ในการรักษาความปลอดภัยข้อมูล เป็นชุดของแนวทางปฏิบัติที่มีจุดประสงค์เพื่อถ่ายทอดข้อมูลส่วนบุคคลที่ปลอดภัยจากการเข้าถึงและการแก้ไขที่ไม่ได้รับการอนุมัติตลอดการจัดเก็บหรือออกอากาศจากที่หนึ่งไปยังอีกที่หนึ่ง
ความปลอดภัยของข้อมูลได้รับการออกแบบและจำเป็นสำหรับการรักษาความปลอดภัยการพิมพ์ ดิจิทัล และข้อมูลส่วนบุคคล ข้อมูลที่ละเอียดอ่อน และส่วนตัวบางส่วนจากบุคคลที่ไม่ได้รับการอนุมัติ สามารถใช้เพื่อรับข้อมูลจากการใช้ในทางที่ผิด การยืนยัน การทำลาย การแก้ไข และการหยุดชะงัก
เป้าหมายหลักของการรักษาความปลอดภัยของข้อมูลมีดังนี้ -
การรักษาความลับ − เป้าหมายของการรักษาความลับคือมีเพียงผู้ส่งและผู้รับที่กำหนดไว้ล่วงหน้าเท่านั้นที่จะเข้าถึงองค์ประกอบของข้อความได้อย่างเพียงพอ การรักษาความลับมีการเจรจาว่าบุคคลที่ไม่ได้รับอนุญาตสามารถสร้างข้อความได้หรือไม่
ตัวอย่างเช่น อาจเป็นข้อความอีเมลลับที่ส่งโดยผู้ใช้ A ถึงผู้ใช้ B ซึ่งผู้ใช้ C แทรกซึมโดยไม่ได้รับอนุญาตหรือไม่ทราบ A และ B การโจมตีประเภทนี้เรียกว่าการสกัดกั้น
ความซื่อสัตย์ − เมื่อองค์ประกอบของข้อความถูกเปลี่ยนหลังจากที่ผู้ส่งส่งมันไปแล้ว แต่เนื่องจากมันถึงผู้รับที่ตั้งใจไว้ และอาจกล่าวได้ว่าหลักการของข้อความนั้นหายไป
ตัวอย่างเช่น ให้พิจารณาว่าผู้ใช้ A ส่งข้อความไปยังผู้ใช้ B และผู้ใช้ C แก้ไขด้วยข้อความที่ส่งโดยผู้ใช้ A โดยทั่วไป ซึ่งมีไว้สำหรับผู้ใช้ B เท่านั้น
ผู้ใช้ C จะจัดการเพื่อเข้าถึง แก้ไของค์ประกอบ และส่งข้อความที่เปลี่ยนแปลงไปยังผู้ใช้ B ผู้ใช้ B ไม่มีวิธีการทำความเข้าใจว่าองค์ประกอบของข้อความเปลี่ยนไปหลังจากที่ผู้ใช้ A ส่งไปแล้ว ผู้ใช้ A ไม่เข้าใจเกี่ยวกับการเปลี่ยนแปลงนี้เช่นกัน การโจมตีประเภทนี้เรียกว่าการปรับเปลี่ยน
มีจำหน่าย − เป้าหมายหลักของการรักษาความปลอดภัยของข้อมูลคือความพร้อมใช้งาน คือทรัพยากรต้องมีให้ฝ่ายที่ได้รับอนุญาตตลอดเวลา
ตัวอย่างเช่น เนื่องจากการกระทำโดยเจตนาของผู้ใช้ C ที่ไม่ได้รับอนุญาต ผู้ใช้ที่ได้รับอนุญาต A จึงไม่สามารถอนุญาตให้ติดต่อกับเซิร์ฟเวอร์ B ได้ การดำเนินการนี้สามารถล้มล้างหลักการของความพร้อมใช้งานได้ การโจมตีดังกล่าวเรียกว่าการหยุดชะงัก
การปฏิเสธข้อความ − Message nonrepudiation แสดงว่าผู้ส่งไม่ควรปฏิเสธที่จะส่งข้อความที่พวกเขาส่ง ภาระของข้อมูลถล่มบนเครื่องรับ
การตรวจสอบสิทธิ์เอนทิตี − ในการตรวจสอบเอนทิตี เอนทิตีหรือผู้ใช้เป็นของแท้ก่อนที่จะเข้าถึงทรัพยากรระบบ
ตัวอย่างเช่น ผู้ใช้ที่จำเป็นในการเข้าถึงแหล่งข้อมูลของมหาวิทยาลัยจำเป็นต้องได้รับการพิสูจน์ตัวตนในระหว่างขั้นตอนการบันทึก ซึ่งสามารถตอบสนองความสนใจของมหาวิทยาลัยและผู้ใช้งานได้
การควบคุมการเข้าถึง − เป้าหมายของการควบคุมการเข้าถึงเป็นตัวกำหนดว่าใครควรสามารถเข้าถึงสิ่งใดได้บ้าง
ตัวอย่างเช่น ควรสามารถอธิบายว่าผู้ใช้ A สามารถดูข้อมูลในฐานข้อมูลได้ แต่ไม่สามารถรีเฟรชได้ ผู้ใช้ A สามารถเปิดใช้งานเพื่อทำการอัปเดตได้เช่นกัน สามารถสร้างโครงสร้างการควบคุมการเข้าถึงเพื่อรองรับสิ่งนี้ได้