简述
网络安全的核心属性以机密性、完整性、可用性(CIA 三元组) 为基础,延伸出不可否认性、可控性、可审计性三大拓展属性,共同构成网络安全的核心防护目标。
核心属性(CIA 三元组,网络安全基石)
1. 机密性(Confidentiality)
定义:确保信息仅被授权主体访问,不被未授权人员泄露或窃取。核心目标:防止敏感数据(如密码、商业机密、个人信息)被非法获取。典型威胁:网络嗅探、数据泄露、权限滥用、窃听攻击。防护措施:采用加密技术(AES、RSA)、访问控制(权限分级)、VPN 隧道、数据脱敏。
2. 完整性(Integrity)
定义:保证信息在传输、存储过程中不被未授权篡改、伪造或破坏,保持原始状态。核心目标:确保数据真实可信,无篡改痕迹(如文件被修改、指令被篡改)。典型威胁:数据篡改、中间人攻击、恶意代码植入、协议伪造。防护措施:使用哈希校验(MD5、SHA-256)、数字签名、完整性校验码(MAC)、防篡改技术。
3. 可用性(Availability)
定义:授权主体在需要时能及时访问所需信息和资源,系统无过度延迟或中断。核心目标:保障业务连续运行,避免系统瘫痪或服务不可用。典型威胁:DDoS 攻击、硬件故障、软件漏洞、资源耗尽(如 CPU / 内存过载)。防护措施:部署负载均衡、容灾备份(异地多活)、DDoS 防护设备、故障自动切换。
拓展属性(实际应用中的关键补充)
1. 不可否认性(Non-repudiation)
定义:防止发送方或接收方事后否认已发生的操作(如数据发送、交易行为)。核心目标:明确责任归属,避免抵赖行为。典型威胁:交易抵赖、数据发送者否认操作、伪造操作记录。防护措施:使用数字签名、时间戳、操作日志留存、身份认证绑定。
2. 可控性(Controllability)
定义:对信息的访问、传输、使用过程进行全程管控,确保操作符合安全策略。核心目标:避免非法操作,掌控资源使用权限和流向。典型威胁:越权访问、违规传输数据、未授权设备接入。防护措施:网络准入控制(NAC)、防火墙规则、权限最小化配置、流量管控。
3. 可审计性(Accountability)
定义:所有网络操作(访问、修改、传输)都有日志记录,支持追溯源头和责任认定。核心目标:为安全事件溯源、合规审计提供依据。典型威胁:操作无记录、日志篡改、日志丢失。防护措施:开启系统日志 / 安全日志、日志集中存储(如 ELK)、日志加密备份、定期审计。
属性间的关联与平衡
关联性:六大属性相互支撑,缺一不可。例如,机密性需配合完整性(加密数据不被篡改),可用性需兼顾可控性(避免恶意占用资源)。平衡性:部分属性存在取舍,需结合业务场景优化。例如,高强度加密可能降低系统响应速度(影响可用性),需在机密性与可用性间找平衡。核心优先级:核心业务(如金融交易)优先保障机密性 + 不可否认性,基础服务(如公共网站)优先保障可用性 + 完整性。
典型场景下的属性优先级与防护方案(实操落地)
不同业务场景对网络安全属性的需求优先级不同,需针对性搭配防护措施,避免盲目投入:
敏感数据传输(如金融交易、个人隐私数据传输)
核心属性优先级:机密性 > 完整性 > 不可否认性关键防护方案:
传输层采用 TLS 1.3 加密(替代弱加密协议),敏感字段(如银行卡号)额外进行端到端加密(AES-256)。数据传输前后通过 SHA-256 哈希校验,接收方验证一致性,防止篡改。绑定数字签名 + 时间戳,确保交易行为可追溯,避免抵赖。
核心业务系统(如企业 ERP、数据库服务器)
核心属性优先级:可用性 > 完整性 > 可控性关键防护方案:
部署主备双机 + 异地灾备,配置故障自动切换(RTO≤1 小时),抵御 DDoS 或硬件故障。开启数据库审计日志,对表结构修改、敏感数据查询操作进行完整性校验(如使用数据库自带的行级锁 + 校验码)。实施权限最小化原则,仅授权必要岗位访问核心数据,禁用超级管理员远程登录。
公共 Web 服务(如官网、开放 API 接口)
核心属性优先级:可用性 > 完整性 > 可审计性关键防护方案:
前端部署 CDN+DDoS 高防,后端配置负载均衡,避免单点故障导致服务中断。启用 Web 应用防火墙(WAF),拦截 SQL 注入、XSS 等篡改请求,对静态资源(如页面、图片)配置防篡改校验。记录所有 API 调用日志(含请求 IP、参数、时间),留存 6 个月以上,支持异常行为追溯。
内网办公环境(如员工电脑、内部文件服务器)
核心属性优先级:可控性 > 机密性 > 可审计性关键防护方案:
部署网络准入控制(NAC),仅授权合规设备(安装杀毒软件、系统补丁)接入内网,禁止外来设备随意连接。内部文件传输采用企业级加密工具(如加密压缩包、专属传输软件),敏感文件设置访问权限(只读 / 编辑分级)。开启员工电脑操作日志、文件服务器访问日志,监控异常拷贝、外发行为,及时告警。
暂无评论内容