信息安全的 CIA 三要素

互联网就像一个虚拟的社会。在它诞生的初期，互联网的应用相对简单，使用互联网的人数较少，人们对安全的设计与考虑都比较少。经过几十年的发展和普及，现在互联网已经深入到我们生活的每个方面。从电子邮件，信息搜索，到IP电话，网上购物，订机票车票，买卖股票，银行和退休账号管理，个人信息管理，博客与社交网。。。互联网已经同现代的社会生活紧密交织在一起，使人们更容易地获得各种信息，跨越地域局限同世界上的人们交往，改变了不少企业的工作方式，创造出无数新的职业，同时也结束了一些传统职业。

 

与此同时，社会的复杂性也反映到了互联网上。从最初的以恶作剧为动机的无害病毒，到现在的以谋取金钱为目的的跨国黑客网，就像人类社会的安全问题一样，信息安全的问题已经成为伴随着互联网发展的一个越来越复杂的问题。

 

那么，信息安全都包括什么呢？

 

提起信息安全，人们最容易想到的就是计算机的病毒问题。不错，如今互联网成了感染病毒和间谍软件的最主要的媒介。单单是防毒问题，就足以让一个企业的IT部门忙个不停了。对一般的家庭用户，如何查毒防毒更是他们最经常问的问题。

 
        但是，信息安全不单是防毒查毒的问题。信息安全的中心问题是要能够保障信息的合法持有和使用者能够在任何需要该信息时获得保密的，没有被非法更改过的“原装的”信息。在英文的文献中，信息安全的目的常常用Confidentiality (保密性), Integrity （完整性）, 和 Availability （可获得性）, 三个词概括。简而言之，叫CIA-Triad。（哈哈，跟美国中央情报局是一样的缩写，可是用不着那么紧张啦。）

 

关于信息的保密性，比较容易理解，就是具有一定保密程度的信息只能让有权读到或更改的人读到和更改。不过，这里提到的保密信息，有比较广泛的外延：它可以是国家机密，是一个企业或研究机构的核心知识产权，是一个银行个人账号的用户信息，或简单到你建立这个博客时输入的个人信息。因此，信息保密的问题是每一个能上网的人都要面对的。

 

信息的完整性是指在存储或传输信息的过程中，原始的信息不能允许被随意更改。这种更改有可能是无意的错误，如输入错误，软件瑕疵，到有意的人为更改和破坏。在设计数据库以及其他信息存储和传输应用软件时，要考虑对信息完整性的校验和保障。

 

信息的可获得性是指，对于信息的合法拥有和使用者，在他们需要这些信息的任何时候，都应该保障他们能够及时得到所需要的信息。比如，对重要的数据或服务器在不同地点作多处备份，一旦A处有故障或灾难发生，B处的备用服务器能够马上上线，保证信息服务没有中断。一个很好的例子是：2001年的911摧毁了数家金融机构在世贸中心的办公室，可是多数银行在事件发生后的很短的时间内就能够恢复正常运行。这些应归功于它们的备份，修复，灾难后的恢复工作做得好。

 

信息安全的核心就是data：要保障没有被破坏过的，原始的data能够及时地，安全地在它的合法拥有者和使用者之间传递或存储，而不能被不该获得它们的人得到或更改。信息安全的工作就是要保障这些数据不被合法拥有和使用者以外的人窃取，篡改或破坏，同时保障这些数据不会由于操作失误，机器故障，天灾人祸等被破坏。