网络安全核心目标CIA

网络安全的核心目标是为关键资产提供机密性(Confidentiality)、可用性(Availablity)、完整性(Integrity)。作为安全基础架构中的主要的安全目标和宗旨，机密性、可用性、完整性频频出现，被简称为CIA，也被成为你AIC，只是顺序不同而已。

安全控制评估通常用来评价这三个核心信息安全原则的符合情况，一个完整的安全解决方案应该充分满足这些原则。对脆弱性和风险的评估也基于他们对一个或多个CIA三元组原则的威胁。每个原则有多重要取决于每个组织的安全目标和需求，以及组织安全受到威胁的程度。比如内网的涉密系统会对机密性要求高，而像京东、抖音等这样的互联网系统会对可用性要求很高。

机密性

机密性指为保障数据、客体或资源保密状态而采取的措施。

机密性：为了限制未授权主体访问数据、客体或资源而提供的高级别保证。不能确保机密性，就会发生未授权泄露。
维护机密性的措施：
- 加密静止数据（整个磁盘、数据库加密）
- 加密传输中的数据（IPSec、TLS、PPTP、SSH）
- 访问控制（物理的和技术的）
- 隐写术
- 数据分类
- 人员培训
破坏机密性的因素：
- 故意攻击如：抓包网络流量窃取密码文件、社会工程学、端口扫描、肩窥、窃听、嗅探、特权升级等
- 错误、疏忽或者不称职造成的未经授权的敏感或机密信息泄露。如：为正确实现的加密传输、传输数据前未对远程系统充分进行身份验证、访问恶意代码打开的后门、文件遗留在打印机上、终端显示敏感数据时不锁屏离开。

完整性

完整性是保护数据可靠性和正确性的概念。完整性保护措施防止了未授权的数据更改。

完整性：客体必须保持自身的正确性，只能由被授权的主体进行修改。维护完整性意味着客体本身不会被改变或篡改。
维护完整性的措施：对数据、客体和资源的访问进行适当控制。使用活动日志记录，保证只有经过授权的用户方可访问。
- 严密的身份认证过程
- 入侵检测系统
- 对客体/数据进行加密
- 散列（数据完整性）
- 配置管理（系统完整性）
- 变更管理（进程完整性）
- 严格的访问控制（物理和技术的）
- 传输冗余校验（Cyclic Redundancy Check，CRC）功能
破坏完整性的因素：
- 病毒
- 逻辑炸弹
- 未授权访问
- 编码和应用程序中的错误
- 恶意修改
- 有企图的替换
- 系统后门

可用性

可用性：经过授权的主体被及时准许和不间断地访问客体。可用性提供了经过授权的主体能够访问数据、客体和资源的高级别保证。可用性包括有效地不间断地访问客体和阻止拒绝服务（Denial Of Services，DoS）攻击。基础结构的正常运作。
维护可用性措施：确保被授权的访问和可接受的性能等级、快速处理中断、提供冗余度、维持可靠的备份以及避免数据丢失或破坏。