CIA 트라이어드 란 무엇입니까? CIA 인조 구성 요소를 정의
CIA 트라이어드가 널리 이용되는 정보는 보안 모델할 수 있는 가이드 조직”s 노력과 정책을 유지하는 목표로의 데이터 안전하다. 이 모델은 미국과는 아무런 관련이 없습니다., 중앙 정보부;오히려,이니셜 대한 세 가지 원칙에 infosec 달려있다:
- 기밀성:권한 있는 사용자만 및 프로세스에 액세스할 수 있어야 합니다거나 수정하는 데이터
- 완전성:데이터를 유지해야에서 올바른 상태로 누구도 할 수 있어야한 부적절하게 수정하거나 실수로거나 악의적으로
- 가용성: 권한 있는 사용자가해야 할 수 있는 데이터에 액세스할 때마다 그들은 이렇게 할 필요가 있
이러한 세 가지 원칙에 분명히 마음의 상단에 대한 모든 전문적인 인포섹., 하지만 고려하면 그들로 인조군은 보안 전문가 수행하는 힘든 일의 방법에 대해 생각하고 그들은 중복 될 수 있습니다 반대에서 다른 하나에서 도움이 될 수 있습니다 우선순위를 결정의 구현에 보안 정책입니다. 우리는”이 원칙들 각각을 잠시 더 자세히 논의 할 것이지만,먼저 트라이어드의 기원과 중요성에 대해 이야기하게하십시오.
누가 CIA 트라이어드를 만들었으며 언제?,
와 달리 많은 기본적인 개념에서 infosec,CIA 인조지 않”t 하는 것 단일 창조자 또는 제안자,오히려,그것은 등장하는 시간으로 문서의 지혜 사이에 정보 보안 전문가입니다. 사이버 보안 회사 인 Dragos 의 부사장 인 Ben Miller 는 블로그 포스트에서 트라이어드의 세 가지 구성 요소에 대한 초기 언급을 추적합니다., 공군 공부하며,아이디어의 무결성되었으로 배치 1987 종이는 인식에는 상업적 컴퓨팅에서 특히 특정 요구 주변의 회계기록하는 데 필요한 초점에 데이터의 정확성이 있어야 한다. 가용성은 더 열심히 하나 아래로 고정하지만,토론 주변에는 아이디어 상승에서 두각에서 1988 년 때 모리스 벌레,하나의 첫 번째 광범위한 조각의 악성 코드,노 상당한 부분의 배아 인터넷 오프라인입니다.또한 세 가지 개념이 세 다리가있는 대변으로 취급되기 시작했을 때 완전히 명확하지 않습니다., 그러나 그것만으로 설립된 기초적인 개념을 경우,1998 년 Donn Parker,그의 책에서 싸우는 컴퓨터 범죄,제안된 연장하여 여섯 요소 라는 프레임워크의 Parkerian Hexad. (우리는”이 기사의 뒷부분에서 헥사드로 돌아갈 것이다.)
따라서,CIA 트라이어드가 제공됩 위한 방법으로 정보 보안 전문가들이 생각하는 것에 대해 자신의 작업이 수반 이상이다., 사실의 개념은 일부 사이버 보안의식과”t”에 속하는”사람에게는 격려 많은 사람들이 학교에서의 개념 및 구현하 자신의 해석.
CIA 트라이어드가 중요한 이유는 무엇입니까?
사이버 보안의 기본 사항조차도 익숙한 사람이라면 왜이 세 가지 개념이 중요한지 이해할 것입니다. 그러나 그것들을 따로 따로하는 것이 아니라 연결된 아이디어의 트라이어드로 생각하는 것이 왜 그렇게 도움이됩니까?,
“의 교육에 대해 생각하는 CIA 트라이어드 방법으로 감각을 만들의 어리둥절하게 배열의 보안 소프트웨어,서비스 및 기법에 있는 시장입니다. 보다 단지 돈과 컨설턴트에서 막연한”문제”의”사이버 보안할 수 있습니다”라고 묻는 질문에 초점을 맞춘 우리로 계획하고 돈을 보내:이 도구들에게 우리의 정보를 더욱 안전합니까? 이 서비스가 데이터의 무결성을 보장하는 데 도움이됩니까? 우리의 인프라를 강화하면 데이터를 필요로하는 사람들이 더 쉽게 이용할 수있게 될 것입니까?,
또한,이 세 가지 개념을 삼중 체로 배열하면 많은 경우 서로 긴장되어 존재한다는 것을 분명히합니다. 우리는”것으로 깊이 파고 몇 가지 예는 순간에,그러나 몇 가지 대조은 분명:필요한 정교한 인증에 대한 데이터에 액세스할 수 있도록 그것의 비밀이지만,또한 의미할 수 있습은 사람들 중 일부를 볼 수있는 권리는 데이터를 찾을 수 있습니다 그것은 그렇게 어려운,따라서 감 availability., 유지 CIA 인조에서 마음으로 당신을 설정 정보 보안 정책을 강제 팀들에게 생산적인 의사 결정에는 세 개의 요소에 대한 가장 중요한 특정 세트의 데이터 및 조직에 대한 전체적으로.
