原創(chuàng)2024-11-11小艾老師

在我們?nèi)粘Ｉ钪?，常常?huì)聽(tīng)到“信息安全”（信安）、“網(wǎng)絡(luò)安全”（網(wǎng)安）和“數(shù)據(jù)安全”（數(shù)安）這些詞。很多人可能會(huì)搞混，今天小艾老師就來(lái)聊聊它們之間的關(guān)系，以及它們各自的含義。

01_信息 vs 數(shù)據(jù)：先弄清楚這兩個(gè)概念

在深入了解安全問(wèn)題之前，我們得先搞清楚“信息”和“數(shù)據(jù)”這兩個(gè)詞的區(qū)別?？梢酝ㄟ^(guò)幾個(gè)簡(jiǎn)單的例子來(lái)理解：

信息：比如，某公司決定推出一款新軟件，這是一個(gè)信息；或者某國(guó)準(zhǔn)備對(duì)另一國(guó)進(jìn)行軍事行動(dòng)，這也是信息。這些信息可能不一定存在于某個(gè)系統(tǒng)里，但它們對(duì)我們來(lái)說(shuō)是有意義的。
數(shù)據(jù)：這些信息的背后通常有一些客觀存在的“數(shù)據(jù)”。比如，公司的會(huì)議紀(jì)要、股票的歷史價(jià)格圖表、新聞報(bào)道等，這些都是數(shù)據(jù)。簡(jiǎn)單來(lái)說(shuō)，數(shù)據(jù)是用來(lái)記錄和表達(dá)信息的載體。

所以，我們可以總結(jié)出：數(shù)據(jù)是信息的基礎(chǔ)，而信息是從數(shù)據(jù)中提煉出來(lái)的有用內(nèi)容。

02_信安 vs 網(wǎng)安 vs 數(shù)安：看一下它們的定義

什么是信息安全

信息安全主要是指保護(hù)所有有價(jià)值的信息不被泄露、篡改或丟失。這并不僅限于網(wǎng)絡(luò)上的信息，任何可能對(duì)信息造成威脅的場(chǎng)景都在信息安全的范圍內(nèi)。它不僅僅包括電子數(shù)據(jù)和網(wǎng)絡(luò)通信，還包括紙質(zhì)文件、口頭交流等信息的安全性。

信息安全的核心目標(biāo)是確保信息不被泄露、不被篡改、始終可用，對(duì)應(yīng)的就是我們常說(shuō)的信息安全的CIA三要素：保密性、完整性和可用性。

什么是網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全專注于保護(hù)網(wǎng)絡(luò)環(huán)境的安全。_早的網(wǎng)絡(luò)安全是Network Security，是圍繞網(wǎng)絡(luò)設(shè)備和防火墻展開(kāi)的，主要涉及網(wǎng)絡(luò)安全域、防火墻、網(wǎng)絡(luò)訪問(wèn)控制、抗DDOS（分布式拒絕服務(wù)攻擊）等場(chǎng)景。

隨著時(shí)間的推移，它的概念逐漸擴(kuò)大，涵蓋了云端、終端等各個(gè)方面?，F(xiàn)在，網(wǎng)絡(luò)安全主要指的是保護(hù)網(wǎng)絡(luò)空間的安全（Cyber Security），包括網(wǎng)絡(luò)空間安全、網(wǎng)絡(luò)訪問(wèn)控制、安全通信、防御網(wǎng)絡(luò)攻擊或入侵等。

什么是數(shù)據(jù)安全

數(shù)據(jù)安全則是以數(shù)據(jù)為中心，關(guān)注數(shù)據(jù)在整個(gè)生命周期中的安全性和合規(guī)性。無(wú)論是靜態(tài)存儲(chǔ)的數(shù)據(jù)，還是正在使用中的數(shù)據(jù)，都需要保護(hù)。尤其是涉及個(gè)人隱私的數(shù)據(jù)，數(shù)據(jù)安全的目標(biāo)是保護(hù)這些數(shù)據(jù)不被濫用或泄露。

03_信息安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的關(guān)系

這三者之間其實(shí)是相輔相成的。我們可以這樣理解：

信息安全：更廣泛，保護(hù)所有有價(jià)值的信息，包括網(wǎng)絡(luò)內(nèi)外的各種信息。各種人為因素的泄露也在信息安全工作的考慮范圍之內(nèi)。
網(wǎng)絡(luò)安全：即網(wǎng)絡(luò)空間安全，專注于保護(hù)網(wǎng)絡(luò)環(huán)境，確保網(wǎng)絡(luò)的安全性，從而保護(hù)其中的數(shù)據(jù)。
數(shù)據(jù)安全：專注于數(shù)據(jù)本身，確保數(shù)據(jù)的安全和合規(guī)，尤其是敏感數(shù)據(jù)。

