1.6　小结

在讨论与信息安全有关的问题，如攻击和控制时，有一个模型可以提供帮助。本章讨论了两种可能的模型：CIA三要素，由机密性、完整性和可用性组成；Parkerian六角模型，由保密性、完整性、可用性、拥有或控制、真实性和实用性组成。

当你着眼于预防攻击时，了解攻击发生时损害的一般类型也会很有帮助。攻击可能通过拦截、中断、篡改或伪造来影响环境。各种损害效果都会影响到CIA三要素的特定领域。

在讨论你可能面临的具体威胁时，理解风险的概念十分重要。只有当威胁存在并且存在威胁可以利用的漏洞时，你才会面临被攻击的风险。要缓解风险，你可以使用三种主要的控制类型：物理控制、逻辑控制和管理控制。

本章最后介绍了深度防御，这是信息安全领域中一个特别重要的概念。要使用此概念构建防御措施，你需要设置多层防御，以延迟攻击者足够长的时间来提醒你注意攻击，使你能够进行更积极的防御。

本章讨论的概念是信息安全的基础，在许多组织的正常信息安全任务中会经常被使用，例如，你可能会听到有人谈论违反机密性或电子邮件消息的真实性。

信息安全是任何规模的组织日常关注的事项，尤其是那些处理各种个人信息、财务数据、医疗数据、教育数据或组织所在国家/地区法律规定的其他类型信息的组织。如果一个组织不在信息安全方面投资，后果将会十分严重。如果它们失去对关键数据或敏感数据的控制，则可能会面临罚款、诉讼，甚至无法继续开展业务。简而言之，信息安全是现代商业世界的关键组成部分。