信息技术安全与防护指南（执行版）.docxVIP

信息技术安全与防护指南（执行版）

第1章信息技术安全基础概念与风险认知

1.1信息安全基本要素与CIA三元组

信息安全的核心在于“三要素”的平衡，即机密性（Confidentiality）、完整性（Integrity）和可用性（Availability），它们共同构成了信息安全的基石。例如，在银行核心交易系统运行期间，若未开启加密，客户账户的余额数据将瞬间暴露于网络攻击者手中，导致严重的金融欺诈事件。机密性意味着只有授权用户可以访问特定信息，防止未授权访问；完整性确保信息在存储、传输或处理过程中不被篡改或破坏，保持其原始状态；可用性则要求系统在需要时被正常访问，这是业务连续性的关键保障。

在CIA三元组中，机密性对应的是“保护”，完整性对应的是“检测与修复”，可用性对应的是“保护、检测和恢复”。例如，当网络防火墙检测到异常流量时，它执行的是完整性检测机制，而一旦检测到攻击意图，系统会自动切换到备用服务器以保证可用性。企业级安全架构通常遵循CIA的优先级顺序，即首先确保数据不泄露（机密性），其次确保数据不被修改（完整性），最后确保业务不中断（可用性）。例如，在采购流程中，供应商报价数据必须加密存储以满足机密性，同时系统需记录所有修改日志以验证完整性，并在系统宕机时自动切换至异地备份进行恢复。实际案例中，某电商公司在双十一促销期间因未对购物车数据实施强加密