0X01 背景
在CNVD平台上提交了一个垃圾洞,被评级了中危,这里评估漏洞的参数有六个,攻击路径和复杂度和认证很好理解,剩下三个便是CIA【信息安全面试题会经常刷到的】,于是从自己职业出发,思考下CIA对自己职业的作用
0X02 研究
1.信息安全三要素CIA:
机密性(Confidentiality)完整性(Intergrity)可用性(Availability)
2.案例分析:
以一家公司的监控系统为例,这家公司的监控室里含有公司会议室,餐厅,办公室,机房,电力控制室的监控。
何谓机密性:
作为这家公司的安全负责人,你肯定不希望除了自己和公司的老板以外的人,可以查看公司的监控,这里的监控系统就需要具备机密性这个属性。
做到这点很简单,可以让公司网络工程师A给自己办公室分一个IP地址192.168.1.5,同时给监控系统分一个IP地址192.168.1.6,并在192.168.1.6的主机上做网络限制,只有192.168.1.5可以访问。
同时严谨的你一定会在监控系统上设置了密码认证和手机信息认证,这样即便有人偷偷潜入你的办公室,用笔记本连接了你的办公室网线也会因为无密码和手机信息校验从而无法登录监控系统。
何谓完整性:
当你坐在监控室里看监控时,你发现自己只能看到会议室、餐厅、机房、电力控制室的监控,无法看到办公室的监控,原因是办公室的某个坏小子为了摸鱼,将办公室的监控线路用剪刀剪断了,这时候这个监控系统就出现了完整性的问题,即一个系统的信息的完整性被破坏了。
显然,为了保护监控系统的完整性,你决定以后将监控线路嵌入墙体内部,这样坏小子如果想物理切断线路,就必须用锤子把墙壁砸开,显然在办公场合这么做会被轻易发现,进而监控系统的完整性得到了保护。
何谓可用性:
每到夏天用电的晚间高峰期时,国家限电,这时候公司决定将除了厂房以外的电力全部切断,这时候你的监控系统就出现了可用性的问题。
于是,你决定监控系统的电源采用内置额外电源,可以保证至少一周的独立用电,这样即便用电高峰期停电了几小时,公司内的监控系统依旧能正常运行。
3.CIA的作用:
作为一名安全工程师,你一定会去评估公司内多个系统的安全性,这时候CIA就可以作为一个评估的标准帮助你做出更为理性的判断。
同时,从CIA出发,我们也可以对公司业务系统的漏洞危害性进行评级,像CNVD那样。