分享

序章:信息安全、网络安全、数据安全应该如何定义?(转)

为何会有此一问呢?主要是在想信息安全、网络安全、数据安全该如何划分。

在写文之初,我的想法是信息安全是一个大集合,包含网络安全与数据安全(如果物联网安全、工业安全也可以单独拆分,信息安全也包括二者)。网络安全也比较大,又可以拆成Web安全、主机安全、办公安全、系统安全等方向,也就是一般所说的传统安全。数据安全是近些年新兴的方向,相较于传统安全,会更加关注数据本身,包含数据的收集、存储、使用、加工、传输、提供、公开等环节(参考数据安全法定义),也就是围绕数据全生命周期的安全保护。

但是既然要写出来,那就需要谨慎一些,对概念负责。

怎么来寻找这些准确定义呢?目前想的是从教材、百科、安全相关的认证考试、国际和国家标准中、法律法规中寻找。

01教材中的定义
信息安全,主要是强调信息本身的安全,以信息的机密性、完整性、可用性(CIA)三大基本属性(或称基本目标)为保护核心,辅以信息的不可否认性(抗抵赖性)、真实性、可控性等扩展属性(或称扩展目标)等保护。信息安全的要义在于保护:1、信息自身的安全;2、信息驻留载体即信息系统的安全。我们来简单解释一下。100年前,没有计算机,自然就没有计算机安全问题;50年前,没有计算机网络,网络安全就无从谈起。但100年前,信息肯定存在,信息安全问题也早就存在。从此说开去,50年后、100年后,信息载体是否是计算机抑或网络,也不得而知,但那时候,信息安全问题依然存在,不因信息载体即信息系统的形态而有本质改变。

闫怀志 https://zhuanlan.zhihu.com/p/433077980


网络安全,这个概念的内涵和外延,要看具体的语境和上下文。如果“网络安全”与“系统安全”“物理安全”“应用安全”“数据安全”相提并论,那它就是指狭义的由于信息系统要素通过互联互通网络实现互操作而带来的安全问题。不过,目前所讲的网络安全,通常泛指网络空间信息系统及信息的安全问题,现在“网络空间安全”也经常简称为网络安全。当下,由于信息系统载体的主流形式是计算机网络,因此,也常用网络安全来指代信息安全。

闫怀志 https://zhuanlan.zhihu.com/p/433077980


数据安全的定义相对来说比较明确。我国《数据安全法》给出了明确定义。该法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。而数据安全,则是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。由此不难看出,它的概念显然要小于信息安全和广义的网络安全范畴,甚至可以说是上述二者的真子集。

闫怀志 https://zhuanlan.zhihu.com/p/433077980


信息安全的教材比较多,我简单地搜索了一下,就找到了这几个定义。来源于《网络安全-应用技术与工程实践》北京理工大学  闫怀志教授。

这个概念,和我理解的信息安全、网络安全、数据安全基本是完全一致的。所以此处没有查阅更多的教材定义。

02百科中的定义
信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

信息安全 百度百科
信息安全的百科中,引用了ISO的定义,范围上列举了网站、网络、主机、数据库等,同时也列举了相关的安全检测技术。

网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

网络安全 百度百科


网络安全的百科,特意说明了英文。是因为Cyber Security和Network Security有着本质的区别。如果是Network Security就是讲狭义的网络安全,侧重于网络传输安全。而Cyber Security则泛指了网络空间安全,是广义上的定义。

《中华人民共和国数据安全法》中第三条,给出了数据安全的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

数据安全 百度百科
数据安全以前是没有定义的,后来数据安全法颁布,有了一个非常正式和官方的定义。

03国家相关标准
在全国标准信息公共服务平台 https://std.samr.gov.cn/,可以查看各种标准,包含国家标准、行业标准、地方标准、团体标准、企业标准,以及国际和国外标准等。标准的指定,是通过标准委员会,简称TC。所以想看下信息安全的定义,也是通过这里查询也比较官方。

通过TC目录查看,安全相关的主要是民生为主,而和计算机相关的就只有TC260,信息安全委员会。

图片

关于TC260的整体介绍,官网也有展示:https://std.samr.gov.cn/search/o ... B11E05397BE0A0A1987

关于信息安全术语,我找到一个现行的国家标准《信息安全技术 术语》

国标上没有找到数据安全的定义,但是有一个数据保护的定义是类似的。另外,国标上的网络安全,明确写明了Networ Security,也就是狭义上的网络安全。



04总结

通过前面的介绍,我们可以很明确的区分信息安全、网络安全、数据安全这三个概念。虽然之前没有完整的学习和了解过,但是总体上我的理解没有大问题。这也是为什么这个专栏叫《信息安全核心技术和产品分析》而不是叫《网络安全核心技术》或者《数据安全核心技术》的主要原因。



同时,写这么多字来介绍概念,也是让大家有一个更清楚清楚的认知。日常学习中,很多人都不会关注概念,但是越是严格的场合,例如写作、写书、写标准、写规范,每次大家讨论最多的就是概念和定义。

了解概念和定义,是学习的第一步。



参考文章

1、信息安全、网络安全、数据安全等概念的联系与区别

https://zhuanlan.zhihu.com/p/433077980

2、信息安全

https://baike.baidu.com/item/%E4 ... %89%E5%85%A8/339810

3、网络安全

https://baike.baidu.com/item/%E7 ... %89%E5%85%A8/343664

4、数据安全

https://baike.baidu.com/item/%E6 ... 89%E5%85%A8/3204964

5、《信息安全技术 术语》

https://std.samr.gov.cn/gb/searc ... 96BE05397BE0A0A0B32


版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则