Hvad er CIA-triaden?
informationssikkerhed drejer sig om de tre nøgleprincipper: fortrolighed, integritet og tilgængelighed (CIA). Afhængigt af miljø, anvendelse, kontekst eller brugssag kan et af disse principper være vigtigere end de andre., For et finansielt agentur er fortroligheden af oplysninger afgørende, så det vil sandsynligvis kryptere ethvert klassificeret dokument, der overføres elektronisk for at forhindre uautoriserede personer i at læse indholdet. På den anden side ville organisationer som internetmarkedspladser blive alvorligt beskadiget, hvis deres netværk var ude af provision i en længere periode, så de kunne fokusere på strategier for at sikre høj tilgængelighed over bekymringer om krypterede data.,
Fortrolighed
Fortrolighed er optaget af at forhindre uautoriseret adgang til følsomme oplysninger. Adgangen kan være forsætlig, såsom en indtrængende, der bryder ind i netværket og læser informationen, eller det kan være utilsigtet på grund af uforsigtighed eller inkompetence hos personer, der håndterer Informationen. De to vigtigste måder at sikre fortrolighed på er kryptografi og adgangskontrol.,
kryptografi
kryptering hjælper organisationen med at imødekomme behovet for at sikre information fra både utilsigtet afsløring og interne og eksterne angrebsforsøg. Effektiviteten af et kryptografisk system til forebyggelse af uautoriseret dekryptering kaldes dets styrke. Et stærkt kryptografisk system er svært at knække. Styrke er også udtrykkes som arbejde faktor, som er et skøn over mængden af tid og kræfter, der ville være nødvendigt at bryde et system.,
et system betragtes som svagt, hvis det tillader svage nøgler, har defekter i dets design eller let dekrypteres. Mange systemer, der er tilgængelige i dag, er mere end tilstrækkelige til erhvervsmæssig og personlig brug, men de er utilstrækkelige til følsomme militære eller statslige applikationer. Kryptografi har symmetriske og asymmetriske algoritmer.
symmetriske algoritmer
symmetriske algoritmer kræver, at både afsender og modtager af en krypteret meddelelse har den samme nøgle og behandlingsalgoritmer., Symmetriske algoritmer genererer en symmetrisk nøgle (undertiden kaldet en hemmelig nøgle eller privat nøgle), der skal beskyttes; hvis nøglen går tabt eller stjålet, kompromitteres systemets sikkerhed. Her er nogle af de fælles standarder for symmetriske algoritmer:
- Datakrypteringsstandard (DES). DES har været brugt siden midten af 1970′ erne.i årevis var det den primære standard, der blev brugt i regeringen og industrien, men det betragtes nu som usikkert på grund af dets lille nøglestørrelse — det genererer en 64-bit nøgle, men otte af disse bits er kun til fejlkorrektion, og kun 56 bits er den faktiske nøgle., Nu er AES den primære standard.
- Triple-DES (3DES). 3DES er en teknologisk opgradering af DES. 3DES bruges stadig, selvom AES er det foretrukne valg til offentlige applikationer. 3DES er betydeligt sværere at bryde end mange andre systemer, og det er mere sikkert end DES. Det øger nøglelængden til 168 bit (ved hjælp af tre 56-bit DES-taster).
- avanceret krypteringsstandard (AES). AES har erstattet DES som den standard, der anvendes af amerikanske statslige organer. Det bruger Rijndael algoritme, opkaldt efter sine udviklere, Joan Daemen og Vincent Rijmen., AES understøtter nøglestørrelser på 128, 192 og 256 bit, hvor 128 bit er standard.
- Rons Cipher eller Rons kode (RC). RC er en kryptering familie produceret af RSA laboratories og opkaldt efter sin forfatter, Ron Rivest. De nuværende niveauer er RC4, RC5 og RC6. RC5 bruger en nøglestørrelse på op til 2.048 bit; det anses for at være et stærkt system. RC4 er populær med trådløs og WEP/WPA kryptering. Det er en streaming-kode, der fungerer med nøglestørrelser mellem 40 og 2.048 bit, og den bruges i SSL og TLS. Det er også populært blandt hjælpeprogrammer; de bruger det til at do .nloade torrentfiler., Mange udbydere begrænser do .nload af disse filer, men ved at bruge RC4 til at tilsløre overskriften og strømmen gør det vanskeligere for tjenesteudbyderen at indse, at det er torrentfiler, der flyttes rundt.
