我們總是在說信息安全管理，那么信息安全管理到底是在管什么？我們要如何定義信息安全？當你所在的企業(yè)內(nèi)網(wǎng)被入侵，數(shù)據(jù)被竊取之后，你也許能知道，是某個業(yè)務(wù)漏洞導(dǎo)致黑客能夠進入內(nèi)網(wǎng)，但你是否意識到，數(shù)據(jù)安全保護機制上同樣產(chǎn)生了問題？類似這種的問題有很多。當我們遇到某一個特定的攻擊或者安全問題時，往往看到的都是表象的影響，而能否找到根本原因并進行修復(fù)，才是安全投入的關(guān)鍵。任何應(yīng)用最本質(zhì)的東西其實都是數(shù)據(jù)。用戶使用產(chǎn)品的過程，就是在和企業(yè)進行數(shù)據(jù)交換的過程。比如，用戶在使用微信時，發(fā)朋友圈或刷朋友圈中時；用戶在使用支付寶進行交易時，都是日常數(shù)據(jù)交換的場景。因此，從另一個層面來說，安全的本質(zhì)就是保護數(shù)據(jù)被合法地使用。怎么才叫“被合法地使用”呢？這里就要引出信息安全最基本的概念：CIA三元組。

?      C指的是Confidentiality機密性；

?      I 指的是Integrity 完整性；

?      A指的是Availability可用性。

為什么說CIA三元組是信息安全最基本的原則呢？因為我們做的信息安全管理，就是為了保障信息的機密性、完整性、可用性。這是貫穿整個信息安全管理全局的一個思路。包括在進行信息安全評估的時候，通常也從這三個方向著手進行分析。機密性、完整性、可用性三者相互依存，形成一個不可分割的整體，三者中任何一個的損害都將影響到整個安全系統(tǒng)。接下來詳細介紹一下CIA三元組：

機密性

機密性是防止未授權(quán)的用戶訪問數(shù)據(jù)，簡單來說就是“不能看”。為了維護機密性，通常會在數(shù)據(jù)的處理、傳輸、儲存過程中進行一些諸如加密或者權(quán)限類的保護措施來進行安全控制。針對機密性的破壞主要包括竊取密碼文件、社會工程學、嗅探、肩窺等。這里著重要提一下肩窺（shoulder surfing）。肩窺就是越過肩膀探看別人操作獲取信息的做法，看到別人輸入密碼，或者看到一些辦公信息導(dǎo)致的機密性損失。

為何要著重提出肩窺呢？因為很多安全管理工作者總會有一種想法，認為只有所謂的網(wǎng)絡(luò)攻擊、黑客入侵、勒索病毒才會對安全造成破壞。這是必須扭轉(zhuǎn)的錯誤觀念。很多時候，進入辦公室，偷走一塊硬盤或者拿走一疊文件，往往會造成更大的損失。

完整性

完整性就是確保數(shù)據(jù)只被授權(quán)的主體進行授權(quán)的修改，簡單來說，就是“不可改”。所謂“授權(quán)的修改”，就是對主體可進行的操作進行進一步的限制。比如，只能追加數(shù)據(jù)的主體無法執(zhí)行刪除的操作。以個人隱私信息為例，法律允許學校或者公司在個人檔案內(nèi)追加信息，但不能做任何修改，你發(fā)微博，別人只能評論不能修改這都是完整性的典型表現(xiàn)。完整性會更加強調(diào)對修改行為的日志記錄，并有合適的監(jiān)督機制進行審計。在保護技術(shù)方面，主要是利用加密、簽名等技術(shù)，使得數(shù)據(jù)的完整性變得可驗證，完整性和機密性是緊密相連的。因此，大部分的機制和技術(shù)都同時對完整性和機密性提供保護。針對完整性的攻擊也和機密性一樣，更多的是由于人為原因?qū)е碌氖韬觥３撕诳捅旧韺?shù)據(jù)的惡意篡改，已授權(quán)的主體也可能對數(shù)據(jù)完整性產(chǎn)生破壞，比如員工意外地誤刪除數(shù)據(jù)，正常用戶的一些無效輸入等。相對于機密性，完整性往往容易被忽視。但是機密性和完整性往往是共同出現(xiàn)的，做好了機密性的保護，也意味著做好了完整性的保護。因此，當我們在探討安全問題、建設(shè)安全體系時，要將這兩者結(jié)合起來，放在一起來研究。機密性和完整性是為了保障數(shù)據(jù)是安全的，而數(shù)據(jù)的最終目的是要能夠被看到或者使用。

可用性

可用性是保證經(jīng)過授權(quán)的客戶能及時準確的不間斷的訪問數(shù)據(jù)，也就是“一直用”。針對破壞可用性的威脅主要有設(shè)備故障、軟件錯誤、包括一些不可抗力如洪水、火災(zāi)等。在企業(yè)中，造成可用性破壞的最主要原因是人為錯誤，疏忽或失職造成的如意外刪除文件、私自分配資源、安全策略配置錯誤等。可用性依賴于完整性和機密性。

不同機構(gòu)對CIA三元組的需求重點是不同的，安全管理員要根據(jù)自己企業(yè)的實際情況進行安全管理分析。通常來說，在企業(yè)發(fā)展初期，可用性的優(yōu)先級較高。如果涉及金錢相關(guān)的業(yè)務(wù)，則完整性的優(yōu)先級更高；而涉及個人隱私相關(guān)的業(yè)務(wù)，則保密性的優(yōu)先級更高。對于大部分企業(yè)而言，可用性在初期受到的挑戰(zhàn)更多，則越發(fā)展越穩(wěn)定，后期在可用性上的投入會逐漸降低。而完整性和機密性，會隨著業(yè)務(wù)的發(fā)展，重要性越來越高，在企業(yè)的安全投入中，占比會越來越大。因此，根據(jù)不同的發(fā)展階段，列好 CIA 的優(yōu)先級，是我們理解安全問題、定義安全需求、建設(shè)安全體系的首要問題。