2.1 安全基本原则
安全的核心目标是为关键资产提供可用性、完整性和机密性(AIC三元组)。
2.1.1 可用性
可用性。保护确保授权的用户能够对数据和资源进行及时的和可靠的访问。
确保组织内部必要资源的可用性,如:网络由众多必须在深夜持续运行的组建构成(路由器、交换器、DNS服务器等)
2.1.2 完整性
完整性。保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改。
2.1.3 机密性
机密性。确保在数据处理的每个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露。 攻击者能够通过网络监控、肩窥、盗取密码文件以及社会工程来威胁机密性机制。
通过以下途径可以提供机密性:
- 在存储和传输数据时进行加密;
- 使用严格的访问控制和数据分类;
- 以及对职员进行适当的数据保护措施培训;
2.1.4 平衡安全
涉及信息安全问题时,往往只针对机密信息保护(机密性)。而完整性和可用性威胁可以被忽略,除非它们遭到破坏。