一.背景
    “信息安全”曾经仅是学术界所关心的术语，就像是五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。现在，“信息安全”因各种原因已经像公众词汇那样被广大公众所熟知，尽管尚不能与“计算机”这个词汇的知名度所比拟，但也已经具有广泛的普及性。问题的关键在于人们对“计算机”的理解不会有什么太大的偏差，而对“信息安全”的理解则往往各式各样。种种偏差主要来自于从不同的角度来看信息安全，因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法，也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。
    关于信息安全的定义，以下是一些有代表性的定义方式：
    1.国内学者给出的定义是：“信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面。”
    2.我国计算机信息系统安全专用产品分类原则给出的定义是：“涉及实体安全、 运行安全和信息安全三个方面。”
    3.我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。
    4.国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。”
    5.英国BS7799信息安全管理标准给出的定义是：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。” 
    6.美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也叫‘IA’。它包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。”
    7.国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。这里面既包含了层面的概念，其中计算机硬件可以看作是物理层面，软件可以看作是运行层面，再就是数据层面；又包含了属性的概念，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。
    纵观从不同的角度对信息安全的不同描述，可以看出两种描述风格。一种是从信息安全所涉及层面的角度进行描述，大体上涉及了实体（物理）安全、运行安全、数据（信息）安全；一种是从信息安全所涉及的安全属性的角度进行描述，大体上涉及了机密性、完整性、可用性。
    二.信息安全多种理解的缘由
    信息安全出现多种不同说法，存在着多种观察视角，并不是偶然的现象。信息安全的发展历史、信息安全的作用层面、信息安全的基本属性，都决定了信息安全的不同内涵。
    从信息安全的发展历史来看，早在上世纪四、五十年代，人们认为信息安全就是通信保密，采用的保障措施就是加密和基于计算机规则的访问控制，这个时期被称为“通信保密（COMSEC）”时代，其时代标志是1949年Shannon发表的《保密通信的信息理论》；在七十年代，人们关心的是计算机系统不被他人所非授权使用，这时学术界称之为“计算机安全（INFOSEC）”时代，其时代特色是美国八十年代初发布的橘皮书——可信计算机评估准则（TCSEC）；九十年代，人们关心的是如何防止通过网络对联网计算机进行攻击，这时学术界称之为“网络安全（NETSEC）”，其时代特征是美国八十年代末出现的“莫里斯”蠕虫事件；进入了二十一世纪，人们关心的是信息及信息系统的保障，如何建立完整的保障体系，以便保障信息及信息系统的正常运行，这时学术界称之为“信息保障（IA）”。