1.1.2 信息安全

截至目前，信息安全还没有统一的定义，以下分别是国际标准化组织（ISO）、美国国家安全电信和信息系统安全委员会（NSTISSC）、欧盟、信息安全专家给出的定义。

定义1-1 ISO对信息安全的定义：对数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。

定义1-2 NSTISSC对信息安全的定义：对信息、系统以及使用、存储和传输信息的硬件的保护，是所采取的相关政策、认识、培训和教育以及技术等必要的手段。

综上，从信息安全涉及的内容出发，信息安全是确保存储或传送中的数据不被他人有意或无意地窃取与破坏。信息安全包括：

• 信息设施及环境安全，包括建筑物与周遭环境的安全。

• 数据安全，确保数据不会被非法入侵者读取或破坏。

• 应用安全，重视软件开发过程的品质及维护。

• 系统安全，维护计算机系统正常运作。

美国军方将信息安全问题抽象为一个由信息系统、信息内容、信息系统的所有者和运营者、信息安全规则等多个因素构成的多维问题空间。

定义1-3 欧盟在《信息技术安全评估准则》中对信息安全的定义：在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将威胁所存储或传输的数据以及通过这些网络和系统所提供的服务的可用性、真实性、完整性和机密性。

定义1-4 信息安全专家对信息安全的定义如下：

• 信息安全是在充分的知识和经验保证下的信息风险与控制的平衡（James Anderson）。

• 保护信息和信息系统不被未经授权地访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性（沈昌祥院士）。

基于以上信息安全的定义可知，信息安全是指在可信的时空空间内，信息系统的硬件、软件和数据等资源不因偶然和恶意的原因而遭到破坏、更改和泄露，保障系统连续正常运行，信息服务不中断；信息安全的本质和目的就是保护合法用户使用系统资源和访问系统中存储的信息的权利和利益，保护用户的隐私；信息安全工作的基本原则就是在安全法律、法规、政策的支持与指导下，通过采用适当的安全技术与安全管理措施，防止数据财产被恶意地或偶然地未经合理授权地泄露、更改、破坏或使信息被非法的系统辨识、控制，避免攻击者利用信息系统的安全漏洞进行窃听、截获、篡改等。