信息安全的目标是保障产品里信息资产的保密性,完整性和可用性,简称为CIA。
保密性
保障信息资产不被未授权的用户访问或泄露。
完整性
保障信息资产不会未经授权而被篡改。
可用性
保障已授权用户合法访问信息资产的权利。
安全架构5A方法论
进行产品的安全架构设计或评估,有几个需要重点关注的逻辑模块,他们可以在逻辑上视为安全架构的核心元素。
- 身份认证:对用户身份进行认证。
- 授权:授予或拒绝某些客户访问资源的权限。
- 访问控制:权限的控制措施,以及是否放行的执行者。
- 可追溯:行程可以对数据的操作进行追溯的操作日志。
- 资产保护:信息的保密性,完整性,可用性保障。