- Blo andfish og T Twofofish. Blo .fish er et krypteringssystem opfundet af et team ledet af Bruce Schneier, der udfører en 64-bit blokcipher i meget hurtige hastigheder. Det er en symmetrisk blokcipher, der kan bruge nøgler med variabel længde (fra 32 bit til 448 bit). T .ofish er meget ens, men det virker på 128-bit blokke. Dens karakteristiske træk er, at den har en kompleks nøgleplan.,
- International Datakrypteringsalgoritme (ID IDEA). IDEA blev udviklet af et Sch .ei .isk konsortium og bruger en 128-bit nøgle. Dette produkt er ens i hastighed og evne til DES, men det er mere sikkert. IDEA bruges i Pretty Good Privacy (PGP), et offentligt domænekrypteringssystem, som mange mennesker bruger til e-mail.
- engangspuder. Engangspuder er de eneste virkelig helt sikre kryptografiske implementeringer. De er så sikre af to grunde. For det første bruger de en nøgle, der er så lang som en almindelig tekstbesked. Dette betyder, at der ikke er noget mønster i nøgleapplikationen, som en angriber kan bruge., For det andet bruges engangspudetaster kun andn gang og kasseres derefter. Så selvom du kunne bryde en engangs-pad cipher, ville den samme nøgle aldrig blive brugt igen, så viden om nøglen ville være ubrugelig.
Asymmetriske algoritmer
Asymmetriske algoritmer bruger to nøgler: en offentlig nøgle og en privat nøgle. Afsenderen bruger den offentlige nøgle til at kryptere en meddelelse, og modtageren bruger den private nøgle til at dekryptere den. Den offentlige nøgle kan være virkelig offentlig, eller det kan være en hemmelighed mellem de to parter. Den private nøgle holdes dog privat; kun ejeren (modtageren) kender den., Hvis nogen ønsker at sende dig en krypteret besked, kan de bruge din offentlige nøgle til at kryptere beskeden og derefter sende dig beskeden. Du kan bruge din private nøgle til at dekryptere meddelelsen. Hvis begge nøgler bliver tilgængelige for en tredjepart, vil krypteringssystemet ikke beskytte meddelelsens privatliv. Den virkelige “magi” af disse systemer er, at den offentlige nøgle ikke kan bruges til at dekryptere en meddelelse. Hvis Bob sender Alice en besked krypteret med Alice ‘s offentlige nøgle, betyder det ikke noget, om alle andre på Jorden har Alice’ s offentlige nøgle, da denne nøgle ikke kan dekryptere beskeden., Her er nogle af de fælles standarder for asymmetriske algoritmer:
- RSA. RSA er opkaldt efter sine opfindere, Ron Rivest, Adi Shamir og Leonard Adleman. RSA-algoritmen er et tidligt offentligt nøglekrypteringssystem, der bruger store heltal som grundlag for processen. Det er bredt implementeret, og det er blevet en de facto standard. RSA arbejder med både kryptering og digitale signaturer. RSA bruges i mange miljøer, herunder Secure Sockets Layer (SSL), og det kan bruges til nøgleudveksling.
- Diffie-Hellman., Founhitfield Diffie og Martin Hellman betragtes som grundlæggerne af det offentlige/private nøglekoncept. Deres Diffie-Hellman-algoritme bruges primært til at generere en delt hemmelig nøgle på tværs af offentlige netværk. Processen bruges ikke til at kryptere eller dekryptere meddelelser; den bruges kun til oprettelse af en symmetrisk nøgle mellem to parter.
