در خانه خود نشسته ايد ،
شخصي غريبه از پنجره داخل خانه شما را نگاه ميكند(no confidentiality)؛
دوست شما كه تعميركار راديو نيست عمداً يا سهواً راديوي شما را خراب مي كند(no integrity) ؛
كابل هاي برق منزلتان توسط موش جويده مي شود(no availability)؛
در سيستم هاي اطلاعاتي (Information Systems) هر كدام از اين سه مثال به يك مفهوم بسيار مهم در امنيت اطلاعات اشاره مي كنند كه با هم تشكيل مثلث CIA(Confidentiality,Integrity,Availability) را مي دهند (تصوير زير). در اين مقاله نگاهي کلي و مختصر بر مفاهيم CIA خواهيم داشت.
محرمانگي ( Confidentiality )
محرمانه نگه داشتن اطلاعات يكي از مهمترين اضلاع اين مثلث است. به عنوان مثال قصد خريد اينترنتي از يك وب سايت را داريد، براي اين منظور نياز به ارسال اطلاعات شخصي حساب شما براي وب سايت مورد نظر و يا موسسه مالي طرف قرارداد است؛ رمز كردن اطلاعات ارسالي شما، محدود كردن امكان دسترسي از طريق شبكه به محل ذخيره شدن اطلاعات شما در وب سايت مورد نظر و يا بانك اطلاعاتي موسسه مالي و يا محدود كردن دسترسي فيزيكي به سرورهاي نگهداري اطلاعات؛ محرمانه بودن اطلاعات حساب شما را تا حد زيادي تامين مي كند. ولي اگر شخصي به هر طريق به اين اطلاعات دست پيدا كند، محرمانگي نقض مي شود.
نقض محرمانگي مي تواند شكل هاي مختلفي داشته باشد، مثلاً فرض كنيد هنگام وارد كردن اطلاعات محرمانه در كامپيوتر، شخصي غيرمجاز اين اطلاعات را ببينيد؛ و يا كامپيوتر كيفي(laptop) يكي از كاركنان شركت كه حاوي اطلاعات مهمي بوده است دزديده شده و يا فروخته شود؛ و يا به علت عدم آموزش صحيح كاركنان شركت، شخص غير مجازي از طريق تلفن و با ارائه اطلاعات جعلي از هويت خود، اقدام به دريافت اطلاعات محرمانه از كاركنان ناآگاه شركت كند و ... .
بي نقصي ( Integrity )
در امنيت اطلاعات، جلوگيري از صدمات ناشي از تغييرات غيرمجاز در منابع اطلاعاتي به مفهومIntegrity اشاره مي كند.
پاك كردن اطلاعات مهم شركتي توسط يكي از كارمندان شركت چه سهواً و چه از روي بدخواهي باعث نقض شدن اين مفهوم مي شود. آلوده شدن يك كامپيوتر توسط ويروس، تغيير در مبلغ فيش حقوقي از طريق دسترسي غير مجاز به پايگاه اطلاعاتي بخش مالي، تغيير يك وب سايت توسط يك شخص غير مجاز، سوختن ديسك سخت (H.D) و نداشتن پشتيبان (back-up) از اطلاعات موجود در ديسك سخت مورد نظر، از مثال هاي است كه باعث نقضIntegrity مي شود.
در دسترس بودن ( Availability )
در تمام سيستم هاي اطلاعاتي، اطلاعات در مواقع لزوم بايد در دسترس باشند. يعني : سيستم هاي كامپيوتري كه اطلاعات را ذخيره پردازش مي كنند، سيستم هاي امنيتي كه از اطلاعات حفاظت مي كنند و كانال هاي ارتباطي كه دسترسي به اطلاعات را فراهم ميكنند مي بايست به درستي كار كنند.
به عنوان مثال، قطع شدن برق، مشكلات سخت افزاري به روز رساني هاي بي موقع و بدون لزوم نرم افزاري و حملات Dos (denial of service) از عواملي هستند كه باعث نقض Availability مي شوند.
