在技術層次上理解信息安全，要求人們了解一定的信息技術術語和概念，以便能更有效地與IT和信息安全專業(yè)人士打交道。

通常，安全被定義為免受危險的性質(zhì)或者狀態(tài)，也就是防備敵人和其他損害。例如，國家安全是一個保護主權(quán)、資產(chǎn)、資源和人民安全的多層次的系統(tǒng)。一個組織機構(gòu)要達到一定的安全水平也有賴于一個多層次的系統(tǒng)。

安全通常通過一系列安全策略來獲得，這些策略同時作用或者相互結(jié)合在一起。每個策略有它自己的側(cè)重點和適用范圍，但它們都擁有一些共同的要素。從管理角度看，每一個策略都必須被正確地規(guī)劃、組織、配備人員、指導和控制。安全專業(yè)領域包括以下的例子：

物理安全，包括為人員提供保護、使有形資產(chǎn)和工作場所免受火災、防止未授權(quán)訪問和自然災害等等。

個人安全，在保護機構(gòu)內(nèi)的人員時與物理安全重疊。

操作安全，致力予保護組織機構(gòu)正常的業(yè)務運作，使其不受干擾或威脅。

通信安全，包括保護一個組織機構(gòu)的通信媒體、技術和資料，及使用這些工具來達到目標的能力。

網(wǎng)絡安全，致力于保護一個機構(gòu)的數(shù)據(jù)通信設備、連接以及使用網(wǎng)絡實現(xiàn)數(shù)據(jù)通信的功能。

以上各點共同組成了一個完整的信息安全項目。

本書信息安全的定義是基于美國國家安全系統(tǒng)委員會( CNSSCommittee on Nadonal Security Systems)發(fā)布的標準。該委員會以前被稱為國家安全通信以及信息系統(tǒng)安全委員會(NSTISSCNational SecuriW Telecommunications and Information Systems Security Committee)。信息安全(InfoSec)就是保護信息及其關鍵要素，包括使用、存儲以及傳輸信息的系統(tǒng)和硬件。圖1-1顯示信息安全包括一個廣闊的范圍：信息安全管理（本書的題目）、計算機與數(shù)據(jù)安全以及網(wǎng)絡安全。信息安全的核心內(nèi)容是有關信息安全策略的概念（將在第章詳細討論）。策略、意識提升、培訓、教育以及技術都是保護信息以及讓信息系統(tǒng)遠離危險的至關重要的概念。CNSS信息安全模型的基礎是C.I.A.三角（conficlentialityintegrityand availability機密性、完整性、可用性），自從開始開發(fā)信息安全框架以來，它一直都是計算機安全行業(yè)的標準。

I-l信息安全范圍

信息具有個特性--機密性、完整性及可用性，C.I.A.三角即是建立在此基礎之上。到如今這個特性仍然像它們剛被提出時一樣重要。但是，僅具有其中的某一個是不能滿足時代需求的，因為它們各自都被局限在一個特定范圍內(nèi)而不能滿足IT界不斷變化的環(huán)境。對信息這種特性的威脅已經(jīng)發(fā)展成一大堆潛在的危險，包括無意或蓄意的損害、毀壞、竊取，不經(jīng)意的或未經(jīng)授權(quán)的修改，或其他人為錯誤或威脅。新環(huán)境伴隨著變幻無常的威脅，這就要求開發(fā)出更加健壯的信息特征模型，這種新的模型將刻畫當前信息安全環(huán)境以及日新月異的現(xiàn)代信息技術工業(yè)所面臨的復雜性。因此，C.I.A.三角已經(jīng)擴展成一個更加全面地涵蓋了信息的關鍵特征的清單，這些將在本章后面部分講述。