1.1 信息与信息安全

1.1.1 信息

信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。

信息本身是无形的，借助于信息媒体以多种形式存在或传播，可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式进行传播。通常情况下，可以把信息理解为消息、信号、数据、情报、知识等。

1.1.2 信息安全

信息安全的概念与信息的安全属性密不可分，保密性、完整性、可用性（通常称为CIA）是信息的三大安全属性，除此之外，还有可控性、不可否认性等其他属性。

1.1.2.1 信息的安全属性

1.保密性

信息的保密性是指确保只有被授予特定权限的人才能访问到信息。

信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息。根据信息的重要程度和保密要求可以将信息分为不同密级。已授权用户根据所授予的操作权限可以对保密信息进行操作，有的用户只可以读取信息，有的用户既可以进行读操作又可以进行写操作。

2.完整性

信息的完整性是指保证信息和处理方法的正确性和一致性。

信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等；另一方面是指信息处理方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。

3.可用性

信息的可用性是指确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许授权用户或实体可靠而及时访问信息及资源。

4.可控性

信息的可控性是指能够控制使用信息资源的人或实体的使用方式。

对于信息系统中的敏感信息资源，如果任何人都能够访问、篡改、窃取以及恶意散播的话，安全系统显然失去了效用。对访问信息资源的人或实体的使用方式进行有效的控制，是信息安全的必然要求。

从国家层面上看，信息安全的可控性不但涉及信息的可控性，还与安全产品、安全市场、安全厂商、安全研发人员的可控性密切相关。

5.不可否认性

信息的不可否认性也称抗抵赖性、不可抵赖性，是防止实体否认其已经发生的行为。

信息的不可否认性分为原发不可否认和接受不可否认，原发不可否认用于防止发送者否认自己已发送的数据和数据内容，接受不可否认防止接受者否认已接受的数据和数据内容。

实现不可否认的技术手段一般有数字证书和数字签名。

1.1.2.2 信息安全

信息安全是一个广泛而抽象的概念，不同领域、不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，信息安全的定义是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者是恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是削减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。

信息安全的主要目标是信息的保密性、完整性、可用性等安全属性的保持，即通过采用计算机软硬件技术、网络技术、密码技术等安全技术和各种组织管理措施，保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，保持其保密性、完整性、可用性等安全属性。

信息安全的概念涵盖了信息、信息载体和信息环境3个方面的安全。信息指信息本身；信息载体指信息的承载体，包括物理平台、系统平台、通信平台、网络平台和应用平台；信息环境指信息及信息载体所处的环境，包括硬环境和软环境。信息、信息载体、信息环境是信息安全的3大类保护对象，其定位关系如图1-1所示，分类和示例如表1-1所示。