信息安全高级别介绍
评估风险并接受或采取某种行动来评估风险是人类的基本本能。这是安全的本质,安全是提供围绕这种本能的框架的知识体。
安全性在三角范例中定义了三个关键概念 - 机密性,完整性和可用性(CIA 范例)。
虽然社会普遍认为安全只是保护机密性,但作为一名开发人员,没有任何事情可以在安全的标志下落空。例如,编写代码是为了向软件添加功能(可用性),保证凭证安全(机密性),或确保最简单的功能产生一致和正确的输出(完整性)。
这三个概念经常因其性质而不一致。想象一下,通过外联网提供公司的信息。这种可用性打开了可能危及数据机密性的攻击媒介。同样,具有繁重保密要求的公司将妨碍公司向客户和合作伙伴提供数据的愿望。或者他们可能希望数据快速可用,网站的开发匆忙并导致用户之间的数据泄露 - 缺乏数据完整性。
继此之后,开发软件的任何人或任何人都有不同的 CIA 值。想象一下,零售网站可能会重视可用性而不是完整性或机密性,而银行可能会对可用性和完整性进行保密。这并不是说在每种情况下都不重视所有情况,而是每种情景根据潜在风险对这些值进行不同的权重。
在现实世界中,CIA 三元组通常会添加最多 3 个其他因素,构成 Parkerian hexad:占有或控制,真实性和效用,以及交易模型,不可否认性。因此,你可以看到没有适合所有场景的简单模型。
作为开发人员,良好的安全性是关于知道正在保护的内容以及如何保护它的正确平衡,并且根据所涉及的数据类型和软件解决的问题,这是非常不同的。