什么是信息安全？

在技术层次上理解信息安全，要求人们了解一定的信息技术术语和概念，以便能更有效地与IT和信息安全专业人士打交道。

通常，安全被定义为免受危险的性质或者状态，也就是防备敌人和其他损害。例如，国家安全是一个保护主权、资产、资源和人民安全的多层次的系统。一个组织机构要达到一定的安全水平也有赖于一个多层次的系统。

安全通常通过一系列安全策略来获得，这些策略同时作用或者相互结合在一起。每个策略有它自己的侧重点和适用范围，但它们都拥有一些共同的要素。从管理角度看，每一个策略都必须被正确地规划、组织、配备人员、指导和控制。安全专业领域包括以下的例子：

物理安全，包括为人员提供保护、使有形资产和工作场所免受火灾、防止未授权访问和自然灾害等等。

个人安全，在保护机构内的人员时与物理安全重叠。

操作安全，致力予保护组织机构正常的业务运作，使其不受干扰或威胁。

通信安全，包括保护一个组织机构的通信媒体、技术和资料，及使用这些工具来达到目标的能力。

网络安全，致力于保护一个机构的数据通信设备、连接以及使用网络实现数据通信的功能。

以上各点共同组成了一个完整的信息安全项目。

本书信息安全的定义是基于美国国家安全系统委员会( CNSSCommittee on Nadonal Security Systems)发布的标准。该委员会以前被称为国家安全通信以及信息系统安全委员会(NSTISSCNational SecuriW Telecommunications and Information Systems Security Committee)。信息安全(InfoSec)就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件。图1-1显示信息安全包括一个广阔的范围：信息安全管理（本书的题目）、计算机与数据安全以及网络安全。信息安全的核心内容是有关信息安全策略的概念（将在第章详细讨论）。策略、意识提升、培训、教育以及技术都是保护信息以及让信息系统远离危险的至关重要的概念。CNSS信息安全模型的基础是C.I.A.三角（conficlentialityintegrityand availability机密性、完整性、可用性），自从开始开发信息安全框架以来，它一直都是计算机安全行业的标准。

I-l信息安全范围

信息具有个特性--机密性、完整性及可用性，C.I.A.三角即是建立在此基础之上。到如今这个特性仍然像它们刚被提出时一样重要。但是，仅具有其中的某一个是不能满足时代需求的，因为它们各自都被局限在一个特定范围内而不能满足IT界不断变化的环境。对信息这种特性的威胁已经发展成一大堆潜在的危险，包括无意或蓄意的损害、毁坏、窃取，不经意的或未经授权的修改，或其他人为错误或威胁。新环境伴随着变幻无常的威胁，这就要求开发出更加健壮的信息特征模型，这种新的模型将刻画当前信息安全环境以及日新月异的现代信息技术工业所面临的复杂性。因此，C.I.A.三角已经扩展成一个更加全面地涵盖了信息的关键特征的清单，这些将在本章后面部分讲述。