在技術層次上理解信息安全，要求人們了解一定的信息技術術語和概念，以便能更有效地與IT和信息安全專業人士打交道。

通常，安全被定義為免受危險的性質或者狀態，也就是防備敵人和其他損害。例如，國家安全是一個保護主權、資產、資源和人民安全的多層次的系統。一個組織機構要達到一定的安全水平也有賴于一個多層次的系統。

安全通常通過一系列安全策略來獲得，這些策略同時作用或者相互結合在一起。每個策略有它自己的側重點和適用范圍，但它們都擁有一些共同的要素。從管理角度看，每一個策略都必須被正確地規劃、組織、配備人員、指導和控制。安全專業領域包括以下的例子：

物理安全，包括為人員提供保護、使有形資產和工作場所免受火災、防止未授權訪問和自然災害等等。

個人安全，在保護機構內的人員時與物理安全重疊。

操作安全，致力予保護組織機構正常的業務運作，使其不受干擾或威脅。

通信安全，包括保護一個組織機構的通信媒體、技術和資料，及使用這些工具來達到目標的能力。

網絡安全，致力于保護一個機構的數據通信設備、連接以及使用網絡實現數據通信的功能。

以上各點共同組成了一個完整的信息安全項目。

本書信息安全的定義是基于美國國家安全系統委員會( CNSSCommittee on Nadonal Security Systems)發布的標準。該委員會以前被稱為國家安全通信以及信息系統安全委員會(NSTISSCNational SecuriW Telecommunications and Information Systems Security Committee)。信息安全(InfoSec)就是保護信息及其關鍵要素，包括使用、存儲以及傳輸信息的系統和硬件。圖1-1顯示信息安全包括一個廣闊的范圍：信息安全管理（本書的題目）、計算機與數據安全以及網絡安全。信息安全的核心內容是有關信息安全策略的概念（將在第章詳細討論）。策略、意識提升、培訓、教育以及技術都是保護信息以及讓信息系統遠離危險的至關重要的概念。CNSS信息安全模型的基礎是C.I.A.三角（conficlentialityintegrityand availability機密性、完整性、可用性），自從開始開發信息安全框架以來，它一直都是計算機安全行業的標準。

I-l信息安全范圍

信息具有個特性--機密性、完整性及可用性，C.I.A.三角即是建立在此基礎之上。到如今這個特性仍然像它們剛被提出時一樣重要。但是，僅具有其中的某一個是不能滿足時代需求的，因為它們各自都被局限在一個特定范圍內而不能滿足IT界不斷變化的環境。對信息這種特性的威脅已經發展成一大堆潛在的危險，包括無意或蓄意的損害、毀壞、竊取，不經意的或未經授權的修改，或其他人為錯誤或威脅。新環境伴隨著變幻無常的威脅，這就要求開發出更加健壯的信息特征模型，這種新的模型將刻畫當前信息安全環境以及日新月異的現代信息技術工業所面臨的復雜性。因此，C.I.A.三角已經擴展成一個更加全面地涵蓋了信息的關鍵特征的清單，這些將在本章后面部分講述。