键盘记录程序拦截用户密码并用于修改用户帐户,是否违反机密性、完整性或可用性或它们的某些组合?
问问题
478 次
2 回答
0
截取密码是对机密性的损失。
修改用户帐户会丧失完整性,并且根据更改的性质,还可能导致可用性丧失。例如,如果密码被更改,合法用户无法访问他们的帐户。
您无法从您的描述中看出它是否也会导致可审计性的丧失。
于 2016-08-30T08:57:32.870 回答
0
键盘记录程序拦截用户密码
方案 1:
您的朋友邀请您将他的笔记本电脑用于您正在进行的项目。它要求您登录您的邮件帐户和其他关键资源。完成后,您的朋友会打开一直在后台运行的键盘记录程序并读取生成的日志。
这明显违反了中央情报局三合会的机密性和完整性方面。
您的朋友还决定使用您的凭据登录,目的是更改密码并阻止您访问您的帐户。
这减少(或)完全否认资源的可用性。
方案 2:
您以技术实习生的身份加入 IT 公司。在阅读他们制定的所有政策并签署/同意他们之后,您成为公司的员工。在加入的第一周,您将获得登录凭据。公司要求您不要使用您的个人邮件帐户,以便他们对其内部资产保密。该公司在所有系统上运行键盘记录器并经常监控日志。IT 策略支持这种键盘记录情况,并且您之前已对其进行了签名。
此类案件不违反 CIA 三合会(机密性、完整性和可用性)
实际上,对于任何谨慎的 IT 企业机构来说,第二种情况是非常随意的(我的经验),他们的内部资产受到损害的风险更大。但请确保组织提前将键盘记录、信息公平使用和其他文件保存在适当的位置,并且员工了解这些政策。
于 2017-05-23T13:13:05.643 回答