2013年10月29日 星期二

CISSP 領域重要名詞釋疑 - CIA 三元素





CIA Tried (CIA三元素)








Confidentiality 保密性/機密性
保密性主要在保護未經授權的資訊洩漏。
換句話說,保密性主要在於防止未經授權的讀取資料。

舉個攻擊保密性的例子,例如盜竊個人資訊(Personally Identifiable Information, PII),例如個人信用卡資訊。

關於機密性的關鍵詞
Data encryption 加密數據存取(Disk, Databasre, Storage...)
Message encryption 傳輸加密(IPSsec, SSL, PPTP, SSH)
Access Control 存取控制 (物理與技術)

Integrity 完整性
完整性主要在保護未授權的資料更改。
換句話說,完整性主要在於防止未經授權的寫入資料。

完整性分成兩種種類:資料完整性(Data Integrity) 與 系統完整性(System Integrity)。資料完整性主要在於防止未經授權的資訊再次被修改;資訊完整性主要在於保護系統,例如一套Windows 2008的作業系統未經授權的修改。
假如有一位學生入侵了大學的評分資料庫,將他未通過的分數提高,他則侵犯了資料的完整性。假如他安裝了巨集軟體在系統上並開啟了系統的後門存取,則他侵犯了系統的完整性。

關於完整性的關鍵詞
Distribution 分散式 (數據完整性)
Configuration Management 配置管理 (系統完整性)
Modify Control 變更控制 (過程完整性)
Access Control 存取控制 (物理與技術)
Digital Signature 數位簽章
Communication CRC(Cyclic redundancy check) 通訊-循環冗余檢查碼


Availability 可用性
可用性確定資訊被需要時是可用的。在一般商業環境中,系統必須確保可用性。舉一個攻擊可用性的例子,像是DoS(Denial of Service)攻擊,這類攻擊主要在於癱瘓系統服務。

關於可用性的關鍵詞
RAID (Redundant Array of Independent Disks) 磁碟陣列
Cluster 叢集
Load Balancing 附載平衡
Software Backup & Data Backup 軟體與資料備份
UPS (Uninterruptible Power Supply) 不斷電供應器
Disk Image 磁碟鏡像
Co-location & Remote Backup 主機代管與異地備援
Rollback 回溯
Failover 容錯移轉

Tension Between the Concept

機密性、完整性、可用性有些時候是處於對立的:當一個資料在於安全地方並遺失了鑰匙,它可能和機密性或完整性有關,但是與可用性無關。
有個錯誤的答案:我們的任務不是在於追求資訊機密性、完整性與可用性的需求平衡。

Disclosure Alteration and Destruction
CIA三元素同時也描述對立的三項洩漏(Disclosure)、變造(Alteration)、破壞(Destruction),合併起來是DAD。洩漏是指未經授權的紕漏資料;變造是指未經授權的修改資料;而破壞指讓系統變得不可用。有些時候CIA縮寫順序會改變,DAD縮寫則會保持順序。

Key Word
肩窺(shoulder Sufing)
越過別人肩膀瀏覽未經授權的信息。
社會工程(Social Enginner)
欺騙他人共享敏感信息以獲取未經授權的訪問。


沒有留言: