信息安全/網絡安全/數據安全的關係

2021-02-23 數據安全架構與治理


我們經常聽說信息安全、網絡安全、數據安全幾個詞,那麼他們之間是什麼關係呢?在弄清楚這幾個概念之前,我們有必要先了解一下信息和數據的區別。1.信息 vs 數據

為了直觀的了解信息和數據,我們先來看幾個實際的場景:

上述這些都可以稱之為「信息」,且這些信息並不一定存在於某個系統或某個資料庫中,但是我們的判斷依據,卻有可能存在於系統或資料庫中,比如:

這些屬於客觀存在於網絡空間中的「數據」。由此可見,我們可以得出初步的結論:

基於上述判斷,我們可以給信息和數據下個定義了:

信息是有價值的資產,是對數據做出的有意義的表達。

數據是信息在網絡空間的載體,是對信息的記錄。

2.信息安全 從發展趨勢上看,信息安全一詞是最早被用來概述安全體系的,那時還沒有像現在這樣眾多的細分領域(如Web安全、滲透、逆向、漏洞挖掘、安全防禦、體系建設等),但信息安全一詞很好的概括了安全的目標,也就是保護信息的保密性、完整性和可用性。

信息不一定存在於網絡空間中,因此,信息安全的外延非常大,一切可能造成信息洩露、信息被篡改、信息不可用的場景,都包含在信息安全的範圍之內,除了常見的網絡入侵竊密,也包括網絡空間之外的場景,比如社會工程對人性的弱點的利用、間諜/臥底等。

3.網絡安全

網絡安全這個概念也是不斷演化的,最早的網絡安全是Network Security,是基於「安全體系以網絡為中心」的立場,主要涉及網絡安全域、防火牆、網絡訪問控制、抗DDOS(分布式拒絕服務攻擊)等場景,特別是以防火牆為代表的網絡訪問控制設備的大量使用,網絡安全域、邊界、隔離、防火牆策略等概念深入人心。

後來,其範圍越來越大,往雲端、網絡、終端等各個環節不斷延伸,發展為網絡空間安全(Cyberspace Security),甚至覆蓋到陸、海、空、天領域,但這個詞太長了,念起來沒有網絡安全方便,後來就簡化為網絡安全(Cyber Security)了。

所以,我們現在所說的網絡安全,一般是指廣義的網絡安全(Cyber Security),仍基於「安全體系以網絡為中心」的立場,泛指整個安全體系,側重於網絡空間安全、網絡訪問控制、安全通信、防禦網絡攻擊或入侵等。

4.數據安全

數據安全(Data Security),是以數據為中心的立場,主要關注數據全生命周期的安全與合規,特別是敏感數據的安全與合規。

通常,對於大多數業務人員來說,主要關心的是數據的安全。使用數據安全這個術語,便於安全人員和業務人員在目標一致的前提下進行溝通。

隨著資訊時代向數據時代的轉變,數據安全這個概念,更接近安全保護的目標,更適應業務發展的需要,並且這裡的數據不僅包括靜態的、存儲層面的數據,也包括流動的、使用中的數據。

我們需要在使用數據的過程中保護數據,在數據的全生命周期中保護數據,特別是涉及個人隱私的數據。也就是說,數據安全這個詞,可以將信息安全、網絡安全以及隱私保護的目標統一起來。

 

5.信息安全/網絡安全/數據安全的關係

 

網絡空間是計算的資源與環境(覆蓋雲/管/端的設施與應用),數據是計算的對象。

我們通過保護【網絡空間】裡面的【數據】這種手段,來達成【信息安全】或【數據安全】的目標。

【信息安全】側重於保護一切有價值的信息,不限於網絡空間,比如竊聽、社工、各種人為因素的洩露等也在信息安全的工作範圍。

【網絡安全,即網絡空間安全】側重於計算的資源與環境,是有邊界的,通常受限於主權邊界。通過保障計算環境(網絡空間)的安全,從而最終保障計算對象(數據)的安全。

【數據安全】側重於數據的全生命周期內的安全與合規,可能涉及長臂管轄與域外效力。

在上圖中,網絡安全的範圍參考橙色邊框,數據安全的範圍參考藍色邊框。

網絡安全可以理解為手段,而數據安全(和信息安全)可以理解為目標。

通常來說數據比信息更具有針對性,範圍更明確,因此在使用「數據安全」這一術語時,安全團隊的目標與業務團隊的目標一致,都是保障計算對象的安全。從這一角度來說,數據安全是一個很好的抓手,用於推動安全工作的開展。