CIA triad 예
는 방법을 이해하 CIA 인조에서 작동,연습,고려의 예 은행 ATM 을 제공할 수 있는 사용자가의 은행 잔액 및 기타 정보를 제공합니다.,는 도구는 세 가지 원칙의 트라이어드:
- 그 비밀을 제공하여 요구하는 인증(모두 물리적 카드 그리고 PIN 코드) 하기 전에 액세스할 수 있도록 데이터
- ATM 및 은행 소프트웨어에 적용하여 데이터 무결성을 보장하는 모든 전송 또는 청약철회를 통해 기계에 반영되어 있는 회계를 위한 사용자가”s bank account
- 기계 가용성을 제공하기 때문에 그것을”공공 장소에서 액세스할 수 있는 경우에도 은행의 지점은 닫힌
가 있지만”s 를 더 세 가지 원칙보다 그냥 무엇”s 있습니다., 다음은 일상적인 IT 환경에서 어떻게 작동하는지에 대한 몇 가지 예입니다.
CIA 인조 기밀 예
이 무엇을 많이 데려갔고 생각으로”사이버 보안”—기본적으로 아무것도에 대한 액세스를 제한하는 데이터에서 떨어지는 채점 기준표의 기밀을 유지합니다. 이 포함되어 있 infosec”s 는 두 개의 큰으로.
- 인증을 포함한 프로세스할 수 있는 시스템을 결정하는 경우에는 사용자가들이 활동하고 있습니다., 이러한 암호와의 갑옷을 사용할 수 있는 기법이 정체성 확립하기:생체 인식,보안,토큰 암호화 키과 같습니다.
- 인증을 결정하는 사람은 바로 액세스하는 데이터이다:그냥 때문에 시스템은 당신이 누군지 알고,그것이”t 반드시 오픈 그것의 모든 데이터의 열람! 하나의 가장 중요한 방법을 적용하는 기밀 유지하고 알아야하는 메커니즘에 대한 데이터 액세스는 사용자의 계정이 해킹되었거나 간 사람은 악성할 수 있는”t 는 타협 민감한 데이터이다., 대부분의 운영을 시스템을 적용하는 기밀이 감각을함으로써 많은 파일을 만 액세스 할 수 있으로 그들의 제작자 또는 관리자를 위해 인스턴스입니다.
공개 키 암호화는 광범위한 인프라를 적용하는 두로에 의해 인증하는 당신은 당신이 누구인지 말하는 암호화 키 설정한 당신의 오른쪽에 참여하는 암호화되 대화입니다.
기밀 유지는 비 기술적 수단으로도 시행 될 수 있습니다., 예를 들어,유지 데이터를 하드카피 뒤에 열쇠와 자물쇠 유지할 수 있는 비밀;수 있도록 공 갭 컴퓨터와 싸우는 사회적 공학 시도합니다.
기밀성 상실은 데이터를 본 사람이 본 것으로 정의됩니다. 메리어트 해킹과 같은 빅 데이터 유출은 기밀성 상실의 주요 사례입니다.
CIA 트라이어드 무결성을 예
기술 유지를 위한 데이터 무결성할 수 있는 걸쳐 많은 무엇을 고려할 것 서로 다른 분야입니다., 예를 들어,여러 종류의 방법이 보호를 위한 기밀성 또한 적용 데이터 무결성할 수 있”t 악의로 변경할 수 있는 데이터는”t 액세스를 모든 후. 우리는 또한 데이터 액세스는 규칙을 적용하여 대부분의 운영체제에서는 어떤 경우,파일을 읽을 수 있으로 특정 사용자만 편집할 수 있는 데이터 무결성을 유지하는 데 도움이와 함께 가용성입니다.그러나 데이터 무결성을 삭제하거나 변경하려고 시도하는 악의적 인 공격자를 넘어서는 다른 방법이 있습니다., 예를 들어,손상으로 새어 나온 데이터에서는 일반 RAM 로 결과의 상호작용으로 우주선이 훨씬 더 정기적으로 보다 당신은”d 생각합니다. 는”s 에 이국적인 스펙트럼의 끝,하지만 어떤 기법을 보호하기 위해 설계되었의 물리적 무결성을 유지하는 저장 매체를 보호할 수도 있습니다 가상의 무결성 데이터입니다.
