对于什么是信息安全的概念，不同的人可能解释也不同。国际公认的信息安全组织机构如ISO/IEC、美国国家安全系统委员会和国际信息系统审计协会三家对信息安全的定义大同小异，其目标一致，均指出保障信息安全的最重要目的是保护信息的3个方面：

1、机密性；

2、完整性；

3、可用性。

在此，我们可以概述信息安全为：为了保障机密性、完整性和可用性而保护信息和信息系统，以防止授权的访问、使用、泄露、中断、修改或者破坏。

机密性：

信息仅能够被授权的个人、组织、系统或流程访问，不应该被任何其他非授权行为获取。例如短信平台的短信发送记录和手机号码等敏感信息，除该账户或该账户持有人授权的主体可以看到以外，其他人或组织不得查询或获取。

完整性：

完整性，就是确保信息的一致性、准确性和可信赖性，不允许信息被篡改。

短信提交/发送记录无论是通过UMC平台提交还是接口提交的，都要进行数据的校验，确保用户提交的信息和最终存储的信息的一致性。

可用性：

可用性，就是业务连续性的体现，确保短信服务不会因为通道、平台、服务器/机房异常导致短信服务中断或者因此造成数据丢失。

从哪些层面保证系统信息安全？

终端层（用户层）：

用户的桌面环境可能是Windows，也可能是Linux，但是无论哪种操作系统，都应该至少做到以下几点，尽可能确保终端环境的安装：

安装杀毒软件，病毒库更新到最新；

定期更新系统漏洞，确保系统自身相对安全；

避免安装未授权软件及禁止访问未知网站；

禁止安装不明插件。

应用层：

应用门户部署SSL数字证书，实现https通信加密，防止数据传输过程中被窃取；

各客户之间进行逻辑隔离，进行访问权限控制；

建立应用审计机制，对应用访问进行审计并进行日志留痕；

加固应用自身架构，减少应用自身漏洞。

数据层：

建立数据库审计机制，对关键行为进行阻止与告警；

核心数据进行加密存储，私钥异地保存；

建立系统备份机制，实现异地多活/两地三中心，对核心数据进行异地备份；

为防止数据共享，底层不同用户数据逻辑隔离存储，独立数据库、物理存储，甚至划分独立的局域网。

系统层：

统一身份认证，访问权限控制；

开启系统防火墙，开启IP鉴权机制，授权固定IP访问；

系统对任何行为进行日志留痕迹。

网络层：

互联网区部署ADS【抗拒绝攻击】WAF【应用防火墙】IPS【入侵防御】IDS【入侵检测】；

部署网络防火墙，阻止非法访问及病毒流量；

建立负载均衡机制，对大流量进行分流。

基础设施层：

租赁或自建符合国家数据中心机房建设B级标准或以上的机房，确保风、火、水、电等基础设施高可用；

计算资源、网络资源及存储资源均采用高可用/多活部署机制；

建立访问控制体系，拒绝非授权访问；

建立两地三中心多活灾备机制。

运维层：

基于ITIL，建立运维体系流程，如：变更流程、应用上下线流程、VM生命周期管理管理等；

建立私有云安全风险应急机制，应对突发事件发生；

建立一支经验丰富的云运维团队，提供技术支持。