6.典型使用場景

 

大家其實不用過於糾結我們究竟應該使用哪個術語,我們完全可以根據企業的需要、側重點,選擇相應的術語。

信息安全、網絡安全、數據安全的使用場景,可以參考:

7.附錄

 

上述內容根據筆者《數據安全架構設計與實戰》進行整理。

相關焦點

  • 網絡安全與國家安全,休戚與共
    20年來,中國網際網路抓住機遇,快速推進,中國已是名副其實的網絡大國。但一些數據顯示,大不一定強,中國離網絡強國目標仍有差距。網絡安全失守,對國家來說,可能意味著對整個國家安全的威脅;對個人來說,風險一點兒也不少。  網絡已成大國新的爭奪戰場  放眼世界,各國都在大力加強網絡安全建設和頂層設計。
  • 美軍信息網絡安全架構解析
    SIPRNET是美國防部與美國政府(包括駐外大使館)之間進行數據傳輸的計算機網絡,使用美國家安全局認可的加密系統進行數據加密,最高涉密等級達到機密級別。在此之上,還有一個連接美國政府所有16個情報機構的絕密級網絡,稱為全球聯合情報通信系統JWICS,用於各情報機構之間交換情報信息,其前身是DSNET2和DSNET3等兩個最高機密的國防數據網。
  • 【專家觀點】牟承晉:網絡信息安全是網絡強國的重中之重
    鑑於網信安全的「武器技術」是NSA的首要任務之一,其所開發的「安全DNS軟體」,顯然與網信空間的「武器化」相關。在網信空間,諸多網絡信息服務供應鏈和行為「被武器化」,沒有明確和可預判的邊界、國界和跨界。
  • 評《網絡安全法》對數據安全保護之得與失
    如果用公式來表達數據保護與數據安全之間的關係:個人數據保護=數據安全+個人數據自決權利+數據控制者等相關方滿足個人數據自決權利的義務。3、國家層面的數據保護先看三個例子:據阿里巴巴2016年11月2日公布的2016年9月底的季度業績顯示,淘寶中國平臺活躍買家高達4.39億戶。
  • 回眸2014,網絡安全那一瞬 ——安天網絡安全年度簡報
    3 嚴重漏洞2014年4月7日,發生了被稱為3年來最嚴重的漏洞Heartbleed(心臟出血)漏洞,這個漏洞存在於開源密碼技術庫OpenSSL中,該漏洞會導致內存越界,攻擊者可以遠程讀取存在漏洞版本的OpenSSL伺服器內存中64K的數據,從而可以被用於獲取內存中的用戶名、密碼、個人相關信息以及伺服器證書
  • 義大利國家安全框架——網絡安全與情報模型
    而這套義大利網絡安全與情報模型正在通過國家框架實現演進。當前框架於2016年2月由On.Minniti與Baldoni教授發布,其中包含兩項核心內容:義大利已經引入一套創新型參考模型,其作為國家網絡安全戰略規劃的推動機制,要求國內全部企業及政府機構皆加入進來。
  • 網絡靶場:網絡安全練兵場
    世界頂級網際網路公司Facebook同樣因為網絡攻擊不勝其擾,2018 年3月,被曝出 5000 萬用戶個人數據被劍橋數據分析機構利用, 9月份,又爆出安全系統的漏洞遭到黑客攻擊,導致 3000 萬用戶信息暴露;年末,又一個軟體漏洞,讓 6800 萬用戶的私人照片面臨洩露的風險。一年間,因為網絡安全問題, Facebook 聲譽與股價齊跌, 2018 年全年下跌 25.7%。
  • 網絡安全攻防戰
    從國家安全的角度來講,我們使用了太多外來的技術、軟體,「我們無法獲得他們最深層的信息,如何保證自身的安全?」張凱表示,這兩年,國家很多重要的基礎設施日趨本地化,並把國內自主研發的系統,放到關係國計民生重要的部門。「我們應該兩條腿走路,一條腿是利用現在的Internet,另一條是建設自己更好的網絡。」
  • 知識分享 | 初探5G網絡安全
    而在元件的檢測上,不只裝置有關的程序庫要進行驗證,電信業者的網絡功能虛擬化(Network Functions Virtualization, NFV)虛擬環境,也是重點。針對5G的網絡安全防護,電信業者如果經常檢測元件的安全,也能減少潛藏的網絡安全風險。
  • 【每日安全資訊】2018網絡安全大事件盤點 | 數據洩露史無前例,勒索軟體改行挖礦
