188BET足球

「CIA 资讯安全三要素」中的三個字母代表機密性、完整性和可用性。CIA 资讯安全三要素是常見的模型，構成安全系統開發的基礎。它們是用來尋找弱點和找出建立解决方案的方法。

資訊的機密性、完整性和可用性對公司的營運至關重要，CIA 资讯安全三要素將這三個概念分為不同的關注焦點。這種區分很有幫助，因為它有助於指導安全團隊，協助他們找出解決每種疑慮的不同方式。?

理想情況下，當這三個要素都達到標準時，公司资讯安全性會更強，並且更有能力處理威脅事件。

机密性与组织确保资料的机密或隐私有关。為此，必须控制对资讯的存取，以防止未经授权共用资料，无论是有意还是无意為之。维护机密性的关键要素，是谨慎防范未获得适当授权的人员存取对您的业务来说重要的资产。相对地，有效的系统也能确保需要存取权限的人员拥有必要的权限。

例如，在组织的财务部门工作的人员，应该能够存取试算表、银行帐户，以及与资金流向有关的其他资讯。然而，绝大多数的其他员工，甚至是某些高阶主管，都可能不会被授予这样的存取权限。為确保遵守这些政策，必须实施严格的限制，限制谁可以看到什麼内容。

有几种做法会损害机密性。这可能与直接攻击有关，攻击的目的是取得存取权，以查看攻击者无权查看的系统。也可能涉及攻击者企图直接侵入应用程式或资料库，以便取得资料或加以修改。?

这些直接攻击可能使用中间人攻击（惭滨罢惭）等技术，即攻击者将自己置於资讯流中以拦截资料，然后窃取或更改资料。有些攻击者会採取其他类型的网路间谍活动，以取得凭证的存取权。在某些情况下，攻击者会企图取得更多系统权限，以获得更高层级的许可。

然而，并非所有违反机密性的行為都是故意的。也可能是由於人為错误或安全控制不足而引起。例如，某人可能没有保护好他的工作站密码，或登入限制区域的密码。使用者可能和其他人共用他们的凭证，或允许其他人在他们输入时查看他们的登入资讯。还有一些情况，使用者可能无法正确加密通讯，让攻击者有机会拦截他们的资讯。此外，窃贼可能会窃取硬体，无论是整台电脑还是登入过程中所使用的装置，并用来存取机密资讯。

為对抗机密性的漏洞，您可以对受到限制的资料进行分类和标示、啟用存取控制政策、加密资料，以及使用多因素验证（惭贵础）系统。也建议确保组织内所有人员都具备所需的训练和知识，以辨识并避免危险。

完整性包括确保您的资料值得信赖，且不受窜改。只有在资料真实、準确且可靠时，才能维持资料的完整性。?

例如，如果贵公司在所属网站上提供资深经理的相关资讯，该资讯就必须具有完整性。如果资料不正确，造访网站获取资讯的人可能会觉得您的组织不值得信赖。可因贵组织声誉损害而获益者，可能就会企图骇入贵公司网站，并更改高阶主管的描述、照片或职称，以损害高阶主管或公司整体的声誉。

损害完整性通常是故意的。攻击者可能会绕过入侵侦测系统（滨顿厂）、变更档案设定以允许未经授权的存取，或变更系统保存的记录以隐匿攻击行為。完整性也可能因意外而受损。有人可能会不小心输入错误指令码，或犯下别的粗心大意的错误。此外，如果公司的安全政策、保护和程序不足，即使完整性遭破坏，组织中也没有任何人必须负责。

為了保护资料的完整性，您可以使用杂凑、加密、数位凭证或数位签章。针对网站，您可以採用值得信赖的凭证授权单位（颁础）来验证网站的真实性，让访客知道他们造访的是正确的网站。?

驗證完整性的一種方法是不可否認性，亦即某事無可置疑或無可否認。例如，如果貴公司的員工在傳送电子邮件時使用數位簽章，那麼电子邮件來自他們的事實就無可否認。此外，收件人也不能否認他們收到寄件者的电子邮件。