文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

数据隐私不仅仅是指机密性

2024-12-24 20:43

关注

[[313026]]

了解“CIA数据安全三要素”

越来越多的安全专家开始关注“CIA三要素”:机密性(confidentiality)、完整性(integrity)和可用性(availability)。对于数据安全来说,这三点最为重要。

根据InfosecInstitute的说法,机密性(目前仍然是数据隐私的重点)是指通过结构化的分类分级指南,来规范个人和第三方机构对个人数据的访问权限。

完整性是指“确保信息从源头传输到目的地的过程中不被篡改(即活动的数据),还包括存储的信息也不被篡改(即静止的数据)。”可用性则是指“确保机构的数据服务是可用的”。

威胁到可用性的典型案例是DoS和勒索软件攻击,这两种攻击都会阻止用户访问文件或网站。

威胁到完整性的典型案例是,威胁源操纵用户账户并篡改其中的信息,例如更改银行账号,这样一来,即使用户的信息没有被盗,也已经不再准确。施奈尔在SpiceWorld大会上说,物联网(IoT)以前所未有的方式将人和机器互联起来,这对数据的完整性和可用性带来了很大的威胁,远超过机密性面临的威胁。“此类威胁影响到受害者的生命和财产安全,可能会造成更加严重的后果。”他说,“比如,虽然我很担心黑客会侵入医院网络并窃取我的就诊记录,但我更担心他们会篡改我的血型”。

转变对数据隐私的理解

在过去的几年中,最严重的安全事件都围绕着数据机密性问题。网络犯罪分子能够窃取***信息、姓名、出生日期、社保号,甚至诸如指纹等生物识别信息——这些信息都保存在政府工作人员的安全审查文件中。

考虑到目前的网络环境,当消费者的数据机密性受到损害时,他们会感到不安也就不足为奇了。诸如《通用数据保护条例》(GDPR)和美国加州《消费者隐私法案》(CCPA)等隐私法规,旨在保护信息的机密性,同时将信息的控制权移交给其合法的所有者——消费者。

GDPR还规定,即使发生安全事件,公司也要保证数据的可用性。施奈尔指出,数据隐私不仅涉及消费者数据(关于消费者个人身份的信息),还涉及汽车、家用恒温器、无人机、智慧城市、医疗设备、关键基础设施和军用系统等(即任何能够联网并生成数据的设备)产生的数据。

“我们开始看到针对关键系统的DDoS攻击,以及针对联网汽车的勒索软件攻击。”施奈尔说。

我们必须认识到,针对CIA三要素中每个要素的攻击会带来什么影响。医院用来处理患者信息的电子病历系统崩溃会导致患者数据丢失,但患者使用的联网起搏器崩溃则可能会危及患者的生命,显然这两者(均指可用性)之间存在着根本性的区别——因此我们应该为安全策略确定相应的优先级。如果数据的完整性和可用性更加重要,我们可以设计安全系统来应对潜在的漏洞和攻击向量。

通过备份和审计来保护数据完整性

如果文件难以访问,那么它们就会更加难以处理。因此,保护数据的完整性涉及机密性的多个方面。数据完整性的一个关键方面是:确保信息是准确的、未被篡改的。

在保护数据完整性方面,备份至关重要。在发生疑似网络安全事件之后,可以将现有文件与之前备份的文件进行对比,以确定文件是否遭到了篡改。

对数据进行定期审计,也有助于各机构了解数据是否发生了变化。当信息应该保持不变时,是否发生了变化?是否出现了规律性的变化?是否出现了不寻常的变化?

各机构对数据越了解,就能更好地保护其完整性。此外,接触数据的人越少越好。访问或编辑数据的员工太多,会增加某人犯错且未能被及时发现的可能性。

数据可用性极其重要

数据可用性旨在确保发生攻击事件后可以快速访问相关信息。同样,我们可以通过可靠的备份或数据丢失恢复系统,来确保数据的可用性。

各机构需要考虑其数据的可用性是否存在风险。例如,是否存在勒索软件攻击风险?是否存在DDoS攻击风险?基础设施是否过于老旧,无法防御自然灾害或黑客攻击?

数据备份有助于应对数据可用性风险。在不同地区设立数据中心、采用可以在几分钟内恢复网站可访问性的云服务、开展降低勒索软件攻击风险的工具和意识培训,都有助于降低数据丢失风险。

由于网络世界的互联性日益增强,机密性已经不再是数据隐私的唯一方面。保护好数据的机密性、完整性和可用性,不仅对隐私保护至关重要,甚至可能导致生与死的差别。

根据《著作权法》“改编、翻译、注释、整理已有作品而产生的作品,其著作权由改编、翻译、注释、整理人享有,但行使著作权时不得侵犯原作品的著作权。”的规定,任何组织、公司及个人在未经译者允许的情况下,不得转载、使用、发布此文件,如需请联系作者。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