可以把網(wǎng)絡(luò)安全看作是實(shí)現(xiàn)信息安全和數(shù)據(jù)安全的手段，而數(shù)據(jù)安全則是更具體的目標(biāo)。

看一下小艾老師找的這張圖，大家可以有個(gè)更好的理解：網(wǎng)絡(luò)安全的范圍參考橙色實(shí)線邊框，數(shù)據(jù)安全的范圍參考藍(lán)色虛線邊框。網(wǎng)絡(luò)安全可以理解為手段，而數(shù)據(jù)安全（和信息安全）可以理解為目標(biāo)。

實(shí)際工作中，不用糾結(jié)到底使用哪個(gè)術(shù)語(yǔ)，因?yàn)檫@三個(gè)術(shù)語(yǔ)都可以泛指整個(gè)安全體系。你可以根據(jù)公司的需求和重點(diǎn)選擇相應(yīng)的術(shù)語(yǔ)。

比如，如果你在處理客戶的個(gè)人信息，可能會(huì)更關(guān)心“數(shù)據(jù)安全“；而如果你在制定整體安全政策，”信息安全“可能是你關(guān)注的重點(diǎn)。以下是一些常見(jiàn)的使用場(chǎng)景，供參考。

術(shù)語(yǔ)	狹義	廣義	典型使用場(chǎng)景
信息安全	防止敏感信息不當(dāng)擴(kuò)散，涵蓋控制不良信息（黃賭毒）及內(nèi)部泄密等	源于安全體系架構(gòu)的 “以信息為中心” 理念，可以泛指整個(gè)安全體系	注重安全管理體系；強(qiáng)調(diào)信息及系統(tǒng)的保密性、完整性、可用性；關(guān)注內(nèi)容合規(guī)；重視 DLP（防內(nèi)部信息泄露）；強(qiáng)調(diào)靜態(tài)信息保護(hù)（如存儲(chǔ)及光盤(pán)信息）
網(wǎng)絡(luò) 安全	源于安全體系架構(gòu)的 “以網(wǎng)絡(luò)為中心” 理念，側(cè)重網(wǎng)絡(luò)安全域、訪問(wèn)控制及防網(wǎng)絡(luò)攻擊等	源于安全體系架構(gòu)的 “以網(wǎng)絡(luò)為中心” 理念，可以泛指整個(gè)安全體系	強(qiáng)調(diào)網(wǎng)絡(luò)邊界與安全域；注重網(wǎng)絡(luò)入侵防御；強(qiáng)調(diào)網(wǎng)絡(luò)通信或傳輸安全；關(guān)注網(wǎng)絡(luò)空間主權(quán)
數(shù)據(jù) 安全	以保護(hù)數(shù)據(jù)本身為核心，包含加密、脫敏、防差分隱私分析等	源于安全體系架構(gòu)的 “以數(shù)據(jù)為中心” 理念，可以泛指整個(gè)安全體系	強(qiáng)調(diào)數(shù)據(jù)全生命周期保護(hù)；突出數(shù)據(jù)作為生產(chǎn)力；關(guān)注數(shù)據(jù)主權(quán)或主體權(quán)利；重視長(zhǎng)臂管轄權(quán)；強(qiáng)調(diào)隱私保護(hù)

_后，小艾老師想說(shuō)的是不管是信安、網(wǎng)安還是數(shù)安，只要是從事安全領(lǐng)域的工作，都會(huì)被要求做“安全保護(hù)“方面的工作。

既然是保護(hù)，那么就得有措施，不光是技術(shù)上的措施，還有管理方面的措施。技術(shù)措施有些是通用的，比如網(wǎng)安的防火墻、IPS、IDS、堡壘機(jī)這些，也有些是特有的，比如數(shù)安的數(shù)據(jù)防泄漏、加密、動(dòng)態(tài)脫敏、靜態(tài)脫敏和數(shù)據(jù)庫(kù)審計(jì)等。管理措施的話，就是涉及到制度、流程和機(jī)制等方面了。

附：一些常見(jiàn)的技術(shù)措施，供參考。

從事安全領(lǐng)域的工作，不管是信安、網(wǎng)安還是數(shù)安，不管是技術(shù)措施還是管理措施，有一個(gè)認(rèn)證可以非常全面地學(xué)習(xí)到這些內(nèi)容，那就是CISSP信息安全專家認(rèn)證。小艾老師推薦大家參加艾威的CISSP信息安全專家認(rèn)證培訓(xùn)。

贊