWeb学习总结(8)- JSP属性范围(5)
所谓的属性范围就是一个属性设置之后,可以经过多少个其他页面后仍然可以访问的保存范围. 一.JSP属性范围 JSP中提供了四种属性范围,四种属性范围分别指以下四种: 当前页:一个属性只能在一个页面中取得 ...
- JMeter-Eclipse添加自定义函数 MD5加密 32位和16位
最近公司的接口都是MD5 16位加密,所以要使用加密功能. 之前也做过加密,因为用的比较少,所以是写了一个加密方法,导出JAR包,调用的.用起来需要很多设置,并且换算效率也不高.听前同事说,jmet ...
- 基于Groovy应用程序的spring boot
spring boot CLI 它是使用Spring Boot的最简单的和快速的的方法.他是一个基于Groovy脚本的命令工具.可以按照以下步骤安装次工具: 1.去spring官网下载 http:// ...