信息安全的核心：CIA三元组 | 安全千字文系列1

我们总是在说信息安全管理，那么信息安全管理到底是在管什么？我们要如何定义信息安全？

这里就要引出信息安全最基本的概念：CIA三元组。

• 这里的 C，指的是Confidentiality机密性

• 这里的 I ，指的是Integrity 完整性

• 这里的 A ，指的是Availability可用性。

为什么说CIA三元组是信息安全最基本的原则呢？因为我们做的信息安全管理，就是为了保障信息的机密性、完整性、可用性。这是贯穿整个信息安全管理全局的一个思路。包括在进行信息安全评估的时候，通常也从这三个方向着手进行分析。

机密性、完整性、可用性三者相互依存，形成一个不可分割的整体，三者中任何一个的损害都将影响到整个安全系统。

下面详细介绍一下CIA三元组：

机密性

机密性是防止未授权的用户访问数据，简单来说就是“不能看”。

为了维护机密性，通常会在数据的处理、传输、储存过程中进行一些诸如加密或者权限类的保护措施来进行安全控制。

针对机密性的破坏主要包括窃取密码文件、社会工程学、嗅探、肩窥等。

这里着重要提一下肩窥（shoulder surfing）。肩窥就是越过肩膀探看别人操作获取信息的做法&