计算机应用基础（第3版）

《计算机应用基础（第3版）》改版后新增信息安全基础，较全面地向读者普及信息安全的常识，包括信息安全的基本概念、信息安全体系结构、网络安全、病毒防范、典型攻防技术等。 

本书共分为5章，分别介绍计算机基础知识、计算机硬件系统、计算机软件、多媒体技术、计算机网络、信息安全，另附有一篇故事性的计算机发展史作为附加阅读材料； 每章均包含大量练习，读者通过练习可快速掌握和巩固相关的知识。
本书配有专门的实验指导，全部为上机实验，案例典型、内容新颖、概念准确、通俗易懂、实用性强。
本书可作为高等院校计算机应用基础指导教材，也可作为广大计算机爱好者的自学教材或参考用书。

目录

CONTENTS

第1章计算机基础知识

1.1计算机概述

1.1.1计算机发展史

1.1.2计算机的分类

1.1.3计算机的特点

1.1.4计算机技术的发展趋势

1.1.5中国计算机发展史

1.2信息技术发展

1.2.1云计算

1.2.2物联网

1.2.3大数据

1.2.4人工智能

1.3计算机运算基础

1.3.1数制及其转换

1.3.2存储单位及地址

1.3.3数值型数据表示

1.3.4字符型数据编码

1.3.5多媒体信息编码

1.4图灵机与冯·诺依曼机

1.4.1图灵机

1.4.2冯·诺依曼机

1.5计算机的工作原理

1.5.1指令和指令系统

1.5.2计算机程序设计

1.5.3计算机程序执行

习题

第2章计算机硬件系统

2.1计算机硬件概述

2.1.1计算机硬件系统的组成

2.1.2微型计算机的硬件结构

2.1.3微型计算机的总线结构

2.2中央处理器

2.2.1CPU的内部结构

2.2.2CPU的性能指标

2.2.3CPU的发展历程

2.3存储系统

2.3.1存储器概述

2.3.2半导体存储器

2.3.3磁表面存储器

2.3.4光盘存储设备

2.3.5USB闪存盘

2.4输入设备

2.4.1输入设备概述

2.4.2键盘

2.4.3鼠标

2.5输出设备

2.5.1输出设备概述

2.5.2显示设备

2.5.3打印机

习题

第3章计算机软件

3.1计算机软件概述

3.1.1什么是计算机软件

3.1.2计算机软件的分类

3.1.3计算机软件发展史

3.2操作系统

3.2.1什么是操作系统

3.2.2操作系统的功能

3.2.3操作系统的分类

3.2.4常用的操作系统

3.2.5Windows发展史

3.3程序设计语言

3.4Microsoft Office办公软件

3.4.1Office概述

3.4.2常用组件

3.5网页制作软件

习题

第4章计算机网络

4.1数据通信基础

4.1.1数据通信的基本概念

4.1.2传输介质

4.2计算机网络的基本概念

4.2.1计算机网络的形成与发展

4.2.2计算机网络的定义

4.2.3计算机网络的分类

4.3计算机网络通信协议

4.3.1网络通信协议概述

4.3.2ISO与OSI参考模型

4.3.3TCP/IP参考模型

4.4局域网

4.4.1局域网概述

4.4.2以太网

4.4.3无线局域网

4.5Internet基础

4.5.1Internet发展和结构

4.5.2Internet接入

4.5.3IP地址

4.5.4域名

习题

第5章信息安全基础

5.1信息安全概述

5.1.1信息安全的发展历史

5.1.2信息安全基本概念

5.1.3信息安全攻击

5.1.4安全策略

5.1.5安全机制

5.1.6信息安全体系结构

5.2计算机网络安全

5.2.1网络安全协议

5.2.2VPN

5.2.3防火墙

5.2.4入侵检测

5.3典型攻击与防御技术简介

5.3.1社会工程学攻击

5.3.2物理攻击与防范

5.3.3暴力攻击

5.3.4缓冲区溢出攻击

5.3.5恶意代码

5.3.6拒绝服务攻击

5.4信息安全面临的新挑战

习题

附录A阅读： 计算机发展历程

A.1前计算机时代

A.1.1能计算的机器

A.1.2布尔代数

A.1.3真空二极管的诞生

A.1.4更强的功能——真空三极管

A.1.5计算机科学之父

A.2主机时代

A.2.1电子数字计算机之父

A.2.2还是第二

A.2.3献给世界的圣诞节礼物——晶体管

A.2.4更小，更强大——集成电路

A.2.5为什么是晶体管

A.3个人计算机时代

A.3.1人类历史上台微型计算机

A.3.2一个人的发明——人类历史上台个人计算机

A.3.3蓝色巨人的巨制——IBM PC

A.4互联网时代

A.4.1互联网的先驱——“阿帕网”

