网络安全焦点目标CIA

网络安全的焦点目标是为关键资产提供秘密性(Confidentiality)、可用性(Availablity)、完整性(Integrity)。作为安全基础架构中的主要的安全目标和宗旨，秘密性、可用性、完整性反复出现，被简称为CIA，也被成为你AIC，只是顺序不同而已。

安全控制评估通常用来评价这三个焦点信息安全原则的符合环境，一个完整的安全解决方案应该充分满意这些原则。对脆弱性和风险的评估也基于他们对一个或多个CIA三元组原则的威胁。每个原则有多紧张取决于每个构造的安全目标和需求，以及构造安全受到威胁的程度。好比内网的涉密体系会对秘密性要求高，而像京东、抖音等这样的互联网体系会对可用性要求很高。


秘密性
秘密性指为保障数据、客体或资源保密状态而采取的措施。

• 秘密性：为了限定未授权主体访问数据、客体或资源而提供的高级别保证。不能确保秘密性，就会发生未授权泄露。
  
• 维护秘密性的措施：
  
  
  
  • 加密静止数据（整个磁盘、数据库加密）
    
  • 加密传输中的数据（IPSec、TLS、PPTP、SSH）
    
  • 访问控制（物理的和技术的）
    
  • 隐写术
    
  • 数据分类
    
  • 职员培训
    
  
  
• 粉碎秘密性的因素：
  
  
  
  • 故意攻击如：抓包网络流量窃取密码文件、社会工程学、端口扫描、肩窥、窃听、嗅探、特权升级等
    
  • 错误、疏忽大概不称职造成的未经授权的敏感或秘密信息泄露。如：为精确实现的加密传输、传输数据前未对远程体系充分进行身份验证、访问恶意代码打开的后门、文件遗留在打印机上、终端表现敏感数据时不锁屏脱离。
    
  
  

完整性
完整性是保护数据可靠性和精确性的概念。完整性保护措施防止了未授权的数据更改。

• 完整性：客体必须保持自身的精确性，只能由被授权的主体进行修改。维护完整性意味着客体本身不会被改变或篡改。
  
• 维护完整性的措施：对数据、客体和资源的访问进行得当控制。使用运动日志记录，保证只有经过授权的用户方可访问。
  
  
  
  • 细密的身份认证过程
    
  • 入侵检测体系
    
  • 对客体/数据进行加密
    
  • 散列（数据完整性）
    
  • 配置管理（体系完整性）
    
  • 变更管理（进程完整性）
    
  • 严格的访问控制（物理和技术的）
    
  • 传输冗余校验（Cyclic Redundancy Check，CRC）功能
    
  
  
• 粉碎完整性的因素：
  
  
  
  • 病毒
    
  • 逻辑炸弹
    
  • 未授权访问
    
  • 编码和应用程序中的错误
    
  • 恶意修改
    
  • 有企图的替换
    
  • 体系后门
    
  
  

可用性

• 可用性：经过授权的主体被及时准许和不间断地访问客体。可用性提供了经过授权的主体可以或许访问数据、客体和资源的高级别保证。可用性包括有用地不间断地访问客体和阻止拒绝服务（Denial Of Services，DoS）攻击。基础结构的正常运作。
  
• 维护可用性措施：确保被授权的访问和可接受的性能等级、快速处理中断、提供冗余度、维持可靠的备份以及避免数据丢失或粉碎。
  

• 独立磁盘冗余阵列（RAID）
  
• 群集
  
• 负载均衡
  
• 冗余数据和但原先
  
• 软件和数据备份
  
• 磁盘映射
  
• Co-location和异地备用办法
  
• 回滚功能
  
• 故障切换配置
  

• 
  
  
  
  • 粉碎可用性的因素：
    
    
    
    • 设备故障
      
    • 软件错误
      
    • 环境问题
      
    • DoS攻击
      
    • 客体损坏
      
    • 通信中断
      
    
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。