上述这些都可以称之为“信息”,且这些信息并不一定存在于某个系统或某个数据库中,但是我们的判断依据,却有可能存在于系统或数据库中,比如:
这些属于客观存在于网络空间中的“数据”。由此可见,我们可以得出初步的结论:
信息不一定存在于网络空间中,因此,信息安全的外延非常大,一切可能造成信息泄露、信息被篡改、信息不可用的场景,都包含在信息安全的范围之内,除了常见的网络入侵窃密,也包括网络空间之外的场景,比如社会工程对人性的弱点的利用、间谍/卧底等。
网络安全这个概念也是不断演化的,最早的网络安全是NetworkSecurity,是基于“安全体系以网络为中心”的立场,主要涉及网络安全域、防火墙、网络访问控制、抗DDOS(分布式拒绝服务攻击)等场景,特别是以防火墙为代表的网络访问控制设备的大量使用,网络安全域、边界、隔离、防火墙策略等概念深入人心。
后来,其范围越来越大,往云端、网络、终端等各个环节不断延伸,发展为网络空间安全(CyberspaceSecurity),甚至覆盖到陆、海、空、天领域,但这个词太长了,念起来没有网络安全方便,后来就简化为网络安全(CyberSecurity)了。
所以,我们现在所说的网络安全,一般是指广义的网络安全(CyberSecurity),仍基于“安全体系以网络为中心”的立场,泛指整个安全体系,侧重于网络空间安全、网络访问控制、安全通信、防御网络攻击或入侵等。
通常,对于大多数业务人员来说,主要关心的是数据的安全。使用数据安全这个术语,便于安全人员和业务人员在目标一致的前提下进行沟通。
随着信息时代向数据时代的转变,数据安全这个概念,更接近安全保护的目标,更适应业务发展的需要,并且这里的数据不仅包括静态的、存储层面的数据,也包括流动的、使用中的数据。
我们需要在使用数据的过程中保护数据,在数据的全生命周期中保护数据,特别是涉及个人隐私的数据。也就是说,数据安全这个词,可以将信息安全、网络安全以及隐私保护的目标统一起来。
网络空间是计算的资源与环境(覆盖云/管/端的设施与应用),数据是计算的对象。
我们通过保护【网络空间】里面的【数据】这种手段,来达成【信息安全】或【数据安全】的目标。
在上图中,网络安全的范围参考橙色边框,数据安全的范围参考蓝色边框。
网络安全可以理解为手段,而数据安全(和信息安全)可以理解为目标。
通常来说数据比信息更具有针对性,范围更明确,因此在使用“数据安全”这一术语时,安全团队的目标与业务团队的目标一致,都是保障计算对象的安全。从这一角度来说,数据安全是一个很好的抓手,用于推动安全工作的开展。
大家其实不用过于纠结我们究竟应该使用哪个术语,我们完全可以根据企业的需要、侧重点,选择相应的术语。