安全三要素:CIA
安全三要素:CIA
Winn Schwartau在讲述“三指之礼”的故事。美国中央情报局习惯于把按下“Ctrl+Alt+Del组合键”的重新启动称之为“三指之礼”。
由于对安全和性能不佳的问题忍无可忍,Schwartau放弃了Windows,改用Mac计算机。他在“勃然大怒”系列文章中详细讲述了这个曲折的过程。
太奇怪了:我在从惠斯勒(Whistler)回纽约的路上一直在阅读Robert Sawyer写的一本书《Hybrids》。我敢打赌,这纯粹是一种巧合。这本书的第299页写道:“每一次她的Windows计算机出现蓝屏死机的故障时,她都感觉她要支持Linux。现在这个故障又出现了,而且是今天的第二次。玛丽设置计算机之后,行了“三指之礼”,然后长时间地等待着计算机的重新启动。她发现,她的计算机顽固地拒绝恢复网络连接。
安全在于基础要素
我从1984年以来一直在infosec公司工作。后来,联邦政府告诉我们如何执行橘皮书和C2等安全规定。所有这些安全规定在现实的商业领域中都没有什么用处。我认为,在这21年里,infosec公司的属性几乎一点都没有变化。
由于我们的公司就是做安全普及工作的,我们应该覆盖这些基本的问题。不管是WinTel、Mac、PDA和文件夹,作为安全设计和结构依据的原则一直都没有改变。最初的设计者太聪明了。
在infosec公司的典型模式中,有三个构建其它所有方面的组件,就像是质子、电子和中子是构成原子的构件一样。这种典型的安全三合一要素称作“CIA”( 保密性、完整性和可用性,Confidentiality、Integrity和Availability):
·保密性:简单地说就是保密。间谍影片把它称作“Eyes Only”(最高机密)。实际上确实是如此。只有那些有权看这些信息的人才能接触到这些信息。因此,要在纸上写上这些内容,阻止其他人偷窥,对这些内容加密或者使用访问控制机制。
·完整性:确保信息不被内部人员修改或者篡改或者被意外地修改,不管这些信息是程序还是数据。银行对这个问题特别小心。
·可用性:所有的系统和信息资源必须能够按照机构的需求启动和运行。拒绝服务攻击秘而不宣。
然而,我们在物理上发现了一个更基本的单元,夸克(quark,基本粒子之一)。infosec公司退休的SRI安全专家Donn Parker建议说,我们要增加一些细化的标准,使安全模式的应用更普遍。
·控制/专有:你仍保留对你的资源的控制吗?一个软件程序能够在未经厂商许可的情况下复制;这些软件就没有得到控制。你知道你的口令,但是,谁还拥有它?这对安全有何影响?
·身份可识别性:你如何确认你正在与其谈话的那个人的身份?这类事情也适用于拒绝的原则。
·工具:你有一个雇员有加密的数据,但是,你没有密钥了解这个文件的内容。这个问题就是有数据,但是,你没有使用这个数据的工具。
我同意这样的观点。在infosec公司之外,仍有很多有价值和功能强大的东西。但是,我还认为这三个内容还有一些子范畴,涉及的内容更具体。保密性大于控制/专有;完整性大于身份可识别性;可用性大于工具。
无论你使用上述六个元素还是三个元素或者作为你的企业模式,使用他们吧。不管数据安全人士的观点如何,这些就是基本的元素。当然,这绝没有冒犯数据安全人士的意思。
相关文章
关键词:安全
责任编辑:许琳