- elliptisk Kurvekryptografi (EØF). ECC leverer funktionalitet svarende til RSA, men bruger mindre nøglestørrelser for at opnå det samme sikkerhedsniveau., ECC-krypteringssystemer er baseret på ideen om at bruge punkter på en kurve kombineret med et punkt på uendelig og vanskeligheden ved at løse diskrete logaritmeproblemer.
adgangskontrol
kryptering er en måde at sikre fortrolighed på; en anden metode er adgangskontrol. Der er flere tilgange til adgangskontrol, der hjælper med fortrolighed, hver med sine egne styrker og svagheder:
- obligatorisk adgangskontrol (MAC). I et MAC-miljø er alle adgangsfunktioner foruddefineret., Brugere kan ikke dele oplysninger, medmindre deres rettigheder til at dele dem er etableret af administratorer. Derfor skal administratorer foretage ændringer, der skal foretages i sådanne rettigheder. Denne proces håndhæver en stiv model af sikkerhed. Men, det er også betragtes som den mest sikre cybersikkerhed model.
- diskretionær adgangskontrol (DAC). I en DAC-model kan brugerne dele information dynamisk med andre brugere. Metoden giver mulighed for et mere fleksibelt miljø, men det øger risikoen for uautoriseret offentliggørelse af oplysninger., Administratorer har en vanskeligere tid at sikre, at kun passende brugere kan få adgang til data.
- rollebaseret adgangskontrol (RBAC). Rollebaseret adgangskontrol implementerer adgangskontrol baseret på jobfunktion eller ansvar. Hver medarbejder har en eller flere roller, der giver adgang til specifikke oplysninger. Hvis en person flytter fra en rolle til en anden, vil adgangen til den forrige rolle ikke længere være tilgængelig. RBAC-modeller giver mere fleksibilitet end MAC-modellen og mindre fleksibilitet end DAC-modellen., De har dog fordelen ved at være strengt baseret på jobfunktion i modsætning til individuelle behov.
- regelbaseret adgangskontrol (RBAC). Regelbaseret adgangskontrol bruger indstillingerne i forudkonfigurerede sikkerhedspolitikker til at træffe beslutninger om adgang. Disse regler kan sættes op til:
- Afvis alle undtagen dem, der specifikt vises på en liste (en Tillad adgangsliste)
- Afvis kun dem, der specifikt vises på listen (en ægte Afvis adgangsliste)
poster på listen kan være brugernavne, IP-adresser, værtsnavne eller endda domæner., Regelbaserede modeller bruges ofte sammen med rollebaserede modeller for at opnå den bedste kombination af sikkerhed og fleksibilitet.
- Attributbaseret adgangskontrol (ABAC). ABAC er en relativt ny metode til adgangskontrol defineret i NIST 800-162, Attributbaseret Kontroldefinition og overvejelser., Det er en logisk adgangskontrol metode, hvor tilladelse til at udføre en række operationer, som er bestemt ved at vurdere attributter, der er forbundet med den genstand, objekt, ønskede funktioner, og, i nogle tilfælde, miljøforhold mod sikkerhedspolitik, regler eller relationer, der beskriver de tilladte operationer inden for et givet sæt af attributter.
- Smartcards bruges generelt til adgangskontrol og sikkerhed. Selve kortet indeholder normalt en lille mængde hukommelse, der kan bruges til at gemme tilladelser og få adgang til oplysninger.,
- et sikkerhedstoken var oprindeligt en hard .areenhed, der kræves for at få adgang, såsom et trådløst nøglekort eller en nøglefob. Der er nu også soft .areimplementeringer af tokens. Tokens indeholder ofte et digitalt certifikat, der bruges til at autentificere brugeren.,
Integritet
Integritet har tre mål, at bidrage til at opnå data-sikkerhed:
- at Forhindre ændring af oplysninger af uautoriserede brugere
- at Forhindre uautoriseret eller utilsigtet ændring af oplysninger af autoriserede brugere
- Bevare interne og eksterne sammenhæng:
- Intern konsistens Sikrer, at de data, der er internt konsistente., For eksempel i en organisatorisk database skal det samlede antal elementer, der ejes af en organisation, svare til summen af de samme elementer, der er vist i databasen, som de holdes af hvert element i organisationen.
