CIA là từ viết tắt của ba khái niệm Confidentiality, Integrity và Availability. Mọi chính sách bảo mật đều được quy về mô hình bộ ba CIA.
Các cuộc tấn công sẽ cố gắng gây ra các thiệt hại tương ứng với bộ ba trên: Disclosure, Alteration và Destruction:
Confidentiality
Tính bảo mật: bảo vệ các thông tin bí mật khỏi những đối tượng không được phép truy cập. Nói một cách đơn giản, nó giúp xác định xem ai được phép và ai không được phép truy cập những thông tin nào đó.
Ví dụ: chúng ta sẽ không muốn để lộ mật khẩu mạng xã hội với người khác mà thay vào đó ta sẽ lưu các mật khẩu này vào một password manager đáng tin cậy để có thể quản lý mật khẩu tốt hơn.
Các cách đảm bảo tính bảo mật:
- Kiểm soát truy cập (access control) và phân quyền một cách đúng đắn.
- Mã hóa dữ liệu và tập tin.
- Yêu cầu sử dụng xác thực đa yếu tố (multi-factor authentication).
Integrity
Tính toàn vẹn: đảm bảo dữ liệu không bị thay đổi hay bị xóa. Chúng ta cũng cần phải đảm bảo rằng dữ liệu được backup nếu người dùng vô tình thay đổi hoặc xóa chúng.
Các phương pháp đảm bảo tính toàn vẹn:
- Backup dữ liệu thường xuyên.
- Sử dụng hàm băm mật mã (cryptographic hash) để kiểm tra sự thay đổi dữ liệu.
- Sử dụng các chữ ký điện tử để chứng minh cho tính toàn vẹn của dữ liệu.
Availability
Tính khả dụng: đảm bảo rằng dữ liệu nhất quán, liên tục và khả dụng đối với những người dùng có thẩm quyền.
Ví dụ: khi chúng ta đăng nhập vào tải khoản mạng xã hội thì có thể ta sẽ muốn chỉnh sửa cài đặt quyền riêng tư, ứng dụng cần phải hiển thị tất cả các cài đặt đó ngay lập tức và giảm thiểu thời gian chờ xuống thấp nhất có thể.
Các phương pháp đảm bảo tính khả dụng:
- Luôn theo dõi tình trạng của servers và các hệ thống mạng.
- Bảo trì phần mềm và phần cứng.
- Có kế hoạch phục hồi sau khi xảy ra sự cố (chẳng hạn sau khi bị DoS).