原創(chuàng)2024-11-11小艾老師

在我們?nèi)粘Ｉ钪?，常常會聽到“信息安全”（信安）、“網(wǎng)絡安全”（網(wǎng)安）和“數(shù)據(jù)安全”（數(shù)安）這些詞。很多人可能會搞混，今天小艾老師就來聊聊它們之間的關(guān)系，以及它們各自的含義。

01_信息 vs 數(shù)據(jù)：先弄清楚這兩個概念

在深入了解安全問題之前，我們得先搞清楚“信息”和“數(shù)據(jù)”這兩個詞的區(qū)別?？梢酝ㄟ^幾個簡單的例子來理解：

信息：比如，某公司決定推出一款新軟件，這是一個信息；或者某國準備對另一國進行軍事行動，這也是信息。這些信息可能不一定存在于某個系統(tǒng)里，但它們對我們來說是有意義的。
數(shù)據(jù)：這些信息的背后通常有一些客觀存在的“數(shù)據(jù)”。比如，公司的會議紀要、股票的歷史價格圖表、新聞報道等，這些都是數(shù)據(jù)。簡單來說，數(shù)據(jù)是用來記錄和表達信息的載體。

所以，我們可以總結(jié)出：數(shù)據(jù)是信息的基礎(chǔ)，而信息是從數(shù)據(jù)中提煉出來的有用內(nèi)容。

02_信安 vs 網(wǎng)安 vs 數(shù)安：看一下它們的定義

什么是信息安全

信息安全主要是指保護所有有價值的信息不被泄露、篡改或丟失。這并不僅限于網(wǎng)絡上的信息，任何可能對信息造成威脅的場景都在信息安全的范圍內(nèi)。它不僅僅包括電子數(shù)據(jù)和網(wǎng)絡通信，還包括紙質(zhì)文件、口頭交流等信息的安全性。

信息安全的核心目標是確保信息不被泄露、不被篡改、始終可用，對應的就是我們常說的信息安全的CIA三要素：保密性、完整性和可用性。

什么是網(wǎng)絡安全

網(wǎng)絡安全專注于保護網(wǎng)絡環(huán)境的安全。_早的網(wǎng)絡安全是Network Security，是圍繞網(wǎng)絡設(shè)備和防火墻展開的，主要涉及網(wǎng)絡安全域、防火墻、網(wǎng)絡訪問控制、抗DDOS（分布式拒絕服務攻擊）等場景。

隨著時間的推移，它的概念逐漸擴大，涵蓋了云端、終端等各個方面?，F(xiàn)在，網(wǎng)絡安全主要指的是保護網(wǎng)絡空間的安全（Cyber Security），包括網(wǎng)絡空間安全、網(wǎng)絡訪問控制、安全通信、防御網(wǎng)絡攻擊或入侵等。

什么是數(shù)據(jù)安全

數(shù)據(jù)安全則是以數(shù)據(jù)為中心，關(guān)注數(shù)據(jù)在整個生命周期中的安全性和合規(guī)性。無論是靜態(tài)存儲的數(shù)據(jù)，還是正在使用中的數(shù)據(jù)，都需要保護。尤其是涉及個人隱私的數(shù)據(jù)，數(shù)據(jù)安全的目標是保護這些數(shù)據(jù)不被濫用或泄露。

03_信息安全、網(wǎng)絡安全和數(shù)據(jù)安全的關(guān)系

這三者之間其實是相輔相成的。我們可以這樣理解：

信息安全：更廣泛，保護所有有價值的信息，包括網(wǎng)絡內(nèi)外的各種信息。各種人為因素的泄露也在信息安全工作的考慮范圍之內(nèi)。
網(wǎng)絡安全：即網(wǎng)絡空間安全，專注于保護網(wǎng)絡環(huán)境，確保網(wǎng)絡的安全性，從而保護其中的數(shù)據(jù)。
數(shù)據(jù)安全：專注于數(shù)據(jù)本身，確保數(shù)據(jù)的安全和合規(guī)，尤其是敏感數(shù)據(jù)。

可以把網(wǎng)絡安全看作是實現(xiàn)信息安全和數(shù)據(jù)安全的手段，而數(shù)據(jù)安全則是更具體的目標。

看一下小艾老師找的這張圖，大家可以有個更好的理解：網(wǎng)絡安全的范圍參考橙色實線邊框，數(shù)據(jù)安全的范圍參考藍色虛線邊框。網(wǎng)絡安全可以理解為手段，而數(shù)據(jù)安全（和信息安全）可以理解為目標。

實際工作中，不用糾結(jié)到底使用哪個術(shù)語，因為這三個術(shù)語都可以泛指整個安全體系。你可以根據(jù)公司的需求和重點選擇相應的術(shù)語。

比如，如果你在處理客戶的個人信息，可能會更關(guān)心“數(shù)據(jù)安全“；而如果你在制定整體安全政策，”信息安全“可能是你關(guān)注的重點。以下是一些常見的使用場景，供參考。

術(shù)語	狹義	廣義	典型使用場景
信息安全	防止敏感信息不當擴散，涵蓋控制不良信息（黃賭毒）及內(nèi)部泄密等	源于安全體系架構(gòu)的 “以信息為中心” 理念，可以泛指整個安全體系	注重安全管理體系；強調(diào)信息及系統(tǒng)的保密性、完整性、可用性；關(guān)注內(nèi)容合規(guī)；重視 DLP（防內(nèi)部信息泄露）；強調(diào)靜態(tài)信息保護（如存儲及光盤信息）
網(wǎng)絡安全	源于安全體系架構(gòu)的 “以網(wǎng)絡為中心” 理念，側(cè)重網(wǎng)絡安全域、訪問控制及防網(wǎng)絡攻擊等	源于安全體系架構(gòu)的 “以網(wǎng)絡為中心” 理念，可以泛指整個安全體系	強調(diào)網(wǎng)絡邊界與安全域；注重網(wǎng)絡入侵防御；強調(diào)網(wǎng)絡通信或傳輸安全；關(guān)注網(wǎng)絡空間主權(quán)
數(shù)據(jù) 安全	以保護數(shù)據(jù)本身為核心，包含加密、脫敏、防差分隱私分析等	源于安全體系架構(gòu)的 “以數(shù)據(jù)為中心” 理念，可以泛指整個安全體系	強調(diào)數(shù)據(jù)全生命周期保護；突出數(shù)據(jù)作為生產(chǎn)力；關(guān)注數(shù)據(jù)主權(quán)或主體權(quán)利；重視長臂管轄權(quán)；強調(diào)隱私保護

_后，小艾老師想說的是不管是信安、網(wǎng)安還是數(shù)安，只要是從事安全領(lǐng)域的工作，都會被要求做“安全保護“方面的工作。

既然是保護，那么就得有措施，不光是技術(shù)上的措施，還有管理方面的措施。技術(shù)措施有些是通用的，比如網(wǎng)安的防火墻、IPS、IDS、堡壘機這些，也有些是特有的，比如數(shù)安的數(shù)據(jù)防泄漏、加密、動態(tài)脫敏、靜態(tài)脫敏和數(shù)據(jù)庫審計等。管理措施的話，就是涉及到制度、流程和機制等方面了。

附：一些常見的技術(shù)措施，供參考。

從事安全領(lǐng)域的工作，不管是信安、網(wǎng)安還是數(shù)安，不管是技術(shù)措施還是管理措施，有一個認證可以非常全面地學習到這些內(nèi)容，那就是CISSP信息安全專家認證。小艾老師推薦大家參加艾威的CISSP信息安全專家認證培訓。

贊