D1-01 5–8 分钟 重要程度:高

CIA 与 DAD

CIA 是安全目标,DAD 是 CIA 被破坏后的相反结果。考试常用它们判断控制目的。

一、必须记住

  • 保密性(Confidentiality)关注防止未授权披露。
  • 完整性(Integrity)关注防止未授权修改,保证数据可靠和正确。
  • 可用性(Availability)关注授权用户能及时可靠访问资源。
  • DAD 分别是 Disclosure、Alteration、Destruction,对应 CIA 的破坏。

二、核心概念

保密性(Confidentiality)

目标是阻止或最小化未授权访问和披露。常见控制包括加密、访问控制、数据分类、流量填充和人员培训。

完整性(Integrity)

目标是防止未授权修改,也防止已授权主体执行未授权的修改。保护完整性的控制包括散列、数字签名、访问控制、变更管理、日志和审计。

可用性(Availability)

目标是确保授权用户能及时可靠地访问系统和数据。DoS、资源不足、误删除、配置错误和灾难都会破坏可用性。

三、CISSP 判断规则

  • 题目问“泄露”优先对应保密性。
  • 题目问“篡改、错误、未经授权修改”优先对应完整性。
  • 题目问“无法访问、停机、DoS”优先对应可用性。
  • 控制类型要看控制目的,不只看技术名称。

四、常见陷阱

  • 加密主要保护保密性,但在某些场景也可辅助完整性;不要机械套用。
  • 完整性被破坏后,保密性和可用性也可能被间接影响。
  • DAD 拼写常见为 Disclosure、Alteration、Destruction。

五、英文关键字

Confidentiality (保密性) Integrity (完整性) Availability (可用性) Disclosure (泄露 / 披露) Alteration (篡改 / 更改) Destruction (破坏 / 销毁) CIA (保密性、完整性、可用性) DAD (泄露、篡改、破坏)

小测验

1. 数据库记录被授权用户误改,最直接破坏的是哪一项?

误改导致数据不可靠,最直接破坏完整性。即使用户已授权,执行了未授权或错误修改仍属于完整性问题。

2. DDoS 攻击最主要影响 CIA 中的哪一项?

DDoS 让授权用户无法及时访问服务,主要破坏可用性。

3. Disclosure 对应 CIA 中哪一项的破坏?

Disclosure 是未授权披露,直接对应保密性被破坏。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成