网络安全更侧重于保护网络环境下的计算机及应用系统的安全,例如通过部署防火墙、入侵检测等硬件设备来实现网络层面的安全防护;通过风险评估、病毒防护等软件系统实现应用层面的安全防护。
信息安全是指为保护信息免受未经授权的访问和使用而采取的措施,是从技术和管理两个方面为信息系统建立的安全防护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。信息安全侧重于计算机数据和信息的安全。
近年来,国内外媒体、学术界对网络安全和信息安全的关系存在两种看法。一种观点认为网络安全包含信息安全。从纯技术角度看,信息安全专业的主要研究内容为密码学,如各种加密算法、公钥基础设施、数字签名、数字证书等,而这些只是保障网络安全的手段之一。而另一种观点则认为,网络安全是信息安全的一部分,信息安全包括网络安全。信息安全从数据的角度进行安全防护。安全防护不仅关注网络层面,更关注应用层面,可以说信息安全更贴近用户的实际需求和想法。此外,信息安全还包括操作系统安全、数据库安全、硬件设备和设施安全、物理安全、人员安全、软件应用安全等方面。
由于网络安全与信息安全两个概念密不可分,且两者的关系目前没有明确的界定,而在实际工作中,网络安全事件和信息安全事件又互为因果、相互交错,难以理清。所以在本书中,为表述方便,我们认同第一种观点,即网络安全包含信息安全,并在后续内容中不进行严格区分。