1.3　討論安全問題的模型

在討論安全問題時，擁有一種可作為基礎或基線的模型通常很有幫助。這能夠提供一套統一的術語和概念，供安全專業人員參考。

1.3.1　機密性、完整性和可用性三要素

信息安全中的三個主要概念是機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），通常稱為機密性、完整性和可用性（CIA）三要素，如圖1-1所示。

CIA三要素是一個可以用來思考和討論的安全概念的模型，有時也寫為CAI，或以否定的形式表述為泄露、篡改和破壞（DAD）。

1. 機密性

機密性是指保護我們的數據不被未經授權的人查看的能力。你可以在處理的多個層級上實現機密性。

例如，假設一個人正在從自動取款機取款，那么這個人會設法保持個人識別碼（Personal Identification Number，PIN）的機密性，因為只要有ATM卡，就可以憑借PIN從自動取款機中取款。此外，自動取款機的所有者將對賬號、余額和與提取資金的銀行通信的其他信息進行保密。銀行還將對與自動取款機的交易以及取款后賬戶余額的變化保密。

機密性可能會以多種方式被破壞。你可能會丟失一臺存有數據的筆記本電腦。當你輸入密碼時，有人可能會越過你的肩膀偷看。你可能會將電子郵件附件誤發給別人，或者攻擊者可能會侵入你的系統，等等。

2. 完整性

完整性是防止他人以未經授權或不受歡迎的方式更改數據的能力。為了保持完整性，你不僅需要有防止未經授權更改數據的方法，還需要具備撤銷有害的授權更改的能力。

在Windows和Linux等許多現代操作系統的文件系統中，有很好的機制來保持完整性。為了防止未經授權的更改，這些系統通常限制未經授權的用戶對指定文件執行操作。例如，文件所有者具有讀取和寫入的權限，而其他人可能只有讀取的權限，或者根本沒有訪問的權限。此外，部分系統和應用程序（如數據庫）允許你撤銷或恢復不想要的改動。

當涉及為其他決策提供基礎數據時，完整性尤其重要。如果攻擊者更改包含醫學測試結果的數據，醫生可能會開出錯誤的治療處方，可能會導致患者死亡。

3. 可用性

三要素的最后一部分是可用性?？捎眯允侵冈谛枰獣r訪數據的能力。例如，你可能會因為斷電、操作系統或應用程序問題、網絡攻擊或系統出現問題而失去可用性。當外部因素（如攻擊者）導致此類問題發生時，我們通常稱之為拒絕服務（Denial-of-Service，DoS）攻擊。

4. CIA三要素與安全的關系

結合CIA三要素，我們可以開始更為詳細地討論安全問題。例如，讓我們考慮運輸一批備份磁帶，上面存儲了現有唯一未加密的敏感數據。

如果在運輸途中丟失了物品，你就會面臨安全問題。由于你的文件未加密，因此可能破壞機密性。未加密也可能導致完整性出現問題。如果將來恢復磁帶，可能不會立即發現攻擊者是否更改了未加密文件，因為你無法很好地區分更改的數據和未更改的數據。至于可用性，除非恢復磁帶，否則你很可能面臨問題，因為你沒有備份文件副本。

雖然你可以運用CIA三要素相對準確地描述本例中的情況，但你可能會發現這個模型過于嚴格，無法描述整個情況。鑒于此，可參考Parkerian六角模型。

1.3.2　Parkerian六角模型

知名度相對較低的Parkerian六角模型是以Donn Parker的名字命名的，他在Fighting Computer Crime一書中介紹了這種模式，在經典的CIA三要素基礎上提供了更為復雜的變型。CIA三要素只包含機密性、完整性和可用性，而Parkerian六角模型在這三個原則的基礎上，增加了擁有（Possession）或控制（Control），以及真實性（Authenticity）和實用性（Utility）[3]，共6個原則，如圖1-2所示。

1. 機密性、完整性和可用性

正如我所提到的，Parkerian六角模型包括CIA三要素的3個原則，其定義與剛才討論的相同。Parker對完整性的描述略有不同，他沒有考慮授權但不正確篡改數據的情況。對他而言，數據必須是完整的，與之前的狀態沒有任何變化。

2. 擁有或控制

在Parkerian六角模型中，擁有或控制指的是存儲數據介質的物理處置情況。這樣，你能夠在不涉及可用性等其他因素的情況下，討論數據在其物理介質中的丟失情況。回到此前丟失備份磁帶的例子，我們假設其中一部分加密，而另一部分沒有。擁有原則將使你能夠更準確地描述事件的范圍；丟失加密磁帶涉及擁有問題而不是機密性問題，而未加密磁帶在這兩個方面都出現了問題。

3. 真實性

真實性原則可使你判斷有問題的數據是否來自正確的所有者或創建者。例如，如果你發送一封更改過的電子郵件，使其看似來自不同的郵件地址，而不是實際發送的地址，則會違反電子郵件的真實性。可以使用數字簽名來加強真實性，這將在第5章進一步討論。

不可否認性是與此類似但相反的概念，它阻止人們進行如發送電子郵件而后否認的行為。我會在第4章更詳細地討論不可否認性。

4. 實用性

實用性指的是數據對你的有用程度。實用性也是Parkerian六角模型中唯一一個在本質上不一定對立的原則。根據數據及其格式的不同，你可以得到不同程度的實用性。這個概念有一點抽象，但事實證明，在討論安全世界中的某些情況時確實很有用。

例如，在運輸備份磁帶的例子中，假設磁帶中有一部分加密，而另一部分未加密。對于攻擊者或其他未經授權的人來說，由于加密磁帶的數據不可讀，可能沒有用處。而由于攻擊者或未經授權的人能夠訪問未加密的磁帶數據，因此實用性更強。

CIA三要素和Parkerian六角模型中的概念為討論信息安全世界中可能出錯的所有方式提供了實踐基礎。通過這些模型，你可以更好地討論可能面臨的攻擊，以及需要采取哪些類型的控制措施來應對這些攻擊。