- ekstern konsistens-sikrer, at de data, der er gemt i databasen, er i overensstemmelse med den virkelige verden. For eksempel skal det samlede antal elementer, der fysisk sidder på hylden, svare til det samlede antal elementer, der er angivet i databasen.,forskellige krypteringsmetoder kan hjælpe med at opnå integritet ved at give sikkerhed for, at en meddelelse ikke blev ændret under transmission. Ændring kan gøre en meddelelse uforståelig eller, endnu værre, unøjagtig. Forestil dig de alvorlige konsekvenser, hvis ændringer i lægejournaler eller lægemiddelrecept ikke blev opdaget. Hvis der manipuleres med en meddelelse, skal krypteringssystemet have en mekanisme til at indikere, at meddelelsen er blevet beskadiget eller ændret.
Hashing
integritet kan også verificeres ved hjælp af en hashingalgoritme., I det væsentlige genereres en hash af meddelelsen og tilføjes til slutningen af meddelelsen. Den modtagende part beregner hash for den meddelelse, de modtog, og sammenligner den med den hash, de modtog. Hvis noget ændres i transit, vil hashes ikke matche.hashing er en acceptabel integritetskontrol for mange situationer. Men hvis en aflytende part ønsker at ændre en meddelelse med vilje, og meddelelsen ikke er krypteret, er en hash ineffektiv., Se, at der er en 160-bit hash knyttet til meddelelsen, hvilket tyder på, at den blev genereret ved hjælp af SHA-1 (som diskuteres nedenfor). Derefter kan interceptoren blot ændre meddelelsen, som de ønsker, slette den originale SHA-1 hash og genberegne en hash fra den ændrede meddelelse.hashingalgoritmer
de hashes, der bruges til at gemme data, er meget forskellige fra kryptografiske hashes. I kryptografi skal en hash-funktion have tre egenskaber:
- det skal være envejs. Når du har hash noget, kan du ikke fjerne det.,
- input med variabel længde giver output med fast længde. Uanset om du hash to tegn eller to millioner, hash størrelse er den samme.
- algoritmen skal have få eller ingen kollisioner. Hashing to forskellige indgange giver ikke den samme output.
Her er hashing algoritmer og relaterede begreber, du bør være bekendt med:
- Secure Hash Algorithm (SHA). SHA er designet af Guido Bertoni, Joan Daemen, Micha .l Peeters og Gilles Van Assche., SHA-1 er en envejs hash, der giver en 160-bit hash værdi, der kan bruges med en krypteringsprotokol. I 2016 blev problemer med SHA-1 opdaget; nu anbefales det, at SHA-2 bruges i stedet. SHA-2 kan producere 224, 256, 334 og 512 bit-hashes. Der er ingen kendte problemer med SHA-2, så det er stadig den mest anvendte og anbefalede hashingalgoritme. SHA-3 blev offentliggjort i 2012 og er bredt anvendelig, men ikke udbredt. Dette skyldes ikke nogen problemer med SHA-3, men snarere det faktum, at SHA-2 er helt fint.
- Message Digest algoritme (MD)., MD er en anden envejs hash, der skaber en hash-værdi, der bruges til at bevare integriteten. Der er flere versioner af MD; de mest almindelige er MD5, MD4 og MD2. MD5 er den nyeste version af algoritmen; det producerer en 128-bit hash. Selvom det er mere komplekst end dets MD-forgængere og giver større sikkerhed, har det ikke stærk kollisionsbestandighed, og det anbefales derfor ikke længere til brug. SHA (2 eller 3) er de anbefalede alternativer.
- RACE Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD var baseret på MD4., Der var spørgsmål vedrørende dets sikkerhed, og det er blevet erstattet af RIPEMD-160, der bruger 160 bits. Der er også versioner, der bruger henholdsvis 256 og 320 bit (RIPEMD-256 og RIPEMD-320).
- GOST er en symmetrisk kryptering udviklet i det gamle Sovjetunionen, der er blevet ændret til at fungere som en hash-funktion. GOST behandler en meddelelse med variabel længde til en output med fast længde på 256 bit.
- før udgivelsen af .indo .s NT brugte Microsofts operativsystemer LANMAN-protokollen til godkendelse., Mens fungerer kun som en godkendelse protokol, LANMAN brugte LM Hash og to DES nøgler. Det blev erstattet af NT LAN Manager (NTLM) med udgivelsen af .indo .s nt.
