1.4 CIA原则

CIA原则包括保密性、完整性和可用性，旨在指导组织内信息安全政策的落地。为了避免与美国中央情报局（Central Intelligence Agency，CIA）混淆，该原则有时也被称为AIC三元素，特指可用性、完整性和保密性。

理论上，一个完整的网络安全保障体系应充分考虑CIA原则。CIA原则基于业务发展战略，以组织资产为核心，通过有效识别和授权使用资产，促进对组织的持续改进和调整，确保资产保密、可用和完整，最终实现对组织业务连续性的保障。

· C（Confidentiality，保密性）：意味着保护信息不被未经授权的人员或实体访问。反面例子是把Wi-Fi密码贴在会议室墙上，通过照片泄露出去。

· I（Integrity，完整性）：意味着保持数据准确无误且不被随意篡改。反面例子是银行账户余额被篡改，造成财产损失。

· A（Availability，可用性）：意味着确保系统或信息对授权用户一直处于可用状态。反面例子是政企受到了DDoS攻击，服务不可用。

总之，为了实现CIA原则，我们需要采用技术和管理相结合的策略。只有在技术的支撑下，管理措施才能发挥预期的效果。

CIA原则反映了一切攻防手段都是围绕着保密性（C）、完整性（I）、可用性（A）展开的，对应的攻击手段是DAD，即泄露（D）、篡改（A）、破坏（D），如图1-7所示。

通常来说，政企对于CIA原则中的三个元素并不是同等对待的，在发展初期，可用性的优先级较高；如果涉及金融业务，完整性的优先级较高；如果涉及To C等与个人隐私相关的业务，保密性的优先级较高。 g+wzd+yx7hXVLdFYDSIXVSq5kydSOFchkfwExdXvXfyuvB8oc6dnnO6Sr9NxzXyK