信息安全的核心:CIA三元组 | 安全千字文系列1
我们总是在说信息安全管理,那么信息安全管理到底是在管什么?我们要如何定义信息安全?
这里就要引出信息安全最基本的概念:CIA三元组。
这里的 C,指的是Confidentiality机密性
这里的 I ,指的是Integrity 完整性
这里的 A ,指的是Availability可用性。
为什么说CIA三元组是信息安全最基本的原则呢?因为我们做的信息安全管理,就是为了保障信息的机密性、完整性、可用性。这是贯穿整个信息安全管理全局的一个思路。包括在进行信息安全评估的时候,通常也从这三个方向着手进行分析。
机密性、完整性、可用性三者相互依存,形成一个不可分割的整体,三者中任何一个的损害都将影响到整个安全系统。

下面详细介绍一下CIA三元组:
机密性
机密性是防止未授权的用户访问数据,简单来说就是“不能看”。
为了维护机密性,通常会在数据的处理、传输、储存过程中进行一些诸如加密或者权限类的保护措施来进行安全控制。
针对机密性的破坏主要包括窃取密码文件、社会工程学、嗅探、肩窥等。
这里着重要提一下肩窥(shoulder surfing)。肩窥就是越过肩膀探看别人操作获取信息的做法,看到别人输入密码,或者看到一些办公信息导致的机密性损失。
“2016年,Reddit网友Tripleh280放出照片,称一位疑似是SE的员工在加拿大蒙特利尔的地铁上使用笔记本编辑一个演讲文档,其中显示下一作古墓丽影系列游戏的名称可能是《古墓丽影:暗影| Shadow of the Tomb Raider》”

这就是一个典型的肩窥破坏机密性的例子。
为何要着重提出肩窥呢?因为很多安全管理工作者总会有一种想法,认为只有所谓的“黑客入侵“、病毒攻击才会对安全造成破坏。这是必须扭转的错误观念。很多时候,进入办公室,偷走一块硬盘或者拿走一叠文件,往往会造成更大的损失。
完整性
完整性是防止未授权的修改数据,也就是:“不能改”
针对完整性的破坏主要有病毒、应用程序错误、逻辑炸弹,以及被授权用户的非授权操作。
所以,为了保护完整性,要进行严格的访问控制,严格的身份认证以及严密的人员培训。
完整性依赖于机密性,如果没有机密性,也就无法维护完整性。
可用性
可用性是保证经过授权的客户能及时准确的不间断的访问数据,也就是“一直用”
针对破坏可用性的威胁主要有设备故障、软件错误、包括一些不可抗力如洪水、火灾等。再企业中,造成可用性破坏的最主要原因是人为错误,疏忽或失职造成的如意外删除文件、私自分配资源、安全策略配置错误等。
可用性依赖于完整性和机密性。
不同机构对CIA三元组的需求重点是不同的,安全管理员要根据自己企业的实际情况进行安全管理分析。如军队和政府更倾向于更高的机密性,而私人企业更倾向较高的可用性。
以指纹识别举例:军队和政府可能要求指纹匹配率99%才能进入, 从而会导致有些授权用户需要尝试多次才能进入系统;而个人企业仅要求指纹匹配了95%就能进入系统,以保证授权员工一次性就能登录系统,但是这就导致了一些“万能指纹”的出现使得未授权的用户有进入系统的可能性。
本文首发于微信公众号:听雨的安全屋 tysafehouse
欢迎大家关注,在这里,我们不说技术,只聊管理。
信息安全的核心:CIA三元组 | 安全千字文系列1的更多相关文章
- 掌握 javascript 核心概念 最好的教程 系列 之一
链接 新链接 函数优先, 在扫描创建变量阶段, 会先收集函数, 如果前面有同名函数或者变量, 这个新函数会覆盖前面同名的: 而如果这时候是变量, 则不能去覆盖前面已有的值. function test ...
- Spring核心框架 - AOP的起源及介绍
一.AOP技术起源 AOP技术的诞生并不算晚,早在1990年开始,来自Xerox Palo Alto Research Lab(即PARC)的研究人员就对面向对象思想的局限性进行了分析.他们研究出了一 ...