- Microsoft erstattede LANMAN-protokollen med NTLM (NT LAN Manager) med udgivelsen af .indo .s nt. NTLM bruger MD4 / MD5 hashing algoritmer. Der findes flere versioner af denne protokol (NTLMv1 og NTLMv2), og den er stadig i udbredt brug på trods af at Microsoft har navngivet Kerberos sin foretrukne godkendelsesprotokol., Selvom LANMAN og NTLM begge anvender hashing, bruges de primært med henblik på godkendelse.
- en almindelig metode til at verificere integritet indebærer at tilføje en meddelelsesgodkendelseskode (MAC) til meddelelsen. En MAC beregnes ved hjælp af en symmetrisk cipher i cipher block chaining mode (CBC), hvor kun den endelige blok produceres. I det væsentlige bruges output fra CBC som output fra en hashingalgoritme. I modsætning til en hashingalgoritme kræver chifferet imidlertid en symmetrisk nøgle, der udveksles mellem de to parter på forhånd.,
- HMAC (hash-baseret besked autentificering kode) bruger en hashing algoritme sammen med en symmetrisk nøgle. Således er to parter for eksempel enige om at bruge en MD5-hash. Når hash er beregnet, er det udelukkende OR ‘ D (oror) med fordøjelsen, og den resulterende værdi er HMAC.
Baseline
etablering af en baseline (konfiguration, baseline, systems baseline, activity baseline) er en vigtig strategi for sikkert netværk. I det væsentlige finder du en baseline, som du anser for sikker for et givet system, computer, applikation eller service., Absolut sikkerhed er bestemt ikke mulig-målet er sikkert nok, baseret på din organisations sikkerhedsbehov og risikoappetit. Enhver ændring kan sammenlignes med baseline for at se, om ændringen er sikker nok. Når en baseline er defineret, er det næste trin at overvåge systemet for at sikre, at det ikke afviger fra denne baseline. Denne proces er defineret som integritetsmåling.
tilgængelighed
tilgængelighed sikrer, at et systems autoriserede brugere har rettidig og uafbrudt adgang til oplysningerne i systemet og til netværket., Her er metoderne til at opnå tilgængelighed:
- distributiv tildeling. Almindeligt kendt som belastningsbalancering giver distributiv tildeling mulighed for at distribuere belastningen (filanmodninger, data routing osv.), så ingen enhed er for belastet.
- høj tilgængelighed (HA). Høj tilgængelighed refererer til foranstaltninger, der bruges til at holde tjenester og informationssystemer operationelle under en strømafbrydelse. Målet med HA er ofte at have centrale tjenester til rådighed 99.999 procent af tiden (kendt som “fem niere” tilgængelighed)., HA strategier omfatter redundans og failover, som diskuteres nedenfor.
- redundans. Redundans refererer til systemer, der enten duplikeres eller mislykkes over til andre systemer i tilfælde af en funktionsfejl. Failover henviser til processen med at rekonstruere et system eller skifte til andre systemer, når der opdages en fejl. I tilfælde af en server skifter serveren til en overflødig server, når der opdages en fejl. Denne strategi gør det muligt for tjenesten at fortsætte uafbrudt, indtil den primære server kan gendannes., I tilfælde af et netværk betyder dette, at behandling skifter til en anden netværkssti i tilfælde af en netværksfejl i den primære sti.Failover-systemer kan være dyre at implementere. I et stort virksomhedsnetværk eller e-handelsmiljø kan en failover medføre at skifte al behandling til et fjernt sted, indtil din primære facilitet er i drift. Det primære siteebsted og det eksterne siteebsted synkroniserer data for at sikre, at oplysningerne er så opdaterede som muligt.,
Mange operativsystemer, såsom Linux, Windows Server og Novell Open Enterprise Server, er i stand til at klynger for at give failover kapaciteter. Clustering involverer flere systemer, der er forbundet sammen kooperativt (hvilket giver belastningsbalancering) og netværk på en sådan måde, at hvis et af systemerne fejler, tager de andre systemer op og fortsætter med at fungere. Serverklyngens samlede kapacitet kan falde, men netværket eller tjenesten forbliver i drift., For at værdsætte skønheden i klyngedannelse skal du overveje det faktum, at dette er den teknologi, som Google er bygget på. Clustering giver dig ikke kun mulighed for at have redundans, men det giver dig også muligheden for at skalere, når efterspørgslen stiger.
De fleste internetudbydere og netværksudbydere har omfattende intern failover-evne til at levere høj tilgængelighed til klienter. Erhvervskunder og medarbejdere, der ikke er i stand til at få adgang til oplysninger eller tjenester, har en tendens til at miste tilliden.
afvejningen for pålidelighed og pålidelighed er selvfølgelig omkostninger: Failover-systemer kan blive uoverkommeligt dyre., Du bliver nødt til at studere dine behov omhyggeligt for at afgøre, om dit system kræver denne evne. For eksempel, hvis dit miljø kræver en høj grad af tilgængelighed, skal dine servere grupperes. Dette vil gøre det muligt for de andre servere i netværket at tage belastningen op, hvis en af serverne i klyngen fejler. - fejltolerance. Fejltolerance er et systems evne til at opretholde operationer i tilfælde af en komponentfejl. Fejltolerante systemer kan fortsætte med at fungere, selvom en kritisk komponent, såsom et diskdrev, er mislykket., Denne kapacitet involverer overtekniske systemer ved at tilføje overflødige komponenter og delsystemer for at reducere risikoen for nedetid. For eksempel kan fejltolerance indbygges i en server ved at tilføje en anden strømforsyning, en anden CPU og andre nøglekomponenter. De fleste producenter (som HP, Sun og IBM) tilbyder fejltolerante servere; de har typisk flere processorer, der automatisk mislykkes, hvis der opstår en funktionsfejl.
der er to nøglekomponenter i fejltolerance, som du aldrig bør overse: reservedele og elektrisk strøm., Reservedele skal altid være let tilgængelige for at reparere enhver systemkritisk komponent, hvis den skulle mislykkes. Redundansstrategien “n + 1” betyder, at du har det antal komponenter, du har brug for, plus en til at tilslutte ethvert system, hvis det er nødvendigt. Da computersystemer ikke kan fungere i mangel af elektrisk strøm, er det bydende nødvendigt, at fejltolerance også indbygges i din elektriske infrastruktur. På et absolut minimum skal en uafbrydelig strømforsyning (UPS) med overspændingsbeskyttelse ledsage hver server og arbejdsstation., At UPS skal vurderes for den belastning, det forventes at bære i tilfælde af strømsvigt (factoring i computeren, skærmen og andre enheder, der er tilsluttet det) og kontrolleres regelmæssigt som en del af din forebyggende vedligeholdelsesrutine for at sikre, at batteriet er i drift. Du skal udskifte batteriet hvert par år for at holde UPS ‘ en i drift.
en UPS giver dig mulighed for at fortsætte med at fungere i mangel af strøm i kun en kort varighed. For fejltolerance i situationer med længere varighed har du brug for en backupgenerator., Backupgeneratorer kører på ben .in, propan, naturgas eller diesel og genererer den elektricitet, der er nødvendig for at give stabil strøm. Selvom nogle backupgeneratorer kan tændes øjeblikkeligt i tilfælde af strømafbrydelse, de fleste tager kort tid at varme op, før de kan give ensartet strøm. Derfor vil du opdage, at du stadig skal implementere ups ‘ er i din organisation. - Redundant Array af uafhængige diske (RAID). RAID er en teknologi, der bruger flere diske til at give fejltolerance., Der er flere RAID-niveauer: RAID 0 (striped-diske), RAID 1 (spejlet diske), RAID 3 eller 4 (stribet diske med dedikeret paritet), RAID-5 (stribet diske med distribueret paritet), RAID 6 (stribet diske med dobbelt paritet), RAID 1+0 (eller 10) og RAID 0+1. Du kan læse mere om dem i denne liste over bedste praksis for datasikkerhed.
- Disaster recovery (DR) plan. En katastrofegendannelsesplan hjælper en organisation med at reagere effektivt, når der opstår en katastrofe. Katastrofer omfatter systemfejl, netværksfejl, infrastrukturfejl og naturkatastrofer som orkaner og jordskælv., En DR-plan definerer metoder til gendannelse af tjenester så hurtigt som muligt og beskyttelse af organisationen mod uacceptable tab i tilfælde af en katastrofe.
i en mindre organisation kan en katastrofegendannelsesplan være relativt enkel og ligetil. I en større organisation kan det involvere flere faciliteter, forretningsstrategiske planer og hele afdelinger.
En katastrofegendannelsesplan bør omhandle adgang til og opbevaring af oplysninger. Din backup plan for følsomme data er en integreret del af denne proces.
F. A.
Hvad er komponenterne i CIA-triaden?,
- fortrolighed: systemer og data er kun tilgængelige for autoriserede brugere.
- integritet: systemer og data er nøjagtige og fuldstændige.
- tilgængelighed: systemer og data er tilgængelige, når de er nødvendige.
Hvorfor er CIA-triaden vigtig for datasikkerhed?
det endelige mål med datasikkerhed er at sikre fortrolighed, integritet og tilgængelighed af kritiske og følsomme data. Anvendelse af principperne i CIA-triaden hjælper organisationer med at skabe et effektivt sikkerhedsprogram til at beskytte deres værdifulde aktiver.,
Hvordan kan CIA triad anvendes i risikostyring?
under risikovurderinger måler organisationer risici, trusler og sårbarheder, der kan kompromittere fortroligheden, integriteten og tilgængeligheden af deres systemer og data. Ved at gennemføre sikkerhedskontrol for at afbøde disse risici, de opfylder en eller flere af CIA triad centrale principper.
Hvordan kan datafortrolighed kompromitteres?
fortrolighed kræver at forhindre uautoriseret adgang til følsomme oplysninger., Adgangen kan være forsætlig, såsom en indtrængende, der bryder ind i netværket og læser informationen, eller det kan være utilsigtet på grund af uforsigtighed eller inkompetence hos personer, der håndterer Informationen.
hvilke foranstaltninger kan bidrage til at bevare datafortroligheden?
en bedste praksis for beskyttelse af data fortrolighed er at kryptere alle følsomme og regulerede data. Ingen kan læse indholdet af et krypteret dokument, medmindre de har dekrypteringsnøglen, så kryptering beskytter mod både ondsindede og utilsigtede kompromiser om fortrolighed.,
Hvordan kan dataintegritet kompromitteres?
dataintegritet kan kompromitteres både gennem menneskelige fejl og cyberangreb som destruktiv Mal .are og ransom .are.
hvilke foranstaltninger kan bidrage til at bevare dataintegriteten?,
for At bevare data integritet, må du:
- Undgå ændringer til data af uautoriserede brugere
- til at Forhindre uautoriseret eller utilsigtet ændrer data af autoriserede brugere
- Sikre nøjagtigheden og konsistensen af data gennem processer, som fejlkontrol og data validering
En værdifuld bedste praksis for at sikre nøjagtigheden af data er-fil integritet kontrol (FIM)., FIM hjælper organisationer med at registrere forkert ændringer til vigtige filer på deres systemer ved revision af alle forsøg på at få adgang til eller ændre filer og mapper, der indeholder følsomme oplysninger, og at kontrollere, om disse handlinger er godkendt.
Hvordan kan datatilgængelighed kompromitteres?
Trusler mod tilgængelighed omfatter fejl ved infrastrukturen som netværk eller hardware problemer; uplanlagte software nedetid, infrastruktur overbelastning; strømafbrydelser; og cyberangreb som DDoS-eller ransomware angreb.
hvilke foranstaltninger kan bidrage til at bevare datatilgængelighed?,
det er vigtigt at anvende sikkerhedsforanstaltninger mod afbrydelser i alle systemer, der kræver kontinuerlig oppetid. Valgmulighederne omfatter hard .are redundans, failover, clustering og rutinemæssige sikkerhedskopier gemt i en geografisk separat placering. Derudover er det afgørende at udvikle og teste en omfattende katastrofegendannelsesplan.
Produktevangelist hos Net .ri.Corporation, forfatter og programleder. Ryan har specialiseret sig i at evangelisere cybersikkerhed og fremme vigtigheden af synlighed i IT-ændringer og dataadgang., Som forfatter fokuserer Ryan på IT-sikkerhedstendenser, undersøgelser og brancheindsigt.