信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。
政府、军队、公司、金融机构、医院、私人企业积累了大量的有关他们的雇员、顾客、产品、研究、金融数据的机密信息。绝大多数此类的信息现在被收集、产生、存储在电子计算机内,并通过网络传送到别的计算机。
万一诸如一家企业的顾客、财政状况、新产品线的机密信息落入了其竞争对手的掌握,这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的信息是商业上的需求,并且在许多情况中也是道德和法律上的需求。
对于个人来说,信息安全对于其个人隐私具有重大的影响,但这在不同的文化中的看法差异相当大。
信息安全的领域在最近这些年经历了巨大的成长和进化。有很多方式进入这一领域,并将之作为一项事业。它提供了许多专门的研究领域,包括:安全的网络和公共基础设施、安全的应用软件和数据库、安全测试、信息系统评估、企业安全规划以及数字取证技术等等。
为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
信息安全这一术语,与计算机安全和信息保障(information assurance)等术语经常被不正确地互相替换使用。这些领域经常相互关联,并且拥有一些共同的目标:保护信息的机密性、完整性、可用性;然而,它们之间仍然有一些微妙的区别。
区别主要存在于达到这些目标所使用的方法及策略,以及所关心的领域。信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其它的形式。
计算机安全可以指:关注计算机系统的可用性及正确的操作,而并不关心计算机内存储或产生的信息。
为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
自从人类有了书写文字之后,国家首脑和军队指挥官就已经明白,使用一些技巧来保证通信的机密以及获知其是否被篡改是非常有必要的。
凯撒被认为在公元前50年发明了凯撒密码,它被用来防止秘密的消息落入错误的人手中时被读取。
第二次世界大战使得信息安全研究获取了许多进展,并且标志着其开始成为一门专业的学问。
20世纪末以及21世纪初见证了通信、计算机硬件和软件以及数据加密领域的巨大发展。小巧、功能强大、价格低廉的计算设备使得对电子数据的加工处理能为小公司和家庭用户所负担和掌握。这些计算机很快被通常称为因特网或者万维网的网络连接起来。
在因特网上快速增长的电子数据处理和电子商务应用,以及不断出现的国际恐怖主义事件,增加了对更好地保护计算机及其存储、加工和传输的信息的需求。计算机安全、信息安全、以及信息保障等学科,是和许多专业的组织一起出现的。他们都持有共同的目标,即确保信息系统的安全和可靠。
简单来讲,有关信息安全的内容可以简化为下列三个基本点,称为CIA三元组:
基于这个原因,任何有违信息的“可用性”都算是违反信息安全的规定。因此,世上不少国家,不论是美国还是中国都有要求保持信息可以不受规限地流通的运动举行。
对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和当前的信息保障时代(强调不能被动地保护,需要有保护——检测——反应——恢复四个环节)。
安全技术严格地讲仅包含3类:隐藏、访问控制和密码学。
典型的安全应用有:
“网络与消息安全事件”(Network & Information Security Incident)是突发事件的一种,也被称为“消息安全事件”(Information Security Incident)。网络与消息安全事件在业界尚未有统一的定义,政府管理、科学研究、企业根据各自的关注点对其的理解也存在一定的差异。至于中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会制定发布的两个现行技术标准中,对该术语的定义如下:
当前在中国大陆地区,最重要的信息安全标准体系是“信息安全等级保护体系”。该体系在所有主要行业进行推广,并对信息安全行业的发展产生了重要影响。
