信息安全

在传统的信息安全领域，存在三个基本的安全要素，这三个要素分别是：保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），简写为CIA。

这三个要素的基本定义如下。

保密性：指信息在存储、使用和传输过程中不会泄露给非授权方。

完整性：指信息在存储、使用和传输过程中不被非授权用户篡改、变更，同时防止授权用户对系统及信息进行非授权篡改，保持信息在整个过程中内外的一致性。

可用性：信息系统因其服务使命，必须在用户需要时，可以被正常访问。授权用户或实体对信息系统的正常使用不应被异常拒绝或中断，应当允许其可靠、及时地访问和获取信息及资源。高可用系统要求所有时间可用，要确保系统不因电源故障、硬件故障和系统升级等因素影响服务的可用性。

信息安全的三要素是对安全的概括和提炼。不同机构和组织，因为需求不同，对CIA的侧重也会有所不同。随着信息安全的发展，CIA经过细化和补充，增加了许多新的内容，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等。与CIA三元组相反的一个概念是DAD三元组，即泄露（Disclosure）、篡改（Alteration）和破坏（Destruction）。实际上DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。

CIA的核心三要素涉及软件（Software）、硬件（Hardware）和通信（Communications）三个方面，下图清晰地描述了信息安全三要素及相关领域范畴。

信息安全的三要素（引自维基百科）

从CIA理念出发，通过对信息安全范畴所有相关主题精炼整理得到了一个标准化的知识体系——公共知识体系（Common Body of Knowledge，CBK）。CBK包括10个知识范畴（Domain），对安全进行了全面的概括，具有极强的指导意义。下图对10个领域进行了简单的列举（不同出版物描述略有不同）。

CBK 10 Doamin（参考Handbook of Information Security Management）

以上10个范畴分别为：访问控制，电信、网络和互联网安全，风险管理和商务连续性计划，策略、标准和组织，计算机架构和系统安全，法律、调查和道德，应用程序安全，密码学，计算机操作安全，物理安全。