北京怡华科技有限公司专业提供IT外包、弱电布线、系统集成、 人防行业软件、物联网管理系统!
热线电话:4000-583-808     010-67399093   签约客户报修平台
您所在的位置:首页 > 信息动态  > 行业动态
北京IT外包:告诉你信息安全的本质
来源:www.it-outsourcing.cn 发布时间:2020年12月25日

北京IT外包:告诉你信息安全的本质

我们总是在说信息安全管理,那么信息安全管理到底是在管什么?我们要如何定义信息安全?当你所在的企业内网被入侵,数据被窃取之后,你也许能知道,是某个业务漏洞导致黑客能够进入内网,但你是否意识到,数据安全保护机制上同样产生了问题?类似这种的问题有很多。当我们遇到某一个特定的攻击或者安全问题时,往往看到的都是表象的影响,而能否找到根本原因并进行修复,才是安全投入的关键。任何应用最本质的东西其实都是数据。用户使用产品的过程,就是在和企业进行数据交换的过程。比如,用户在使用微信时,发朋友圈或刷朋友圈中时;用户在使用支付宝进行交易时,都是日常数据交换的场景。因此,从另一个层面来说,安全的本质就是保护数据被合法地使用。怎么才叫“被合法地使用”呢?这里就要引出信息安全最基本的概念:CIA三元组。

      C指的是Confidentiality机密性;

      I 指的是Integrity 完整性;

      A指的是Availability可用性。

为什么说CIA三元组是信息安全最基本的原则呢?因为我们做的信息安全管理,就是为了保障信息的机密性、完整性、可用性。这是贯穿整个信息安全管理全局的一个思路。包括在进行信息安全评估的时候,通常也从这三个方向着手进行分析。机密性、完整性、可用性三者相互依存,形成一个不可分割的整体,三者中任何一个的损害都将影响到整个安全系统。接下来详细介绍一下CIA三元组:

 

 

 

机密性

机密性是防止未授权的用户访问数据,简单来说就是“不能看”。为了维护机密性,通常会在数据的处理、传输、储存过程中进行一些诸如加密或者权限类的保护措施来进行安全控制。针对机密性的破坏主要包括窃取密码文件、社会工程学、嗅探、肩窥等。这里着重要提一下肩窥(shoulder surfing)。肩窥就是越过肩膀探看别人操作获取信息的做法,看到别人输入密码,或者看到一些办公信息导致的机密性损失。

为何要着重提出肩窥呢?因为很多安全管理工作者总会有一种想法,认为只有所谓的网络攻击、黑客入侵、勒索病毒才会对安全造成破坏。这是必须扭转的错误观念。很多时候,进入办公室,偷走一块硬盘或者拿走一叠文件,往往会造成更大的损失。

 

完整性

完整性就是确保数据只被授权的主体进行授权的修改,简单来说,就是“不可改”。所谓“授权的修改”,就是对主体可进行的操作进行进一步的限制。比如,只能追加数据的主体无法执行删除的操作。以个人隐私信息为例,法律允许学校或者公司在个人档案内追加信息,但不能做任何修改,你发微博,别人只能评论不能修改这都是完整性的典型表现。完整性会更加强调对修改行为的日志记录,并有合适的监督机制进行审计。在保护技术方面,主要是利用加密、签名等技术,使得数据的完整性变得可验证,完整性和机密性是紧密相连的。因此,大部分的机制和技术都同时对完整性和机密性提供保护。针对完整性的攻击也和机密性一样,更多的是由于人为原因导致的疏忽。除了黑客本身对数据的恶意篡改,已授权的主体也可能对数据完整性产生破坏,比如员工意外地误删除数据,正常用户的一些无效输入等。相对于机密性,完整性往往容易被忽视。但是机密性和完整性往往是共同出现的,做好了机密性的保护,也意味着做好了完整性的保护。因此,当我们在探讨安全问题、建设安全体系时,要将这两者结合起来,放在一起来研究。机密性和完整性是为了保障数据是安全的,而数据的最终目的是要能够被看到或者使用。

 

 

可用性

可用性是保证经过授权的客户能及时准确的不间断的访问数据,也就是“一直用”。针对破坏可用性的威胁主要有设备故障、软件错误、包括一些不可抗力如洪水、火灾等。在企业中,造成可用性破坏的最主要原因是人为错误,疏忽或失职造成的如意外删除文件、私自分配资源、安全策略配置错误等。可用性依赖于完整性和机密性。

不同机构对CIA三元组的需求重点是不同的,安全管理员要根据自己企业的实际情况进行安全管理分析。通常来说,在企业发展初期,可用性的优先级较高。如果涉及金钱相关的业务,则完整性的优先级更高;而涉及个人隐私相关的业务,则保密性的优先级更高。对于大部分企业而言,可用性在初期受到的挑战更多,则越发展越稳定,后期在可用性上的投入会逐渐降低。而完整性和机密性,会随着业务的发展,重要性越来越高,在企业的安全投入中,占比会越来越大。因此,根据不同的发展阶段,列好 CIA 的优先级,是我们理解安全问题、定义安全需求、建设安全体系的首要问题。

 

相关文章