我们经常听说信息安全、网络安全、数据安全几个词,那么他们之间是什么关系呢?在弄清楚这几个概念之前,我们有必要先了解一下信息和数据的区别。
1.信息 vs 数据
为了直观的了解信息和数据,我们先来看几个实际的场景:
- 昨天A公司高层会议决定发布一款视频社交软件,跟B公司抢夺市场份额
- C公司股票可能要大涨了
- M国可能下个月要发起对Y国的打击
上述这些都可以称之为“信息”,且这些信息并不一定存在于某个系统或某个数据库中,但是我们的判断依据,却有可能存在于系统或数据库中,比如:
- A公司在会后输出的会议纪要,发布在内部办公系统
- C公司股票的历史数据,包括K线图、成交量以及各项指标数据,存储在数据库中
- 网站对M国军事动态的报道、航母的动态位置图片
这些属于客观存在于网络空间中的“数据”。由此可见,我们可以得出初步的结论:
- “数据”是“信息”的主要载体,但也要注意到,信息也有可能存在于网络空间之外;
- 对“数据”进行分析,可以得到有用的“信息”;同一份数据,不同的人可能得出不同的信息,比如K线图和各种指标数据,有的人得出的信息是股票要涨,有的人得出的信息是股票要跌。
基于上述判断,我们可以给信息和数据下个定义了:
- 信息是有价值的资产,是对数据做出的有意义的表达。
- 数据是信息在网络空间的载体,是对信息的记录。
2.信息安全
从发展趋势上看,信息安全一词是最早被用来概述安全体系的,那时还没有像现在这样众多的细分领域(如Web安全、渗透、逆向、漏洞挖掘、安全防御、体系建设等),但信息安全一词很好的概括了安全的目标,也就是保护信息的保密性、完整性和可用性。
信息不一定存在于网络空间中,因此,信息安全的外延非常大,一切可能造成信息泄露、信息被篡改、信息不可用的场景,都包含在信息安全的范围之内,除了常见的网络入侵窃密,也包括网络空间之外的场景,比如社会工程对人性的弱点的利用、间谍/卧底等。
3.网络安全
网络安全这个概念也是不断演化的,最早的网络安全是Network Security,是基于“安全体系以网络为中心”的立场,主要涉及网络安全域、防火墙、网络访问控制、抗DDOS(分布式拒绝服务攻击)等场景,特别是以防火墙为代表的网络访问控制设备的大量使用,网络安全域、边界、隔离、防火墙策略等概念深入人心。
后来,其范围越来越大,往云端、网络、终端等各个环节不断延伸,发展为网络空间安全(Cyberspace Security),甚至覆盖到陆、海、空、天领域,但这个词太长了,念起来没有网络安全方便,后来就简化为网络安全(Cyber Security)了。
所以,我们现在所说的网络安全,一般是指广义的网络安全(Cyber Security),仍基于“安全体系以网络为中心”的立场,泛指整个安全体系,侧重于网络空间安全、网络访问控制、安全通信、防御网络攻击或入侵等。
4.数据安全
数据安全(Data Security),是以数据为中心的立场,主要关注数据全生命周期的安全与合规,特别是敏感数据的安全与合规。
通常,对于大多数业务人员来说,主要关心的是数据的安全。使用数据安全这个术语,便于安全人员和业务人员在目标一致的前提下进行沟通。
随着信息时代向数据时代的转变,数据安全这个概念,更接近安全保护的目标,更适应业务发展的需要,并且这里的数据不仅包括静态的、存储层面的数据,也包括流动的、使用中的数据。
我们需要在使用数据的过程中保护数据,在数据的全生命周期中保护数据,特别是涉及个人隐私的数据。也就是说,数据安全这个词,可以将信息安全、网络安全以及隐私保护的目标统一起来。
5.信息安全/网络安全/数据安全的关系
网络空间是计算的资源与环境(覆盖云/管/端的设施与应用),数据是计算的对象。
我们通过保护【网络空间】里面的【数据】这种手段,来达成【信息安全】或【数据安全】的目标。
- 【信息安全】侧重于保护一切有价值的信息,不限于网络空间,比如窃听、社工、各种人为因素的泄露等也在信息安全的工作范围。
- 【网络安全,即网络空间安全】侧重于计算的资源与环境,是有边界的,通常受限于主权边界。通过保障计算环境(网络空间)的安全,从而最终保障计算对象(数据)的安全。
- 【数据安全】侧重于数据的全生命周期内的安全与合规,可能涉及长臂管辖与域外效力。
在上图中,网络安全的范围参考橙色边框,数据安全的范围参考蓝色边框。
网络安全可以理解为手段,而数据安全(和信息安全)可以理解为目标。
通常来说数据比信息更具有针对性,范围更明确,因此在使用“数据安全”这一术语时,安全团队的目标与业务团队的目标一致,都是保障计算对象的安全。从这一角度来说,数据安全是一个很好的抓手,用于推动安全工作的开展。
6.典型使用场景
大家其实不用过于纠结我们究竟应该使用哪个术语,我们完全可以根据企业的需要、侧重点,选择相应的术语。
信息安全、网络安全、数据安全的使用场景,可以参考:
7.附录
上述内容根据笔者《数据安全架构设计与实战》进行整理。