하는 방법으로는 것에 대한 방어를 위반의 무결성을 의미하는 데 도움을 감지하는 데이터가 변경된 경우,데이터와 같은 체크섬,또는 복원이 그것을 좋은 상태로 알려진처럼,자주 실시하고 세심한 백업을 수행합니다., 침해의 무결성은 다소 적은 일반적 또는 명백한의 위반을 다른 두 가지 원칙이지만,포함 될 수 있습니다,예를 들어,을 변경하는 비즈니스 데이터에 영향을 의사 결정 또는 해킹으로 금융시스템을 간략하게 팽창시키는 값의 주식 또는 은행이 계정한 다음 빨아 떨어져 있습니다. 간단한—그리고 더 일반적—예를 들어에 대한 공격의 데이터 무결성이 될 것이 오손,공격에서는 해커가 웹 사이트를 변경”s HTML 파괴 그것은 재미를 위해 또는 이데올로기 이유입니다.,
CIA 인조 가용성을 예
가용성을 유지하고 자주 폭포의 어깨에 부서지 않을 강하게 연결된 사이버보안. 가장 좋은 방법은 당신의 데이터를 사용할 수 있는 것은 모두 유지하는 시스템 실행하고 있는지 확인들이”다시 처리할 수 있는 예 네트워크 부하. 이것이 유지하는 하드웨어를 그대로–날짜,모니터링을 대역폭 사용,제공 및 장애 및 재해 복구 용량의 경우에 시스템을 아래로 이동합니다.,
기타 기술을 이 원리를 포함하는 방법을 알아내는 균형을 가용성에 대하여 다른 두 가지 문제에 triad. 를 반환하는 파일 권한이 내장된 모든 운영 체제,의 아이디어는 파일을 읽을 수 있지만 편집하여 특정 사용자를 나타내는 방법의 균형을 경쟁 필요한 데이터를 사용할 수 있는 많은 사용자에도 불구하고 우리의 필요를 보호하기 위해 무결성이 있습니다.악의적 인 액터에 대한 가용성 손실의 고전적인 예는 서비스 거부 공격입니다., 어떤 방법으로,이것은 가장 폭력 행위 cyberaggression:당신은”다시 변경하지 않고 당신의 피해자”의 데이터 또는 몰래에 정보는 당신이 안된”t 이다;당신은”다시 그냥 그들을 압도 교통 수 있습니다 그들은 그래서”t 지 자신의 웹 사이트습니다. 그러나 DoS 공격은 매우 손상,그리고 가용성이 트라이어드에 속하는 이유를 보여줍니다.
CIA 인조를 구현
CIA 인조해야한 가이드로 당신의 씁니다 조직과 구현의 전반적인 보안 정책과 프레임워크., 기억을 구현하면 인조 아니다”t 의 문제를 구입하는 특정 도구;인조의 방법입니다 생각하고,계획,그리고 아마도 가장 중요한 것은,우선순위를 설정. 산업 표준을 사이버 보안 프레임워크에서 것과 같은 NIST(집중하는 많은 무결성에)통보하여 아이디어 뒤에 CIA 인조지만,각각은 그것의 자신의 특정 강조합니다.
넘어 트라이어드:Parkerian Hexad,그리고 더
CIA 인조도 중요하지만 그것은”t 성경,그리고 많은 인포섹 전문가들은 당신을 말할 것이다”t 덮개는 모든 것입니다., 에서 언급한 바와 같이,1998 년에는 멋있지 파커는 제안 육면하는 모델이었다 나중에 더빙 Parkerian Hexad 는 다음과 같은 원칙을 기반으로 합:
- 기밀성
- 소유 또는 통제
- 무결성
- 신뢰성
- 가용성
- 유틸리티
그것을”약간 오픈하는 질문지를 추가 세 개의 포인트는 정말 누르면 새로운 영역으로—유틸리티와 소유될 수 있 일괄 처리,가용성 에 대한 인스턴스입니다. 그러나 대안 모델로 주목할 가치가 있습니다.,
최종 중요한 원칙의 정보 보안하는”t 는 깔끔하게 맞 CIA 트라이어드가 아닌 부인하는 본질적으로는 사람이 없는 거짓을 거부하는 그들은 생성,변경,관찰,또는 전송되는 데이터입니다. 이것은 매우 중요에 법적인 상황을 때,예를 들어,누군가가 필요할 수 있음을 증명하는 서명은 정확하고,또는 메시지를 보냈는 사람이 누구의 이름입니다. CIA 트라이어드 isn”t 는 수-모든 및 최종-모든,하지만 그것은”당신의 infosec 전략을 계획하기위한 가치있는 도구입니다.