我们经常听到信息安全、网络安全、数据安全这几个词,那么它们之间有什么关系呢?在我们理解这些概念之前,我们有必要理解信息和数据的区别。
A.信息与数据
为了直观地理解信息和数据,让我们先来看几个实际的场景:
昨天某公司高层会议决定发布一款视频社交软件,将与b公司抢占市场份额。c公司的股票可能会大幅上涨。下个月m国可能会对y国发起一场镇压。所有这些都可以称为“信息”,而这些信息不一定存在于某个系统或某个数据库中,但我们的判断依据可能存在于该系统或数据库中,例如:
A公司会后输出的会议纪要,C公司股票在内部办公系统公布的历史数据,包括k线图、交易量和各种指数数据,数据库中存储的网站上关于M国军事动态的报告,以及航母的动态位置图片都是网络空间中客观存在的“数据”。由此,我们可以得出一个初步结论:
“数据”是“信息”的主要载体,但需要注意的是,信息也可能存在于网络空间之外;
通过分析数据,我们可以得到有用的“信息”。不同的人可能得到不同的信息,比如k线图,各种指数数据。有的人得到股票上涨的信息,有的人得到股票下跌的信息。
基于上述判断,我们可以定义信息和数据:
信息是一种有价值的资产,也是数据的一种有意义的表达。
数据是网络空间的信息载体,是信息的记录。
B.信息安全
从发展趋势来看,信息安全一词最早是用来概括安全系统的。当时的细分没有现在多(比如Web安全、渗透、逆向、漏洞挖掘、安全防御、系统构建等。),但信息安全一词很好地概括了安全目标,即保护信息的机密性、完整性和可用性。
信息不一定存在于网络空间。所以信息安全的外延很大。所有可能导致信息泄露、信息篡改和信息不可用的场景都包含在信息安全的范围内,除了常见的网络入侵和秘密窃取,还有网络空间之外的场景,如社会工程利用人的弱点、间谍/卧底等。
C.网络安全
网络安全的概念也在不断发展。最早的网络安全是网络安全,基于“以网络为中心的安全体系”的立场,主要涉及网络安全域、防火墙、网络访问控制、反DDOS(分布式拒绝服务攻击)等场景,尤其是以防火墙为代表的网络访问控制设备的广泛使用,网络安全域、边界、隔离、防火墙策略等概念深入人心。后来它的范围越来越大,延伸到云、网络、终端等环节,发展到赛博空间安全,甚至覆盖陆海空。但是这个词太长了,不如网络安全方便,再简化为赛博安全。
因此,我们现在所说的一般指的是广义上的网络安全,它仍然基于安全系统是以网络为中心的立场,一般指的是整个安全系统,重点是网络空间安全、网络访问控制、安全通信以及防御网络攻击或入侵。
D.数据安全
(Data Security)是一个以数据为中心的职位,关注数据整个生命周期的安全性和合规性,尤其是敏感数据的安全性和合规性。
通常,对于大多数业务人员来说,主要关注的是数据的安全性。使用“数据安全”一词,方便安全人员和业务人员在目标一致的前提下进行沟通。
随着信息时代向数据时代的转变,数据安全的概念更接近安全保护的目标,更适合业务发展的需要。此外,这里的数据不仅包括静态和存储数据,还包括流动和使用中的数据。
我们需要在使用过程中保护数据,在数据的整个生命周期中保护数据,尤其是涉及个人隐私的数据。换句话说,数据安全这个术语可以统一信息安全、网络安全和隐私保护的目标。
E.信息安全/网络安全/数据安全的关系赛博空间是计算资源和环境(覆盖云/管道/终端的设施和应用),数据是计算对象。
我们通过保护[网络空间]中的[数据]来实现[信息安全]或[数据安全]的目标。
【信息安全】专注于保护所有有价值的信息,不仅限于网络空间。比如窃听、社工、各种人为因素的泄露等也属于信息安全的范畴。
【网络安全,即网络空间安全】侧重于计算资源和环境,有边界,通常受主权边界限制。通过保证计算环境网络空间的安全性,最终保证计算对象(数据)的安全性。
【数据安全】侧重于数据在整个生命周期中的安全性和合规性,可能涉及长臂管辖权和域外效力。
上图中,网络安全范围是指橙色边框,数据安全范围是指蓝色边框。
网络安全可以理解为手段,数据安全(和信息安全)可以理解为目标。
一般来说,数据比信息更有针对性,更具体。因此,在使用“数据安全”这个术语时,安全团队的目标与业务团队的目标是一致的,即保证计算对象的安全。从这个角度来看,数据安全是推进安全工作的一个很好的切入点。
F.典型使用场景。你不必太担心我们应该使用哪个术语。我们可以根据企业的需求和优先顺序选择相应的条款。
收藏
400-668-6638
取消收藏