渗透测试学习笔记1.2. 保护机密性完整性与可用性
任何有安全意识的组织都在努力维护CIA安全三要素,即机密性(confidentiality)、完整性(integrity)和可用性(availability)这三个核心原则。下面描述了其核心概念。在履行渗透测试任务和职责时应牢记这些概念。
机密性
这是指对信息的保护,使其免遭非投权者获取。用于保护机密性的控制措施是权限和加密
完整性
这是指将信息保持为一种可保留其原始意图的格式,即接收者打开的数据与创建者意图创建的数据相同。
可用性
这是指保证信息和资源对需要它们者可用。简而言之,无论信息或资源多么安全,如果不能在需要时就绪并且可用,它们将毫无用处。
在进行系统安全性评估和规划时,CIA准则即使不是最重要的保障目标,也是最重要的目标之一。在瞄准一个系统后,攻击者便会尝试破坏或扰乱这些目标。CIA安全三要素的相辅相成关系如图所示。
为何CIA安全三要素如此重要?考虑一下,如果投资公司或国防承包商遭受了被某个恶意团体泄密的事件,会产生怎样的后果?结果将是灾难性的,更不用提它可能会使组织面临严重的民事甚至刑事风险。作为一个渗透测试者,要做的就是努力在客户的环境中发现破坏CIA准则的漏洞并搞清楚其机理,而另一种分析该问题的角度是使用一本书称为反CIA准则的工具。
不当泄露
这是指由于疏忽、事故或恶意,导致信息或资源向外泄露或得以访问。简而言之,如果不是有权访问对象的人,那么永远不应访问到它。
未授权修改
它是完整性的对立面,是指未经授权或其他形式的信息修改。这种修改可能是由于错误、意外访问或者主观恶意造成的。
中断(亦称损失)
这是指失去对信息或资源的访问,而本不应该这样。本质上,当需要时而不在其处的信息就是无用的。虽然信息或其他资源不可能100%可用,但某些组织花费时 间和金钱来获得99.999%的正常运行时间,这相当于平均每年只有约6分钟的停机时间。
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: