Hva er CIA triaden?
informasjonssikkerhet dreier seg om tre viktige prinsipper: konfidensialitet, integritet og tilgjengelighet (CIA). Avhengig av miljø, et program, en kontekst eller bruk fall ett av disse prinsippene kan være mer viktig enn andre., For eksempel, for en økonomisk handlefrihet, konfidensialitet av informasjon er viktig, så ville det trolig kryptere noen gradert dokumentet blir elektronisk overført for å hindre at uautoriserte personer fra å lese innholdet. På den annen side, organisasjoner, for eksempel internett markedsplasser ville bli alvorlig skadet hvis nettverket deres var ute av drift for en lengre periode, slik at de kan fokusere på strategier for å sikre høy tilgjengelighet over bekymringer om kryptert data.,
Konfidensialitet
Konfidensialitet er opptatt med å hindre uautorisert tilgang til sensitiv informasjon. Tilgangen kan være tilsiktet, for eksempel en inntrenger å bryte inn i nettverk og å lese informasjonen, eller det kan være utilsiktet, på grunn av uforsiktighet eller inkompetanse av de som håndterer informasjonen. De to viktigste måtene å sikre konfidensialitet er kryptografi og tilgangskontroll.,
Kryptografi
Kryptering hjelper organisasjonen kan møte behovet for å sikre informasjon fra både utilsiktet utlevering og interne og eksterne angrep forsøk. Effektiviteten av en kryptografisk system for å hindre uautorisert dekryptering er referert til som sin styrke. En sterk kryptografisk system er vanskelig å knekke. Styrken er også uttrykkes som arbeidet faktor, som er en beregning av hvor mye tid og krefter som ville være nødvendig for å bryte et system.,
Et system som regnes som svakt, om det lar svake nøkler, har mangler i sin konstruksjon eller er lett dekrypteres. Mange systemer tilgjengelig i dag er mer enn tilstrekkelig for forretnings-og personlig bruk, men de er utilstrekkelige for sensitiv militær eller statlige programmer. Kryptografi har symmetriske og asymmetriske algoritmer.
Symmetriske Algoritmer
Symmetriske algoritmer krever at både avsender og mottaker av en melding skal ha samme nøkkel og behandling algoritmer., Symmetriske algoritmer generere en symmetrisk nøkkel (noen ganger kalt en hemmelig nøkkel eller privat nøkkel) som må være beskyttet; dersom nøkkelen er tapt eller stjålet, sikkerheten til systemet er infisert. Her er noen av de felles standardene for symmetriske algoritmer:
- Data Encryption Standard (DES). DES har vært brukt siden midten av 1970-tallet. I år, det var den primære standard brukt i det offentlige og industrien, men det er nå ansett som usikre på grunn av sin lille-tasten størrelse — den genererer en 64-biters nøkkel, men åtte av de biter bare for feilretting og bare 56 bits er selve nøkkelen., Nå AES er den primære standard.
- Triple DES (3DES). 3DES er en teknologisk oppgradering av DES. 3DES er fortsatt brukt, selv om AES er det foretrukne valget for offentlige programmer. 3DES er betydelig vanskeligere å knekke enn mange andre systemer, og det er mer sikker enn DES. Det øker nøkkellengden til 168 bits (ved hjelp av tre 56-bits DES-tastene).
- Advanced Encryption Standard (AES). AES har erstattet DES som standard brukes av AMERIKANSKE myndigheter. Den bruker Rijndael-algoritmen, oppkalt etter sin utviklere, Joan Daemen og Vincent Rijmen., Støtter AES-tasten størrelser på 128, 192 og 256 bits, med 128 bits som standard.
- Ron Cipher eller Ron Koden (RC). RC er en kryptering familie produsert av RSA laboratorier og oppkalt etter forfatteren, Ron Rivest. Dagens nivåer er RC4, RC5 og RC6. Del av RC5 bruker en nøkkel størrelse på opp til 2,048 biter; det anses som et sterkt system. RC4 er populært med trådløst og WEP – /WPA-kryptering. Det er en streaming-siffer som arbeider med viktige størrelser mellom 40 og 2,048 biter, og det er brukt i SSL og TLS. Det er også populært med verktøy de bruker den for å laste ned torrent-filer., Mange leverandører begrense laste ned disse filene, men ved hjelp av RC4 til å obfuscate hodet og strøm gjør det vanskeligere for tjenesteleverandøren å innse at det er torrent-filer som blir flyttet ca.
- Blowfish og Twofish. Blowfish er en kryptering system oppfunnet av et team ledet av Bruce Schneier som utfører en 64-biters block cipher ved svært rask hastighet. Det er en symmetrisk block cipher som kan bruke variabel-lengde-tastene (fra 32 bits til 448 bit). Twofish er ganske lik, men det fungerer på 128-bits blokker. Dens særtrekk er at den har en kompleks tasten planen.,
- International Data Encryption Algorithm (IDÉ). IDEEN ble utviklet av en Sveitsisk konsortium og bruker en 128-biters nøkkel. Dette produktet er lik i hastighet og evne til DES, men det er mer sikker. IDEEN er brukt i Pretty Good Privacy (PGP), public domain-kryptering system som mange bruker for e-post.
- One-time pads. En gang pads er den eneste virkelig helt sikker kryptografisk implementeringer. De er så sikker, av to grunner. Først, de bruker en nøkkel som er like lang som en vanlig tekstmelding. Dette betyr at det ikke er noe mønster i de sentrale programmet for en angriper å bruke., For det andre, one-time pad tastene brukes bare én gang og deretter kastes. Så selv om du kan bryte en one-time pad cipher, den samme tasten ville aldri bli brukt igjen, så kunnskap om nøkkelen ville være ubrukelig.
Asymmetriske Algoritmer
Asymmetriske algoritmer bruker to nøkler: en offentlig nøkkel og en privat nøkkel. Avsenderen bruker offentlig nøkkel til å kryptere en melding, og mottakeren bruker privatnøkkelen til å dekryptere det. Den offentlige nøkkelen kan være virkelig offentlige eller det kan være en hemmelighet mellom de to partene. Den private nøkkelen, men blir holdt privat; bare eieren (mottaker) vet det., Hvis noen ønsker å sende en kryptert melding, kan de bruke din offentlige nøkkel til å kryptere meldingen og deretter sender du meldingen. Du kan bruke din private nøkkel til å dekryptere meldingen. Hvis begge tastene blir tilgjengelig for en tredjepart, kryptering system, vil ikke beskytte personvernet til meldingen. Den virkelige «magiske» av disse systemene er at den offentlige nøkkelen kan ikke brukes til å dekryptere en melding. Hvis Bob Alice sender en melding kryptert med Alice ‘s offentlige nøkkel, det spiller ingen rolle om alle andre på Jorden har Alice’ s offentlige nøkkel, siden denne nøkkelen kan dekryptere meldingen., Her er noen av de felles standardene for asymmetriske algoritmer:
- RSA. RSA er oppkalt etter sin oppfinnere, Ron Rivest, Adi Shamir og Leonard Adleman. RSA-algoritmen er en tidlig offentlig nøkkel kryptering system som benytter seg av store heltall som grunnlag for prosessen. Det er godt implementert, og det har blitt en de facto standard. RSA-fungerer med både kryptering og digitale signaturer. RSA er brukt i mange miljøer, inkludert SSL (Secure Sockets Layer), og det kan brukes til key exchange.
- Diffie-Hellman., Whitfield Diffie og Martin Hellman regnes som grunnleggerne av offentlig/privat nøkkel konseptet. Deres Diffie-Hellman-algoritmen brukes hovedsakelig for å generere en delt hemmelig nøkkel over offentlige nettverk. Prosessen ikke blir brukt for å kryptere eller dekryptere meldinger; det er brukt kun for etablering av en symmetrisk nøkkel mellom to parter.
- Elliptic Curve Kryptografi (EØF). ECC gir lignende funksjonalitet som RSA, men bruker mindre viktige størrelser for å oppnå samme nivå av sikkerhet., ECC-kryptering systemer er basert på ideen om å bruke punkter på en kurve kombinert med et punkt på infinity og vanskeligheten av å løse diskret logaritmen problemer.
Access Control
Kryptering er en måte å sikre konfidensialitet; en annen metode er adgangskontroll. Det er flere tilnærminger til access control, som hjelper med taushetsplikt, hver med sine egne styrker og svakheter:
- Obligatorisk access control (MAC). I et MAC-miljø, all tilgang evner er forhåndsdefinert., Brukere kan ikke dele informasjon med mindre deres rettigheter til å dele den er etablert av administratorer. Følgelig, administratorer må gjøre eventuelle endringer som må gjøres for slike rettigheter. Denne prosessen krever en rigid modell av sikkerhet. Men, det er også ansett som den mest sikre cybersecurity modell.
- Skjønnsmessig Access Control (DAC). I en DAC modell, kan brukerne dele informasjon dynamisk med andre brukere. Metoden gir mulighet for en mer fleksibel miljø, men det øker risikoen for uautorisert offentliggjøring av informasjon., Administratorer ha en vanskeligere tid å sikre at kun aktuelle brukerne kan få tilgang til data.
- rollebasert tilgangskontroll (RBAC). Rolle-basert access control implementerer tilgangskontroll basert på jobben funksjon eller ansvar. Hver ansatt har en eller flere roller som gir tilgang til bestemt informasjon. Hvis en person flytter seg fra en rolle til en annen, få tilgang til tidligere rolle vil ikke lenger være tilgjengelig. RBAC-modeller gir mer fleksibilitet enn MAC-modell og mindre fleksibilitet enn DAC-modellen., De har imidlertid fordelen av å være strengt basert på jobben funksjon i motsetning til individuelle behov.
- Rule-Based Access Control (RBAC). Regel-basert access control bruker innstillingene i forhåndskonfigurert retningslinjer for sikkerhet for å ta avgjørelser om tilgang. Disse reglene kan settes opp til å:
- Nekte alle, men de som er spesielt vises i en liste (en tillat tilgang liste)
- Nekte bare de som er spesielt vises i listen (en ekte nekte tilgang liste)
Oppføringer i listen kan være brukernavn, IP-adresser, vertsnavn eller domenenavn., Regel-baserte modeller er ofte brukt i forbindelse med rolle-baserte modeller for å oppnå best mulig kombinasjon av sikkerhet og fleksibilitet.
- Attributt-basert access control (ABAC). ABAC er en relativt ny metode for tilgangskontroll som er definert i NIST 800-162, Attributt Basert Kontroll, Definisjon og Hensyn., Det er en logisk tilgangskontroll metodikk hvor tillatelse til å utføre et sett av operasjoner bestemmes ved å evaluere attributter assosiert med subjektet, objektet, om operasjoner, og i noen tilfeller, miljømessige forhold mot sikkerhetspolitikk, regler eller relasjoner som beskriver den tillatte operasjoner for et gitt sett av attributter.
- Programkort er vanligvis brukt for tilgangskontroll og sikkerhet formål. Selve kortet vanligvis inneholder en liten mengde minne som kan brukes til å lagre tillatelser og tilgang til informasjon.,
- En security token var opprinnelig en maskinvare som kreves for å få tilgang til, slik som trådløst nøkkelkort eller en nøkkel fob. Det er nå også programvare implementeringer av symboler. Tokener ofte inneholder et digitalt sertifikat som brukes til å autentisere brukeren.,
Integritet
Integritet har tre mål som bidrar til å oppnå data security:
- for å Forhindre endring av informasjon fra uautoriserte brukere.
- for å Hindre uautorisert eller utilsiktet endring av informasjon for autoriserte brukere.
- for å Bevare intern og ekstern konsistens:
- Intern konsistens — og Sikrer at dataene er internt konsistent., For eksempel, i et organisatorisk database, totalt antall elementer som eies av en organisasjon må være lik summen av de samme elementene som vises i den database som blir holdt av hvert element i organisasjonen.
