信息安全定义

Ø从信息安全所涉及层面的角度进行描述，计算机信息安全定义为，保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全。

Ø从信息安全所涉及的安全属性的角度进行描述，计算机信息安全定义为，信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。

信息安全基本目标

Ø保密性(Confidentiality)—— 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。

Ø完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。

Ø可用性(Availability)—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。

信息安全基本目标

CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：

威胁的识别和评价

Ø识别每项(类)资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。

Ø识别威胁的关键在于确认引发威胁的人或物，即威胁源。

Ø威胁通常包括(来源)：

Ø人员威胁：故意破坏和无意失误

Ø系统威胁：系统、网络或服务出现的故障

Ø环境威胁：电源故障、污染、液体泄漏、火灾等

Ø自然威胁：洪水、地震、台风、雷电等

Ø评估威胁可能性时要考虑到威胁源的动机和能力因素(内因)。

Ø威胁发生的可能性可以用“高”、“中”、“低”三级来衡量。

信息安全的威胁

安全没有绝对可言

Ø绝对的零风险是不存在的，要想实现零风险，也是不现实的；

Ø计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。

Ø组织的管理层应该对此做出决策。

信息安全的影响因素

Ø计算机信息系统的使用与管理人员。包括普通用户、数据库管理员、网络管理员、系统管理员，其中各级管理员对系统安全承担重大的责任。

Ø信息系统的硬件部分。包括服务器、网络通信设备、终端设备、通信线路和个人使用的计算机等。

Ø信息系统的软件部分。主要包括计算机操作系统、数据库系统和应用软件。