1.1.1　什么是信息安全

對于什么是信息安全（Information Security），不同的組織和個人可能有不同的定義。

ISO/IEC、美國國家安全系統(tǒng)委員會和國際信息系統(tǒng)審計協(xié)會對信息安全的定義是被大部分信息安全從業(yè)人員所認(rèn)可并支持的。《ISO/IEC 27001：2005信息安全管理體系規(guī)范與使用指南》中對信息安全的定義是：“保護信息的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及其他屬性，如真實性、可確認(rèn)性、不可否認(rèn)性和可靠性。”

美國國家安全系統(tǒng)委員會（Committee on National Security Systems，CNSS）在《Committee on National Security Systems：CNSS Instruction No.4009》^[1]對信息安全的定義是：“為了保障機密性、完整性和可用性而保護信息和信息系統(tǒng)，以防止未授權(quán)的訪問、使用、泄露、中斷、修改或者破壞。”

國際信息系統(tǒng)審計協(xié)會（Information Systems Audit and Control Association，ISACA）對信息安全的定義是：“在企業(yè)組織內(nèi)，信息被保護，以防止被泄露給未授權(quán)用戶（機密性）、防止非恰當(dāng)?shù)男薷模ㄍ暾裕⒎乐乖谛枰臅r候無法訪問（可用性）。”

通過以上這3個定義我們可以看出，保障信息安全的最重要目的是保護信息的機密性、完整性和可用性這3個屬性。

·機密性：信息僅僅能夠被已授權(quán)的個人、組織、系統(tǒng)和流程訪問。例如，個人的銀行賬戶交易流水和余額信息，除了賬戶持有人、經(jīng)賬戶持有人授權(quán)的第三方組織、依相關(guān)法律法規(guī)規(guī)定有查詢權(quán)限的組織以外，不應(yīng)該被任何其他實體獲取到。另外，商業(yè)組織的客戶聯(lián)系信息往往也具有較高的價值，也需要保護其機密性。在某些對安全要求較高的行業(yè)，甚至特別強調(diào)了對機密性的保障。例如，在《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.2.1版本（Payment Card Industry Data Security Standard，Version 3.2.1）》^[2]3.2.2條中明確指出，在授權(quán)完成后，不能在日志、數(shù)據(jù)庫等位置存儲信用卡驗證碼（CVV2、CVC2、CID、CAV2等）。這是一個強調(diào)信用卡驗證碼機密性的例子。

·完整性：保護信息的一致性（Consistency）、準(zhǔn)確性（Accuracy）和可信賴性（Trustworthiness）。例如，A公司向B公司提供的數(shù)據(jù)報告是通過電子郵件附件的形式來傳輸?shù)模敲碅公司就需要和B公司預(yù)先確定一種機制，來檢查和確認(rèn)B公司收到的電子郵件附件確實與A公司發(fā)送的一模一樣，是未被在傳輸過程中篡改的。

·可用性：當(dāng)需要訪問的時候，信息可以提供給合法授權(quán)用戶訪問。沒有了可用性的保障，信息的價值就難以持續(xù)體現(xiàn)出來。

在學(xué)習(xí)信息安全的機密性、完整性和可用性這3個屬性時，我們可以使用信息安全的C.I.A金三角幫助記憶，如圖1-1所示。

在考慮信息安全的時候，必須把保障信息的機密性、完整性、可用性作為最重要目標(biāo)，才能建立完善和有效的保護機制，避免顧此失彼。例如，華為公司2019年一號文《全面提升軟件工程能力與實踐，打造可信的高質(zhì)量產(chǎn)品——致全體員工的一封信》（電郵講話【2019】001號簽發(fā)人：任正非）^[3]指出：“公司已經(jīng)明確，把網(wǎng)絡(luò)安全和隱私保護作為公司的最高綱領(lǐng)。”其同時指出，“安全性（Security）”的要求就是“產(chǎn)品有良好的抗攻擊能力，保護業(yè)務(wù)和數(shù)據(jù)的機密性、完整性和可用性”。

圖1-1　信息安全的C.I.A金三角記憶圖

[1] https://www.hsdl.org/?abstract&did=7447，訪問日期：2018年11月28日。

[2] https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf，訪問日期：2019年1月5日。

[3] http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=4134815，訪問日期：2019年1月5日。