- Ytre konsistens — og Sikrer at data som er lagret i databasen er konsistent med den virkelige verden. For eksempel, er det totale antallet elementer fysisk sitter på sokkelen må samsvare med totalt antall elementer som er angitt av databasen.,
Ulike kryptering metoder kan bidra til å sikre oppnå integritet ved å gi forsikring om at meldingen ikke ble endret under overføringen. Endring kan gjengi en melding uleselige eller, enda verre, unøyaktig. Tenk deg de alvorlige konsekvensene hvis endringer i medisinske journaler eller bedøve resepter ikke var oppdaget. Hvis en melding er tuklet med, kryptering system bør ha en mekanisme for å angi at meldingen har blitt ødelagt eller endret.
nummerering (Hashing)
Integritet kan også være verifisert ved hjelp av en hashing-algoritme., I hovedsak, en hash av meldingen er generert og lagt til på slutten av meldingen. Den mottakende part beregner hash av meldingen de fikk, og sammenligner det med hash de fikk. Hvis noe endret i transitt, hasher ikke vil matche.
Hashing er en akseptabel integritet sjekk for mange situasjoner. Imidlertid, hvis en avskjære part ønsker å endre en melding med vilje, og meldingen er ikke kryptert, så en hash er ineffektiv., Den avskjære part kan se, for eksempel, at det er en 160-bits hash knyttet til meldingen, noe som tyder på at det ble generert ved hjelp av SHA-1 (som er omtalt nedenfor). Deretter interceptor kan ganske enkelt endre meldingen som de ønsker, kan du slette den opprinnelige SHA-1 hash, og beregne en hash fra endret melding.
Hashing Algoritmer
hash-koder som brukes til å lagre data som er svært forskjellige fra kryptografiske hash-koder. I kryptografi, en hash-funksjon må ha tre egenskaper:
- Det må være en vei. Når du hash noe, kan du ikke unhash det.,
- Variabel lengde inngang produserer fast lengde utgang. Om du to hash-tegn eller to millioner, hash-størrelsen er den samme.
- algoritmen må ha få eller ingen kollisjoner. Nummerering to forskjellige innganger gir ikke samme effekt.
Her er hashing algoritmer og relaterte begreper du bør være kjent med:
- Sikre Hash-Algoritme (SHA). Opprinnelig kalt Keccak, SHA ble designet av Guido Bertoni, Joan Daemen, Michaël Peeters og Gilles Van Assche., SHA-1 er en en-veis hash som gir en 160-bits hash-verdi som kan brukes med en krypteringsprotokoll. I 2016, problemer med SHA-1 ble oppdaget; nå er det anbefalt at SHA-2 brukes i stedet. SHA-2 kan produsere 224, 256, 334 og 512 bit-hasher. Det er ingen kjente problemer med SHA-2, så det er fortsatt det mest brukte og anbefalte hashing-algoritme. SHA-3 ble utgitt i 2012 og er allment gjeldende, men ikke mye brukt. Dette er ikke på grunn av noen problemer med SHA-3, men heller det faktum at SHA-2 er det helt greit.
- Message Digest Algorithm (MD)., MD er en annen en-veis hash som skaper en hash-verdien som brukes til å bidra til å opprettholde integriteten. Det finnes flere versjoner av MD; de vanligste er MD5, MD4 og MD2. MD5 er den nyeste versjonen av algoritmen; det produserer en 128-bits kryptert. Selv om det er mer kompleks enn det MD forgjengere, og gir større sikkerhet, betyr det ikke har sterk kollisjon motstand, og dermed er det ikke lenger anbefales for bruk. SHA (2 eller 3) er den anbefalte alternativer.
- RASE Integritet Primitives Evaluering Message Digest (RIPEMD). RIPEMD var basert på MD4., Det var spørsmål om sin sikkerhet, og det har blitt erstattet av RIPEMD-160, som bruker 160 bits. Det finnes også versjoner som bruker 256 og 320-bits (RIPEMD-256 og RIPEMD-320, henholdsvis).
- GOST er en symmetrisk cipher utviklet i det gamle Sovjetunionen, som har blitt modifisert for å fungere som en hash-funksjon. GOST prosesser variabel lengde-postmelding til en fast lengde utgang på 256-bits.
