上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
1.4 CIA原则
CIA原则包括保密性、完整性和可用性,旨在指导组织内信息安全政策的落地。为了避免与美国中央情报局(Central Intelligence Agency,CIA)混淆,该原则有时也被称为AIC三元素,特指可用性、完整性和保密性。
理论上,一个完整的网络安全保障体系应充分考虑CIA原则。CIA原则基于业务发展战略,以组织资产为核心,通过有效识别和授权使用资产,促进对组织的持续改进和调整,确保资产保密、可用和完整,最终实现对组织业务连续性的保障。
• C(Confidentiality,保密性):意味着保护信息不被未经授权的人员或实体访问。反面例子是把Wi-Fi密码贴在会议室墙上,通过照片泄露出去。
• I(Integrity,完整性):意味着保持数据准确无误且不被随意篡改。反面例子是银行账户余额被篡改,造成财产损失。
• A(Availability,可用性):意味着确保系统或信息对授权用户一直处于可用状态。反面例子是政企受到了DDoS攻击,服务不可用。
总之,为了实现CIA原则,我们需要采用技术和管理相结合的策略。只有在技术的支撑下,管理措施才能发挥预期的效果。
CIA原则反映了一切攻防手段都是围绕着保密性(C)、完整性(I)、可用性(A)展开的,对应的攻击手段是DAD,即泄露(D)、篡改(A)、破坏(D),如图1-7所示。
图1-7 围绕CIA原则展开的攻击手段
通常来说,政企对于CIA原则中的三个元素并不是同等对待的,在发展初期,可用性的优先级较高;如果涉及金融业务,完整性的优先级较高;如果涉及To C等与个人隐私相关的业务,保密性的优先级较高。