A.4.2从“阿帕网”到互联网

A.4.3图形浏览器

A.4.4搜索引擎

A.5后互联网时代

A.5.1大数据时代

A.5.2人工智能与机器学习

A.5.3机器学习

A.5.4深度学习——机器学习领域的璀璨明星

A.5.5自动驾驶

参考文献

前言

FOREWORD

在信息时代，随着计算机科学与技术的飞速发展和广泛应用，计算机已经渗透到科学技术的各个领域，渗透到人们的工作、学习和生活之中。今天，计算机已成为社会文化不可缺少的一部分，学习计算机知识、掌握计算机的基本应用技能已成为时代对我们的要求。
“计算机应用基础”作为一门公共基础课，旨在引导刚刚进入大学的新生对计算机科学技术的基础知识有一个概括而准确的了解，从而为正式而系统地学习计算机系列课程打下基础。从入学看，大学入校新生的计算机教育已非零起点； 从毕业看，大学生计算机应用能力已经成为就业的条件； 从大学教育看，计算机技术愈来愈多地融入了各专业科研和专业课的教学之中。计算机应用技术对学生的知识结构、技能的提高和智力的开发变得越来越重要。

目前，计算机导论、大学计算机基础、计算机文化基础之类的教材林林总总，主要为大学一年级新生所用，主要讲述计算机的基本概念、操作系统和办公软件的使用，以及网络和多媒体技术等。本教材当然也涵盖这些内容。

近年来，随着网络的发展，信息系统的应用范围不断扩大，人们也受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者等，信息安全已经与人们的工作和生活密切相关。因此，本教材用一整章介绍信息安全基本概念，讲述信息安全机制，信息安全体系结构，介绍计算机网络安全和计算机病毒原理与防范技术。

全书共分为5章，第1章讲述计算机基础知识，主要介绍计算机的发展、计算机的各种应用、计算机中数的表示方法及运算，为进一步学习和使用计算机打下必要的基础； 第2章讲述计算机硬件基础，主要介绍计算机的系统构成和基本工作原理，使读者对计算机的整体结构有一定认识； 第3章讲述计算机软件，主要介绍计算机软件的基本概念、系统软件和应用软件，特别介绍了操作系统的概念、分类； 第4章是关于计算机网络的基本原理和应用，介绍了计算机网络的基本概念和原理、局域网的基本组成原理及Internet基础知识以及应用； 第5章讲述信息安全基础，较全面地向读者普及信息安全的常识，包括信息安全的基本概念、信息安全体系结构、网络安全、病毒防范、典型攻防技术等。

本书第1、2章由叶文珺、王剑云、李舫共同编写，第3章由张超编写，第4章由张超、叶文珺共同编写，第5章由魏为民编写，附录部分由陈宗民编写，张超负责全书的结构和各章节的内容统筹工作。

由于作者的编写水平有限，书中难免存在疏漏和不足之处，恳请读者和同人给予批评指正。

编者

2018年5月于上海

第5章信息安全基础

信息安全初用于保护信息系统中处理和传递的秘密数据，随着操作系统、数据库技术和信息系统的广泛应用，安全概念扩充到完整性； 访问控制技术变得更加重要，因此强调计算机系统安全； 网络的发展使信息系统的应用范围不断扩大，必须要考虑网络安全； 近年来信息安全又增加了新内容，即面向应用的内容安全。随着云计算等新的计算模式的出现，信息安全技术不断向前发展，也面临新的挑战。本章回顾信息安全的发展历史，介绍信息安全基本概念，讲述信息安全机制，信息安全体系结构，介绍计算机网络安全和典型的攻击与防御技术，后探讨信息安全面临的新挑战。

