信息安全
Information Security
键盘记录程序拦截用户密码并用于修改用户帐户,这是否违反了机密性、完整性或可用性或它们的某些组合?
截获密码是机密性的损失。
修改用户帐户是完整性的损失,并且根据更改的性质,还可能导致可用性的损失。例如,如果密码被更改,使得合法用户无法访问他们的帐户。
您无法从您的描述中看出它是否也会导致失去可审核性。
A Keylogger program intercepts user password
场景 1:
您的朋友邀请您将他的笔记本电脑用于您正在进行的项目。它要求您登录您的邮件帐户和其他重要资源。完成后,你的朋友在后台打开已经运行的键盘记录程序并读取生成的日志。
这明显违反了 CIA 三合会的机密性和完整性。
您的朋友还决定使用您的凭据登录,目的是更改密码并阻止您访问您的帐户。
这会降低(或)完全否定资源的可用性。
场景 2:
您作为技术培训生加入一家 IT 公司。在阅读他们制定的所有政策并向他们 signing/Agreeing 后,您将成为公司的员工。在加入的第一周,您将获得登录凭据。公司要求您不要使用您的个人邮件帐户,以便他们可以对其内部资产保密。该公司在所有系统上运行键盘记录器并经常监控日志。 IT 政策支持这种键盘记录案例,并且您之前已经签署。
这种情况不会违反 CIA 三合会(机密性、完整性和可用性)
实际上,第二种情况非常随意(我的经验)适用于任何谨慎的 IT 企业设施,这些设施的内部资产受到损害的风险更大。但要确保组织提前将键盘记录、信息公平使用和其他文件保存到位,并且员工了解这些政策。
键盘记录程序拦截用户密码并用于修改用户帐户,这是否违反了机密性、完整性或可用性或它们的某些组合?
截获密码是机密性的损失。
修改用户帐户是完整性的损失,并且根据更改的性质,还可能导致可用性的损失。例如,如果密码被更改,使得合法用户无法访问他们的帐户。
您无法从您的描述中看出它是否也会导致失去可审核性。
A Keylogger program intercepts user password
场景 1:
您的朋友邀请您将他的笔记本电脑用于您正在进行的项目。它要求您登录您的邮件帐户和其他重要资源。完成后,你的朋友在后台打开已经运行的键盘记录程序并读取生成的日志。
这明显违反了 CIA 三合会的机密性和完整性。
您的朋友还决定使用您的凭据登录,目的是更改密码并阻止您访问您的帐户。
这会降低(或)完全否定资源的可用性。
场景 2:
您作为技术培训生加入一家 IT 公司。在阅读他们制定的所有政策并向他们 signing/Agreeing 后,您将成为公司的员工。在加入的第一周,您将获得登录凭据。公司要求您不要使用您的个人邮件帐户,以便他们可以对其内部资产保密。该公司在所有系统上运行键盘记录器并经常监控日志。 IT 政策支持这种键盘记录案例,并且您之前已经签署。
这种情况不会违反 CIA 三合会(机密性、完整性和可用性)
实际上,第二种情况非常随意(我的经验)适用于任何谨慎的 IT 企业设施,这些设施的内部资产受到损害的风险更大。但要确保组织提前将键盘记录、信息公平使用和其他文件保存到位,并且员工了解这些政策。