CIA Triad

CIA Triad은 정보 시스템의 3대 보안 목적을 나타내는 용어로, 컴퓨터 보안의 핵심 개념입니다. 이 용어는 정보 시스템 자원의 무결성, 가용성, 기밀성을 보존하는 것을 목표로 하고 있습니다.

컴퓨터 보안의 3요소 (정보 시스템의 3대 보안 목적)

기밀성

정보 접근과 공개에 대해 합법적인 제한 조건을 지키는 것이다 개인 프라이버시와 소유권에 대한 정보를 보호하는 수단이 포함 된다

기밀성이 파괴 되면 정보가 부정하게 공개 된다
데이터 기밀성 : 개인 정보나 기밀 정보를 부정한 사용자에게 이용/노출 되지 않도록 하는 것
프라이버시 : 개인이 자신과 관련 된 정보를 통제 할 권리

무결성

부적절한 정보 수정이나 정보 파괴를 막는 것이다 정보 부인 방지와 합법성을 확실히 하는 것도 포함 된다

무결성을 상실하면 정보가 무단으로 수정되거나 파괴 된다
규정에 따라 허가된 상태에서만 정보나 프로그램을 변경 할 수 있음
시스템이 의도했던 기능을 손상 되지 않은 채 그대로 수행하도록 하는 것
부정하게 시스템이 조작 되지 않은 상태로 수행하도록 하는 것

가용성

정보 사용에 있어 시간성과 신뢰성 있는 접근을 의미한다

가용성이 상실 되면 정보나 정보 시스템을 사용/접근이 불가능하다
시스템이 지체 없이 동작하고, 합법적인 사용자에게 서비스를 거절하지 않도록 하는 것
가용성을 떨어뜨리는 행위 또는 떨어지는 사건
DNS 쿼리를 계속 악의적으로 던지는 행위
인증을 하려는데 인증을 할 수 없음

보안 목적의 완전 표현을 위해서 CIA 트라이어드에 추가적인 개념이 필요하다

인증성

진짜라는 성질을 확인하고, 신뢰 할 수 있어야 한다 전송,메시지,메시지 출처의 유효성을 확신 할 수 있어야 한다.

사용자가 정말 그 사용자인지 확인 가능해야 한다

책임성

개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다 부인 봉쇄, 억제, 결함 분리, 침입 탐지 및 예방, 사후 복구와 법적인 조치 등이 포함 된다

진정으로 안전한 시스템을 만드는 것은 불가능하기에, 보안 침해의 책임이 있는 곳 까지 추적을 할 수 있어야 한다