信息保障（Information Assurance，简称IA），是由美国国防部在20世纪90年代首先提出的概念，经过多次修订和完善，现已在全球范围内获得普遍认同。信息保障的本质在于确保信息及其相关的信息系统能够在安全状态下运作，它是信息安全在信息时代的深化与发展。

信息和信息系统安全对于国家尤其是军事安全具有决定性的影响。美国国防部意识到，尽管其军事系统在网络化和信息化方面取得了显著成就，但也面临着日益增长的风险和漏洞。据报导，美国国防部因计算机网络系统及其上的信息系统遭受外部攻击而导致的年度损失高达数千万至数亿美元。此外，美国国防部认为，针对其计算机系统的攻击活动导致了大量的重要军事信息遭到破坏、窃取和篡改，且这一趋势呈上升态势，对军事安全构成了重大威胁。为了应对这些威胁和风险，增强信息和信息系统抵御各种攻击和破坏的能力，美国国防部在20世纪90年代初期提出了“信息保障”概念，并启动了“信息保障战略”，将信息保障列为军事转型各个领域的首要任务之一。

信息安全问题自信息技术诞生以来一直伴随着其发展。信息安全经历了从早期的“通信保密”（COMSEC）、“信息系统安全”（INFOSEC）到现今的“信息保障”三个发展阶段。每个阶段都有不同的需求、目标和技术发展。20世纪40、50年代，信息安全的重点是通信保密，要求实现信息的机密性。这一时期的军事安全需求主要来源于军政指挥体系的“通信保密”要求，目的是确保即使信息被截获也无法被敌人使用。20世纪60、70年代，随着小型计算机组成的简单网络系统的出现，网络中多点传输、处理以及存储的保密性、完整性、可用性等问题成为关注焦点。此时，人们开始将“通信安全”与“计算机安全”合并考虑，“信息系统安全”（INFOSEC）成为研究热点。进入20世纪90年代，随着网络技术的进一步发展，超大型网络促使人们从整体安全的角度看待信息安全问题。网络的开放性、广域性等特点扩展了信息安全的需求，涵盖了可用性、完整性、真实性、机密性和不可否认性等多个维度。面对不断涌现的网络黑客、病毒等新技术，人们发现任何信息安全技术和手段都存在弱点，传统的“防火墙+补丁”等纯技术方案难以完全抵御各种威胁。在这种背景下，卡耐基·梅隆大学计算机应急小组开始研究如何从静态信息安全防护转向动态防护。随后，美国国防部在其信息安全及网络战防御理论探索中吸纳了这一思想，并于1995年提出了“信息保障”概念。

美国国防部的信息保障能力建设曾经处于分散无序的状态，各军种、部门各自实施，缺乏整合，效率低下。1992年，美国国防部在“21世纪构想——国防信息系统安全计划”中初步探讨了从国防部层面加强信息安全建设的可能性。随着信息安全形势的恶化，1997年11月，负责C31的助理国防部长在一份分析报告中指出，国防部网络体系的复杂性和信息管理的难度正在增大，当前的信息保障工作效果有限，必须制定优先发展方案以应对国防部信息系统和网络面临的安全威胁。此后，美国国防部开始在整个国防领域统一规划信息保障能力建设。1998年1月30日，时任C31助理国防部长签署了“国防领域信息保障项目计划”（DIAP），并在1999年2月制定了具体的实施计划，明确了重点建设任务。随着美国军队转型的持续推进，美国国防部建立了完善的信息保障法规体系。2002年10月发布了“信息保障”指令（8500.1），2003年2月发布了“信息保障”指示（8500.2）。此后，美国国防部将所有信息保障相关的指令归并为8500系列指令，作为指导信息保障能力建设的顶层文件。这标志着美军的信息保障开始走向规范化和一致性。

在美国国防部实施军事转型的过程中，高度重视信息保障在信息安全体系建设中的作用。2003年4月发布的《转型计划指南》将确保信息和信息系统安全列为六大关键作战目标之一。2004年的《国防部信息保障战略规划》明确指出，美国军队信息保障建设的战略任务是全面、深入、动态地保护国防部的信息和信息系统，使其能够持续、可靠地支持国防部的转型。陆军、海军和空军在其各自的转型路线图中也将信息保障视为发展转型能力的重要因素，并在转型的各个领域予以实施，以支持其达到预期目标。2006年，美国国防部颁布新版《四年一度防务评审》，再次强调将信息保障与转型能力建设紧密结合。

信息保障是一种确保信息和信息系统安全运行的行为，是信息安全在信息时代的新发展。信息保障的对象是信息以及处理、管理和存储信息的信息系统。其目的是通过技术、管理等综合手段，使信息和信息系统具备机密性、完整性、可用性、可认证性、不可否认性，以及在遭受攻击后的可恢复性。

信息保障的概念和内涵随技术进步和认知加深而不断丰富和发展。起初，信息保障是一套简单的技术防护措施，现在已经发展成为一个涵盖政策管理、组织实施、运行使用、基础设施建设等多方面的综合体系。信息保障不仅涉及技术手段，还包括人的因素和操作规程，形成了一个由“人”、“技术”和“操作”三个范畴共同构成的综合体系。

信息保障的防御机制超越了传统信息安全概念的范围。从理念上看，信息保障强调的是“风险管理”，即综合运用保护、探测、反应和恢复等多种措施，确保信息在遭受攻击后仍能维持一定的可用性、完整性、真实性、机密性和不可否认性，并能及时进行修复。信息保障是对加密、访问控制、防火墙、安全路由等技术的综合运用，尤其注重入侵探测和灾难恢复技术。信息保障是信息作战的一部分，侧重于防御，即保护信息环境中可供己方使用的信息和信息系统。

信息保障体现了以下显著特点：

采用了“深度防御”策略，通过对攻击者和目标之间信息环境的分层，建立多层次的防御机制，以保障用户信息及信息系统的安全。

在“深度防御”策略中，网络基础设施、计算环境、飞地边界、支撑性设施是美国军队确定的四个重点防护层面。

美军的信息保障能力建设经历了一个从分散无序到统一规划的过程，建立了完善的法规体系，并在军事转型中得到了高度重视和落实。