CIA 三組的三個主要組成部分 —— 機密、完整性和安全性 — 是成功的 IT 安全計劃的基礎。
保密是指保密敏感數據的能力。 這是數據安全政策的基石,涉及控制對敏感數據的訪問,以確保未經授權的人士無法訪問它。
用於保護機密性的最廣泛使用和最強大的工具之一是加密。現代加密演算法可以確保只有有權存取資料解密金鑰的人才能讀取資料。如果攻擊者或其他未經授權的使用者取得加密資料的存取權,則無法使用且不會對資料安全造成風險。
然而,透過資料加密,資料安全性和機密性歸結為對用於資料加密和解密的私鑰的管理控制。組織可以透過使用強加密並定義控制對這些加密金鑰的存取的存取控制來幫助確保資料機密性。
資料完整性是指確保資料是真實且沒有被偽造的。 這包括確保數據是由被稱的創建者產生,以及自未經授權的方創建以來沒有修改數據。
組織擁有各種不同的工具,可協助確保其資料的完整性。 一些範例包括以下內容:
可用性是 CIA 三組的最後一部分,因為數據只有在可以訪問以供合法使用的情況下對組織而言才有用。 如果安全措施或網絡攻擊使數據或系統無法訪問,則企業將受到影響。 組織面對數據和系統可用性的各種自然和人為驅動的威脅。 電源和互聯網中斷或自然災害可能會使系統脫機。 分散式阻斷服務(DDoS)、勒索軟體和其他攻擊可能導致系統和資料無法存取。
公司可以使用各種對策來協助保護資料和系統的可用性。 彈性和備援能降低單一點故障的潛在風險。 強大的修補程式管理、反 DDoS 緩解措施和其他安全防護可以幫助阻止可能使系統脫機的網路攻擊。 端點資安解決方案和備份可以防範勒索軟體和其他對資料可用性構成威脅的惡意軟體。
CIA 三人很重要,因為它清楚簡單地列出了數據安全和網絡安全的主要目標。 如果組織的系統確保機密性、完整性和可用性,那麼對這些系統的潛在網路威脅是有限的。 通過讓您輕鬆思考和記住這些關鍵目標,CIA 三人協助安全設計和安全性審查。
CIA 三人是一種用於安全設計的通用工具。 每個系統都應具有數據保密性和完整性,軟件和數據應始終可供合法使用。 這意味著在做出或評估網絡安全決策時應使用 CIA 三人。 它也可以在安全事件後執行死亡後,以及培訓員工有關 IT 安全政策、安全最佳做法和常見的安全威脅。