信息系统安全经历了几个发展阶段

（一）信息安全的概念

信息安全是一个宽泛的概念，它指在信息系统中，在传输、交换和存储信息的过程中，保证信息的保密性、完整性、可用性、抗否认性和可控性。^[5]

保密性是指保证信息不被非法授权访问，即非授权用户即使得到信息也无法知道信息内容，因而不能使用。通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。

完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为，同时通过消息摘要算法来检验信息是否被篡改。

抗否认性是指保障用户无法事后否认曾经对信息进行的生成、签发、接受等行为，是针对通信各方信息真实同一性的安全要求。一般通过数字签名来提供抗否认服务。

可用性是指保障信息资源随时可提供服务的特性，即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量，涉及物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。

可控性是指对网络信息的传播及内容具有控制能力的特性。

在这5个属性中，保密性、完整性、抗否认性更多地针对信息本身，而后面的可用性、可控性则针对信息的存储、传输等方面，更多地针对信息存储与传输的硬件系统。

信息安全的任务就是要实现信息的上述5种安全属性。信息安全的宗旨是保护信息财产，是向合法的服务对象提供准确、及时、可靠的信息服务；而对其他任何人员和组织，包括内部、外部乃至敌对方，不论信息所处的状态是静态的还是动态的，都要保持最大限度的信息的不透明性、不可获取性、不可接触性、不可干扰性、不可破坏性。

（二）计算机安全和网络安全

与信息安全相关的两个概念是计算机安全和网络安全。

所谓计算机安全，我国公安部计算机管理监察司的定义是：“计算机安全是指计算机资产安全，即计算机信息系统资源不受自然和人为因素的威胁和危害。”国际标准化委员会的定义是“为数据处理系统而采取的技术性的和管理上的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、暴露等”。^[6]

所谓网络安全，全国科学技术名词审定委员会给出的定义是：“网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露，保证系统连续可靠地运行，网络服务不中断的措施。”^[7]

从信息安全的发展过程来看，在计算机诞生之前，通信安全以保密为主，密码学是信息安全的核心和基础。随着计算机的出现，计算机系统安全保密成为现代信息安全的重要内容，网络的普及则使得网络环境下信息系统的安全保密成为信息安全的主要内容。

若从定义的范畴来看，信息安全要大于计算机安全、网络安全，而计算机系统与网络系统也存在一定差异，所以计算机安全与网络安全也有所不同。但是，随着“网络就是计算机”^[8]的理念逐渐深入，几乎没有不联网的计算机，计算机系统和网络系统也逐渐从有差异的两个主体融合成一个内涵和外延都几乎相同的概念，从这个角度来讲，计算机安全和网络安全的内涵几乎相同。随着信息时代的到来，计算机技术、网络技术已经成为当今信息技术的主流技术，信息安全问题亦主要表征为计算机安全或网络安全问题。因此，综合考虑时代特征和技术特征，本书对这三个概念并未作严格区分，而是将其视作同一概念。