北京IT外包:告訴你信息安全的本質

我們總是在說信息安全管理，那么信息安全管理到底是在管什么？我們要如何定義信息安全？當你所在的企業內網被入侵，數據被竊取之后，你也許能知道，是某個業務漏洞導致黑客能夠進入內網，但你是否意識到，數據安全保護機制上同樣產生了問題？類似這種的問題有很多。當我們遇到某一個特定的攻擊或者安全問題時，往往看到的都是表象的影響，而能否找到根本原因并進行修復，才是安全投入的關鍵。任何應用最本質的東西其實都是數據。用戶使用產品的過程，就是在和企業進行數據交換的過程。比如，用戶在使用微信時，發朋友圈或刷朋友圈中時；用戶在使用支付寶進行交易時，都是日常數據交換的場景。因此，從另一個層面來說，安全的本質就是保護數據被合法地使用。怎么才叫“被合法地使用”呢？這里就要引出信息安全最基本的概念：CIA三元組。

?      C指的是Confidentiality機密性；

?      I 指的是Integrity 完整性；

?      A指的是Availability可用性。

為什么說CIA三元組是信息安全最基本的原則呢？因為我們做的信息安全管理，就是為了保障信息的機密性、完整性、可用性。這是貫穿整個信息安全管理全局的一個思路。包括在進行信息安全評估的時候，通常也從這三個方向著手進行分析。機密性、完整性、可用性三者相互依存，形成一個不可分割的整體，三者中任何一個的損害都將影響到整個安全系統。接下來詳細介紹一下CIA三元組：

機密性

機密性是防止未授權的用戶訪問數據，簡單來說就是“不能看”。為了維護機密性，通常會在數據的處理、傳輸、儲存過程中進行一些諸如加密或者權限類的保護措施來進行安全控制。針對機密性的破壞主要包括竊取密碼文件、社會工程學、嗅探、肩窺等。這里著重要提一下肩窺（shoulder surfing）。肩窺就是越過肩膀探看別人操作獲取信息的做法，看到別人輸入密碼，或者看到一些辦公信息導致的機密性損失。

為何要著重提出肩窺呢？因為很多安全管理工作者總會有一種想法，認為只有所謂的網絡攻擊、黑客入侵、勒索病毒才會對安全造成破壞。這是必須扭轉的錯誤觀念。很多時候，進入辦公室，偷走一塊硬盤或者拿走一疊文件，往往會造成更大的損失。

完整性

完整性就是確保數據只被授權的主體進行授權的修改，簡單來說，就是“不可改”。所謂“授權的修改”，就是對主體可進行的操作進行進一步的限制。比如，只能追加數據的主體無法執行刪除的操作。以個人隱私信息為例，法律允許學校或者公司在個人檔案內追加信息，但不能做任何修改，你發微博，別人只能評論不能修改這都是完整性的典型表現。完整性會更加強調對修改行為的日志記錄，并有合適的監督機制進行審計。在保護技術方面，主要是利用加密、簽名等技術，使得數據的完整性變得可驗證，完整性和機密性是緊密相連的。因此，大部分的機制和技術都同時對完整性和機密性提供保護。針對完整性的攻擊也和機密性一樣，更多的是由于人為原因導致的疏忽。除了黑客本身對數據的惡意篡改，已授權的主體也可能對數據完整性產生破壞，比如員工意外地誤刪除數據，正常用戶的一些無效輸入等。相對于機密性，完整性往往容易被忽視。但是機密性和完整性往往是共同出現的，做好了機密性的保護，也意味著做好了完整性的保護。因此，當我們在探討安全問題、建設安全體系時，要將這兩者結合起來，放在一起來研究。機密性和完整性是為了保障數據是安全的，而數據的最終目的是要能夠被看到或者使用。

可用性

可用性是保證經過授權的客戶能及時準確的不間斷的訪問數據，也就是“一直用”。針對破壞可用性的威脅主要有設備故障、軟件錯誤、包括一些不可抗力如洪水、火災等。在企業中，造成可用性破壞的最主要原因是人為錯誤，疏忽或失職造成的如意外刪除文件、私自分配資源、安全策略配置錯誤等。可用性依賴于完整性和機密性。

不同機構對CIA三元組的需求重點是不同的，安全管理員要根據自己企業的實際情況進行安全管理分析。通常來說，在企業發展初期，可用性的優先級較高。如果涉及金錢相關的業務，則完整性的優先級更高；而涉及個人隱私相關的業務，則保密性的優先級更高。對于大部分企業而言，可用性在初期受到的挑戰更多，則越發展越穩定，后期在可用性上的投入會逐漸降低。而完整性和機密性，會隨著業務的發展，重要性越來越高，在企業的安全投入中，占比會越來越大。因此，根據不同的發展階段，列好 CIA 的優先級，是我們理解安全問題、定義安全需求、建設安全體系的首要問題。