11.1.1信息系统安全定义与认识

    1.定义

    在信息系统工程中，信息安全涵盖了人工和自动信息处理的安全。网络化和非网络化的信息系统安全，泛指一切以声、光、电信号、磁信号、语音以及约定形式为载体的信息的安全。

    1)信息系统安全

    定义是确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、环境有关的技术安全、结构安全和管理安全的总和。

    在信息系统安全定义中，人是指信息系统应用的主体，包括:

   ·各类用户

   ·支持人员

   ·技术管理人员

   ·行政管理人员等

    2)网络

    指以计算机、网络互连设备、传输介质以及操作系统、通信协议和应用程序所构成的物理的和逻辑的完整体系。

    3)环境

    是系统稳定和可靠运行所需要的保障体系，包括:

    ·建筑物

    ·机房

    ·电力

    ·保障与备份

·应急与恢复体系等

    总的来说，信息系统安全就是要保证信息系统的用户在允许的时间内、从允许的地点、通过允许的方法，对允许范围内的信息进行所允许的处理。

    2.从不同角度看待信息系统安全

    信息系统安全的具体含义和侧重点会随着观察者的角度而不断变化。个人用户的角度来说，最为关心的信息系统安全问题是如何保证涉及个人隐私的问题。从企业用户的角度来说，是如何保证涉及商业利益的数据的安全。这些个人数据或企业的信息在传输过程中要保证其受到保密性、完整性和可用性的保护，如何避免其他人，特别是其竞争对手利用窃听、冒充、窜改、抵赖等手段，对其利益和隐私造成损害和侵犯，同时用户也希望其保存在某个网络信息系统中的数据，不会受其他非授权用户的访问和破坏。

    从网络运行和管理者角度说，最为关心的信息系统安全问题是如何保护和控制其他人对本地网络信息的访问、读写等操作。比如，避免出现漏洞陷阱、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等现象，制止和防御网络“黑客”的攻击。

    对安全保密部门和国家行政部门来说，最为关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵，避免非法泄露。机密敏感的信息被泄密后将会对社会的安定产生危害，对国家造成巨大的经济损失和政治损失。

    从社会教育和意识形态角度来说，最为关心的信息系统安全问题则是如何杜绝和控制网络上不健康的内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。

    目前，信息系统工程在企业和政府组织中得到了真正的广泛应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息和信息安全成为企业和政府组织管理中越来越关键的部分。我们同时也要注意到，对于信息化的不同应用，安全的策略和安全管理的目的也有所不同。