- java多线程系列(一)
java多线程技能 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我 ...
- java多线程系列(二)
对象变量的并发访问 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我 ...
- java多线程系列(三)---等待通知机制
等待通知机制 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我的理解 ...
- java多线程系列(四)---Lock的使用
Lock的使用 前言:本系列将从零开始讲解java多线程相关的技术,内容参考于<java多线程核心技术>与<java并发编程实战>等相关资料,希望站在巨人的肩膀上,再通过我的理 ...
- java多线程系列(五)---synchronized ReentrantLock volatile Atomic 原理分析
java多线程系列(五)---synchronized ReentrantLock volatile Atomic 原理分析 前言:如有不正确的地方,还望指正. 目录 认识cpu.核心与线程 java ...
- java多线程系列(六)---线程池原理及其使用
线程池 前言:如有不正确的地方,还望指正. 目录 认识cpu.核心与线程 java多线程系列(一)之java多线程技能 java多线程系列(二)之对象变量的并发访问 java多线程系列(三)之等待通知 ...
- java多线程系列(七)---Callable、Future和FutureTask
Callable.Future和FutureTask 前言:如有不正确的地方,还望指正. 目录 认识cpu.核心与线程 java多线程系列(一)之java多线程技能 java多线程系列(二)之对象变量 ...
随机推荐
- React入门---基础知识-大纲-1
-----------------在慕课网学习react入门笔记-------------- ---------博主边学边记录,手把手进行学习及记录---------- --------------- ...
- 修改别人写的利用AOP实现日志监控的问题
原文链接 http://blog.csdn.net/jaune161/article/details/51476138 想法 看到原文博主写的这篇文章,我感觉写的很好,可以在我们的项目中使用AOP来监 ...
- VS2013各版本激活密钥
Visual Studio Ultimate 2013 KEY(密钥):BWG7X-J98B3-W34RT-33B3R-JVYW9 Visual Studio Premium 2013 KEY(密钥) ...
- 最优雅SSM框架:SpringMVC + Spring + MyBatis
在写代码之前我们先了解一下这三个框架分别是干什么的? 相信大以前也看过不少这些概念,我这就用大白话来讲,如果之前有了解过可以跳过这一大段,直接看代码! SpringMVC:它用于web层,相当于con ...
- HourRank 19
https://www.hackerrank.com/contests/hourrank-19/challenges 第一题略. 第二题是nim博弈,问删掉一个区间的石子,使得先手败的方案有几种,明显 ...
- Azure IoT Hub和Event Hub相关的技术系列-索引篇
Azure IoT Hub和Event Hub相关的技术系列,最近已经整理了不少了,统一做一个索引链接,置顶. Azure IoT 技术研究系列1-入门篇 Azure IoT 技术研究系列2-设备注册 ...
- OpenCV探索之路(十五):角点检测
角点检测是计算机视觉系统中用来获取图像特征的一种方法.我们都常说,这幅图像很有特点,但是一问他到底有哪些特点,或者这幅图有哪些特征可以让你一下子就识别出该物体,你可能就说不出来了.其实说图像的特征,你 ...
- C# 特性(Attribute)
个人定义:不侵入对象的情况下,添加对象附注信息. 官方定义:将预定义的系统信息或用户定义的自定义信息与目标元素相关联.目标元素可以是程序集.类.构造函数.委托.枚举.事件.字段.接口.方法.可移植可执 ...
- Java对【JSON数据的解析】--Gson解析法
Gson和fastjson分别为谷歌和阿里巴巴对JSON数据进行处理封装的jar包 两者异同点: 相同点:都是根据JSON数据创建相应的类 不同点: 1.调用方式区别 谷歌:方法都是非静态的,需要先创 ...
- 基于TF-IDF的新闻标签提取
基于TF-IDF的新闻标签提取 1. 新闻标签 新闻标签是一条新闻的关键字,可以由编辑上传,或者通过机器提取.新闻标签的提取主要用于推荐系统中,所以,提取的准确性影响推荐系统的有效性.同时,对于将标签 ...