聊聊网络安全保护机制的专业术语

今天再介绍几个专业术语：

CIA三元组

保密性（Availability）

也就是保障数据这类资源保密，不能被未授权的主体访问，防止数据泄露。我们日常做的身份认证、访问控制、数据分类和加密都是为保密性服务的。比如使用键盘输入记录工具窃取密码、窃听无线网络通信、欺骗用户向虚假网站提供个人信息的社交工程攻击都是属于对保密性的破坏。

完整性（Availability）

也就是数据这类资源可以被授权主体正确修改，但是不能被未授权的主体修改。我们日常做的身份认证、访问控制、入侵检测、数据加密、哈希校验都是为完整性服务的。

可用性（Availability）

也就是数据还有客体这类资源可以实时不间断的被授权主体访问。我们日常做的应急响应机制、数据备份、网络关键设备冗余部署、UPS供电、抗Dos设备、充足带宽都是为可用性服务的。

DAD三元组

其实我作为一个不算特别菜的老菜鸟，看到这词也觉得陌生。

Disclosure, Alteration, Destruction

泄露、改变、破坏

查了一下，就是这个意思咯。

那么这个DAD三元组和CIA三元组就是一个反着来的东西。

D泄露—反—C保密性

A改变—反—I完整性

D破坏—反—A可用性

AAA services （AAA服务）

AAA（authentication, authorization, and accounting/auditing）看上去还是有点印象，毕竟安全环境中还是很强调认证、授权、审计的。

不过在CISSP教材中，这个AAA虽然只有3个首写字母，代表的却有5个意思。

下面，我就上图一个个来说明一下：

Identification(身份标识)

身份标识不陌生吧，常用的账号（邮箱、手机、昵称）等都是身份标识。我们的生物识别信息，人脸和指纹等都是标识。首先要给信息系统输入标识，才能启动下一步的身份认证、授权和问责等过程。

Authentication(身份认证)

身份标识了还要认证，系统有一个身份认证的数据库，比如身份标识对应的密码这类，主体提供了身份标识还需要提供身份对应的认证因子（密码这些），比对成功才算主体身份验证成功了。

Authorization(授权)

授权也就是给每个登录进来的实体一些权限。比如，有些web应用是可以让管理员直接按照角色分配权限的。那么属于这个角色的账号就能访问修改一些特定数据。

Auditing（审计）

审计就是追踪和记录主体操作的，除此之外还需要记录系统功能的活动。不过也不用担心，操作系统、应用一般都有内置的日志记录功能，采用配置就可以实现，比如容易做到。

Accounting（问责）

问责，也就是当发生安全事件时，找到相应的责任人员，使其承担应该承担的东西。这个能否成功实施，在于身份认证的的能力。

比如，现在很多只是简单地使用账号密码的方式登录，那就很难问责了。因为这种账号+密码的方式很容易被攻击成功。据说有十来种攻击的方式（我只知道暴力破解，社会工程学、撞库）。不过，如果我们采用的是账号+密码+指纹，账号+智能卡+密码，这些双因素的认证，那这样的身份认证能力就很强了，那就很能问责。

真实性（authenticity)

信息是来自于真实来源，可以被完整性包括进去，但更强调是来自那个真实来源。

不可否认性（non-repudiation)

也就是不可否认做了某个操作。通过标识、身份认证、授权和审计，使得不可否认性成为可能。也使得发生安全事件时，可以问责。

安全边界

安全边界是一个在信息安全领域中非常重要的概念，它涉及到不同安全要求或需求的区域、子网或环境之间的分隔。

一般来讲，如果两个区域，一个是高安全区域，一个是低安全区域，我们就认为存在安全边界，需要控制边界的信息流（一般是一些设备接口点）。

THE END