在技術(shù)層次上理解信息安全，要求人們了解一定的信息技術(shù)術(shù)語和概念，以便能更有效地與IT和信息安全專業(yè)人士打交道。

通常，安全被定義為免受危險(xiǎn)的性質(zhì)或者狀態(tài)，也就是防備敵人和其他損害。例如，國家安全是一個(gè)保護(hù)主權(quán)、資產(chǎn)、資源和人民安全的多層次的系統(tǒng)。一個(gè)組織機(jī)構(gòu)要達(dá)到一定的安全水平也有賴于一個(gè)多層次的系統(tǒng)。

安全通常通過一系列安全策略來獲得，這些策略同時(shí)作用或者相互結(jié)合在一起。每個(gè)策略有它自己的側(cè)重點(diǎn)和適用范圍，但它們都擁有一些共同的要素。從管理角度看，每一個(gè)策略都必須被正確地規(guī)劃、組織、配備人員、指導(dǎo)和控制。安全專業(yè)領(lǐng)域包括以下的例子：

物理安全，包括為人員提供保護(hù)、使有形資產(chǎn)和工作場(chǎng)所免受火災(zāi)、防止未授權(quán)訪問和自然災(zāi)害等等。

個(gè)人安全，在保護(hù)機(jī)構(gòu)內(nèi)的人員時(shí)與物理安全重疊。

操作安全，致力予保護(hù)組織機(jī)構(gòu)正常的業(yè)務(wù)運(yùn)作，使其不受干擾或威脅。

通信安全，包括保護(hù)一個(gè)組織機(jī)構(gòu)的通信媒體、技術(shù)和資料，及使用這些工具來達(dá)到目標(biāo)的能力。

網(wǎng)絡(luò)安全，致力于保護(hù)一個(gè)機(jī)構(gòu)的數(shù)據(jù)通信設(shè)備、連接以及使用網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)通信的功能。

以上各點(diǎn)共同組成了一個(gè)完整的信息安全項(xiàng)目。

本書信息安全的定義是基于美國國家安全系統(tǒng)委員會(huì)( CNSSCommittee on Nadonal Security Systems)發(fā)布的標(biāo)準(zhǔn)。該委員會(huì)以前被稱為國家安全通信以及信息系統(tǒng)安全委員會(huì)(NSTISSCNational SecuriW Telecommunications and Information Systems Security Committee)。信息安全(InfoSec)就是保護(hù)信息及其關(guān)鍵要素，包括使用、存儲(chǔ)以及傳輸信息的系統(tǒng)和硬件。圖1-1顯示信息安全包括一個(gè)廣闊的范圍：信息安全管理（本書的題目）、計(jì)算機(jī)與數(shù)據(jù)安全以及網(wǎng)絡(luò)安全。信息安全的核心內(nèi)容是有關(guān)信息安全策略的概念（將在第章詳細(xì)討論）。策略、意識(shí)提升、培訓(xùn)、教育以及技術(shù)都是保護(hù)信息以及讓信息系統(tǒng)遠(yuǎn)離危險(xiǎn)的至關(guān)重要的概念。CNSS信息安全模型的基礎(chǔ)是C.I.A.三角（conficlentialityintegrityand availability機(jī)密性、完整性、可用性），自從開始開發(fā)信息安全框架以來，它一直都是計(jì)算機(jī)安全行業(yè)的標(biāo)準(zhǔn)。

I-l信息安全范圍

信息具有個(gè)特性--機(jī)密性、完整性及可用性，C.I.A.三角即是建立在此基礎(chǔ)之上。到如今這個(gè)特性仍然像它們剛被提出時(shí)一樣重要。但是，僅具有其中的某一個(gè)是不能滿足時(shí)代需求的，因?yàn)樗鼈兏髯远急痪窒拊谝粋€(gè)特定范圍內(nèi)而不能滿足IT界不斷變化的環(huán)境。對(duì)信息這種特性的威脅已經(jīng)發(fā)展成一大堆潛在的危險(xiǎn)，包括無意或蓄意的損害、毀壞、竊取，不經(jīng)意的或未經(jīng)授權(quán)的修改，或其他人為錯(cuò)誤或威脅。新環(huán)境伴隨著變幻無常的威脅，這就要求開發(fā)出更加健壯的信息特征模型，這種新的模型將刻畫當(dāng)前信息安全環(huán)境以及日新月異的現(xiàn)代信息技術(shù)工業(yè)所面臨的復(fù)雜性。因此，C.I.A.三角已經(jīng)擴(kuò)展成一個(gè)更加全面地涵蓋了信息的關(guān)鍵特征的清單，這些將在本章后面部分講述。