- Før utgivelsen av Windows NT, Microsofts operativsystemer brukt LANMAN protokoll for godkjenning., Samtidig fungerer bare som en authentication protocol, LANMAN brukt LM Hash og to DES-tastene. Det ble erstattet av NT LAN Manager (NTLM) med utgivelsen av Windows NT.
- Microsoft har erstattet den LANMAN protokoll med NTLM (NT LAN Manager) med utgivelsen av Windows NT. NTLM bruker MD4/MD5 hashing algoritmer. Flere versjoner av denne protokoll er oppfylt (NTLMv1-og NTLMv2 -), og det er fortsatt i utstrakt bruk til tross for det faktum at Microsoft har kalt Kerberos sin foretrukne authentication protocol., Selv om LANMAN og NTLM både ansette nummerering de brukes først og fremst til hensikt å godkjenning.
- En vanlig metode for å verifisere integritet innebærer å legge en message authentication code (MAC) til meldingen. MAC-en er beregnet ved å bruke en symmetrisk cipher i cipher block kjeding modus (CBC), med bare den siste blokken som blir produsert. I hovedsak, det utgang av CBC brukes som resultatet av en hashing-algoritme. Imidlertid, i motsetning til en hashing-algoritme, den cipher krever en symmetrisk nøkkel som utveksles mellom de to partene på forhånd.,
- HMAC (hash-basert message authentication code) bruker en hashing-algoritme, sammen med en symmetrisk nøkkel. Derfor, for eksempel, to partene er enige om å bruke en MD5-hash. Når hash er utregnet, det er utelukkende ELLER vil (XOR) med fordøye, og at resulterende verdien er HMAC.
Baseline
å Etablere en baseline (konfigurasjon, baseline, systemer baseline, aktivitet baseline) er en viktig strategi for å sikre nettverk. Hovedsak, du finner en baseline som du anser som sikre for et gitt system, datamaskinen, programmet eller tjenesten., Absolutt, absolutt sikkerhet er ikke mulig — målet er sikker nok, basert på organisasjonens sikkerhet behov og risikoappetitt. Enhver endring kan være i forhold til referansebanen for å se om endringen er sikker nok. Så snart en opprinnelig plan er definert, blir neste trinn er å overvåke systemet for å sikre at det ikke har avveket fra den baseline. Denne prosessen er definert som integritet måling.
Tilgjengelighet
Tilgjengelighet sikrer at et system som er autoriserte brukere har rettidig og uavbrutt tilgang til informasjonen i systemet og nettverket., Her er metoder for å oppnå tilgjengelighet:
- rettferdig fordeling fordeling. Vanligvis kjent som lastbalansering, rettferdig fordeling fordeling gir mulighet for å fordele belastningen (fil forespørsler, data ruting og så videre), slik at apparatet ikke er altfor tynget.
- High-availability (HA). Høy tilgjengelighet refererer til tiltak som er brukt for å holde tjenester og informasjon systemer drift under strømbrudd. Målet for HA er ofte å ha sentrale tjenester tilgjengelig 99.999% av tiden (kjent som «fem niere» tilgjengelighet)., HA strategier redundans og failover, som er omtalt nedenfor.
- Redundans. Redundans refererer til systemer som enten er duplisert eller unnlater over til andre systemer i tilfelle feilfunksjon. Failover refererer til prosessen med å konstruere et system eller bytter over til andre systemer når en feil er oppdaget. I tilfelle av en server, server, brytere til en redundant server ved en feil er oppdaget. Denne strategien gjør at tjenesten kan fortsette uavbrutt frem til den primære serveren ikke kan gjenopprettes., I tilfelle av et nettverk, dette betyr at behandling skifter til et annet nettverk banen i tilfelle av nettverk feil i den primære vei.
