CISP学习——信息安全属性

目录

一. 信息安全三元组

（1）保密性（Confidentiality）

（2）完整性（Integrity）

（3）可用性（Availability）

（4）模型的局限性

二.  其他信息安全属性

(1）真实性

(2）不可否认性

(3）可问责性

(4）可控性

---

        通常情况下，保密性、完整性和可用性(CIA)被称为信息安全基本属性。此外还可以涉及其他属性，例如真实性、不可否认性、可靠性等

一. 信息安全三元组

（1）保密性（Confidentiality）

        保密性也称机密性，指的是对信息资开放范围的控制，确保信息段有非授权的泄漏，不被非授权的个人、组织和计算机程序使用。需要保密的信息范畴于分广泛，它可以是国家秘密．可以是企或研究机构的核心知识产权，也可以是银行账号等个人信息，因此，信息的保密回题是人人都需要面对的。

        保护机密性取决于为信息定义和实施适当的访问级别。这种做法常常涉及将信息分离为由谁应该访问它以及它是多么敏感的离散集合。在系統上管理保密性的一些最常用的手段包括传統的文件权限、访回控制列

表以及文件和卷加密等。

（2）完整性（Integrity）

        CIA中的I代表完整性，特别是数据完整性。这个属性的关键过是保护数据不被未授权方修改或删除。并确保当授权人进行不恰当的更改时。可以降低害。

        某些数据不应被不适当地修改，例如用户的账户控制，因为即使瞬间的更改也可能导致严重的服务中断和违反密性行为。但是，在合理的情况下，修改应该是可逆的，用户文件可能在一些不期望的情况下（例如操作失误，意外删除，本不应该被删除的文件）尽可能合理地可逆。

        版本控制和多进行备份是确像完整性最常用的措施之一。这些措施使得授衩人员能方便的修改数据并且有能很容易的撤销修改。通常使用的操作系统文件权限，例如MS Windows中的只读文件标识等，也是系统保护数据完整性的重要措施。

（3）可用性（Availability）

        为了确保数据和系统随时可用，系统、访问通道和身份验证机制等都必须正常的工作，这就是可用性。也就是说，无论什么时候，只要得到授衩的实体需要，信息系统必须是可用的，不能拒绝服务。增强的可用性要求还包括时效性及避免因各自自然灾害（火灾、洪水、雷击、地震等）和人为破坏导致的系统失效。

（4）模型的局限性

        CIA三元組关注的重心在信息，虽然这是大多数信息安全的核心因素，但仅仅考虑CIA是不够的，因为信息安全的复杂性决定了还存在其他的重要因素。CIA给出了一个整体安全模型的框架，可能有助于在开始制定安全政策形成思路，但不是需要考虑的安全略要求的总和，也不应该是安全事项的清单。因此，我们需要了解CIA三元组可作为计划、实施良好的安全策略的基本原则，同时还应该认识到它的局限性。

二.  其他信息安全属性

(1）真实性

        实体是他所声称的属性，可以理解为能对信息的来源进行判断，能对伪造来源的信息予以鉴别。 

(2）不可否认性

        证明要求保护的事件或动作及其发起实体的行为。在法律上，不可否认意味着交易的一方不能拒绝已经接收到交易，另一方也不能拒绝己经发送的交易。这也被视为完整性的一部分。

        重要是，尽管者如密码系统的技术可以辅助不可否认，但这个概念的核心是超越技术领域的法律概念。例如，发送者在发送息时利用私钥进行数字签名，理论上在传输过程中是不可被更改的。但是，如果发送者可以证明数字签名算法存在漏洞或者缺陷，或者证明他自己的签名密钥已经被破坏时，发送者即使存在抵赖，也很难证明与其关联的信息的真实性和完整性是否有效。

(3）可问责性

        作为治理的一个方面，同责是承认和承担行动、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政、治理和实施以及报告,解释并对所造成的后果负责。

(4）可控性

        对信息的传播及内容具有控制能力，任何信息在一定范围内是可控的。