    縱觀去年的網絡安全整體態勢,數據洩露事件最為觸目驚心,全年的漏洞採集數量也達到歷年的高峰,勒索軟體也大有向挖礦的轉型之勢。數據洩露事件爆炸式上升數位化變革技術正在重塑組織機構的經營方式,並將它們帶入一個數據驅動的世界,但是企業急於擁抱數位化新環境的做法也帶來了更多被攻擊的新風險,需要企業採取數據安全控制措施來加以防範。
  • 安信與誠信息安全通告(10月份)-信息安全事件
    三、信息安全事件3.1 54億條個人信息在暗網出售:警方破獲國內最大社工庫案近日,無錫警方成功破獲了一起侵犯公民個人信息案,犯罪團夥非法獲取醫療、出行、快遞等公民信息,數據累計高達54億多條,並通過"暗網"平臺提供查詢、出售服務。
  • 第22章信息系統安全管理
    安全策略的核心內容是:七定,即定方案、定崗、定位、定員、定目標、定製度、定工作流程把信息系統的安全目標定位於:系統永不停機、數據永不丟失、網絡永不癱瘓、信息永不洩密,是錯誤的,不現實的2、安全保護等級有五個:自主保護級:普通內聯網用戶系統審計保護級:內聯和國際網進行商務活動,需要保密非重要單位安全標記保護級:適用於地方各級國家機關
  • ZigBee 網絡安全攻防
    其方式是增加基於「安全傳輸層協議」(Transport Layer Security,TLS)1.2的網絡安全,將通信數據壓縮,提供「自愈網mesh網絡的支持「(self-healing mesh network),並與全球IPv6網絡標準提供互連互通。
  • 歐美網絡安全法律研究
    《計算機安全法》1987(規定聯邦政府計算機安全實踐)2.《國防授權法》1990(促進網絡技術創新)3.《國家信息基礎設施保護法》19964.《電信法》1996(推進電信行業朝網絡化發展)5.《網絡安全信息法》2000(推動數字保護手段)6.《關鍵基礎設施信息法》2002(關鍵基礎設施保護框架)7.
  • 「網絡安全」安全設備篇(3)——IPS
    上文「網絡安全」安全設備篇(2)——IDS提到的IDS入侵檢測系統大多是被動防禦,而不是主動的,在攻擊實際發生之前,它們往往無法預先發出警報。而IPS入侵防禦系統,則傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送後發出警報。
  • 信息安全上升至國家戰略,這些平臺獲國家信息安全等級的最高評級!
    ,開展信息系統定級備案和等級測試,具有完善的防火牆、入侵檢測、數據加密以及災難恢復等網絡安全設施和管理制度,建立信息科技管理、科技風險管理和科技審計有關制度,配置充足的資源,採取完善的管理控制措施和技術手段保障信息系統安全穩健運行,保護出借人與借款人的信息安全。」
  • 2018網絡安全大事件盤點
    縱觀去年的網絡安全整體態勢,數據洩露事件最為觸目驚心,全年的漏洞採集數量也達到歷年的高峰,勒索軟體也大有向挖礦的轉型之勢。數據洩露事件爆炸式上升數位化變革技術正在重塑組織機構的經營方式,並將它們帶入一個數據驅動的世界,但是企業急於擁抱數位化新環境的做法也帶來了更多被攻擊的新風險,需要企業採取數據安全控制措施來加以防範。
  • 信息安全紅隊項目
    https://book.yunzhan365.com/umta/rtnp/mobile/index.html 網絡安全科普小冊子http://sec.cuc.edu.cn/huangwei/textbook/ns/ 網絡安全電子版教材。
  • 安全評估 | 近期美國網絡安全政策動向及對我啟示
    ,同時,提出優先保護、風險管理、信息共享相結合的關鍵信息基礎設施保護新理念,通過完善機制、審查評估、政企協作等方式改進和增強供應鏈安全管理,推動新一代網絡安全關鍵技術和系統平臺建設,著力打造領先的網絡空間安全防禦能力,謀求塑造以美為主的網絡空間治理格局。
  • 飛塔全球安全戰略官 Derek Manky 談亞太地區網絡安全威脅態勢
    期間,飛塔全球安全戰略官 Derek Manky 接受了媒體採訪並向與會者介紹亞太地區的網絡安全現狀和趨勢,牛君將比較重要的內容記錄整理如下:一、FortiGuard是什麼?飛塔所有產品的核心是威脅情報分析雲平臺FortiGuard,這個平臺不僅向飛塔全球的各個產品及設備輸出情報,也向其合作夥伴分享與交換數據。