Failover-systemer kan være dyrt å implementere. I et stort bedriftsnettverk eller e-handel miljø, en failover, kan det innebære å bytte all behandling til en ekstern plassering til din primære anlegget er i drift. Den primære nettstedet og det eksterne området vil synkronisere data for å sikre at informasjonen er så oppdatert som mulig.,
Mange operativsystemer, slik som Linux, Windows Server og Novell Open Enterprise Server er i stand til clustering å gi failover evner. Clustering involverer flere systemer er koblet sammen i fellesskap (som gir load balancing) og nettverk på en slik måte at hvis noen av systemene svikter, vil den andre systemer ta opp slakk og fortsette å operere. Den totale kapasiteten av server cluster kan redusere, men nettverket eller tjeneste vil fortsatt være i drift., Å sette pris på skjønnheten av klynging, tenke på det faktum at dette er teknologi som Google er bygget. Ikke bare clustering tillate deg å ha redundans, men det gir deg også muligheten til å skalere som etterspørselen øker.
de Fleste internett-Leverandører og nettverk tilbydere har en omfattende intern failover-evne til å gi høy tilgjengelighet for kundene. Forretnings-kunder og ansatte som er i stand til å få tilgang til informasjon eller tjenester har en tendens til å miste tillit.
trade-off for pålitelighet og troverdighet, selvfølgelig, er kostnad: Failover-systemer kan bli uoverkommelig dyre., Du trenger å studere dine behov nøye for å fastslå om systemet krever denne evnen. For eksempel, hvis miljøet krever en høy grad av tilgjengelighet, dine servere ikke skal være samlet. Dette vil tillate andre servere i nettverket for å ta opp lasten hvis en av serverne i klyngen mislykkes. - feiltoleranse. Feiltoleranse er evnen et system for å opprettholde operasjoner i tilfelle av en komponent feil. Feiltolerante systemer kan fortsette driften selv om en kritisk komponent, for eksempel en diskettstasjon, har mislyktes., Denne muligheten innebærer over-engineering systems ved å legge til redundante komponenter og delsystemer for å redusere risikoen for nedetid. For eksempel, feiltoleranse kan bygges inn i en server ved å legge til en ny strømforsyning, en annen CPU og andre viktige komponenter. De fleste produsenter (for eksempel HP, Sun og IBM) tilbyr feiltolerant servere, de vanligvis har flere prosessorer som automatisk mislykkes over hvis en feil oppstår.
Det er to viktige komponenter av feiltoleranse at du bør aldri overse: reservedeler og elektrisk kraft., Reservedeler må alltid være lett tilgjengelig for å reparere eventuelle system-kritiske komponenten hvis det skulle svikte. Redundans strategi «N+1» betyr at du har antallet komponenter du trenger, pluss ett for å koble til systemet dersom det skulle bli nødvendig. Siden datasystemer kan ikke operere i fravær av elektrisk kraft, er det viktig at feiltoleranse bli bygget inn i en elektrisk infrastruktur samt. På et minimum, en avbruddsfri strømforsyning (UPS) med overspenningsvern, bør følge hver server og arbeidsstasjon., At vinduer skal være klassifisert for den belastningen det er forventet å bære i tilfelle et strømbrudd (factoring i maskinen, skjermen og andre enheter som er koblet til det) og sjekkes med jevne mellomrom, som en del av forebyggende vedlikehold, rutine for å sørge for at batteriet er i drift. Du trenger å erstatte batteriet med et par års mellomrom for å holde UPS-drift.
EN UPS vil tillate deg å fortsette å fungere i fravær av makt for bare en kort varighet. For feiltoleranse i situasjoner som er av lengre varighet, vil du trenger en backup generator., Backup generatorer kjøre på bensin, propan, naturgass eller diesel og generere elektrisitet som trengs for å gi jevn strøm. Selv om noen backup generatorer kan komme på umiddelbart i tilfelle strømbrudd, de fleste tar kort tid å varme opp før de kan gi konsistente effekt. Derfor, vil du finne at du fortsatt trenger for å implementere ups-enheter i organisasjonen. - Redundant Array of Independent Disks). RAID er en teknologi som bruker flere disker for å gi feiltoleranse., Det er flere RAID-nivåer: RAID 0 (stripet disker), RAID 1 (speilet disker), RAID 3 eller 4 (stripete disker med dedikert paritet), RAID 5 (stripete disker med distribuert paritet), RAID 6 (stripete plater med dual paritet), RAID 1+0 (eller 10) og RAID 0+1. Du kan lese mer om dem i denne listen av data security beste praksis.
