CIA Triad / Lesson 1
CIA三要素
CIA三要素(保密性、完整性、可用性)是一个信息安全的模型。三位一体中的三个要素被认为是最关键的信息安全组成部分,在任何安全系统中都应该得到保证。
如果这些要素中的任何一个被破坏,都会导致严重的后果。
CIA三要素的创建是为了提供一个评估和实施安全的基线标准,而不考虑基础系统和/或组织。
CIA Triad / Lesson 2
保密性
保密性是"一种属性,即信息不被提供或披露给未经授权的个人、实体或程序"。换句话说,保密性要求未经授权的用户不应该能够访问敏感资源。保密性必须与可用性相平衡;被授权者仍然必须能够访问他们被授予权限的资源。
虽然保密性与"隐私"相似,但这两个词不能互换。相反,保密性是隐私的一个组成部分;实施保密性是为了保护资源不被未经授权的实体访问。
破坏保密性的例子。
- 黑客进入了公司的密码数据库
- 一封敏感的电子邮件被发送给了错误的人
- 黑客通过拦截和窃听信息传输来读取敏感信息
确保保密性的方法举例
- 数据加密
- 适当实施认证和访问控制
- 安全存储的密码
- 多因素认证(MFA)
- 生物识别验证
- 尽量减少信息出现的地方/时间
- 物理安全控制,如适当的安全机房
CIA Triad / Lesson 3
完整性
完整性是"准确和完整的属性"。换句话说,完整性意味着在数据的整个生命周期中保持其一致性、准确性和可信度。数据在传输过程中不能被改变,未经授权的实体不应该能够改变数据。
损害完整性的例子。
- 输入数据时的人为错误
- 数据传输过程中的错误
- 软件错误和硬件故障
- 黑客改变了他们不应该访问的信息
确保完整性的方法的例子
- 运行良好的认证方法和访问控制
- 用哈希函数检查完整性
- 备份和冗余
- 审计和记录
CIA Triad / Lesson 4
可用性
可用性是"被授权的实体在需要时可以访问和使用的属性"。换句话说,被授权的人应该在任何时候都能访问允许的资源。
损害可用性的例子
- 拒绝服务攻击(DOS)
- 硬件故障
- 火灾或其他自然灾害
- 软件或网络的错误配置
确保可用性的方法的例子
- 入侵检测系统(IDSs)
- 网络流量控制
- 防火墙
- 硬件和底层基础设施的物理安全
- 防火、防水和其他因素的保护措施
- 硬件维护
- 冗余度
CIA Triad / Lesson 5
现在是测验的时间了! 回答下面的问题,检查你是否理解了这一主题。
今天,大多数系统都受到防火墙的保护。正确配置的防火墙可以防止恶意实体访问系统,并有助于保护一个组织的资源。在这次测验中,设想一个处理个人数据的系统,但没有受到防火墙的保护。
- 入侵者如何损害保密性的安全目标?
- 解决方案1:通过删除所有的数据库。
- 解决方案2:通过偷窃存储系统一般配置信息的数据库。
- (正确)解决方案3:通过窃取存储姓名和电子邮件的数据库并将其上传到网站。
- 解决方案4:保密性不会受到入侵者的伤害。
- 入侵者如何损害完整性的安全目标?
- (正确)解决方案1:通过改变存储在数据库中的一个或多个用户的名字和电子邮件。
- 解决方案2:通过监听传入和传出的网络流量。
- 解决方案3:通过绕过用于管理数据库访问的访问控制机制。
- 解决方案4:只有当入侵者对数据库有物理访问权时,完整性才会受到损害。
- 入侵者如何损害可用性的安全目标?
- 解决方案1:通过利用一个软件漏洞,让攻击者绕过数据库的正常认证机制。
- 解决方案2:通过将敏感的电子邮件重定向给其他个人。
- 解决方案3:只有通过拔掉存储设备的电源,才能损害可用性。
- (正确)解决方案4:通过对服务器发起拒绝服务攻击。
- 如果CIA的安全目标中至少有一个受到损害,会发生什么?
- 解决方案1:所有三个目标都必须受到损害,系统的安全才会受到损害;只损害一个目标对系统的安全没有影响。
- (正确)解决方案2:即使只有一个目标受到损害,系统的安全性也会受到损害。
- 解决方案3:如果攻击者读取或改变数据是可以接受的,因为至少有一些数据仍然可用。只有当系统的可用性受到损害时,系统的安全性才会受到影响。
- 解决方案4:如果攻击者改变数据或使其不可用,这是可以接受的,但读取敏感数据是不能容忍的。只有当系统的机密性受到损害时,系统的安全性才会受到影响。
加入社群