5.1信息安全概述
5.1.1信息安全的发展历史

“信息安全”初是指信息的保密性。在20世纪主机时代，人们需要保护的主要是设在专用机房内的主机以及重要数据，信息安全主要是指信息的保密性、完整性和可用性。20世纪80年代以后，特别是进入20世纪90年代，随着互联网的飞速发展，信息安全的内涵也发生了巨大变化，它既面向数据、设备、网络、环境，也面向使用者，不但包含以前信息安全内涵的延续，例如面向数据的安全概念即保密性、完整性和可用性； 也包含新内涵内容的提出，例如面向使用者、设备、网络、环境的安全概念即可控性、不可否认性、可靠性等。目前，信息安全已涉及攻击、防范、监测、控制、管理、评估等多方面的基础理论和实施技术，其中，密码技术和管理技术是信息安全的核心； 安全标准和系统评估是信息安全的基础。可以说，现代信息安全是一个综合利用数学、物理、管理、通信和计算机等诸多学科成果的交叉学科领域，是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全、国家信息安全的总和。
本节通过一些重要发展事件的回顾，介绍信息安全研究领域的发展，经历了通信保密、系统安全、网络安全与信息保障以及云计算安全等阶段。

1. 通信保密阶段(20世纪40年代~20世纪70年代)
信息安全初用于保护信息系统中处理和传递的秘密数据，注重机密性，因此主要强调的是通信安全。通信保密阶段以密码学研究为主，重在数据安全层面的研究。密码学的发展历程大致经历了三个阶段： 古代加密方法、古典密码和近代密码。
1) 古代加密方法
从某种意义上说，战争是科学技术进步的催化剂。人类自从有了战争，就面临着通信安全的需求，密码技术源远流长。密码的使用已有几千年的历史，埃及人是早使用特别的象形文字作为信息编码的人。早在公元前1世纪，恺撒大帝就曾用过一种代换式密码——Caesar密码。

古代加密方法大约起源于公元前440年，出现在古希腊战争中的隐写术。当时为了安全传送军事情报，奴隶主剃光奴隶的头发，将情报写在奴隶的光头上，待头发长后将奴隶送到另一个部落，再次剃光头发，原有的信息复现出来，从而实现这两个部落之间的秘密通信。密码学用于通信的另一个记录是斯巴达人于公元前400年应用Scytale加密工具在军官间传递秘密信息。Scytale实际上是一个锥形指挥棒，周围环绕一张羊皮纸，将要保密的信息写在羊皮纸上。解下羊皮纸，上面的消息杂乱无章、无法理解，但将它绕在另一个同等尺寸的棒子上后，就能看到原始的消息。

由上述可见，自从有了文字以来，人们为了某种需要总是想法设法隐藏某些信息，以起到保证信息安全的目的。这些古代加密方法体现了后来发展起来的密码学的若干要素，但其只能限制在一定范围内使用。
古代加密方法主要基于手工的方式实现，因此称为密码学发展的手工阶段。
2) 古典加密方法
古典密码的加密方法一般是文字置换，使用手工或机械变换的方式实现。古典密码系统已经初步体现出近代密码系统的雏形，它比古代加密方法复杂，其变化较小。古典密码的代表密码体制主要有： 单表代替密码、多表代替密码及转轮密码。Caesar密码就是一种典型的单表加密体制； 多表代替密码有Vigenere密码、Hill密码； 著名的Enigma密码就是第二次世界大战中使用的转轮密码。
到了20世纪20年代，随着机械和机电技术的成熟，以及电报和无线电需求的出现，引起了密码设备方面的一场革命——发明了转轮密码机(简称转轮机，Rotor)。转轮机的出现是密码学发展的重要标志之一。几千年来，对密码算法的研究和实现主要是通过手工计算来完成的。随着转轮机的出现，传统密码学有了很大的进展，利用机械转轮可以开发出极其复杂的加密系统。1921年以后的十几年里，Hebern构造了一系列稳步改进的转轮机，投入美国海军的试用评估，并申请了个转轮机的专利。
德国的Arthur Scherbius于1919年设计出了历著名的密码机——Enigma机，英国在第二次世界大战期间发明并使用TYPEX密码机，瑞典的Boris Caesar Wilhelm Hagelin发明的Hagelin C36型密码机于1936年制造，密钥周期长度为3900255。对于纯机械的密码机来说，这已非常不简单。
3) 近代加密方法

