信息安全风险从本质上说只能根据CIA三角来进行分类吗？

Question

信息安全风险基本上只能根据CIA三角(机密性、完整性和可用性)进行分类，还是存在其他可能性？

Answer 1

还有很多其他的可能性.

请注意，中情局的三合会与其说是安全风险的模型，不如说是安全目标/目的的模型。批评常常因为过于简单化和不完整而被认为是错误的。因此，中情局的三合会有许多不同的模式和扩展。一个流行的选项是帕克勒六边形，它包括机密性、占有性、完整性、真实性、可用性和实用性。另一些已暗示则以真实性和不可否认性将其扩展到CIAAN模型。

如果您的主要目标是建立威胁风险模型，那么还有其他模型需要考虑--这些模型仍然可以与中情局的三合会联系在一起。例如，有一个步幅模型，它通过欺骗、篡改、否认、信息披露、拒绝服务和提升特权来分类威胁。下面是它与中情局的关系：

步幅是攻击者所能做的。工贸署是中情局的攻击版本：

• 维护者想要保密-攻击者使用信息披露
• 守护者想要正直-攻击者使用篡改
• 维护者需要可用性-攻击者使用拒绝服务。

但是，欺骗、否认和提升特权又如何呢？输入(现代)非线性攻击：

• 欺骗和提升特权是撬开大门的切入点。
• 否认是在最初的妥协和破坏中掩盖对手的轨迹。

(来源)