字體:小 中 大 |
|
|
|
| 2009/10/22 20:53:03瀏覽13668|回應0|推薦0 | |
confidentiality、integrity 與 availability 是資訊安全的鐵三角,任何違反鐵三角的事件或行為,都會減損資安機制的防護強度,對公司的重要資產或機密資料造成威脅。因此,CIA 就是資安的核心判斷準則,公司的每一位員工都可根據 CIA 原則來判斷哪些事件或行為應該受到管制與規範。 Confidentiality confidentiality 的意思是:「機密資訊不可揭露於未經授權的主體之下」,而其主要目的就是要維持資訊的機密性。這裡所提到的主體,可以是一個人、一個團體或一套系統。一般而言,稍有危機意識的企業組織都會建立若干套防護措施,以避免機密或敏感性的資產遭到未經授權的主體所讀取或使用。常見的刻意違反 confidentiality 之攻擊行為有:竊取 password 檔案、交際套密 (social engineering)、肩隙偷覽 (shoulder surfing)、刻意偷聽 (eavesdropping) 等等。此外,非攻擊性行為,例如人為的錯誤 (human error)、未能留意某威脅或徵兆而所造成的疏失 (oversight)、以及做事缺乏適當的技能 (ineptitude) 等等,也可能會導致機密或敏感性的資產遭到未經授權的主體所讀取或使用。 Integrity integrity 的意思是:「對任何機密資訊所施行的修改運作,都必須是經過授權且無竄改情事的」,而其主要目的就是要維持資訊的真實度 (veracity)、一致性 (consistency) 與完整性 (completeness)。常見的違反 integrity 之行為有:竄改機密資訊的內容與刪除機密檔案等等。 Availability availability 的意思是:「已經取得授權的主體可以『及時地』與『不受中斷地』讀取或使用資訊」,而其主要目的就是要維持作業活動的順暢性。常見的違反 availability 之攻擊行為有:denial of service attack 與 communication interruptions。此外,天災與人禍也可能導致資訊無法及時地與不受中斷地被讀取或使用,例如電廠跳電、電力中斷 (維修人員不小心切斷電源、怪手不小心挖斷電線)、地震、颱風、硬體因年久而自然損壞等等。 |
|
| ( 創作|其他 ) |