1949年，信息论创始人Shannon发表的论文“保密通信的信息理论”将密码学的研究引入了科学的轨道。1975年1月15日，对计算机系统和网络进行加密的DES(Data Encryption Standard，数据加密标准)由美国国家标准局颁布为国家标准，这是密码术历史上一个具有里程碑意义的事件。1976年，当时在美国斯坦福大学的迪菲(Diffie)和赫尔曼(Hellman)两人提出了公开密钥密码的新思想(论文New Direction in Cryptography，密码学的新方向)，把密钥分为加密公钥和解密私钥，奠定了公钥密码学的基础。1977年，美国的里维斯特(Ronald Rivest)、沙米尔(Adi Shamir)和阿德勒曼(Len Adleman)提出了个较完善的公钥密码体制——RSA体制，这是一种建立在大数因子分解基础上的算法，这是密码学的一场革命。
公钥密码体制的理论价值： ，突破Shannon理论，从计算复杂性上刻画密码算法的强度。第二，它把传统密码算法中两个密钥管理中的保密性要求，转换为保护其中一个的保密性，保护另一个的完整性的要求。第三，它把传统密码算法中的密钥归属从通信两方变为一个单独的用户，从而使密钥的管理复杂度有了较大下降。
公钥密码体制在应用上的价值： ，密码学的研究已经逐步超越了数据的通信保密性范围，同时开展了对数据的完整性、数字签名技术的研究，已成为核心的密码技术。第二，随着计算机及其网络的发展，密码学已逐步成为计算机安全、网络安全的重要支柱，使得数据安全成为信息安全的核心内容，超越了以往物理安全占据计算机安全主导地位的状态。

2. 计算机系统安全阶段(20世纪70年代~20世纪80年代)
自从进入计算机时代，信息安全研究目标扩展到计算机系统安全。将密码技术应用到计算机通信保护的同时，开始针对信息系统的安全进行研究，重在物理安全层与运行安全层，兼顾数据安全层。随着数据库技术和信息系统的广泛应用，信息安全概念从仅侧重机密性扩充到完整性，访问控制技术变得更加重要。20世纪70年代，访问控制技术取得了突破性的成果。同时，信息安全学术界形成了以安全模型分析与验证为理论基础、以信息安全产品为主要构件、以安全域建设为主要目标的安全防护体系思想； 不仅涌现出安全操作系统、安全数据库管理系统、防火墙为代表的信息安全产品，同时形成了相关的信息安全产品测评标准，以及基于安全标准的测评认证制度与市场准入制度，实现了信息安全产品的特殊监管。
1969年，B.Lampson提出了访问控制矩阵模型，1973年，D.Bell和L.Lapadula创立了一种模拟军事安全策略的计算机操作模型——BLP模型。由于BLP模型是针对机密性，所以，1977年提出了针对完整性的Biba模型，1987年提出了侧重完整性和商业应用的ClarkWilson模型。1996年提出了RBAC96，2000年提出了NISTRBAC引用参考标准，权限管理基础设施(PMI)使得访问控制在网络环境下的实施更加方便。
1985年，美国国防部公布可信计算机系统评估准则(Trusted Computer Security Evaluation Criteria，TESEC)即橘皮书。该标准是计算机系统安全评估的个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC初只是军用标准，后来延至民用领域。
为了建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则，1993年6月，美国政府同加拿大及欧共体共同起草单一的通用准则(The Common Criteria for Information Technology security Evaluation，简称CC标准)，并将其推到国际标准。它综合了美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则，形成了一个更全面的框架。

我国国家质量技术监督局也于1999年发布了计算机信息系统安全保护等级划分准则(Classified Criteria for Security Protection of Computer Information System)的国家标准，序号为GB 17859—1999，评估准则的制定为我们评估、开发研究计算机系统安全提供了指导准则。

