資訊保安高階別介紹

評估風險並接受或採取某種行動來評估風險是人類的基本本能。這是安全的本質,安全是提供圍繞這種本能的框架的知識體。

安全性在三角範例中定義了三個關鍵概念 - 機密性,完整性和可用性(CIA 範例)。

雖然社會普遍認為安全只是保護機密性,但作為一名開發人員,沒有任何事情可以在安全的標誌下落空。例如,編寫程式碼是為了向軟體新增功能(可用性),保證憑證安全(機密性),或確保最簡單的功能產生一致和正確的輸出(完整性)。

這三個概念經常因其性質而不一致。想象一下,通過外聯網提供公司的資訊。這種可用性開啟了可能危及資料機密性的攻擊媒介。同樣,具有繁重保密要求的公司將妨礙公司向客戶和合作伙伴提供資料的願望。或者他們可能希望資料快速可用,網站的開發匆忙併導致使用者之間的資料洩露 - 缺乏資料完整性。

繼此之後,開發軟體的任何人或任何人都有不同的 CIA 值。想象一下,零售網站可能會重視可用性而不是完整性或機密性,而銀行可能會對可用性和完整性進行保密。這並不是說在每種情況下都不重視所有情況,而是每種情景根據潛在風險對這些值進行不同的權重。

在現實世界中,CIA 三元組通常會新增最多 3 個其他因素,構成 Parkerian hexad:佔有或控制,真實性和效用,以及交易模型,不可否認性。因此,你可以看到沒有適合所有場景的簡單模型。

作為開發人員,良好的安全性是關於知道正在保護的內容以及如何保護它的正確平衡,並且根據所涉及的資料型別和軟體解決的問題,這是非常不同的。