- Disaster recovery (DR) plan. En disaster recovery plan bidrar til en organisasjon svare effektivt når en katastrofe inntreffer. Katastrofer inkluderer systemfeil, nettverk feil, infrastruktur feil, og naturkatastrofer som orkaner og jordskjelv., En DR planen definerer metoder for å gjenopprette tjenester så raskt som mulig og beskytte organisasjonen uakseptable tap i tilfelle en katastrofe.
I en mindre organisasjon, en disaster recovery plan kan være relativt enkel og grei. I en større organisasjon, kan det omfatte flere anlegg, selskapets strategiske planer og hele avdelinger.
A disaster-recovery plan bør ta opp tilgang til og lagring av informasjon. Din backup plan for sensitive data er en integrert del av denne prosessen.
F. A. Q.
Hva er komponenter av CIA triaden?,
- Konfidensialitet: Systemer og data er tilgjengelig for autoriserte brukere.
- Integritet: Systemer og data er nøyaktig og fullstendig.
- Tilgjengelighet: Systemer og data er tilgjengelig når de trengs.
Hvorfor er CIA triade viktig å datasikkerhet?
Det endelige målet av data security er å sikre konfidensialitet, integritet og tilgjengelighet av kritiske og sensitive data. Prinsippene for CIA triade hjelper organisasjoner å skape en effektiv sikkerhet program for å beskytte sine verdifulle eiendeler.,
Hvordan kan CIA triade brukes i risikostyring?
i Løpet av risikovurderinger, organisasjoner måle risiko, trusler og sårbarheter som kan kompromittere konfidensialitet, integritet og tilgjengelighet av sine systemer og data. Ved å implementere sikkerhet kontroller for å redusere disse risikoene, de oppfyller ett eller flere av CIA triaden er sentrale prinsipper.
Hvordan kan data konfidensialitet bli svekket?
Taushetsplikt krever å hindre uautorisert tilgang til sensitiv informasjon., Tilgangen kan være tilsiktet, for eksempel en inntrenger å bryte inn i nettverk og å lese informasjonen, eller det kan være utilsiktet, på grunn av uforsiktighet eller inkompetanse av de som håndterer informasjonen.
Hvilke tiltak som kan bidra til å bevare data konfidensialitet?
En beste praksis for å beskytte data konfidensialitet er å kryptere alle sensitive og regulert data. Ingen kan lese innholdet i et kryptert dokument med mindre de har dekrypteringsnøkkelen, så kryptering beskytter mot både skadelig og utilsiktet kompromisser om taushetsplikt.,
Hvordan kan data integritet settes på spill?
Data integritet kan bli svekket både gjennom menneskelige feil og nettangrep som ødeleggende malware og ransomware.
Hvilke tiltak som kan bidra til å bevare data integritet?,
for Å bevare data integritet, må du:
- Hindre endringer i data fra uautoriserte brukere.
- Hindre uautorisert eller utilsiktet endring av data av autoriserte brukere.
- Sikre nøyaktigheten og konsistensen av data gjennom prosesser som feilkontroll og data validering
En verdifull beste praksis for å sikre data nøyaktighet er filen integritet overvåking (FIM)., FIM hjelper organisasjoner med å oppdage feil endringer i kritiske filer på sine systemer ved revisjon av alle forsøk på å få tilgang til eller endre filer og mapper som inneholder sensitiv informasjon, og sjekke om disse handlingene er autorisert.
Hvordan kan data bli ødelagt?
Trusler om tilgjengelighet omfatter infrastruktur feil som nettverk eller maskinvare problemer; uplanlagt programvare nedetid; infrastruktur overbelastning; strømbrudd, og nettangrep som DDoS-eller ransomware angrep.
Hvilke tiltak som kan bidra til å bevare data tilgjengelighet?,
Det er viktig å distribuere beskytter mot forstyrrelser for alle systemer som krever kontinuerlig oppetid. Alternativer inkluderer maskinvare redundans, failover, clustering og regelmessig sikkerhetskopier lagres i et geografisk skille beliggenhet. I tillegg, er det avgjørende å utvikle og teste en omfattende disaster recovery plan.
– >