在信息安全领域,基本的安全性原则包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。 保密性指保护信息在使用、传输和存储时 (问题1) 。信息加密是保证系统保密性的常用手段。使用哈希校验是保证数据完整性的常用方法。可用性指保证合法用户对资源的正常访问,不会被不正当地拒绝。 (问题2) 就是破坏系统的可用性。
信息安全领域核心的CIA三要素为保密性、完整性与可用性。其中保密性的核心是保障信息在使用、传输、存储过程中仅对授权用户开放,判断标准是用户是否拥有访问权限而非是否注册,信息加密是实现保密性的常用技术手段;完整性可通过哈希校验等方法验证数据未被篡改;可用性则是确保合法用户能正常访问资源,DoS拒绝服务攻击是典型的破坏可用性的攻击方式,它通过发送大量无效请求耗尽系统资源,使合法用户无法正常访问。除此之外,XSS跨站脚本攻击、CSRF跨站请求伪造攻击、缓冲区溢出攻击这类手段,更多是针对信息的保密性或完整性发起破坏,并非直接作用于可用性。
本题考察的是信息安全的三大基本原则(CIA 三要素)。
问题1:
A选项不被泄露给已注册的用户:已注册的用户并不一定都具有访问权限,不能作为保密性的标准。错误。
B选项不被泄露给未授权的用户:保密性就是确保信息只对被授权的用户可见,不得泄露给任何未授权用户。正确。
C选项不被泄露给未注册的用户:未注册用户只是身份状态,并不等同于未授权用户。错误。
D选项不被泄露给已授权的用户:已授权用户本来就有权访问信息,禁止泄露给他们不符合逻辑。错误。
所以选择 B。
问题2:
A选项XSS 跨站脚本攻击:主要用于窃取用户信息、会话劫持,属于破坏完整性或保密性,不直接破坏可用性。错误。
B选项DoS 拒绝服务攻击:通过大量无效请求耗尽系统资源,使合法用户无法访问,直接破坏可用性。正确。
C选项CSRF 跨站请求伪造攻击:主要冒充用户执行未授权操作,破坏的是完整性和授权机制,不是主要的可用性问题。错误。
D选项缓冲区溢出攻击:主要用于突破系统控制或执行恶意代码,通常破坏完整性或保密性,不直接针对可用性。错误。
所以选择 B。