一个有趣的安全概念是与CIA三要素(CIA Triad)相反的,那就是DAD三要素(DAD Triad)。披露(Disclosure)、篡改(Alteration)和销毁(Destruction)组成了DAD三要素。DAD三要素代表了CIA三要素安全保护的失败。当安全机制失败时,识别要寻找什么可能是有用的。当未经授权的实体访问敏感或机密材料时,就会发生披露,这是违反机密性(Confidentiality)的行为。当数据被恶意或意外更改时,就会发生更改,这违反了完整性(Integrity)。当资源被破坏或授权用户无法访问时就会发生破坏(技术上我们通常称之为后期拒绝服务(DoS)),这违反了可用性(Availability)。
在安全领域,DAD Triad 指的是披露(Disclosure)、篡改(Alteration)和销毁(Destruction),这是信息安全中的三种风险:
- 披露(Disclosure)
披露是指未经授权的情况下,敏感信息被公开或暴露给不应知晓的人。这可能通过黑客入侵、内部威胁或意外曝光发生。例如,数据泄露事件中,个人或机密信息被泄露,或是社交工程攻击中,用户被诱骗透露敏感细节。 - 篡改(Alteration)
篡改意味着未经许可改变数据的内容。攻击者可能修改数据、损坏文件或操纵记录以达到自身的目的。例如,财务记录可能被篡改以掩盖欺诈交易,或者关键系统设置可能被更改以干扰运营。 - 销毁(Destruction)
销毁涉及数据的有意或无意丢失,可能是由于删除、物理损坏或腐败。这可能源于恶意软件攻击、硬件故障、自然灾害或人为失误。数据销毁可能导致重要信息永久丢失或变得无法恢复。
为了降低这些风险,组织必须实施适当的安全控制和保障措施,确保数据的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
