阅读说明：这是《大话系规官方教材伴读》系列的付费正文。本系列按官方教材原章节顺序，一节一节用大白话讲透第2版教材。非会员可免费试读本讲约百分之二十。

这套伴读怎么用、和《系规精品图文课程》怎么搭着看，先读开篇导读：《大话系规官方教材伴读·开篇：这本又厚又硬的书，我陪你一节一节读完》。

付费方式：独立合集《大话系规官方教材伴读》合集价 299 元，购买后全部讲次解锁（微信小程序或官方网站均可学习）。已订阅《系规精品图文课程》的同学不再单独付费，登录学习平台即可直接读全部内容。

以下为本讲正文 ↓

大话第9章①：信息安全规划概述

一、先问你一个会卡住的问题

同学，咱们进第 9 章，信息安全规划。

进定义之前，我先问你一个问题。你公司花了一大笔钱，买了最贵的防火墙、装了最好的杀毒软件、上了入侵检测系统。结果有一天出事了——一个离职的老员工，临走前把客户名单拷到 U 盘里带走了，转头卖给了竞争对手。

你说，这事儿怪谁？是防火墙不行吗？是杀毒软件没用吗？都不是。是你压根没把"人会监守自盗"这件事，提前规划进你的安全里去。

我再问你一个。你听到"信息安全"四个字，第一反应是什么？是不是"装个杀毒软件""搞个防火墙""别让黑客进来"？如果你这么想，那你跟教材想的，差了一大截。

我跟你交个底：在系规这门考试里，信息安全从来不是"买几个安全产品堆上去"。它是一件需要从企业战略出发、从头到尾规划好的大事。规划这两个字，是这一整章的灵魂。你买产品是"打补丁"，规划才是"先画好这栋楼该怎么防"。

这一讲，我就把第 9 章第一节——也就是 9.1 概述——这一整节，用你身边的事儿，一句一句给你翻译清楚。讲完你会明白：信息安全到底保的是什么、它会遇到哪些坑、做规划要守住哪几条原则、规划之前还有哪些雷得绕开。这一节是整章的地基，你这一节听顺了，后面的安全架构、安全规划内容才不会发懵。

二、这一节在教材里的位置

先让你心里有张地图，知道自己站在哪儿。

第 9 章在系规里，我给它定 A 档偏上。它属于方法篇里很实在的一章。为什么说它实在？因为信息安全这块，选择题年年有它的影子——五大属性、威胁类型、等保几级、加密种类，全是送分点；案例题里它可能让你给一家公司的安全建设挑毛病、提改进；论文里，信息安全规划本身就能当一个完整的论文方向来写。

而 9.1 这一节，是整章里"打地基"的一节。它不像后面 9.2 安全架构、9.3 规划内容那样有一大堆框架模型，但它把几个最根本的问题先交代清楚了：安全保的是啥、威胁从哪来、规划守什么原则、动手前别踩哪些坑。这几个问题没搞明白，后面那些架构和体系，你就只是在背名词，不知道它们为啥存在。

我把话说在前头：这一节的概念听着抽象，但每一个都能落到你身边的事儿上。你跟着我的例子走，别死磕教材原话。

三、大白话逐节精讲

1. 信息安全到底保什么：先把"安全"两个字说清楚（9.1.1）

教材开头先给信息安全下了个定义。教材原话是这么说的：

信息安全，是指信息系统——这里的信息系统包括硬件、软件、数据、人、物理环境及其基础设施——受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，信息服务不中断，最终实现业务连续性。

这句话有点长，我给你拆开。你先抓住三个关键词：

第一个，保护的对象不只是数据。教材特意把信息系统的范围列全了：硬件、软件、数据、人、物理环境和基础设施。你看，连"人"和"物理环境"都算在里面。这就回到开头那个例子——老员工拷走客户名单，问题出在"人"这个环节，这也是信息安全要管的。机房着火、设备被偷，是"物理环境"出问题，照样是信息安全的事。所以别把信息安全窄化成"防黑客、保数据"，它的盘子大得多。

第二个，威胁分两种来源：偶然的和恶意的。偶然的，比如停电、硬盘坏了、员工手滑删错文件；恶意的，比如黑客攻击、内部人故意搞破坏。两种都要防。

第三个，最终目标是业务连续性。教材这句"最终实现业务连续性"特别要紧。它告诉你：搞安全不是为了安全本身，是为了让你的业务别中断。一家网店，安全的最终目的是让它能一直正常卖货，而不是为了拥有一堆安全设备。这个"以业务为本"的思想，会贯穿整章，你先记住。

教材还补了一句，信息安全也包括防范商业机密泄露、防范青少年浏览不良信息、防范个人信息泄露等等。你看，信息安全是个很宽的概念，护的不只是企业的钱袋子。

讲完定义，教材抛出了这一节最重要的一个考点——信息安全的五个基本属性。这五个属性，是选择题的常客，你一定要记死。我一个一个给你翻译，并配一个生活里的例子：