沃伦·阿克塞尔罗德(Warren Axelrod)在最近的一篇文章中指出,可用性是这些安全性中最重要的因素,比完整性和机密性更为重要– CIA应该是AIC 。
我不同意
保护客户数据以及敏感的业务数据和系统资源的机密性是信息安全的关键优先事项。 这是您首先应考虑的安全性。
通过防火墙,网络工程和操作强化以及访问控制,数据验证和编码,审计,数字签名等来保护数据和系统的完整性是信息安全的另一个关键优先事项。
可用性是一个问题,不是安全问题
Axelrod指出,如果系统不可用,则保护数据的机密性还是完整性无关紧要,这是事实。 但是可用性已经是应用程序架构师和操作工程师的责任。 他们的工作是设计和构建可处理负载波动和故障的可扩展应用程序,以及设计和运行对负载和故障具有同等弹性的技术基础架构。 系统的可用性是衡量其成功的关键方法之一,也是获得报酬以照顾他们的主要内容之一。
系统和数据的可用性是一个发展问题,需要应用程序开发人员以及架构师和运营工程师共同努力。 我看不到安全专家在确保可用性方面可增加价值的地方-可能会帮助架构师和工程师了解如何保护自己免受DDOS攻击,这可能是一个例外。
关于可用性,我希望詹姆斯·汉密尔顿 ( James Hamilton) , 迈克尔·尼加德 ( Michael Nygard)和约翰 ·奥尔斯帕 ( John Allspaw)之类的人提供指导和解决方案,而不是应用程序安全专家。
在信息安全方面,CIA应该是C和I,而A则要少一点-而不是相反。
参考: 这是我们的JCG合作伙伴 Jim Bird在Building Real Software博客上的关于机密性和完整性(不是那么多的可用性) 。
翻译自: https://www.javacodegeeks.com/2012/07/its-about-confidentiality-and-integrity.html