1.1.1　什么是信息安全

对于什么是信息安全（Information Security），不同的组织和个人可能有不同的定义。

ISO/IEC、美国国家安全系统委员会和国际信息系统审计协会对信息安全的定义是被大部分信息安全从业人员所认可并支持的。《ISO/IEC 27001：2005信息安全管理体系规范与使用指南》中对信息安全的定义是：“保护信息的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及其他属性，如真实性、可确认性、不可否认性和可靠性。”

美国国家安全系统委员会（Committee on National Security Systems，CNSS）在《Committee on National Security Systems：CNSS Instruction No.4009》^[1]对信息安全的定义是：“为了保障机密性、完整性和可用性而保护信息和信息系统，以防止未授权的访问、使用、泄露、中断、修改或者破坏。”

国际信息系统审计协会（Information Systems Audit and Control Association，ISACA）对信息安全的定义是：“在企业组织内，信息被保护，以防止被泄露给未授权用户（机密性）、防止非恰当的修改（完整性）、防止在需要的时候无法访问（可用性）。”

通过以上这3个定义我们可以看出，保障信息安全的最重要目的是保护信息的机密性、完整性和可用性这3个属性。

·机密性：信息仅仅能够被已授权的个人、组织、系统和流程访问。例如，个人的银行账户交易流水和余额信息，除了账户持有人、经账户持有人授权的第三方组织、依相关法律法规规定有查询权限的组织以外，不应该被任何其他实体获取到。另外，商业组织的客户联系信息往往也具有较高的价值，也需要保护其机密性。在某些对安全要求较高的行业，甚至特别强调了对机密性的保障。例如，在《支付卡行业数据安全标准3.2.1版本（Payment Card Industry Data Security Standard，Version 3.2.1）》^[2]3.2.2条中明确指出，在授权完成后，不能在日志、数据库等位置存储信用卡验证码（CVV2、CVC2、CID、CAV2等）。这是一个强调信用卡验证码机密性的例子。

·完整性：保护信息的一致性（Consistency）、准确性（Accuracy）和可信赖性（Trustworthiness）。例如，A公司向B公司提供的数据报告是通过电子邮件附件的形式来传输的，那么A公司就需要和B公司预先确定一种机制，来检查和确认B公司收到的电子邮件附件确实与A公司发送的一模一样，是未被在传输过程中篡改的。

·可用性：当需要访问的时候，信息可以提供给合法授权用户访问。没有了可用性的保障，信息的价值就难以持续体现出来。

在学习信息安全的机密性、完整性和可用性这3个属性时，我们可以使用信息安全的C.I.A金三角帮助记忆，如图1-1所示。

在考虑信息安全的时候，必须把保障信息的机密性、完整性、可用性作为最重要目标，才能建立完善和有效的保护机制，避免顾此失彼。例如，华为公司2019年一号文《全面提升软件工程能力与实践，打造可信的高质量产品——致全体员工的一封信》（电邮讲话【2019】001号签发人：任正非）^[3]指出：“公司已经明确，把网络安全和隐私保护作为公司的最高纲领。”其同时指出，“安全性（Security）”的要求就是“产品有良好的抗攻击能力，保护业务和数据的机密性、完整性和可用性”。

图1-1　信息安全的C.I.A金三角记忆图

[1] https://www.hsdl.org/?abstract&did=7447，访问日期：2018年11月28日。

[2] https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf，访问日期：2019年1月5日。

[3] http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=4134815，访问日期：2019年1月5日。