3. 网络信息安全阶段

20世纪60年代开始，美国国防部的高级研究计划局(Advance Research Projects Agency，ARPA)开始建立ARPANET，ARPANET就是Internet的前身。Internet的迅猛发展始于20世纪90年代，由欧洲原子核研究组织CERN开发的万维网WWW被广泛使用在Internet上，大大方便了广大非网络专业人员对网络的使用，成为Internet发展的指数级增长的主要驱动力。今天的Internet已不再是计算机人员和军事部门进行科研的领域，而是变成了一个开发和使用信息资源的覆盖全球的信息海洋，覆盖了社会生活的方方面面，构成了一个信息社会的缩影。目前，互联网正从IPv4向IPv6跨越。然而Internet也有其固有的缺点，如网络无整体规划和设计，网络拓扑结构不清晰以及容错及可靠性的缺乏，而这些对于商业领域的不少应用是至关重要的。安全性问题是困扰Internet用户发展的另一主要因素。计算机病毒、网络蠕虫的广泛传播，计算机网络黑客的恶意攻击，DDoS攻击的强大破坏力、网上窃密和犯罪的增多，使得网络安全性问题关系到未来网络应用的深入发展。当信息技术快速步入网络时代，跨地域、跨管理域的协作不可避免，多个系统之间存在频繁交互或大规模数据流动，专一、严格的信息控制策略变得不合时宜，信息安全领域随即进入了以立体防御、深度防御为核心思想的信息安全保障的时代，形成了以预警、攻击防护、响应、恢复为主要特征的全生命周期安全管理，出现了大规模网络攻击与防护、互联网安全监管等各项新的研究内容。安全管理也由信息安全产品测评发展到大规模信息系统的整体风险评估与等级保护等。在这一阶段，开始针对信息安全体系进行研究，重在运行安全与数据安全层，兼顾内容安全层。
因此，网络安全的研究涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。
4. 信息安全保障阶段

进入20世纪90年代，随着网络技术的进一步发展，超大型网络迫使人们必须从整体安全的角度去考虑信息安全问题。网络的开放性、广域性等特征把人们对信息安全的需求，延展到可用性、完整性、真实性、机密性和不可否认性等更全面的范畴。同时，随着网络黑客、病毒等技术层出不穷、变化多端，人们发现任何信息安全技术和手段都存在弱点，传统的“防火墙 补丁”这样的纯技术方案无法完全抵御来自各方的威胁，必须寻找一种可持续的保护机制，对信息和信息系统进行全方位、动态的保护。1989年，美国卡内基·梅隆大学计算机应急小组开始研究如何从静态信息安全防护向动态防护转变。之后，美国国防部在其信息安全及网络战防御理论探索中吸收这一思想，并于1995年提出了“信息保障”(Information Assurance，IA)的概念。1996年，美国国防部(DoD)在国防部令S3600.1中对信息保障做如下定义： 保护和防御信息及信息系统，确保其可用性，完整性，保密性，可认证性，不可否认性等特性。这包括在信息系统中融入保护、检测、响应功能，并提供信息系统的恢复功能。这就是信息保障的PDRR模型，其5个技术环节分别如下。

(1) 预警： 根据以前掌握的系统脆弱性和当前了解的犯罪趋势预测未来可能受到的攻击及危害。能不能预警客观存在着空间差、时间差、知识差、能力差的问题。预警的技术支持包括： 威胁分析、脆弱性分析、资产评估、风险分析、漏洞修补、预警协调。

(2) P(保护，Protect)： 采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。技术手段包括： 网络安全、操作系统安全、数据库系统安全访问控制、口令等保密性和完整性技术。
(3) D(检测，Detect)： 利用高级技术提供的工具检查系统检测可能存在的黑客攻击、白领犯罪、病毒泛滥等脆弱性。技术手段： 病毒检测、漏洞扫描、入侵检测、用户身份鉴别等。

(4) R(响应，React)： 对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。技术手段： 监视、关闭、切换、跟踪、报警、修改配置、联动、阻断等。

(5) R(恢复，Restore)： 一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。技术手段： 备份、恢复等。

1998年5月，美国公布了由国家安全局NSA起草的Information Assurance Technical Framework（信息保障技术框架），旨在为保护美国政府和工业界的信息与技术设施提供技术指南。1999年8月31日，IATF论坛发布了IATF 2.0版本，2000年9月22日又推出了IATF 3.0版本。

5. 云计算安全阶段
云计算以动态的服务计算为主要技术特征，以灵活的“服务合约”为核心商业特征，是信息技术领域正在发生的重大变革。这种变革为信息安全领域带来了巨大的冲击。

