信息安全（Information Security）是一个广泛而抽象的概念。从信息安全发展来看，在不同的时期，信息安全具有不同的内涵。即使在同一时期，由于角度不同，对信息安全的理解也不尽相同。国际、国内对信息安全的论述，大致可分为两大类：一类是指具体的信息系统的安全；另一类是指特定行业体系的信息系统的安全，如一个国家的银行信息系统、军事指挥系统等。国际标准化组织和国际电工委员会在“ISO/IEC17799：2005”协议中，对信息安全的定义是这样描述的：保持信息的机密性、完整性、可用性；另外，也可能包含其他的特性，如真实性、可核查性、抗抵赖性和可靠性等。

上述定义引入了信息安全的3个关键目标。

机密性（Confidentiality）：指确保信息内容仅被合法用户访问，而不能被非授权用户获取。这里的访问除包括读、写、修改等操作外，还包括打印、简单浏览和了解特定资源是否存在。机密性有时也被称为保密性（Secrecy）或私密性（Privacy）。

完整性（Integrity）：包括数据完整性和系统完整性。数据完整性指数据资源只能由授权方或者以授权的方式进行修改。换句话说，数据完整性是为了防止数据遭受未授权的篡改。这里的修改是指写、插入、替换、删除、创建、状态转换等操作。系统完整性是指确保系统以不受损害的方式执行其预期功能，而不会故意或无意地未经授权地操纵系统。

可用性（Availability）：指信息资源在合适的时候能够被合法用户访问。也就是说，当一名用户或系统对某个资源具有合法的访问权限，提出访问请求时，不应该被拒绝。可用性并不是在信息安全研究之初就被提出的，而是在系统的使用过程中，出现了由于安全问题而影响到系统的正常运行和使用，甚至使得系统安全完全瘫痪的情形下被提出的。

信息安全的概念经常与计算机安全、网络安全、数据安全等互相交叉、笼统地使用。在美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）的计算机安全手册中，是这样定义计算机安全的：为自动化信息系统提供的保护，目的是保持信息系统资源（包括硬件、软件、固件、信息/数据、通信）的完整性、可用性和机密性。自动化信息系统包括网络系统，所以这个定义其实也涵盖了网络安全。被保护的资源中包括信息/数据，所以它也涵盖了数据安全。因此，在不严格要求的情况下，这几个概念几乎可以相互通用。根本原因是因为随着计算机技术、网络技术的发展，信息的表现形式、存储形式和传播形式都在发生变化，最主要的信息都是在计算机内进行存储处理，然后在网络上传播。因此，计算机安全、网络安全及数据安全都是信息安全的内在要求或具体的表现形式。信息安全概念与这些概念有相同之处，也存在一些差异，主要区别在于达到安全所使用的方法、策略及领域。信息安全强调的是数据的机密性、完整性、可用性、可认证性及不可否认性，无论数据是以电子方式存在还是印刷或其他方式存在。(www.daowen.com)

随着技术的发展和应用，信息安全的内容是不断变化的。从信息安全发展的过程来看，在计算机出现之前，信息安全以保密为主，密码学是信息安全的核心和基础。随着计算机的出现和计算机技术的发展，计算机系统安全保密成为现代信息安全的重要内容。而网络的出现和网络技术的发展，使得由计算机系统和网络系统结合而成的更大范围的信息系统的安全成为信息安全的主要内容。就目前而言，信息安全的内容主要包括：

（1）硬件安全：包括信息存储、传输、处理等过程中的各类计算机硬件、网络硬件及存储介质的安全。要保护这些硬件设施不损坏，能正常地提供各类服务。

（2）软件安全：包括信息存储、传输、处理的各类操作系统、应用程序及网络系统，确保它们不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制。

（3）运行服务安全：即网络中的各个信息系统能够正常运行并能及时、有效、准确地提供信息服务。通过对网络系统中的各种设备运行状况的监视，及时发现各类异常因素并能及时报警，采取修正措施保证网络系统正常对外提供服务。

（4）数据安全：保证数据在存储、处理、传输和使用过程中的安全。数据不会被偶然或恶意地篡改、破坏、复制和访问。