(1) 在云平台中运行的各类云应用没有固定不变的基础设施，没有固定不变的安全边界，难以实现用户数据安全与隐私保护；
(2) 云服务所涉及的资源由多个管理者所有，存在利益冲突，无法统一规划部署安全防护措施；
(3) 云平台中数据与计算高度集中，安全措施必须满足海量信息处理需求。
由于当前信息安全领域仍缺乏针对此类问题的充分研究，尚难为安全的云服务提供必要的理论技术与产品支撑，因此，未来在信息安全学术界与产业界共同的关注及推动下，信息安全领域将围绕云服务的“安全服务品质协议”的制定、交付验证、第三方检验等，逐渐发展形成一种新型的技术体系与管理体系与之相适应，这标志着信息安全领域一个新的时代的到来。从目前来看，实现云计算安全至少应解决关键技术、标准与法规建设以及国家监督管理制度等多个层次的挑战。下面分别予以简要阐述。
挑战1： 建立以数据安全和隐私保护为主要目标的云安全技术框架。
当前，云计算平台的各个层次，如主机系统层、网络层以及Web应用层等都存在相应安全威胁，但这类通用安全问题在信息安全领域已得到较为充分的研究，并具有比较成熟的产品。研究云计算安全需要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及多租户共享运营模式等对数据安全与隐私保护带来的挑战。
挑战2： 建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系。
建立安全指导标准及其测评技术体系是实现云计算安全的另一个重要支柱。云计算安全标准是度量云用户安全目标与云服务商安全服务能力的尺度，也是安全服务提供商构建安全服务的重要参考。基于标准的“安全服务品质协议”，可以依据科学的测评方法检测与评估，在出现安全事故时快速实现责任认定，避免产生责任推诿。
挑战3： 建立可控的云计算安全监管体系。
科学技术是把双刃剑，云计算在为人们带来巨大好处的同时也带来巨大的破坏性能力。而网络空间又是继领土权、领空权、领海权、太空权之后的第5维国家主权，是任何主权国家必须自主掌控的重要资源。因此，应在发展云计算产业的同时大力发展云计算监控技术体系，牢牢掌握技术主动权，防止其被竞争对手控制与利用。

5.1.2信息安全基本概念
1. 信息安全的定义

信息安全领域的发展历程已多次证明，信息技术的重大变革将直接影响信息安全领域的发展进程。从通信保密到系统安全，从网络安全到信息安全保障，信息安全定义随着网络与信息技术的发展而不断发生变化，其含义也在动态地发生变化。
从理念上看，以前信息安全强调的是“规避风险”，即防止发生并提供保护，破坏发生时无法挽回； 而信息保障强调的是“风险管理”，即综合运用保护、探测、响应和恢复等多种措施，使得信息在攻击突破某层防御后，仍能确保一定级别的可用性、完整性、真实性、机密性和不可否认性，并能及时对破坏进行修复。以前信息安全通常是单一或多种技术手段的简单累加，而信息保障则是对加密、访问控制、防火墙、安全路由等技术的综合运用，更注重入侵检测和灾难恢复技术。
信息安全逐渐演变成一个综合、交叉的学科领域，不再仅限于对传统意义上的网络和计算机技术进行研究，必须要综合利用数学、物理、通信、计算机以及经济学等诸多学科的长期知识积累和发展成果，进行自主创新研究，并提出系统的、完整的、协同的解决方案。例如，防电磁辐射、密码技术、数字签名、信息安全成本和收益等方面的研究都分别涉及并综合了计算机、物理学、数学以及经济学上的一些原理。但是严格来说信息安全并没有明确的定义，而只有一些相关的描述。
国际标准化委员会定义的信息安全概念是： 为数据处理系统而采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。
ISO/IEC 17799定义信息安全是： 通过实施一组控制而达到的，包括策略、措施、过程，组织结构及软件功能，是对机密性、完整性和可用性保护的一种特性。机密性确保信息只能被授权访问方所接收，完整性即保护信息处理手段的正确与完整，可用性确保授权用户在需要时能够访问信息相关资源。
我国相关立法给出的定义是： 保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机系统的安全。
从上述定义看，信息安全涵盖两个层次： ，从信息层次来看，信息安全要保证信息的完整性和保密性。完整性即保证信息的来源、去向、内容真实无误； 保密性即保证信息不会被非法泄漏与扩散。第二，从网络层次来看，要达到可用性和可控性。可用性即保证网络和信息系统随时可用，运行过程不出现故障，并且在遇到意外情况时能够尽量减少损失，并尽早恢复正常； 可控性即对网络信息的传播具有控制能力。